Kinder und Jugendliche sind eine besonders attraktive Kundengruppe.
Nicht nur im Sinne eines prozentualen Anteils am gesamten Kundenstamm, sondern auch als eine Gruppe, die besonders gefährdet und ethisch fragwürdigen Praktiken ausgesetzt ist.
Das Internet ist gleichzeitig ein Sandkasten, eine Schule und eine dunkle Gasse für Kinder geworden, in der ihnen verbotene Inhalte angeboten und ihre persönlichen Daten verwendet werden.
Das Thema der Online-Sicherheit für Kinder und Jugendliche wurde jahrelang heruntergespielt. Glücklicherweise wurde eine Initiative ins Leben gerufen, die zu einer umfassenden öffentlichen Konsultation, Gesetzgebungsarbeit und schließlich zu einem konkreten Dokument — AADC (Age Appropriate Design Code) — führte.
Welche Bedeutung hat das neue Gesetz im Vereinigten Königreich, das bereits zu einem wichtigen Bezugspunkt für Institutionen, Parlamente und soziale Initiativen in vielen Ländern geworden ist (einschließlich des kalifornischen "Age Appropriate Design Code Act")? Welche Standards wurden im Rahmen des Age Appropriate Design Code (AADC) angenommen?
Heute werden wir uns mit einem Dokument befassen, das das Potenzial hat, einen wichtigen, notwendigen und lange vernachlässigten Wandel bei den Rechten von Kindern und Jugendlichen einzuleiten.
Wir laden Sie ein, weiterzulesen!
Wir Auditieren. Wir Forschen. Wir Gestalten.
Kinder als die am meisten gefährdeten und am wenigsten geschützten Internetbenutzer
Die Lektüre der zyklisch erscheinenden Berichte, Studien und Artikel von UNICEF wie "Investigating Risks and Opportunities for Children in a Digital World" und "Contextualizing the link between adolescents' use of digital technology and their mental health: a multi-country study of time spent online and life satisfaction" schärft das Bewusstsein dafür, dass Kinder und Jugendliche ein wichtiger Teil des Publikums für Online-Inhalte sind.
Leider ging ihre wirtschaftliche Bedeutung bisher nicht Hand in Hand mit der Bedeutung ihrer Rechte und Interessen.
Einfach ausgedrückt: Kinder und Jugendliche haben keinen angemessenen, echten und wirksamen Schutz erhalten. Vor allem als Webbenutzer — Kunden, Spieler, Abonnenten und Konsumenten von Inhalten.
Kinder im Internet — dieses Thema wurde bisher vernachlässigt. Die Jüngsten wurden erst relativ spät zum Gegenstand einer ernsthaften öffentlichen Debatte. Letztendlich erregte diese Gruppe aber auch die Aufmerksamkeit von Aktivisten, Medien und Politikern.
Der Kernpunkt der durchgeführten Arbeiten, Analysen und Diagnosen waren die Entwicklung von Lösungen zum Schutz ihrer Interessen und ihres Wohlergehens. Während es auf europäischer Ebene viele Initiativen gegeben hat, war die Initiative des britischen Information Commissioner's Office ein bedeutender Durchbruch.
Information Commissioner's Office (ICO) — hat einen sehr wichtigen Kodex unter dem Gesichtspunkt der Sicherheit und der Interessen von Kindern und Jugendlichen erstellt. Sie legt den Rahmen, die Standards und die Richtung für den Schutz von Kindern im Online-Bereich fest.
Das am 02.09.2020 vom britischen Parlament verabschiedete Dokument soll vor allem eine Gesetzeslücke schließen und die persönlichen Daten von Minderjährigen besser schützen.
Unter dem Gesichtspunkt der Benutzererfahrung und der Designstandards für Webanwendungen, mobile Anwendungen, digitale Produkte und Dienstleistungen sind das Inkrafttreten des neuen Gesetzes und der Norm von großer Bedeutung.
