Nach dem Tod eines 10-Jährigen Mädchens, das an einer umstrittenen TikTok-Challenge teilgenommen haben soll, fordert die italienische Datenschutzbehörde TikTok am Freitagabend auf, die Datenverarbeitung von Nutzer:innen mit sofortiger Wirkung einzustellen, deren Alter nicht „mit Sicherheit“ festgestellt werden kann. Die Regelung gelte zunächst bis zum 15. Februar, dann wolle man anhand der Rückmeldung von TikTok weiter entscheiden. TikTok gibt an, das Schreiben zu prüfen. „Privatsphäre und Sicherheit haben für TikTok oberste Priorität“, zitierte die Nachrichtenagentur Ansa am Samstag eine Stellungnahme des Unternehmens.
In einer engen Auslegung heißt das, dass TikTok die Konten aller Nutzer:innen im Alter unter 13 Jahren in Italien sofort sperren müsste. In der Praxis könnte die Anordnung aber auf eine Komplett-Sperre hinauslaufen. Denn TikTok schreibt zwar für Nutzer:innen ein Mindestalter von 13 Jahren vor. Doch die Plattform überprüft das Alter bei der Anmeldung nicht. Sie verlässt sich auf eine Selbstauskunft. Somit kann TikTok für keinen einzigen Nutzer das Alter mit Sicherheit feststellen.
Die Zehnjährige aus Palermo hatte sich am Mittwoch im Badezimmer eingeschlossen und dabei gefilmt, wie sie sich mit einem Gürtel die Luft abschnürt, berichteten Medien. Sie soll an der so genannten „Blackout Challenge“ teilgenommen haben, einer Mutprobe auf TikTok. Die Teilnehmer:innen würgen sich selbst und filmen sich dabei, um die Videos anschließend zu teilen. Sie wurde sofort in ein Kinderkrankenhaus gebracht, dort stellten Ärzt:innen den Hirntod fest, teilte eine Sprecherin des Krankenhauses mit. Die Staatsanwaltschaft ermittelt nun.
Verfahren gegen TikTok läuft seit Dezember
Die Behörde in Rom hatte bereits im Dezember ein Verfahren gegen TikTok eingeleitet, in der es die Rechtmäßigkeit der Verarbeitung personenbezogener Daten von Minderjährigen anzweifelt, und einen Fragenkatalog übermittelt, den TikTok bislang nicht beantwortet hat. Laut der Behörde hat das Unternehmen um einen Aufschub über die Feiertage und wegen der Corona-Pandemie gebeten. Bis zum 29. Januar sollen die Antworten vorliegen.
Auch in weiteren EU-Ländern laufen bereits Verfahren gegen TikTok, unter anderem prüfen die Datenschutzbehörden in Dänemark und den Niederlanden, ob die Plattform genug tut, um die Daten von Kindern zu schützen. Die Europäische Datenschutzbehörde hat eine Task Force eingerichtet, um sich einen Überblick zu verschaffen.
Kompliziert wird die Sache, weil TikTok laut eigener Aussage seine Hauptniederlassung in der EU seit dem vergangenen Sommer in Irland hat. Nach den Datenschutzregeln fällt die Firma damit in die Zuständigkeit der irischen Datenschutzbehörde, alle anderen Behörden müssten ihre Verfahren dorthin übergeben. Die chronisch überlastete Behörde in Dublin wehrte sich zunächst gegen die Aufsicht. Inzwischen hat sie die Niederlassung von TikTok jedoch anerkannt, bestätigt sie per Email an netzpolitik.org.
Kinder wurden nicht gesperrt
TikTok ist das Problem von Kinderdatenschutz auf der Plattform lange bekannt. Die Plattform arbeitet an Möglichkeiten, um die App für seine teils sehr jungen Nutzer:innen sicher zu gestalten, unter anderem führte es im vergangenen Jahr einen „begleiteten Modus“ ein, mit dem Eltern mehr Kontrolle über die Accounts ihrer Kinder bekommen.
Das Grundproblem bleibt aber: Die Sicherheitsmaßnahmen können selbst von Kindern leicht umgangen werden. Wenn eine 12-Jährige Nutzerin sich selbst bei der Anmeldung als 18 ausgibt, greifen die Kontrollen nicht.
Die Bedenken der Datenschützer werden auch von Informationen gestützt, die über Whistleblower bekannt wurden. So hat TikTok in der Vergangenheit seine Moderator:innen angewiesen, Nutzer:innen dem Augenschein nach in verschiedene Altersgruppen einzuordnen. Das berichten zwei unabhängige Quellen gegenüber netzpolitik.org, die Einblick in die internen Moderationsregeln von TikTok in der EU hatten. Die Regeln wurden mindestens bis Ende 2019 angewandt.
