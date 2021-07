Das vor allem bei Kindern und Jugendlichen beliebte soziale Netzwerk TikTok und der französische Versicherungskonzern AG2R La Mondiale sehen sich in Europa mit Sanktionen wegen Datenschutzverstößen konfrontiert. Die niederländische Aufsichtsbehörde, die Autoriteit Persoonsgegevens (AP), hat ein Bußgeld in Höhe von 750.000 Euro gegen den Betreiber der Video-App verhängt, die zum chinesischen Konzern ByteDance gehört. AG2R La Mondiale muss in Frankreich 1,75 Millionen Euro zahlen.

TikToks Datenschutzerklärung nur auf Englisch

Die AP wirft TikTok vor, die Privatsphäre vor allem von Kindern verletzt zu haben. Die Informationen, die niederländische Nutzer bei der Installation und Nutzung der App erhielten, seien lange Zeit nur auf Englisch und daher schwer verständlich gewesen. Indem der Betreiber seine Datenschutzerklärung nicht auf Niederländisch angeboten habe, sei gerade den zahlreichen jüngeren Anwendern nicht ausreichend klar geworden, "wie die App personenbezogene Daten erhebt, verarbeitet und weiter nutzt". Dies sei unvereinbar mit der Datenschutzgesetzgebung.

Gestartet hatten die niederländischen Kontrolleure ihre Untersuchung im vorigen Jahr, da sie Bedenken hatten, dass TikTok die Privatsphäre der besonders geschützten Gruppe der Kinder nicht hinreichend schütze. Damals hatte das Unternehmen noch keinen Hauptsitz in der EU angemeldet. Daher war es Aufsichtsbehörden in allen Mitgliedsstaaten möglich, die Praktiken von TikTok unter die Lupe zu nehmen.

Fehlende Altersverifikation

Inzwischen hat der App-Anbieter angegeben, sich dauerhaft in Irland niedergelassen zu haben. Hauptsächlich für ihn zuständig ist so die irische Data Protection Commission (DPC), die allerdings bereits mit vielen anderen Internetgrößen wie Google, Facebook und Twitter in ihrem Aufgabengebiet als schwer beschäftigt gilt. Die AP war daher nur noch befugt, über die Datenschutzerklärung zu entscheiden, da TikTok hier mittlerweile nachgebessert hatte und der Fall damit geschlossen war.

Die weiteren Ergebnisse der Untersuchung würden nun an die DPC übermittelt, kündigte AP-Vizepräsidentin Monique Verdier an. Es liege dann an dieser, ein endgültiges Urteil über sämtliche ins Spiel gebrachten Datenschutzverletzungen zu fällen. Ein heikler Punkt bleibe etwa, dass es für Kinder immer noch möglich sei, bei der Registrierung ein höheres Alter einzutragen, sich damit als älter auszugeben und mehr Risiken einzugehen.

Mobbing und Cyber-Grooming

Es gebe auch Menschen mit bösen Absichten auf TikTok, betonte Verdier. "Sie verwenden die Aufnahmen für eine unerwünschte Verbreitung, Mobbing oder Cyber-Grooming". TikTok habe zwar verschiedene Änderungen versprochen und umgesetzt, um die App für Nutzer unter 16 Jahren sicherer zu machen. Eltern können die Privatsphäre-Einstellungen der Konten ihrer Kinder etwa nun von ihren eigenen Smartphones aus verwalten. Dies reiche aber noch nicht. Die italienische Datenschutzbehörde hatte im Januar bereits verfügt, dass TikTok keine Daten mehr von europäischen Nutzern verarbeiten darf, "deren Alter nicht mit voller Sicherheit festgestellt werden konnte".

TikTok hat laut der AP Einspruch gegen den Bußgeldbescheid eingelegt. Das Unternehmen verweist darauf, dass die Datenschutzerklärung und eine besonders leicht verständliche, gekürzte Version für jüngere Anwender bereits seit Juli 2020 auf Niederländisch zur Verfügung stünden. Insgesamt haben in Holland 3,5 Millionen Nutzer von Mobiltelefonen die App installiert.

Versicherer verstößt mehrfach gegen den Datenschutz

Die französische Aufsichtsbehörde CNIL begründet ihre Millionenstrafe für AG2R La Mondiale damit, dass der vor allem im Bereich Altersvorsorge, Renten- und Krankenversicherung tätige Konzern die Daten von Millionen von Personen "über einen übermäßig langen Zeitraum aufbewahrt" sowie Informationspflichten bei Telefon-Marketingkampagnen nicht nachgekommen sei. Das Unternehmen habe die monierten Praktiken inzwischen abgestellt.

AG2R La Mondiale hatte laut der CNIL in seinen Kundendatenbanken keine Löschfristen implementiert. Der im Sportsponsoring sehr aktive Konzern habe teils sensible Informationen aus den Bereichen Gesundheit und Finanzen von mehr als zwei Millionen Kunden über das Vertragsende hinaus gespeichert. Zudem seien Daten von knapp 2000 Interessenten archiviert worden, obwohl diese seit mehr als drei bis fünf Jahren keinen Kontakt mehr zu dem Unternehmen gehabt hätten.

Die CNIL wirft dem Versicherer ferner vor, es seien Telefongespräche von Subunternehmern mitgeschnitten worden, ohne dass die kontaktierte Person über das Prinzip der Aufzeichnung oder über ihr Einspruchsrecht im Sinne der Datenschutz-Grundverordnung (DSGVO) aufgeklärt worden sei. Wegen ähnlicher Verstöße hatten die französischen Kontrolleure zuvor bereits den Handelsriesen Carrefour und den Schuhversand Spartoo sanktioniert.