Denn sie setzt Gestaltungsmaßstäbe, innerhalb derer die Interessen von Kindern und Jugendlichen respektiert und als wichtige Variable berücksichtigt werden müssen. Dies beeinflusst das endgültige Design des digitalen Produkts und den Designprozess.
Für UX-Agenturen, Webentwicklungsunternehmen, interaktive Agenturen oder Unternehmen, die Spiele oder Spielzeuge herstellen, ist eine — wenn auch nur allgemeine — Vertrautheit mit etablierten Lösungen notwendig.
Worum geht es also beim AADC, und inwiefern ergänzt er das mit der DSGVO (Datenschutz-Grundverordnung) verabschiedete Gesetz?
DSGVO und AADC — Vergleich
Obwohl die Frage des Schutzes der Rechte von Kindern in der 2016 verabschiedeten Datenschutz-Grundverordnung (DSGVO) enthalten ist (es geht um Artikel 35, der die Datenschutz-Folgenabschätzung behandelt), halten viele Kommentatoren sie für unzureichend.
Denn allgemeine Vorschriften können Missbrauch nicht wirksam bekämpfen und Kinder nicht messbar davor schützen.
Die edle Idee eines besonderen Schutzes der personenbezogenen Daten der jüngsten Internetnutzer wurde nicht detailliert und konkret formuliert, um eine wirksame Strafverfolgung und Prävention zu ermöglichen.
Außerdem waren die Bestimmungen der Datenschutz-Grundverordnung zu vage. Sie stellten eine große Herausforderung für die Institutionen dar, die nicht genau wussten, wie sie die unspezifischen Vorschriften in bestimmten Situationen auslegen sollten.
Das tote Gesetz trug wenig zum Schutz der Privatsphäre von Kindern und Jugendlichen bei. Diese Lücke füllt die britische ICO, die die vage Formulierung der Datenschutz-Grundverordnung (aber auch der UNO-Kinderrechtskonvention) in konkrete Begriffe umsetzt.
Obwohl der bereits vollständig angenommene und funktionierende Kodex nur eine Reihe von Empfehlungen und bewährten Verfahren enthält, ist er ein bahnbrechendes Instrument.
Zunächst einmal hat jeder der 15 ICO-Standards eine rechtliche Grundlage in der Datenschutz-Grundverordnung. Dank dieser engen Verbindung zwischen den beiden Dokumenten wird in der Praxis möglich sein, was bisher nur in der Theorie möglich war.
Nämlich die Fähigkeit, die Einhaltung von Gesetzen in einem bestimmten Bereich durchzusetzen. Vorerst gilt das neue Gesetz für Unternehmen, die auf dem britischen Markt tätig sind.
Sowohl Muttergesellschaften als auch ausländische Unternehmen mit Repräsentanzen und Niederlassungen, die auf dem britischen Markt Dienstleistungen erbringen und digitale Produkte anbieten, hatten bis September 2021 Zeit, ihre Dienstleistungen und Produkte an das neue Gesetz anzupassen.
Alles deutet jedoch darauf hin, dass die im ICO Code formulierten Standards zum Bezugspunkt für die in der Europäischen Union und den einzelnen Mitgliedstaaten erlassenen Rechtsvorschriften werden.
Altersgerechte Gestaltung im Vereinigten Königreich und in Kalifornien
Obwohl sich dieser Artikel in erster Linie mit dem AADC und seinen Auswirkungen auf das Vereinigte Königreich und Europa befasst, müssen wir zumindest kurz auf das kalifornische Gesetz über altersgerechtes Design eingehen, das am 1. Juli 2024 in Kraft treten wird.
Wie bereits erwähnt, tritt das Gesetz am 1. Juli 2024 in Kraft, und die California Privacy Protection Agency muss in Absprache mit der California Children's Data Protection Working Group bis zum 1. April 2024 entsprechende Vorschriften und Richtlinien veröffentlichen. Das Gesetz ermöglicht es dem Generalstaatsanwalt, zivilrechtliche Strafen von bis zu 2.500 Dollar pro Kind für jeden unbeabsichtigten Verstoß und $7.500 für jeden vorsätzlichen Verstoß zu verhängen.
