Ob Homeschooling per Videokonferenz oder ein digitales Meeting mit dem Sportverein: In den vergangenen Monaten sind auch immer mehr Kinder zum ersten Mal online gegangen. Natürlich bleibt es dann nicht nur beim Chat mit der Lehrerin. Die jungen Mediennutzer entdecken bei dieser Gelegenheit auch viele andere Angebote im Netz. Allerdings ist das Internet für Erwachsene konzipiert. Mittlerweile gibt es aber Schutzmechanismen für unter 18-Jährige, wie die DSGVO in Europa. Zu deren Einhaltung hat Großbritannien mit dem neuen Age Appropriate Design Code (AADC) ein Regelwerk für verantwortungsvolles Design erstellt.

In der Praxis bedeutet das, dass Unternehmen das Design ihrer digitalen Lösungen basierend auf dem Schutz der persönlichen Daten von unter 18-Jährigen zu entwickeln haben. Eine Zuwiderhandlung hat Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr zur Folge. Der AADC ist wie die DSGVO selbst extraterritorial und greift daher, sobald ein Unternehmen Daten eines Kindes aus Großbritannien verarbeitet. Das heißt, dass Programmierer, Designer oder Content-Creator schon bei der Entwicklung ihrer Games, digitalen Inhalten sowie Services die moralische, ethische und datenschutzrechtliche Angemessenheit für junge Adressaten beachten müssen. Nur noch das Einverständnis der Eltern einzuholen, reicht nicht länger aus. Aber wie funktioniert die Umsetzung?

Jedes Unternehmen, das eine Website, eine App, ein Connected Device oder einen anderen digitalen Dienst betreibt und Nutzer hat, die noch nicht volljährig sind, oder die Nutzung durch jüngere User nicht ausschließen kann, sollte eine Bewertung der Auswirkungen auf den eigenen Datenschutz (DPIA) durchführen. Dabei ist ein genauer Blick seitens der Betreiber auf die Daten wichtig, die sie sammeln und weiterverarbeiten. Möglicherweise muss eine Anpassung im Design des Produktes erfolgen, um die neuen Richtlinien einzuhalten. Ziel sollte es immer sein, im besten Interesse der Kinder zu handeln. AADC definiert nämlich klar, dass Unternehmen gegen den Beschluss verstoßen, wenn sie Daten nicht im besten Interesse der Kinder nutzen. Unter bestem Interesse sind Faktoren wie das Alter des Kindes, seine psychologische und emotionale Entwicklung sowie sein Wohlbefinden subsummiert.

Ein erster Schritt von Unternehmen ist die Implementierung von Maßnahmen, um eine Bewertung der Altersstruktur der User durchzuführen, die an das Risiko der Datenverarbeitung angepasst ist. Das könnten Altersschranken, aber auch Kontrollen von Identifikationsnachweisen sein. Kann ein Unternehmen das Alter der Nutzer nicht genau feststellen oder will es nicht abfragen, sollte es die Richtlinie so umsetzen, dass sie für alle Benutzer gilt. Nur so kann es sicherstellen, dass es nicht gegen die Bestimmungen verstößt. Aber das stellt auch eine grundsätzliche Herausforderung dar: die Verifizierung des Alters eines Benutzers, ohne zu viele persönliche Informationen abzufragen.

