![\"\"](\"https:\/\/www.ubiscore.com\/wp-content\/uploads\/2023\/01\/the-ftc-s-epic-epic-settlement-parallels-with-eu-law-1024x538.png\")
<\/p>\n<\/p>\n
<\/p>\n
Am 20. Dezember 2022 k\u00fcndigte die US-amerikanische Federal Trade Commission (FTC) zwei Vergleiche in H\u00f6he von insgesamt 520 Millionen Dollar mit Epic Games, dem Unternehmen hinter dem Spiel Fortnite, an. <\/span><\/p>\n Die FTC beschuldigte Epic, gegen den Children’s Online Privacy Protection Act (COPPA) zu versto\u00dfen und „dunkle Muster“ (manipulatives Design) zu verwenden, um Millionen von Spielern zu „ungewollten K\u00e4ufen“ zu verleiten.<\/span><\/p>\n Der Fall bietet wertvolle Einblicke in einige der wichtigsten aktuellen Themen des Datenschutzes – sowohl in den USA als auch in Europa – einschlie\u00dflich des Datenschutzes von Kindern, des Datenschutzes durch Design und dunkler Muster (wenn auch im Kontext des Verbraucherrechts).<\/span><\/p>\n Die Einigung zeigt wohl auch, wie die europ\u00e4ischen Datenschutzgrunds\u00e4tze das Datenschutzrecht in den USA beeinflussen.<\/span><\/p>\n Es gibt<\/span> zwei separate FTC-Beschwerden <\/span><\/a>hinter dem Vergleich von Epic, in denen behauptet wird, dass Epic:<\/span><\/p>\n <\/p>\n Im Einzelnen behauptete die FTC, dass Epic:<\/span><\/p>\n <\/p>\n Mit 275 Millionen Dollar ist der COPPA-Vergleich von Epic der gr\u00f6\u00dfte in der Geschichte – und \u00fcbertrifft damit den bisherigen Rekordhalter YouTube, der <\/span> Zum ersten Mal in einem COPPA-Vergleich forderte die FTC Epic auch auf, „starke Standardeinstellungen f\u00fcr den Datenschutz“ f\u00fcr Kinder und Jugendliche einzuf\u00fchren (obwohl COPPA nicht f\u00fcr Jugendliche gilt).<\/span><\/p>\n COPPA gilt f\u00fcr Unternehmen, die Websites und Apps betreiben, wenn sie ihre Dienste an Kinder unter 13 Jahren richten oder „tats\u00e4chliche Kenntnis“ davon haben, dass einige ihrer Nutzer Kinder sind.<\/span><\/p>\n Unter Bezugnahme auf mehrere Quellen, darunter Marketingmaterialien von Epic, interne Diskussionen und die (angeblich widerwillige) Verwendung von Microsofts Altersverifizierungsdaten, stellt die FTC fest, dass Epic mit Fortnite gezielt Kinder unter 13 Jahren anspricht – womit das Unternehmen in den Anwendungsbereich des COPPA f\u00e4llt.<\/span><\/p>\n COPPA stellt f\u00fcnf Hauptanforderungen an die betroffenen Unternehmen:<\/span><\/p>\n <\/p>\n In ihrer COPPA-Beschwerde behauptet die FTC, dass Epic mit Ausnahme der ersten dieser Anforderungen gegen alle versto\u00dfen hat.<\/span><\/p>\n Wie bereits erw\u00e4hnt, verlangt COPPA von den Unternehmen, dass sie die Eltern „klar und umfassend“ \u00fcber ihre Datenerfassungspraktiken informieren, bevor sie personenbezogene Daten von Kindern unter 13 Jahren erfassen.<\/span><\/p>\n Das Gesetz verlangt au\u00dferdem, dass Unternehmen eine „\u00fcberpr\u00fcfbare elterliche Zustimmung“ einholen, bevor sie personenbezogene Daten von Kindern unter 13 Jahren erfassen.<\/span><\/p>\n In ihrer Klage gegen Epic behauptet die FTC, dass Epic zwar einige Eltern benachrichtigt und deren Zustimmung eingeholt hat, andere jedoch nicht.