The Future of Privacy Forum (FPF) hat vor kurzem ein Kurzdossier veröffentlicht, in dem die Dokumente des Vereinigten Königreichs und Kaliforniens verglichen werden.
Zu den wichtigsten Unterschieden gehören die folgenden:
- Der Vereinigte Königreichs AADC ist ein gesetzlicher Verhaltenskodex, der sich auf die DSGVO stützt, während der kalifornische AADC eine eigenständige Gesetzgebung ist, die das California Consumer Privacy Act unterstützen wird.
- Der britische Kodex gilt für Anbieter von Online-Produkten oder -Dienstleistungen, die personenbezogene Daten verarbeiten und bei denen die Wahrscheinlichkeit besteht, dass sie von Kindern genutzt werden. Das kalifornische AADC bezieht sich auf "Unternehmen, die Online-Dienste, -Produkte oder -Funktionen anbieten, auf die Kinder zugreifen können, und befreit gleichzeitig Breitband-Internetzugangsdienste, Telekommunikationsdienste, die Lieferung oder Nutzung eines physischen Produkts sowie Gesundheitsdienstleister und medizinische Informationen, die unter die HIPAA-Vorschriften fallen."
- Das Vereinigte Königreich liefert zusätzliche Beispiele und Erläuterungen zu den Anforderungen, die in den kalifornischen Rechtsvorschriften fehlen.
- Das Vereinigte Königreich leitet das "beste Interesse des Kindes" aus der UNO-Kinderrechtskonvention ab, während das kalifornische Gesetz nur in den gesetzlichen Bestimmungen und Ausnahmen darauf Bezug nimmt.
- Beide Gesetze verlangen von Unternehmen, dass sie Standardeinstellungen mit hohem Datenschutz bieten, aber das kalifornische Gesetz erklärt nicht, was das genau bedeutet.
- Der Kodex des Vereinigten Königreichs enthält verschiedene Leitlinien für geeignete Maßnahmen zur Bestimmung des Alters der Benutzer. Im Gegensatz dazu heißt es in der kalifornischen Gesetzgebung: "Schätzen Sie das Alter von Kindern mit einem angemessenen Grad an Sicherheit, der den Risiken angemessen ist, die sich aus den Datenverwaltungspraktiken des Unternehmens ergeben, oder wenden Sie die für Kinder geltenden Datenschutzbestimmungen auf alle Verbraucher an".
- Beide Codes für altersgerechtes Design erfordern eine Datenschutz-Folgenabschätzung. Der Unterschied besteht darin, dass das Vereinigte Königreich die Bewertung von Rechten und Freiheiten verlangt. Im Gegensatz dazu verlangt Kalifornien die Bewertung des Risikos einer "wesentlichen Beeinträchtigung" und legt zusätzlich fest, dass die Datenschutz-Folgenabschätzung unabhängig von anderen Gesetzen, wie dem California Public Records Act, vertraulich sein sollte.
Dies ist nur ein kurzer Überblick über die Unterschiede zwischen diesen beiden Kodizes. Wenn Sie sich eingehender mit diesem Thema befassen möchten, empfehlen wir Ihnen die Lektüre des oben genannten Kurzberichts.
Was ist der Geltungsbereich des Age Appropriate Design Code?
Welche Branchen müssen die 15 Standards des ICO Code besonders beachten?
Der AADC umfasst und gilt insbesondere für:
- Unternehmen, die Web- und mobile Anwendungen entwickeln und anbieten
- Plattformen für soziale Medien
- Vertreiber von Online-Spielen
- VOD- und Streaming-Plattformen
- E-Learning-Plattformen
- Hersteller von interaktivem Spielzeug
- Software-Entwickler
- E-Commerce/M-Commerce
- Suchmaschine
- Online-Zahlungsanbieter (insbesondere im Hinblick auf die sogenannten Mikrozahlungen)
- Online-Medien
- Alle Websites, die Benutzern andere Waren oder Dienstleistungen über das Internet anbieten
Generell sollten alle Hersteller und Dienstleister, deren direkte oder indirekte Kunden und Auftraggeber Kinder oder streng genommen Minderjährige sind, die neuen Normen einhalten.
