Am 20. Dezember 2022 kündigte die US-amerikanische Federal Trade Commission (FTC) zwei Vergleiche in Höhe von insgesamt 520 Millionen Dollar mit Epic Games, dem Unternehmen hinter dem Spiel Fortnite, an.
Die FTC beschuldigte Epic, gegen den Children’s Online Privacy Protection Act (COPPA) zu verstoßen und „dunkle Muster“ (manipulatives Design) zu verwenden, um Millionen von Spielern zu „ungewollten Käufen“ zu verleiten.
Der Fall bietet wertvolle Einblicke in einige der wichtigsten aktuellen Themen des Datenschutzes – sowohl in den USA als auch in Europa – einschließlich des Datenschutzes von Kindern, des Datenschutzes durch Design und dunkler Muster (wenn auch im Kontext des Verbraucherrechts).
Die Einigung zeigt wohl auch, wie die europäischen Datenschutzgrundsätze das Datenschutzrecht in den USA beeinflussen.
Der Hintergrund
Es gibt zwei separate FTC-Beschwerden hinter dem Vergleich von Epic, in denen behauptet wird, dass Epic:
- Verletzt
COPPA
ein US-amerikanisches Bundesgesetz, das die Online-Erfassung von personenbezogenen Daten von Kindern unter 13 Jahren regelt. - Verletzt
Abschnitt 5 des FTC-Gesetzes
der „unlautere oder betrügerische Handlungen“ im Geschäftsverkehr verbietet.
Im Einzelnen behauptete die FTC, dass Epic:
- Personenbezogene Daten von Fortnite-Spielern unter 13 Jahren gesammelt hat, ohne ihre Eltern ordnungsgemäß zu informieren oder die Zustimmung der Eltern einzuholen.
- unangemessene Hürden aufstellten, wenn Eltern die Löschung der personenbezogenen Daten ihrer Kinder verlangten (und manchmal den Anträgen nicht nachkamen).
- Standardmäßig ist der Echtzeit-Sprach- und Text-Chat für Kinder und Jugendliche aktiviert.
- Sie nutzten „dunkle Muster“ und trügerische Schnittstellen, um Spieler, darunter auch Kinder und Jugendliche, zum Kauf zu verleiten.
- Verbrauchern Gegenstände im Spiel in Rechnung gestellt, ohne die Kaufbedingungen klar darzulegen.
- Es wurde versäumt, darauf hinzuweisen, dass sich einige Gegenstände im Spiel automatisch erneuern, was zu unerwarteten Kosten führt.
- Die Spieler wurden nicht ordnungsgemäß darüber informiert, dass sie mit dem In-App-Zahlungssystem ihres Mobilgeräts Einkäufe tätigen konnten, was zu unerwarteten Kosten führte.
- Täuschende Praktiken, um Spieler zu Käufen im Spiel zu verleiten, wie z. B. die Verwendung einer verwirrenden Sprache, das Verstecken bestimmter Informationen und die Erschwerung der Stornierung von Käufen.
Datenschutz für Kinder
Mit 275 Millionen Dollar ist der COPPA-Vergleich von Epic der größte in der Geschichte – und übertrifft damit den bisherigen Rekordhalter YouTube, der
für 170 Millionen Dollar einigte
im Jahr 2019.
Zum ersten Mal in einem COPPA-Vergleich forderte die FTC Epic auch auf, „starke Standardeinstellungen für den Datenschutz“ für Kinder und Jugendliche einzuführen (obwohl COPPA nicht für Jugendliche gilt).
COPPA gilt für Unternehmen, die Websites und Apps betreiben, wenn sie ihre Dienste an Kinder unter 13 Jahren richten oder „tatsächliche Kenntnis“ davon haben, dass einige ihrer Nutzer Kinder sind.
Unter Bezugnahme auf mehrere Quellen, darunter Marketingmaterialien von Epic, interne Diskussionen und die (angeblich widerwillige) Verwendung von Microsofts Altersverifizierungsdaten, stellt die FTC fest, dass Epic mit Fortnite gezielt Kinder unter 13 Jahren anspricht – womit das Unternehmen in den Anwendungsbereich des COPPA fällt.
COPPA stellt fünf Hauptanforderungen an die betroffenen Unternehmen:
- Veröffentlichung einer klaren und umfassenden Datenschutzrichtlinie.
- Klare und umfassende Information der Eltern über ihre Datenerhebungspraktiken.
- Einholung einer überprüfbaren elterlichen Zustimmung, bevor personenbezogene Daten von Kindern erfasst, verwendet oder weitergegeben werden.
- Bereitstellung einer angemessenen Möglichkeit für Eltern, Zugang zu den von ihren Kindern online erfassten personenbezogenen Daten zu verlangen.