<\/span><\/p>\n Die FTC stellt fest, dass Epic 2019 ein neues Altersverifizierungsverfahren eingef\u00fchrt hat, nachdem es darauf aufmerksam gemacht wurde, dass viele junge Kinder Fortnite spielen.<\/span><\/p>\n Wenn ein Spieler mit einer US-amerikanischen IP-Adresse angibt, 12 Jahre oder j\u00fcnger zu sein, verlangt Epic von diesem Zeitpunkt an, dass er die E-Mail-Adresse eines Elternteils angibt. Das Unternehmen w\u00fcrde dann die Eltern per E-Mail benachrichtigen und um deren Zustimmung bitten.<\/span><\/p>\n Die FTC kritisiert jedoch, dass Epic angeblich die Anforderungen des COPPA bez\u00fcglich der elterlichen Benachrichtigung und Zustimmung f\u00fcr Kinder mit bestimmten Arten von Konten oder f\u00fcr Kinder, die IP-Adressen au\u00dferhalb der USA verwenden, nicht erf\u00fcllt hat.<\/span><\/p>\n Die Datenschutzgrundverordnung der EU und des Vereinigten K\u00f6nigreichs enth\u00e4lt auch Vorschriften \u00fcber die Zustimmung der Eltern. <\/span><\/p>\n In Europa wie auch in den USA herrscht weitgehend Einigkeit dar\u00fcber, dass der Schutz der Privatsph\u00e4re von Kindern wichtig ist. Weniger Einigkeit besteht jedoch dar\u00fcber, wie die Datenschutzbestimmungen f\u00fcr Kinder einzuhalten sind, insbesondere was die \u00dcberpr\u00fcfung des Alters einer Person unter Wahrung der Privatsph\u00e4re betrifft.<\/span><\/p>\n Artikel 8 der DSGVO verlangt von den f\u00fcr die Verarbeitung Verantwortlichen, dass sie eine \u00fcberpr\u00fcfbare Einwilligung einholen, bevor sie die Daten von Kindern verarbeiten, wenn der f\u00fcr die Verarbeitung Verantwortliche dies tut:<\/span><\/p>\n <\/p>\n Die Mitgliedstaaten k\u00f6nnen das Alter eines „Kindes“ festlegen, solange es zwischen 13 und 16 Jahren liegt. Die Gesetze \u00fcber den Abschluss von Vertr\u00e4gen durch Kinder, die in Europa ebenfalls sehr unterschiedlich sind, k\u00f6nnen die Verarbeitung von Kinderdaten weiter erschweren.<\/span><\/p>\n Mehrere viel beachtete Durchsetzungsentscheidungen betrafen Verst\u00f6\u00dfe gegen die Bestimmungen der Datenschutz-Grundverordnung \u00fcber Kinderdaten, darunter die j\u00fcngste <\/span> Ein zentraler Vorwurf in der COPPA-Beschwerde der FTC lautete, dass bestimmte Einstellungen „standardm\u00e4\u00dfig aktiviert“ waren, darunter auch der Sprachchat.<\/span><\/p>\n In der Beschwerde wird eine E-Mail von Epics UX-Designer zitiert, in der das Unternehmen aufgefordert wird, den Voice-Chat zu vermeiden oder zumindest zuzulassen“, da man sich Sorgen \u00fcber die „Toxizit\u00e4t“ im Spiel macht, die sich auf Kinder auswirkt.<\/span><\/p>\n Die FTC stellt fest, dass Fortnite einen Schalter enth\u00e4lt, mit dem „diejenigen, die ihn zuf\u00e4llig gefunden haben“, den Sprachchat ausschalten k\u00f6nnen. <\/span><\/p>\n Die Chatfunktionen blieben jedoch standardm\u00e4\u00dfig f\u00fcr alle Spieler aktiviert, was Berichten zufolge dazu f\u00fchrte, dass Kinder beim Spielen von Fortnite „schikaniert, bedroht und bel\u00e4stigt wurden, auch sexuell“.<\/span><\/p>\n Der COPPA enth\u00e4lt keine ausdr\u00fcckliche Vorschrift zum „eingebauten Datenschutz“ oder zur „Datenminimierung“.<\/span><\/p>\n In der EU werden solche Regeln durch die Grunds\u00e4tze der Datenschutz-Grundverordnung („data protection by design“ und „data protection by default“) vorgegeben.