Age Appropriate Design Code zielt auch darauf ab, ein Muster von kinderfreundlichen Lösungen zu fördern, auch wenn Kinder nicht die direkten Empfänger von Inhalten, Dienstleistungen oder Produkten sind.
Alles deutet darauf hin, dass der AADC kein weiteres totes Recht sein wird. Wie im Artikel "ICO Age Appropriate Design Code Enters Into Force" zu lesen ist, werden Organisationen, die den Kodex nicht einhalten, von der ICO zur Rechenschaft gezogen.
Zu den Sanktionen gehören die Einstellung der Verarbeitung personenbezogener Daten und eine Geldstrafe von bis zu 4 % des Gesamtumsatzes des Unternehmens.
Sie sollten auch wissen, dass, wenn ein Unternehmen der Meinung ist, dass es unwahrscheinlich ist, dass sein Dienst von Kindern in Anspruch genommen wird (und die ICO bietet Informationen zu einem solchen Fall), es am besten wäre, irgendeine Form von Marktforschung, Daten über das Benutzerverhalten, unternehmensinterne Forschung als kompetenten und zuverlässigen Beweis zu führen.
Flexibler und vielfältiger Kinderschutz in der AADC
Die Kategorie der Minderjährigen umfasst eine Vielzahl von Personen. Zwischen einem Sechsjährigen und einem Fünfzehnjährigen klafft z. B. in Bezug auf die intellektuellen Unterschiede eine große Lücke.
Es überrascht nicht, dass die britischen Lösungen das Alter als eine wesentliche Variable betrachten, aus der sich spezifische Lösungen ergeben sollten.
Die AADC unterscheidet 5 Altersgruppen, die nach dem typischen Verlauf der intellektuellen, motorischen, emotionalen und sozialen Entwicklung eines jungen Menschen eingeteilt wurden.
Die Lösungen sollten auf die folgenden Altersgruppen zugeschnitten sein:
- 0 bis 5 Jahre: Voralphabetisierung und frühe Alphabetisierung
- 6 bis 9 Jahre: Kerngrundschuljahre
- 10 bis 12 Jahre: Übergangsjahre
- 13 bis 15 Jahre Frühe Teenager
- 16 bis 17 Jahre Annäherung an das Erwachsensein
Gleichzeitig sollte die Sicherheit von Kindern im Allgemeinen die oberste Design- und Geschäftsprämisse sein. Die Aufrechterhaltung eines hohen Datenschutzniveaus sollte immer der Standardwert sein.
In der Praxis bedeutet dies, dass die Daten von Kindern in größtmöglichem Umfang erhoben, gespeichert und weitergegeben werden sollten.
Die obigen Sätze mögen ein wenig hohl und allgemein erscheinen, aber der von der ICO ausgearbeitete Kodex zeigt verschiedene Methoden zur Überprüfung des Alters der Benutzer auf, zum Beispiel durch:
- Benutzererklärung
- Einsatz von KI (Künstliche Intelligenz)
- Altersbestätigung durch Dritte (Institutionen, andere Benutzer)
- Funktionen, die eine Täuschung der Altersüberprüfungsmechanismen verhindern.
Das wichtigste Ziel der ICO ist es, Standards zu schaffen, die zu Standardeinstellungen führen, die Kindern den Zugang zu digitalen Produkten ermöglichen, ohne ihre Rechte zu verletzen.
In erster Linie soll die übermäßige Erhebung und Verwendung personenbezogener Daten verhindert werden.
Die Minimierung des Umfangs und der Tiefe solcher Praktiken zieht sich durch alle 15 Standards.
Noch wichtiger ist, dass sich der Schutz bereits auf der Designebene manifestiert, und einige der Hauptadressaten des ICO Codes sind u. a. UX/UI Designer.