Die Accounts von Nutzer:innen, die mutmaßlich jünger als 13 Jahre waren und damit nach den Regeln von TikTok gar nicht auf der Plattform hätten sein dürfen, sollen demnach nicht gesperrt werden. Das Unternehmen wurde auch nicht aktiv, um das Alter zu überprüfen. Ihre Videos sollten lediglich in der Reichweite eingeschränkt werden.
Das steht nicht nur im Widerspruch zu TikToks offiziellen Nutzungsregeln und der Botschaft des Unternehmens an Eltern. Es ist auch ein Verstoß gegen die Datenschutzregeln der Europäischen Union. Laut diesen brauchen Kinder unter 16 Jahren die Zustimmung ihrer Eltern, wenn sie Apps wie TikTok nutzen wollen, die ihre Daten verarbeiten. Diese Einwilligung muss vorher schriftlich vorliegen. In einigen Ländern liegt das Alter für die Einwilligung niedriger.
Laut der italienischen Datenschutzgesetzgebung ist das vorgesehene Alter 14 Jahre. Die Zehnjährige, die in Palermo starb, nachdem sie sich mit einem Bademantelgürtel selbst erwürgte, hätte demnach nicht auf der Plattform sein dürfen.
Wo genau liegt hier eigentlich das Problem?
Ist es so, dass Kinder durch TikTok in Kontakt mit zu vielen Leuten geraten, bei denen dann auch irgendwelche Idioten sind, die solche Challenges ins Leben rufen?
Dumme Mutproben gab es auch früher schon und auch immer wieder tragische Unfälle. Die Frage ist, verbreitet sich soetwas durch TikTok mehr und gibt es mehr Menschen, die sich daran beteiligen? Ich kann mir auch vorstellen, dass so ein tragischer Fall zu mehr Bewusstsein bei Kindern führt.
Die Annahme, dass man durch technische Maßnahmen erreicht, dass Eltern mehr dafür sorgen, dass die Kinder keinen Blödsinn machen, finde ich irgendwie abwegig. Also was unterscheidet einen technischen „begleiteten Modus“ von einem realen?
Als Lösung scheint mir hier nur realistisch, dass man entweder dafür sorgt, dass sich Kinder auf keiner großen Plattform im Internet mehr anmelden können – wobei dann fraglich ist, was man damit erreicht, oder man muss die aktuelle Situation zumindest in diesem Punkt akzeptieren wie sie ist.
Der Appell an Kinder und Eltern, vorsichtiger und umsichtiger zu sein, wird von ganz alleine kommen.
Technisch betrachtet sollte es kein Problem sein, eine Altersueberprüfung auch Datenschutz-mäßig vertretbar umzusetzen. Dazu müsste man in Android lediglich eine weiteren Intent sowie dazugehörige Permission einbauen. Und dann gäbe es die Möglichkeit für lokalisierte UserAgeProvider und eine ACCESS_USER_AGE Permission, mit der Apps ein Mindestalter überprüfen können. Ganz so wie das halt auch schon für Zugriff auf Standort und Mikrofon gilt und es auch dafür bereits mehrere Anbieter (Google Location Services mit Wifi, 3GGP Cell locations, „echtes“ GPS) geben kann. Analog dazu gäbe es halt dann Landes-Spezifische Alters-Überpruefungs-Apps, die können ja sogar OpenSource sein und das mit NFC und Perso machen oder Anbieter, die das Photo eines Ausweisdokument ueberprüfen. Oder halt mit dem Google Account, wenn Google bei der Anmeldung die Daten strenger prüft…
Soweit alles klar, und ich wundere mich im selben Moment, warum das eigentlich noch nicht bereits passiert ist. Und dann ist mir etwas klargeworden:
Google und Apple könnten natürlich auch ganz bewußt das Problem nicht strukturell lösen sondern nur die Altersüberpruefung in den jeweiligen Stores verbessern, wenn das von ihnen verlangt wird. Und dann könnte der Gesetzgeber ganz im Sinne des Jugendschutz vorschreiben, daß Sideload, Unknown Sources, etc. ohne vorhergehenden Alterscheck nicht gehen dürfen. Das wäre ein Alptraum. Und Apple/Google würden dabei noch nicht mal als die Bösen dastehen, weil sie tun ja nur, was der Jugendschutz von ihnen verlangt.
Diese Situation könnte rapide in Richtung Tivioization im Namen des Jugendschutz eskalieren, wenn wir jetzt nicht richtig aufpassen…