<\/span><\/p>\n Neben anderen Anforderungen verpflichtet Artikel 25 Absatz 2 der Datenschutz-Grundverordnung die f\u00fcr die Verarbeitung Verantwortlichen, sicherzustellen, dass „personenbezogene Daten nicht standardm\u00e4\u00dfig einer unbestimmten Zahl nat\u00fcrlicher Personen ohne das Zutun der betroffenen Person zug\u00e4nglich gemacht werden“.<\/span><\/p>\n Die standardm\u00e4\u00dfige Deaktivierung des Sprachchats – nicht nur f\u00fcr Kinder, sondern f\u00fcr alle Spieler – ist ein Beispiel f\u00fcr eine M\u00f6glichkeit, diese Anforderung zu erf\u00fcllen.<\/span><\/p>\n COPPA verlangt, dass die betroffenen Unternehmen den Eltern die M\u00f6glichkeit geben, die pers\u00f6nlichen Daten ihrer Kinder zu \u00fcberpr\u00fcfen oder zu l\u00f6schen. <\/span><\/p>\n Die FTC wirft Epic vor, dass einige Eltern bei der Beantragung solcher Leistungen „au\u00dfergew\u00f6hnliche H\u00fcrden“ \u00fcberwinden mussten. Dazu geh\u00f6rte, dass die Eltern eine \u00fcberm\u00e4\u00dfige Menge an Verifizierungsdaten angeben mussten, wie zum Beispiel: <\/span><\/p>\n <\/p>\n Die FTC unterstellt, dass das Verfahren der elterlichen \u00dcberpr\u00fcfung absichtlich so gestaltet wurde, um Eltern davon abzuhalten, die pers\u00f6nlichen Daten ihrer Kinder zu \u00fcberpr\u00fcfen oder zu l\u00f6schen.<\/span><\/p>\n Die Frage der Rechte der Eltern in Bezug auf personenbezogene Daten \u00fcber ihre Kinder ist unter der DSGVO differenzierter als unter COPPA.<\/span><\/p>\n Wie im Rahmen von COPPA m\u00fcssen die f\u00fcr die Verarbeitung Verantwortlichen jedoch auch nach der DSGVO die Identit\u00e4t einer Person (oder gegebenenfalls die Identit\u00e4t der Eltern eines Kindes) \u00fcberpr\u00fcfen, bevor sie einem Antrag auf Zugang, L\u00f6schung oder \u00c4nderung personenbezogener Daten nachkommen.<\/span><\/p>\n Die Bem\u00fchungen zur Identifizierung einer Person, die ihre Datenschutzrechte wahrnimmt, m\u00fcssen verh\u00e4ltnism\u00e4\u00dfig sein. Es gilt der Grundsatz der Datenminimierung. Die f\u00fcr die Verarbeitung Verantwortlichen sollten nicht mehr personenbezogene Daten erheben, als f\u00fcr die \u00dcberpr\u00fcfung der Identit\u00e4t einer Person erforderlich sind.<\/span><\/p>\n Dies kann jedoch ein heikler Bereich sein, und nicht alle f\u00fcr die Verarbeitung Verantwortlichen halten Datenminimierung und \u00dcberpr\u00fcfung in einem angemessenen Verh\u00e4ltnis. <\/span><\/p>\n Zum Beispiel, in einer<\/span> Entscheidung <\/span><\/a>gegen das Schmuckunternehmen Pandora stellte die d\u00e4nische Datenschutzbeh\u00f6rde (DPA) fest, dass die Praxis des Unternehmens, systematisch einen Reisepass oder F\u00fchrerschein zu verlangen, bevor die Rechte der betroffenen Personen gew\u00e4hrt werden, gegen den Grundsatz der Datenminimierung verst\u00f6\u00dft.<\/span><\/p>\n In der zweiten Beschwerde der FTC gegen Epic wird dem Unternehmen vorgeworfen, „dunkle Muster“ zu verwenden, um Spieler zu unerw\u00fcnschten K\u00e4ufen zu verleiten.