15 Standards für den Schutz der personenbezogenen Daten von Kindern nach ICO
Der AADC besteht aus 15 Standards, Normen und Empfehlungen, die die Unangemessenheit von Inhalten, Dienstleistungen und Produkten für Kinder regeln.
In dem Dokument, in dem die verschiedenen Standards erörtert werden, "Age appropriate design: a code of practice for online services", heißt es unter anderem, dass Kinder derzeit zu leicht und uneingeschränkt Zugang zu Inhalten, Diensten und Produkten haben, die ihr Alter und die daraus resultierende begrenzte Fähigkeit, die Folgen der Verwendung ihrer persönlichen Daten zu verstehen und zu kontrollieren, nicht berücksichtigen.
Vor der Einführung des AADC im Vereinigten Königreich war es möglich, Dienstleistungen zu konzipieren, die möglicherweise kommerzielle Interessen über die Interessen der Kinder stellten.
Mit dem Inkrafttreten der neuen Norm wird sich diese Situation drastisch ändern.
Schauen wir uns also die einzelnen Normen genauer an.
1 AADC-Standard — Bestes Interesse des Kindes
Ein von der ICO erstelltes Dokument mit dem Titel "Age appropriate design: a code of practice for online services" beschreibt kurz den ersten Standard, der besagt, dass das Wohlergehen des Kindes bei der Gestaltung und Entwicklung von Online-Diensten, zu denen ein Kind Zugang hat, eine vorrangige Rolle spielen muss.
Die Rechtsgrundlage für den ersten AADC-Standard ist Artikel 3 des UNO-Kinderrechtsabkommen, der besagt, dass das Wohl des Kindes das Beste für das Kind ist.
Das heißt, alles, was ihrer körperlichen, emotionalen, intellektuellen und sozialen Entwicklung förderlich ist. Gemäß der Konvention hat das Kind auch das Recht auf Privatsphäre und das Recht, nicht wirtschaftlich ausgebeutet zu werden.
Deshalb sollten Kinder sein:
- Geschützt vor möglicher kommerzieller Verwertung.
- Unterstützt bei der Entwicklung von Ansichten und Identität.
- Unterstützung bei der Erhaltung ihres Wohlbefindens und ihrer Gesundheit.
- Sie sind vor Einschränkungen ihrer Freiheit geschützt.
Der Rahmen für das Wohl des Kindes sollte Folgendes umfassen:
- Sicherheit und Gesundheit
- Wohlbefinden
- Gute familiäre Beziehungen
- Richtige körperliche, geistige und emotionale Entwicklung
Einzelheiten zu diesen Problemen finden Sie in einem separaten Dokument, "Children's code: best interests framework".
2 AADC-Standard — Datenschutz-Folgenabschätzungen
Die Prämisse der zweiten Norm lautet: Wird der Rahmen nicht genutzt, um die mit der Datenverarbeitung verbundenen Risiken und die weitergehenden Auswirkungen ihrer Nutzung zu berücksichtigen, erhöht sich die Wahrscheinlichkeit eines Schadens.
In dem Dokument "Age appropriate design: a code of practice for online services Impact assessment" können wir außerdem lesen, dass die Umsetzung dieses Standards es ermöglicht:
- Risiken frühzeitig minimieren.
- Reduzierung der Kosten, die sich aus der Notwendigkeit ergeben, das Projekt an die Norm anzupassen.
- Machen Sie die Norm zu einer Gestaltungsroutine, die nicht nur Kinder, sondern auch Geschäftsinhaber vor Verlusten (z. B. finanzieller Art oder in Bezug auf den Ruf) schützt.
- Werte und Verantwortung manifestieren
- Sie können ihren Fall vor Gericht besser beweisen.
Die Bewertung und Validierung in dieser Hinsicht erfolgt am besten, indem man das Projekt mit den Leitlinien konfrontiert, die in dem Dokument "How do we do a DPIA?" enthalten sind.
