Alters­verifizierung und Minder­jährigen­schutz in der DSGVO: Entscheidung zur Verar­beitung von Daten Minder­jähriger durch TikTok

Die irische Datenschutzbehörde hat am 15. September 2023 ihre finale Entscheidung in Sachen TikTok Technology Limited (TikTok) veröffentlicht, in der sie aufgrund mehrerer von TikTok bei der Verarbeitung von Daten Minderjähriger im Alter zwischen 13 und 17 Jahren festgestellter Verstöße gegen die DSGVO eine Verfügung sowie Bußgelder in Höhe von insgesamt EUR 345 Mio. erlassen hat. Der Entscheidung war ein verbindlicher Beschluss des Europäischen Datenschutzausschusses (EDSA) vorangegangen. Darin betont der EDSA unter anderem, dass Verantwortliche Mechanismen zur Altersverifizierung generell regelmäßig überprüfen müssen. Unternehmen, die Daten Minderjähriger verarbeiten, sollten den Beschluss des EDSA daher zum Anlass nehmen, die technische Ausgestaltung ihrer Angebote einer Revision zu unterziehen.

Hintergrund: Kohärenzverfahren europäischer Datenschutzbehörden mit Beteiligung des EDSA

In dem länderübergreifenden Verfahren gegen TikTok hatte die irische Datenschutzbehörde als federführende Aufsichtsbehörde im September 2022 den übrigen betroffenen Aufsichtsbehörden einen Beschlussentwurf zur Stellungnahme vorgelegt. Gegen diesen Beschlussentwurf hatten die italienische Datenschutzbehörde und zwei deutsche Aufsichtsbehörden (der Berliner Beauftragte für Datenschutz und Informationsfreiheit und der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg) jeweils Einsprüche eingelegt, woraufhin im Mai 2023 ein verbindlicher Beschluss des EDSA angefordert wurde. Der EDSA hatte daraufhin am 2. August 2023 einen verbindlichen Beschluss in Bezug auf die Einsprüche der italienischen und der beiden deutschen Aufsichtsbehörden erlassen. Die italienische Datenschutzbehörde hatte sich kritisch zu den von TikTok implementierten Mechanismen zur Altersverifizierung für Nutzer:innen unter 13 Jahren geäußert, weshalb der EDSA in seinem Beschluss hierauf einging. Die irische Datenschutzbehörde hat auf Grundlage dieses verbindlichen Beschlusses am 1. September 2023 ihr Entscheidung erlassen und am 15. September 2023 veröffentlicht.

Beanstandete Datenverarbeitung von TikTok: Mechanismen zur Altersverifizierung

Die Entscheidung der irischen Datenschutzbehörde sowie der Beschluss des EDSA betreffen unter anderem die Frage, ob TikToks Mechanismen zur Altersverifizierung für Kinder unter 13 Jahren den Anforderungen an die DSGVO genügen. TikTok hatte als „ex ante“-Maßnahme die App unter anderem im Apple App Store als "12+" und im Google Play Store als "Parental Guidance Recommended“ eingestuft. Darüber hinaus mussten Personen bei Nutzung von TikTok ihr Geburtsdatum eingeben.

Bei Nutzern:innen, deren Alter nach dem eingegebenen Geburtsdatum unter 13 Jahre betrug, wurde der Registrierungsprozess automatisch abgebrochen, ohne dass ihnen der Grund für den Abbruch des Prozesses mitgeteilt wurde. Den Nutzern:innen wurde lediglich eine Pop-Up-Benachrichtigung angezeigt, wonach sie nicht für die TikTok Plattform zugelassen seien. Personen, die erneut versuchten, ihr Geburtsdatum einzugeben, auch nach neuer Installation der App, konnten den Registrierungsprozess weiterhin nicht abschließen und ihnen wurde erneut die Pop-Up-Benachrichtigung angezeigt, wonach sie nicht zur Nutzung von TikTok zugelassen seien. Darüber hinaus hatte TikTok einige „ex post“-Mechanismen implementiert, beispielsweise das Sperren von Nutzern:innen, die aufgrund ihres Alters (unter 13 Jahre) an TikTok gemeldet wurden.