<\/span><\/p>\n Einige Beispiele f\u00fcr die von Epic verwendeten „Designtricks“ sind:<\/span><\/p>\n <\/p>\n Zwar beziehen sich die „dunklen Muster“ eher auf das Verbraucherschutzrecht als auf das Datenschutzrecht, doch ist das Konzept der dunklen Muster f\u00fcr das Datenschutzrecht zunehmend von Bedeutung – sowohl in den USA als auch in anderen Rechtsordnungen.<\/span><\/p>\n Der California Privacy Rights Act (CPRA), der am 1. Januar 2023 in Kraft tritt, erw\u00e4hnt dunkle Muster in seiner Zustimmungsdefinition und legt fest, dass „eine durch die Verwendung dunkler Muster erlangte Zustimmung keine Zustimmung darstellt“. <\/span><\/p>\n Das CPRA definiert „dunkle Muster“ als „eine Benutzeroberfl\u00e4che, die so gestaltet oder manipuliert ist, dass sie die Autonomie, die Entscheidungsfindung oder die Wahlm\u00f6glichkeiten des Benutzers untergr\u00e4bt oder beeintr\u00e4chtigt…“.<\/span><\/p>\n Ebenso ist das<\/span> Colorado-Datenschutzgesetz (CPA) <\/span><\/a>das am 1. Juli 2023 in Kraft tritt, verbietet die Verwendung von dunklen Mustern unter Verwendung derselben Definition wie im CPRA.<\/span><\/p>\n Dunkle Muster werden weder in der Datenschutz-Grundverordnung noch in der Datenschutzrichtlinie f\u00fcr elektronische Kommunikation, die die Verwendung von Cookies regelt, ausdr\u00fccklich erw\u00e4hnt.<\/span><\/p>\n Die Definition der DSGVO f\u00fcr die Einwilligung – die verlangt, dass die Einwilligung „freiwillig“, „spezifisch“, „in Kenntnis der Sachlage“, „unzweideutig“ und durch eine „klare, best\u00e4tigende Handlung“ erteilt wird – bedeutet jedoch, dass tr\u00fcgerische oder manipulative Designentscheidungen wahrscheinlich illegal sind.<\/span><\/p>\n Der Europ\u00e4ische Datenschutzausschuss (EDPB) hat ebenfalls<\/span> Leitlinien <\/span><\/a>im M\u00e4rz 2022 mit dem Titel „Dark patterns in social media platform interfaces: Wie man sie erkennt und vermeidet“.<\/span><\/p>\n In den EDPB-Leitlinien werden 15 Arten von dunklen Mustern beschrieben, die sich in sieben Kategorien einteilen lassen:<\/span><\/p>\n <\/p>\n Die Datenschutzkampagnengruppe noyb hat einen<\/span> einen umfassenden Angriff auf dunkle Muster <\/span><\/a>im Jahr 2021. <\/span><\/p>\nDer Hintergrund<\/span><\/h2>\n
\n
\nCOPPA<\/span>
\n<\/a>ein US-amerikanisches Bundesgesetz, das die Online-Erfassung von personenbezogenen Daten von Kindern unter 13 Jahren regelt.<\/span><\/li>\n
\nAbschnitt 5 des FTC-Gesetzes<\/span>
\n<\/a>der „unlautere oder betr\u00fcgerische Handlungen“ im Gesch\u00e4ftsverkehr verbietet.<\/span><\/li>\n<\/ul>\n\n
Datenschutz f\u00fcr Kinder<\/span><\/h2>\n
\nf\u00fcr 170 Millionen Dollar einigte<\/span>
\n<\/a> im Jahr 2019.<\/span><\/p>\n\n
Mitteilung und Zustimmung der Eltern<\/span><\/h3>\n
Elterliche Zustimmung gem\u00e4\u00df der GDPR<\/span><\/h4>\n
\n
\n405 Millionen Euro Geldstrafe gegen Instagram<\/span>
\n<\/a> durch die irische Datenschutzkommission (DPC).<\/span><\/p>\nStandardeinstellungen<\/span><\/h3>\n
Datenschutz durch Design und Standard im EU-Recht<\/span><\/h4>\n
\u00dcberpr\u00fcfungs- und L\u00f6schungsantr\u00e4ge<\/span><\/h3>\n
\n
Identit\u00e4ts\u00fcberpr\u00fcfung nach EU-Recht<\/span><\/h4>\n
Dunkle Muster<\/span><\/h2>\n
\n
Dunkle Muster im US-Datenschutzrecht<\/span><\/h3>\n
Dunkle Muster im EU-Datenschutzrecht<\/span><\/h3>\n
\n
\n
\n
\n
\n
\n
\n