- Löschung der von Kindern online erfassten personenbezogenen Daten auf Wunsch der Eltern.
In ihrer COPPA-Beschwerde behauptet die FTC, dass Epic mit Ausnahme der ersten dieser Anforderungen gegen alle verstoßen hat.
Mitteilung und Zustimmung der Eltern
Wie bereits erwähnt, verlangt COPPA von den Unternehmen, dass sie die Eltern „klar und umfassend“ über ihre Datenerfassungspraktiken informieren, bevor sie personenbezogene Daten von Kindern unter 13 Jahren erfassen.
Das Gesetz verlangt außerdem, dass Unternehmen eine „überprüfbare elterliche Zustimmung“ einholen, bevor sie personenbezogene Daten von Kindern unter 13 Jahren erfassen.
In ihrer Klage gegen Epic behauptet die FTC, dass Epic zwar einige Eltern benachrichtigt und deren Zustimmung eingeholt hat, andere jedoch nicht.
Die FTC stellt fest, dass Epic 2019 ein neues Altersverifizierungsverfahren eingeführt hat, nachdem es darauf aufmerksam gemacht wurde, dass viele junge Kinder Fortnite spielen.
Wenn ein Spieler mit einer US-amerikanischen IP-Adresse angibt, 12 Jahre oder jünger zu sein, verlangt Epic von diesem Zeitpunkt an, dass er die E-Mail-Adresse eines Elternteils angibt. Das Unternehmen würde dann die Eltern per E-Mail benachrichtigen und um deren Zustimmung bitten.
Die FTC kritisiert jedoch, dass Epic angeblich die Anforderungen des COPPA bezüglich der elterlichen Benachrichtigung und Zustimmung für Kinder mit bestimmten Arten von Konten oder für Kinder, die IP-Adressen außerhalb der USA verwenden, nicht erfüllt hat.
Elterliche Zustimmung gemäß der GDPR
Die Datenschutzgrundverordnung der EU und des Vereinigten Königreichs enthält auch Vorschriften über die Zustimmung der Eltern.
In Europa wie auch in den USA herrscht weitgehend Einigkeit darüber, dass der Schutz der Privatsphäre von Kindern wichtig ist. Weniger Einigkeit besteht jedoch darüber, wie die Datenschutzbestimmungen für Kinder einzuhalten sind, insbesondere was die Überprüfung des Alters einer Person unter Wahrung der Privatsphäre betrifft.
Artikel 8 der DSGVO verlangt von den für die Verarbeitung Verantwortlichen, dass sie eine überprüfbare Einwilligung einholen, bevor sie die Daten von Kindern verarbeiten, wenn der für die Verarbeitung Verantwortliche dies tut:
- Bereitstellung von „Diensten der Informationsgesellschaft“ (was im weitesten Sinne Online-Dienste bedeutet und Fortnite einschließen würde)
- Angebot dieser Dienstleistungen direkt an ein Kind
- Berufung auf die „Einwilligung“ als Rechtsgrundlage für die Verarbeitung
Die Mitgliedstaaten können das Alter eines „Kindes“ festlegen, solange es zwischen 13 und 16 Jahren liegt. Die Gesetze über den Abschluss von Verträgen durch Kinder, die in Europa ebenfalls sehr unterschiedlich sind, können die Verarbeitung von Kinderdaten weiter erschweren.
Mehrere viel beachtete Durchsetzungsentscheidungen betrafen Verstöße gegen die Bestimmungen der Datenschutz-Grundverordnung über Kinderdaten, darunter die jüngste
405 Millionen Euro Geldstrafe gegen Instagram
durch die irische Datenschutzkommission (DPC).
Standardeinstellungen
Ein zentraler Vorwurf in der COPPA-Beschwerde der FTC lautete, dass bestimmte Einstellungen „standardmäßig aktiviert“ waren, darunter auch der Sprachchat.
In der Beschwerde wird eine E-Mail von Epics UX-Designer zitiert, in der das Unternehmen aufgefordert wird, den Voice-Chat zu vermeiden oder zumindest zuzulassen“, da man sich Sorgen über die „Toxizität“ im Spiel macht, die sich auf Kinder auswirkt.
Die FTC stellt fest, dass Fortnite einen Schalter enthält, mit dem „diejenigen, die ihn zufällig gefunden haben“, den Sprachchat ausschalten können.
Die Chatfunktionen blieben jedoch standardmäßig für alle Spieler aktiviert, was Berichten zufolge dazu führte, dass Kinder beim Spielen von Fortnite „schikaniert, bedroht und belästigt wurden, auch sexuell“.
