Instagram: Irische Aufsichtsbehörde prüft Umgang mit Daten von Kindern

Die irische Datenschutzaufsicht reagiert auf Vorwürfe, wonach die Facebook-Tochter Instagram E-Mail-Adressen und Telefonnummern Minderjähriger veröffentlicht.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge

(Bild: Ink Drop/Shutterstock.com)

Von
  • Stefan Krempl

Instagram ist nach Beschwerden, personenbezogene Daten von Kindern und Jugendlichen nicht hinreichend zu schützen, erneut ins Visier der irischen Data Protection Commission (DPC) geraten. Die in Dublin sitzende Aufsichtsbehörde hat am Montag mitgeteilt, bereits im September zwei Verfahren gegen Facebook als Konzernmutter von Instagram eingeleitet zu haben. Sie prüft demnach, ob der Betreiber des sozialen Netzwerks beim Verarbeiten von Informationen von Minderjährigen rechtliche Grundlagen wie die Datenschutz-Grundverordnung (DSGVO) befolgt.

Die DPC hat nach eigenen Angaben anhand bei ihr eingegangener Beschwerden "potenzielle Bedenken", dass in diesem Bereich bei Instagram nicht alles mit rechten Dingen zugeht. Sie prüft nun im ersten Fall genauer, ob sich Facebook bei der Handhabe der sensiblen Daten auf Instagram prinzipiell auf passende Rechtsgrundlagen stützt.

Zugleich will die DPC untersuchen, ob für Kinder angemessene Schutzvorkehrungen beziehungsweise Einschränkungen auf dem sozialen Netzwerk bestehen. Unter die Lupe nehmen wollen die Kontrolleure auch, ob Facebook Auflagen rund um Transparenzanforderungen nachkommt, wenn der Konzern Instagram für Kinder bereitstellt.

Mit dem zweiten Fall wird sich die Behörde ihrem Plan zufolge auf die Profil- und Kontoeinstellungen von Instagram konzentrieren und analysieren, ob diese für Kinder angemessen sind. In diesem Rahmen werde man prüfen, ob Facebook die Anforderungen der DSGVO für " Privacy by Design and Default" berücksichtige, also den Datenschutz bereits in die Technik integriere und voreinstelle. Dabei werde es auch um die Frage gehen, ob der Konzern in diesem Bereich seiner Verantwortung gegenüber Kindern als besonders gefährdeten Personen nachkomme.

Berichten zufolge geht die Untersuchung auf eine Beschwerde des US-Datenwissenschaftlers David Stier zurück. Der Experte hatte voriges Jahr Profile von fast 200.000 Instagram-Nutzern auf der ganzen Welt analysiert. Er geht davon aus, dass über ein Jahr lang mindestens 60 Millionen Nutzer unter 18 Jahren die Möglichkeit hatten, ihre Profile problemlos in Geschäftskonten umzuwandeln. Bei diesen Accounts müssen die Mitglieder ihre Telefonnummern und E-Mail-Adressen öffentlich anzeigen. Sie sind damit zumindest für andere Instagram-Nutzer direkt sichtbar.

Dieselben persönlichen Daten waren laut Stier auch im HTML-Quellcode von Webseiten enthalten, wenn Instagram-Mitglieder über ihre Rechner auf diese zugriffen. Hacker hätten sie demnach per "Scraping" vergleichsweise einfach abgreifen können. Stier gab zudem zu bedenken, dass es Angreifern gelungen sein könnte, persönliche Informationen von Instagram zu stehlen: im Mai 2019 war bekannt geworden, dass die Kontaktdaten von 49 Millionen Nutzern online in einer unbewachten Datenbank gespeichert waren, die einer Firma in Indien gehörte.

Der Forscher konfrontierte Facebook mit seinen Ergebnissen. Instagram habe sich aber geweigert, die E-Mail-Adressen und Telefonnummern für Geschäftskonten zu verschleiern, schrieb er im Anschluss. Die Kontaktinformationen seien aber zumindest aus dem Quellcode der Instagram-Seiten verschwunden.

Eine Facebook-Sprecherin erklärte gegenüber der BBC, dass Stier die Richtlinien und die Handhabe der Systeme falsch verstanden habe. Wer ein Geschäftskonto auf Instagram einrichte, müsse Kontaktinformationen angeben, die grundsätzlich auch öffentlich angezeigt würden. Entsprechende Nutzer könnten die Preisgabe dieser Daten inzwischen aber steuern. Man kooperiere mit der DPC, halte die Anschuldigungen aber nicht für angebracht.

Die DPC entscheidet über Datenschutzverletzungen vieler US-Internetkonzerne wie Facebook, da diese ihren europäischen Hauptsitz in Irland haben. Sie gilt aber als chronisch unterbesetzt und kommt in den von ihr eingeleiteten Verfahren nur langsam voran. Zuletzt verkündete die Behörde im Mai Fortschritte in Untersuchungen ebenfalls gegen Facebook beziehungsweise WhatsApp und Twitter. 2021 erhält die DPC zwar 2,2 Millionen mehr Budget. Laut Berichten hatte sie aber ein Plus von knapp sechs Millionen Euro gefordert.

(mho)