3 AADC-Standard — Altersgerechte Anwendung
Entwickler und Geschäftsinhaber sind dafür verantwortlich, die Anwendung an das Alter und damit an die Fähigkeiten, Bedürfnisse und Einschränkungen der Benutzer anzupassen.
Kinder in verschiedenen Entwicklungsstadien haben unterschiedliche Bedürfnisse. Sie erfordern auch einen anderen Umfang, eine andere Art und Weise des Schutzes ihrer Rechte und Freiheiten.
Eine klare und genaue Bestimmung des Alters der künftigen Empfänger ermöglicht es, die Schutzmaßnahmen auf das jeweilige Entwicklungsstadium abzustimmen.
Die Autoren des AADC beschreiben in einem separaten Anhang ("Annex B: Age and developmental stages") detailliert die Möglichkeiten, Bedürfnisse und Einschränkungen (einschließlich rechtlicher Aspekte).
4 AADC-Standard — Transparenz
Die Transparenz im AADC bezieht sich auf mehrere Aspekte. Unter anderem, um einfach, verständlich und ehrlich zu sein:
- Informieren Sie die Benutzer über den Inhalt, wobei die Botschaft sprachlich an das Alter des Kindes angepasst sein sollte.
- Formularregeln und Erläuterungen.
Außerdem sollte die Entscheidung, Regeln und Vorschriften zu akzeptieren und ihre Zustimmung zu geben, von der Fähigkeit abhängen, deren Inhalt und Folgen richtig zu verstehen.
Da das Alter der Benutzer immer niedriger wird, sollten sie mithilfe der Eltern oder Erziehungsberechtigten angesprochen werden.
Weitere Informationen zum Problem der Transparenz finden Sie in dem Artikel "Principle (a): Lawfulness, fairness and transparency."
5 AADC-Standard — Nachteilige Verwendung von Daten
Unter schädlicher Datennutzung verstehen die Autoren des AADC eine Nutzung, die sich negativ auf die körperliche und geistige Gesundheit und das Wohlbefinden des Kindes auswirkt und die nicht den Verhaltenskodizes der Branche oder anderen Umweltempfehlungen und -vorschriften entspricht.
Zu den bewährten Verfahren in diesem Zusammenhang gehören:
- Vermeidung der Verstärkung des Engagements und der Abhängigkeit von Kindern durch das Angebot von Vorteilen, die mithilfe von persönlichen Daten erlangt werden können.
- Vermeidung des Hinweises auf einen Verlust durch die Einstellung der Nutzung des Dienstes oder der Anwendung.
- Vermeidung der Verwendung von Funktionen, die die Nutzung auf Kosten der Wahlfreiheit automatisieren.
- Sie bietet die Möglichkeit, eine Pause einzulegen, ohne sich als Verlust zu fühlen.
6 AADC-Standard — Richtlinien und Gemeinschaftsstandards
Diese Norm wirkt wie ein Mahnmal, denn sie appelliert an Urheber, Verkäufer und Dienstanbieter, sich an ihre Geschäftsbedingungen, Regeln, Datenschutzstandards, Altersbeschränkungen, Grenzen für akzeptable Inhalte und Verhaltensweisen zu halten.
Eine solche Mahnung scheint gerechtfertigt, denn tote und nicht durchgesetzte Gesetze und Normen sind ebenso schädlich wie ihr Fehlen.
Deklarative Beschränkungen des Alters und der Datennutzung sind wertlos, wenn sie nicht durch konkrete Maßnahmen — wie die Kontrolle des Alters der Benutzer — untermauert werden.
7 AADC Standard — Standardeinstellungen
Nach den ICO-Richtlinien sollten die Standard-Datenschutzeinstellungen einen "hohen Datenschutz" aufweisen.
Das bedeutet, dass wir das standardmäßig nicht tun sollten:
- Die personenbezogenen Daten von Kindern zu erfassen, wenn dies nicht erforderlich ist.
- Teilen Sie die persönlichen Daten Ihrer Kinder mit einer unbegrenzten Anzahl von anderen Benutzern.
Die Standardeinstellungen sollten:
- Erlauben Sie nicht die Erfassung von Daten, die für den Online-Dienst nicht erforderlich sind.