Datenschutz durch Design und Standard im EU-Recht
Der COPPA enthält keine ausdrückliche Vorschrift zum „eingebauten Datenschutz“ oder zur „Datenminimierung“.
In der EU werden solche Regeln durch die Grundsätze der Datenschutz-Grundverordnung („data protection by design“ und „data protection by default“) vorgegeben.
Neben anderen Anforderungen verpflichtet Artikel 25 Absatz 2 der Datenschutz-Grundverordnung die für die Verarbeitung Verantwortlichen, sicherzustellen, dass „personenbezogene Daten nicht standardmäßig einer unbestimmten Zahl natürlicher Personen ohne das Zutun der betroffenen Person zugänglich gemacht werden“.
Die standardmäßige Deaktivierung des Sprachchats – nicht nur für Kinder, sondern für alle Spieler – ist ein Beispiel für eine Möglichkeit, diese Anforderung zu erfüllen.
Überprüfungs- und Löschungsanträge
COPPA verlangt, dass die betroffenen Unternehmen den Eltern die Möglichkeit geben, die persönlichen Daten ihrer Kinder zu überprüfen oder zu löschen.
Die FTC wirft Epic vor, dass einige Eltern bei der Beantragung solcher Leistungen „außergewöhnliche Hürden“ überwinden mussten. Dazu gehörte, dass die Eltern eine übermäßige Menge an Verifizierungsdaten angeben mussten, wie zum Beispiel:
- Alle IP-Adressen, von denen aus ihr Kind Fortnite gespielt hat
- Datum der Kontoeröffnung des Kindes
- Eine Kopie des Reisepasses, des Personalausweises oder des Hypothekenausweises der Eltern
- Informationen über frühere Käufe, die über das Konto getätigt wurden
Die FTC unterstellt, dass das Verfahren der elterlichen Überprüfung absichtlich so gestaltet wurde, um Eltern davon abzuhalten, die persönlichen Daten ihrer Kinder zu überprüfen oder zu löschen.
Identitätsüberprüfung nach EU-Recht
Die Frage der Rechte der Eltern in Bezug auf personenbezogene Daten über ihre Kinder ist unter der DSGVO differenzierter als unter COPPA.
Wie im Rahmen von COPPA müssen die für die Verarbeitung Verantwortlichen jedoch auch nach der DSGVO die Identität einer Person (oder gegebenenfalls die Identität der Eltern eines Kindes) überprüfen, bevor sie einem Antrag auf Zugang, Löschung oder Änderung personenbezogener Daten nachkommen.
Die Bemühungen zur Identifizierung einer Person, die ihre Datenschutzrechte wahrnimmt, müssen verhältnismäßig sein. Es gilt der Grundsatz der Datenminimierung. Die für die Verarbeitung Verantwortlichen sollten nicht mehr personenbezogene Daten erheben, als für die Überprüfung der Identität einer Person erforderlich sind.
Dies kann jedoch ein heikler Bereich sein, und nicht alle für die Verarbeitung Verantwortlichen halten Datenminimierung und Überprüfung in einem angemessenen Verhältnis.
Zum Beispiel, in einer Entscheidung gegen das Schmuckunternehmen Pandora stellte die dänische Datenschutzbehörde (DPA) fest, dass die Praxis des Unternehmens, systematisch einen Reisepass oder Führerschein zu verlangen, bevor die Rechte der betroffenen Personen gewährt werden, gegen den Grundsatz der Datenminimierung verstößt.
Dunkle Muster
In der zweiten Beschwerde der FTC gegen Epic wird dem Unternehmen vorgeworfen, „dunkle Muster“ zu verwenden, um Spieler zu unerwünschten Käufen zu verleiten.
Einige Beispiele für die von Epic verwendeten „Designtricks“ sind:
- Die Schaltfläche „Kauf abbrechen“ im Fortnite-Store wird absichtlich nicht so deutlich hervorgehoben.
- Nutzer müssen einen schwierigen und langwierigen Weg finden und navigieren“, um in der Fortnite-App eine Erstattung zu beantragen.
- Benutzer werden gezwungen, „mehrere unnötige Schritte“ zu durchlaufen, um eine Rückerstattung zu erhalten (von Epics eigenem UX-Designer als „Reibung um der Reibung willen“ bezeichnet).
Dunkle Muster im US-Datenschutzrecht
Zwar beziehen sich die „dunklen Muster“ eher auf das Verbraucherschutzrecht als auf das Datenschutzrecht, doch ist das Konzept der dunklen Muster für das Datenschutzrecht zunehmend von Bedeutung – sowohl in den USA als auch in anderen Rechtsordnungen.
