Christina Etteldorf

UK: ICO veröffentlicht Verhaltensregeln zum Schutz der Privatsphäre von Kindern im Onlinebereich


Am 21.1.2020 hat die Datenschutzbehörde des Vereinigten Königreichs (Information Commissioner’s Office – ICO) den von ihr erstellten Verhaltenskodex zum Schutz der Privatsphäre von Kindern im Onlinebereich (Code of Practice to protect children’s privacy online) veröffentlicht. Hierin wird die altersgerechte Ausgestaltung von Onlineangeboten im Hinblick auf datenschutzrechtliche Gesichtspunkte konkretisiert.

Hintergrund für die Erstellung des Verhaltenskodex ist Art. 123 des UK-Datenschutzgesetzes von 2018 (Data Protection Act 2018), in dessen Rahmen die ICO dazu verpflichtet wird, einen Verhaltenskodex auszuarbeiten, der Leitlinien zur altersgerechten Ausgestaltung von Onlineangeboten in datenschutzrechtlicher Hinsicht enthält. Dieser Verpflichtung ist die ICO nunmehr mit den neuen Regeln nachgekommen, die zukünftig als Maßstab zur Beurteilung der datenschutzrechtlichen Compliance von bestimmten Onlineangeboten dienen sollen und daher auch i.R.d. Rechtsdurchsetzung, die der ICO als zuständiger Aufsicht im Bereich des Datenschutzes obliegt, relevant sind.

 

Der Verhaltenskodex richtet sich an „Dienste der Informationsgesellschaft, auf die Kinder wahrscheinlich zugreifen“, wobei der Dienstbegriff laut ICO weit zu verstehen ist und daher die Mehrheit der von Kindern genutzten Onlinedienste (Suchmaschinen, soziale Netzwerke, Messenger- und Sprachtelefondienste, Onlinemarktplätze, Streamingangebote, Spiele-Apps, Bildungswebseiten, etc.) mit nur wenigen Ausnahmen (insb. rein informative Unternehmenswebseiten, traditionelle Sprachtelefondienste, Rundfunkdienste und bestimmte Behördendienstleistungen) erfasst. Wann ein Dienst vorliegt, auf den „wahrscheinlich Kinder zugreifen“, wird nicht ausdrücklich definiert, sondern eine möglichst weite Formulierung bewusst gewählt, um nicht solche Dienste auszuschließen, die zwar nicht auf Kinder (Personen unter 18 Jahren) ausgerichtet sind, aber in der Praxis tatsächlich von ihnen genutzt werden. Für die Bewertung kommt es laut ICO maßgeblich auf die Attraktivität der Art und des Inhalts des Diensts für Kinder sowie auf die Art und Weise des Zugangs an, insb. ob Maßnahmen ergriffen werden, die den Zugriff von Kindern verhindern sollen. I.Ü. gelten die Regeln auch für das Bereitstellen von mit dem Internet verbundenen Spielzeugen und anderen Geräten.

 

Die Standards, die der Verhaltenskodex für solche Angebote aufstellt, sind dabei nicht als technische Standards gedacht, sondern als eine Reihe von technologieneutralen Gestaltungsprinzipien. So verlangt die ICO zunächst von Anbietern erfasster Angebote eine Datenschutzfolgenabschätzung, die auch das genaue Alter der Nutzer (von der ICO unterteilt in fünf Altersstufen mit unterschiedlichen Bedürfnissen) bei der Bewertung der Ergreifung von altersgerechten Schutzmaßnahmen in Betracht ziehen soll. Sodann werden Vorschriften u.a. zu der missbräuchlichen Verwendung von Daten von Kindern, anbietereigenen Gemeinschaftsstandards und elterlich gesteuerter Kindersicherungssoftware aufgestellt. Während einige der Bestimmungen lediglich konkretisierend an vorhandene Grundprinzipien der DS-GVO anknüpfen, wie z.B. die Vorgaben zu Transparenz und Datensparsamkeit, sind andere Vorgaben wie z.B. die Bereitstellung bekannter und zugänglicher Onlinetools, mit denen Kinder ihre Rechte wahrnehmen und Bedenken melden können, neu. Der Kodex sieht u.a. auch vor, dass bei erfassten Diensten standardmäßig ein hohes Schutzniveau eingestellt sein („high privacy by default“), insb. die Erhebung von Standortdaten standardmäßig deaktiviert sein sollte. Sog. Nudge-Techniken, die Anreize setzen, dass der Nutzer einer bestimmten, vom Anbieter intendierten Entscheidungsfindung folgt, sollten keine Anwendung finden.

 

Interessant ist schließlich auch der territoriale Anwendungsbereich, den die ICO erläuternd anführt: Der Kodex soll nicht nur für Anbieter mit Sitz oder Niederlassung in Großbritannien gelten, sondern, angelehnt an die in Art. 3 DS-GVO verankerten Prinzipien, auch für ausländische Anbieter, wenn sie Nutzern in Großbritannien ihren Service anbieten oder deren Verhalten überwachen. Eine Rückausnahme besteht aber wiederum dann, wenn es sich um Anbieter handelt, die eine Niederlassung zwar nicht im Vereinigten Königreich, wohl aber in einem anderen EWR-Staat haben; für diese Anbieter gelten die Regeln des jeweiligen Niederlassungsorts.

 

Wann der Verhaltenskodex genau in Kraft treten soll, hat die ICO nicht angegeben. Anbieter werden jedenfalls ab dem Zeitpunkt des Inkrafttretens zwölf Monate Zeit haben, die Standards zu implementieren.

Ass. iur Christina Etteldorf ist wissenschaftliche Mitarbeiterin am Institut für Europäisches Medienrecht e.V. (EMR), Saarbrücken/Brüssel.