Seit der Veröffentlichung des ersten Entwurfs des AADC im letzten Jahr wurden die Richtlinien zur Nutzung von gesammelten Daten etwas abgeschwächt. Dennoch reguliert der Code strikt, wie Betreiber personenbezogene Daten nutzen können. Im endgültigen Entwurf ist zum Beispiel festgeschrieben, dass Unternehmen einem Kind die Möglichkeit geben müssen, ein Spiel zu pausieren. Dabei darf der Spielfortschritt nicht verloren gehen, auch wenn beispielsweise der Aufbau der Game-Level oder die Mechanismen zur Belohnung eines Spiels darauf ausgelegt sind, die Spielzeit zu verlängern. Verantwortungsvolles Design rät auch von Mechanismen ab, die nur darauf abzielen, das Engagement zu erhöhen, den Umsatz zu steigern oder das Verhalten von Kindern zu manipulieren. Ein vieldiskutiertes Thema in diesem Zusammenhang aus dem Gaming-Bereich sind beispielsweise Lootboxen. Eine Lootbox ist ein Behälter in einem Videospiel, der eine zufällige Auswahl von Gegenständen enthält. Die sind für die Spieler entweder komplett kostenfrei – oder sie müssen in Abstufungen für die Box oder deren Öffnung zahlen. Letzteres wird zunehmend kritisch diskutiert, da das Prinzip ähnlich wie Glücksspiel funktioniert.

Noch wichtiger ist jedoch das Verbot, personenbezogene Daten zu nutzen, um Inhalte zu empfehlen, die nicht dem besten Interesse des Kindes entsprechen. Dabei ist es egal, ob es sich um Werbung oder die Personalisierung von Inhalten handelt. Diese Bestimmung nimmt einflussreiche Empfehlungs-Tools ins Visier, die durch Methoden wie das Nudging versuchen, die Aktivitäten der User auf Social-Media-Plattformen vorantreiben, oder sie dazu ermutigt, ihre Privatsphäreeinstellungen zu senken. Die Einstellungen der Privatsphäre muss bei Kindern immer auf „maximal“ stehen.

Sollten die Risiken, denen Kinder auf der Plattform eines Unternehmens ausgesetzt sind, hoch sein, dann muss die Sicherheit von Kindern oberste Priorität haben. Sagen Betreiber digitaler Produkte in den eigenen Richtlinien zum Beispiel, dass sie Mobbing nicht dulden, dann müssen sie Mechanismen installieren, um sicherzustellen, dass das auch in der Praxis so ist. Der Initiator des Age Appropriate Design Code, das Information Commissioner’s Office (ICO), rechtfertigt seine Zuständigkeit hier auf der Basis des Begriffs „Fairness“. Das ICO erklärt, dass Unternehmen, die Datenschutzstandards nicht einhalten, keinen fairen Service bieten und damit selbst nicht „fair“ sind, was wiederum gegen die DSGVO verstößt.

Die Richtlinie der Datenminimierung soll der nicht unbedingt notwendigen Nutzung von Daten von Kindern vorbeugen. So schreibt das ICO fest, dass das pauschale Einverständnis zur Datenverarbeitung nicht akzeptabel ist: „Kinder sollten so viel Entscheidungsfreiheit wie möglich darüber haben, welche Elemente eines Onlineprodukts oder -dienstes sie nutzen wollen und damit auch, wie viele personenbezogene Daten sie zur Verfügung stellen wollen.“ Das bedeutet im Umkehrschluss, dass Unternehmen jede Funktion der Website oder des Dienstes unabhängig voneinander betrachten müssen. Nur so können sie genau festlegen, auf welcher Grundlage sie personenbezogene Daten von Kindern sammeln dürfen und auf welcher nicht.

Der britische Age Appropriate Design Code soll ab September 2021 in Kraft treten. Während sich Entwickler, Marken und Web-Publisher auf den Stichtag im Spätsommer vorbereiten, treten bereits andere europäische Regulierungsbehörden in die Fußstapfen des ICO und sind im Begriff, ihre eigenen Standards oder Richtlinien zum Datenschutz von Kindern einzuführen. Beispiele sind Irland, die Niederlande und Frankreich. Es ist also auch für Unternehmen und Marken ohne Bezug zu Großbritannien wichtig, sich jetzt damit auseinanderzusetzen und das Design ihrer Produkte anzupassen sowie dieses Thema gleich von vornherein mitzudenken. Denn Kinder sind mittlerweile fester Bestandteil des Internets und benötigen mehr als alle anderen eine sichere und datenschutzkonforme Onlineerfahrung.