Der California Privacy Rights Act (CPRA), der am 1. Januar 2023 in Kraft tritt, erwähnt dunkle Muster in seiner Zustimmungsdefinition und legt fest, dass „eine durch die Verwendung dunkler Muster erlangte Zustimmung keine Zustimmung darstellt“.
Das CPRA definiert „dunkle Muster“ als „eine Benutzeroberfläche, die so gestaltet oder manipuliert ist, dass sie die Autonomie, die Entscheidungsfindung oder die Wahlmöglichkeiten des Benutzers untergräbt oder beeinträchtigt…“.
Ebenso ist das Colorado-Datenschutzgesetz (CPA) das am 1. Juli 2023 in Kraft tritt, verbietet die Verwendung von dunklen Mustern unter Verwendung derselben Definition wie im CPRA.
Dunkle Muster im EU-Datenschutzrecht
Dunkle Muster werden weder in der Datenschutz-Grundverordnung noch in der Datenschutzrichtlinie für elektronische Kommunikation, die die Verwendung von Cookies regelt, ausdrücklich erwähnt.
Die Definition der DSGVO für die Einwilligung – die verlangt, dass die Einwilligung „freiwillig“, „spezifisch“, „in Kenntnis der Sachlage“, „unzweideutig“ und durch eine „klare, bestätigende Handlung“ erteilt wird – bedeutet jedoch, dass trügerische oder manipulative Designentscheidungen wahrscheinlich illegal sind.
Der Europäische Datenschutzausschuss (EDPB) hat ebenfalls Leitlinien im März 2022 mit dem Titel „Dark patterns in social media platform interfaces: Wie man sie erkennt und vermeidet“.
In den EDPB-Leitlinien werden 15 Arten von dunklen Mustern beschrieben, die sich in sieben Kategorien einteilen lassen:
- Überlastung
- Kontinuierliche Eingabeaufforderung
- Irrgarten der Privatsphäre
- Zu viele Optionen
- Überspringen
- Trügerische Gemütlichkeit
- „Schau mal da drüben“
- Rühren
- Emotionale Steuerung
- Versteckt in der Öffentlichkeit
- Hinderlich
- Sackgasse
- Länger als nötig
- Irreführende Informationen
- Wankelmütig
- Fehlende Hierarchie
- Dekontextualisierung
- Im Dunkeln gelassen
- Sprachliche Diskontinuität
- Widersprüchliche Informationen
- Zweideutige Formulierungen oder Informationen
Die Datenschutzkampagnengruppe noyb hat einen einen umfassenden Angriff auf dunkle Muster im Jahr 2021.
Noyb hat zunächst 516 Unternehmen angeschrieben, die angeblich ein manipulatives Design in ihren Cookie-Bannern verwenden. Die Gruppe reichte daraufhin 422 Beschwerden bei den Datenschutzbehörden gegen Unternehmen ein, die es angeblich versäumt hatten, ihre Websites mit der DSGVO in Einklang zu bringen.
Viele Entscheidungen der Datenschutzbehörde haben sich auch auf das Konzept der dunklen Muster bezogen, darunter die Geldbußen der französischen Datenschutzbehörde gegen Google (150 Mio. €) und Facebook (60 Mio. €), weil sie ihre Cookie-Banner so eingesetzt hatten, dass es schwieriger war, Cookies abzulehnen als sie zu akzeptieren.
Datenschutz in den USA und in der EU
Nach jahrzehntelanger laxer Regulierung scheint es den USA mit dem Datenschutz ernst zu sein.
Neue Gesetze der US-Bundesstaaten setzen europäische Konzepte, Formulierungen und Definitionen um. Die US-Bundesgesetzgebung ist der Verabschiedung umfassender Datenschutzgesetze näher denn je, da dieAmerikanisches Gesetz zum Schutz der Privatsphäre und der Daten (ADPPA).
Die Einigung der FTC mit Epic in Verbindung mit der Einigung des kalifornischen GeneralstaatsanwaltsDatenschutzvergleich mit Sephora zu Beginn desselben Jahres deutet darauf hin, dass die US-Regulierungsbehörden zunehmend bereit sind, Unternehmen für Datenschutzverletzungen zur Rechenschaft zu ziehen.
Bemerkenswert ist auch, dass Epic im Rahmen der Einigung mit der FTC zugestimmt hat, über die Anforderungen des COPPA (das im Wesentlichen ein einfaches Gesetz für „Benachrichtigung und Zustimmung“ ist) hinauszugehen, indem es die Grundsätze des „eingebauten Datenschutzes“ auf Kinder anwendet
und
Teenager.
Der weitreichende Charakter des Epic-Vergleichs ist wohl ein weiterer Beweis dafür, dass die europäischen Datenschutzgrundsätze die Politik und Praxis in den USA beeinflussen.