- Geben Sie keine Daten an Dritte und Institutionen weiter.
- Geben Sie die notwendigen Erklärungen, wenn der Benutzer sie ändern möchte.
- Bieten Sie die Möglichkeit, den Standardwert wiederherzustellen.
8 AADC-Standard — Datensparsamkeit
Nach der achten Norm sollten personenbezogene Daten nur in geringem Umfang erhoben und gespeichert werden, und zwar nur in dem Maße, wie es für die ordnungsgemäße Erbringung von Dienstleistungen erforderlich ist.
Das bedeutet, dass es nicht ratsam ist, Daten zu sammeln, die nicht dem Hauptzweck dienen.
Wie in den vorangegangenen Abschnitten des Kodex ist auch in diesem Punkt die Rechtsgrundlage die spezifischen Bestimmungen der Datenschutz-Grundverordnung.
Die achte Norm unterstreicht auch nachdrücklich die Entscheidungsbefugnis der Kinder, denen eine breite Palette von Wahlmöglichkeiten geboten werden sollte. Noch wichtiger ist, dass die Datenerhebung nicht aus dem Wunsch heraus erfolgen sollte, die Online-Dienste zu verbessern.
9 AADC-Standard — Datenaustausch
Die Weitergabe der Daten von Kindern (an Dritte außerhalb der Organisation) muss gründlich und überzeugend begründet werden. Die Entscheidung sollte sich am Wohl des Kindes orientieren. Das Interesse, das die Übermittlung personenbezogener Daten rechtfertigen würde, kann zum Beispiel der Wunsch sein, Betrug und Straftaten (z. B. sexuelle) zu verhindern.
Dies bedeutet, dass personenbezogene Daten nur selten, in begrenztem Umfang und nur in Situationen weitergegeben werden sollten, in denen dies den Interessen der Kinder dient, nicht aber denen von Einzelpersonen, Institutionen oder Organisationen.
Die ICO empfiehlt außerdem, von den Datenempfängern eine Erklärung einzuholen, in der sie sich verpflichten, die personenbezogenen Daten von Kindern vertraulich zu behandeln.
Gemäß Standard 9 sollte auch geprüft werden, inwieweit die abgegebenen Garantien realistischerweise erfüllt werden.
10 AADC-Standard — Geolokalisierung
Die Option, den Standort eines Benutzers zu verfolgen, sollte standardmäßig deaktiviert sein. Der gegenteilige Wert ist nur in Ausnahmesituationen zulässig, in denen das Wohl der Kinder im Vordergrund steht. Die Benutzer sollten klar und unmissverständlich darüber informiert werden, wenn das Tracking aktiviert ist.
Wenn es möglich ist, den Aufenthaltsort eines Kindes zu bestimmen, wird die Angelegenheit ernst, da ein erhebliches Risiko besteht, das Kind einer physischen Gefahr auszusetzen.
Die Verfügbarkeit von Geolokalisierungsdaten kann auch das psychologische und emotionale Wohlbefinden des Kindes beeinträchtigen.
Daher sollte die Möglichkeit, diese Einstellungen zu ändern (ein/aus), als Grundfunktion angeboten werden.
Der AADC stellt klar, dass Informationen über die Erhebung, Speicherung und Weitergabe von Standortdaten bei der Registrierung, der Einrichtung eines Kontos und der Nutzung des Produkts oder digitalen Dienstes bereitgestellt werden sollten.
11 AADC-Standard — Kindersicherung
Designlösungen und der Einsatz moderner Funktionen und Technologien (wie z. B. KI) können nicht immer die Rolle, die Funktion und die Bedeutung der von den Eltern selbst durchgeführten Maßnahmen ersetzen.
Sie können Tools zur elterlichen Kontrolle nutzen. Der ICO Code, der von edlen, aber sehr nüchternen Überlegungen geleitet wird, erörtert das Thema in seiner ganzen Komplexität.
