Die Irische Datenschutzbehörde, die Data Protection Commission (DPC), hat am 1. September 2023 eine 125-seitige Entscheidung betr. Tik Tok gefällt, die mehrere Verstösse feststellte und entsprechend eine Busse von EUR 345 Mio. verhängte (Medienmitteilung). Die DPC stellt die Untersuchung wie folgt dar:
Die DPC als Leitbehörde hatte am 14. September 2021 eine Untersuchung von TikToks Datenbearbeitungen eingeleitet. In der Folge wurden die weiteren Aufsichtsbehörden nach Art. 60 Abs. 3 DSGVO konsultiert. Einwände der italienischen und der Berliner Behörde konnten nicht einvernehmlich geregelt werden, weshalb der EDSA nach Artikel 65 Abs. 1 lit. a DSGVO eingeschaltet wurde. Am 2. August 2023 hatte der EDSA verbindlich entschieden. Die vorliegende Entscheidung der DPC basiert in Teilen auf dieser Entscheidung des EDSA.
Gegenstand der Untersuchung war die Bearbeitung von Personendaten von als Nutzer registrierter Personen zwischen 13 und 17 Jahren in der Zeit zwischen dem 31. Juli und dem 31. Dezember 2020 (TikTok steht Personen über 13 Jahren offen, und “Kind” bedeutet nach dem Data Protection Act 2018 (i.V.m. Art. 8 Abs. 1 DSGVO) eine Person unter 18 Jahren).
Die DPC erkannte mehrere Verstösse von TikTok gegen die DSGVO:
- Inhalte waren auch für Kinder standardmässig auf “öffentlich” gesetzt. Alle Personen, auch nicht bei TikTok registriert, konnten entsprechende Inhalte sehen. Hier fehlten angemessene technischen und organisatorische Massnahmen, um sicherzustellen, dass standardmässig nur notwendingen Daten bearbeitet wurden. Dies verstiess gegen Privacy by Design und das Prinzip der Datenminimierung und führte zu erheblichen Risiken für die betroffenen Kinder. TikTok hatte zudem versäumt, die entsprechenden Risiken einzuschätzen.
- Mit einer sog. “Familienverknüpfung” konnten Dritte – bspw. Eltern – ihr Konto mit jenem des Kindes verbinden. Danach konnte der Dritte aber auch eine Direktnachrichten-Funktion für Kinder über 16 aktivieren. Dies stellt ebenfalls eine Verletzung angemessener technischer und organisatorischer Massnahmen dar, weil kein Grund ersichtlich war, weshalb der Dritte nicht nur strengere, sondern auch weniger strenge Datenschutzeinstellungen vornehmen konnte.
- TikTok hatte zwar Massnahmen getroffen, um eine Registrierung von Kindern unter 13 zu verhindern. Das Risiko, dass Kinder unter 13 dennoch Zugang zur Plattform erhielten, war aber nie strukturiert eingeschätzt worden. Eine Datenschutz-Folgenabschätzung lag zwar vor, aber dieses Risiko war ausser Acht gelassen worden.
- TikTok hatte die Informationspflicht verletzt. Zwar informierte TikTok, dass bei einer öffentlichen Kontoeinstellung Dritte Zugang zu den Inhalten erhielten (“public”, “everyone”, “anyone”). Dass dies aber nicht nur für andere registrierte Nutzer galt, sondern auch jeder Internetnutzer ausserhalb von TikTok Inhalte einsehen konnte, wurde nicht mitgeteilt (und es wurden zu vage Begriffe wie “may” verwendet). Darin erkannte die DPC sowohl eine Verletzung von Art. 13 f. DSGVO. Demgegenüber war der allgemeine Transparenzgrundsatz nicht verletzt. Im Anschluss an den EDSA versteht die DPC den Transparenzgrundsatz einschränkender:
In the particular circumstances, I do not consider that TTL’s informational deficits constitute an infringement of Article 5(l)(a). This is because, while the infringements of Articles 12(1) and 13(l)(e) GDPR are serious in nature, they are not of such a nature that they extend beyond the confines of those specifie articles and are not sufficiently extensive to amount to an overarching infringement of the transparency principle. Specifically, and having regard to EDPB Binding Decision 01/2021, I do not consider that TTL’s informational déficits are of the nature or extent described in EDPB Binding Decision 1/2021 such that it might be said that there has been an infringement of the Article 5(l)(a) GDPR transparency principle itself.
- Verletzt war aber auch der Fairness-Grundsatz. Grund war “Nudging”: Bei den Kontoeinstellungen konnte der Nutzer zwar die Option “privat” wählen; bei den entsprechenden Einstellungen wurde er aber eingeladen, die Einstellung zu überspringen (“skip”):
Die DPC wies TikTok deshalb an, die entsprechenden Verletzungen in Ordnung zu bringen, soweit TikTok das nicht bereits getan hatte. Die DPC verhängte ferner eine Busse von insgesamt EUR 345 Mio. Dabei hielt die DPC unter anderem fest,
- dass für die meisten Verstösse kein Vorsatz nachweisbar war, mit Ausnahme der Tatsache, dass Konten by default öffentlich waren;
- dass im Anschluss an Erwägungsgrund 150 der kartellrechtliche Unternehmensbegriff massgebend ist für die Bestimmung der Bussenobergrenze (basierend auf dem weltweiten Jahresumsatz). Auszugehen ist von der widerlegbaren Vermutung, dass Konzernunternehmen unter einheitlicher Leitung stehen, soweit eine Konzernobergesellschaft direkt oder indirekt einen bestimmenden Einfluss hat. Nicht erforderlich ist dabei insbesondere, dass die Obergesellschaft eine Verantwortliche ist, d.h. die konkrete Datenbearbeitung bestimmt. Widerlegt würde die Vermutung durch den Nachweiss, dass die Gesellschaft, deren Verstoss zur Diskussion steht, mit “real autonomy” handelt;
- die Höhe der Gesamtbusse ergibt sich aus Bussen für die einzelnen Verstösse. Es ist also nicht nur der schwerste Verstoss zu bestimmen und dessen Busse angemessen zu erhöhen, sondern die Bussen für die Verstösse sind zu addieren.