Der EDSA bekundete in seinem verbindlichen Beschluss ernsthafte Zweifel an der Wirksamkeit der von TikTok ergriffenen Maßnahmen zur Altersverifizierung und hat der irischen Datenschutzbehörde auferlegt, dass diese ihren Beschlussentwurf entsprechend ändere. Der EDSA betonte dabei, dass diese Zweifel im konkreten Fall insbesondere in Anbetracht der Schwere der Risiken und der großen Zahl betroffener schutzbedürftiger Personen bestünden. Zudem betonte der EDSA, dass sich die Angemessenheit von Mechanismen zur Altersverifizierung aufgrund des stetigen Wandels des Standes der Technik regelmäßig ändere und der für die Datenverarbeitung Verantwortliche daher gehalten sei, diese Maßnahmen einer regelmäßigen Überprüfung zu unterziehen, ob sie unter Berücksichtigung der in Art. 25 DSGVO (Datenschutz durch Technikgestaltung und Voreinstellungen) genannten Kriterien (noch) angemessen sind.

Allerdings überließ der EDSA die Entscheidung, ob TikToks Mechanismen zur Altersverifizierung den Anforderungen der DSGVO genügen, letztendlich der irischen Datenschutzbehörde, da er keine hinreichenden Informationen zum Stand der Technik im konkreten Fall habe, um die Datenschutzkonformität abschließend bewerten zu können. Entgegen den ernsthaften Zweifeln des EDSA kam die irische Datenschutzbehörde in ihrer Entscheidung zu dem Ergebnis, dass sie nicht annehmen könne, dass TikToks technische und organisatorische Maßnahmen in Bezug auf Mechanismen zur Altersverifizierung gegen die Vorschriften der DSGVO verstoße.

In ihrer Entscheidung beanstandet die irische Datenschutzbehörde zudem weitere Aspekte in TikToks Datenverarbeitung, unter anderem Gestaltungspraktiken in Zusammenhang mit zwei Pop-Up-Fenstern, in denen Kinder zwischen 13 und 17 Jahren nach Ansicht der irischen Behörde dazu bewegt werden, ihre Profile, bzw. Videos öffentlich, d.h. auch für nicht TikTok-Nutzer:innen, zugänglich zu machen. Darin sah die irische Datenschutzbehörde einen Verstoß gegen den Grundsatz der Datenminimierung sowie gegen Art. 25 DSGVO.

Anlass für Unternehmen zur Revision von Mechanismen zur Altersverifizierung

Auch wenn die Einzelfallentscheidung der irischen Datenschutzbehörde und der Beschluss des EDSA lediglich für TikTok unmittelbare Wirkung haben, so sollten Unternehmen, die der DSGVO unterliegen und Daten Minderjähriger verarbeiten den veröffentlichten Beschluss des EDSA zum Anlass nehmen, ihre Mechanismen zur Altersverifizierung zu überprüfen, ob sie den gesetzlichen Anforderungen genügen. Denn die Erwägungen des EDSA enthalten, insbesondere in Bezug auf die Revisionspflicht von Verantwortlichen zur Angemessenheit von Mechanismen zur Altersverifizierung, auch allgemeingültige Aussagen, die auf andere Unternehmen übertragen werden können. Die britische Datenschutzbehörde hat einen umfangreichen Code erlassen, der die Verarbeitung personenbezogener Daten von Minderjährigen betrifft. Auch wenn dieser in der Union nicht direkt anwendbar ist, kann er eine gute Orientierung geben. Eine Zusammenfassung von Erewägungen des Wissenschaftlichen Dienstes des Europäischen Parlaments zu Altersverifikationsmaßnahmen und aktuellen Vorhaben in der Union findet sich hier.