Die Kindersicherung soll zwar per definitionem dem Wohl der Kinder dienen, sie kann aber auch eine Quelle des Missbrauchs sein. Der AADC empfiehlt daher ausdrücklich, den Kindern zu erklären, was die elterliche Kontrolle ist, wie sie funktioniert und welche Folgen sie für sie haben kann.
Es ist ratsam, Kinder darüber zu informieren, dass ihre Eltern ihre Aktivitäten überwachen können. Dabei ist zu bedenken: Je älter das Kind ist, desto wichtiger ist es, es über sein Recht auf Achtung seiner Privatsphäre zu informieren.
12 AADC-Standard — Profilierung
In der Datenschutz-Grundverordnung wird Profiling als jede Form der automatisierten Verarbeitung von personenbezogenen Daten definiert. Es handelt sich insbesondere um die Verwendung personenbezogener Daten zur Bewertung, Analyse und Vorhersage des Verhaltens, der Situation (z. B. Wirtschaft, Gesundheit), der Vorlieben und Pläne der Benutzer.
Dem AADC zufolge sollte die Profilerstellung standardmäßig eine inaktive Funktion sein. Sie kann standardmäßig aktiviert werden, solange ihre Verwendung für die Bereitstellung wesentlicher Funktionen erforderlich ist oder sich aus den der Einrichtung auferlegten gesetzlichen Verpflichtungen ergibt.
Ein Diensteanbieter, der Profiling-Funktionen nutzen möchte, muss die Benutzer in einer Weise, die den Anforderungen der Transparenznorm entspricht, umfassend über diese Tatsache und ihre Folgen informieren.
Der Zweck der Einschränkung (und nicht des Verbots) der Profilerstellung besteht darin, das Risiko, dass Kinder potenziell schädlichen Inhalten ausgesetzt sind, zu minimieren und damit mögliche Schäden zu verringern.
13 AADC-Standard — Nudge-Techniken
Im allgemeinsten Sinne geht es bei Nudge-Techniken darum, Kinder zu erwünschten Handlungen zu veranlassen und zu ermutigen, die aus der Sicht des Diensteanbieters, des Eigentümers des digitalen Unternehmens, und aus der Sicht des Benutzers fragwürdig sind.
Das Vorschlagen "richtiger", "wünschenswerter", "erwarteter" oder "gewinnbringender" Verhaltensweisen und Handlungen ist bei der Gestaltung mit Nudge-Techniken ebenso üblich wie das Erschweren und Verbergen von Entscheidungen, die von der Organisation nicht gewünscht werden.
Nach der Auslegung und dem Standard des ICO verstoßen derartige Techniken gegen den Grundsatz der Transparenz, der bei Kindern besonders wichtig ist. Minderjährige, die nur begrenzt in der Lage sind, solche Manipulationen zu erkennen, sollten besonders geschützt werden.
Eine zulässige Anwendung von Nudge-Techniken ist jede Situation, in der ein Kind ermutigt wird, restriktivere Datenschutzeinstellungen zu wählen.
Dies gilt auch für Funktionen, die Kinder dazu auffordern, eine Pause einzulegen, wenn die Nutzungsdauer zu lang und schädlich für ihr Wohlbefinden ist.
Altersgerechtes Design ist also auch ein relativ vernünftig konzipiertes Instrument. Ein Werkzeug, das die Gestaltung für Kinder zu einem Prozess macht, bei dem die Gestaltung (z. B. einer Website), die verwendeten Werkzeuge und Techniken die Kommunikation verbessern und das Wissen der Benutzer erweitern sollen.
Kurz gesagt, altersgerechtes Design soll den Fähigkeiten und unterschiedlichen Bedürfnissen junger Menschen gerecht werden.
Dabei geht es nicht um Beschränkungen, sondern um die Suche nach Lösungen, die gleichermaßen Sicherheit garantieren und den Entstehungsprozess zu einem Weg machen, günstige Produkte zu erhalten.
Wie wir am Beispiel der Nudge-Techniken sehen können, lassen sich die verfügbaren Lösungen auf verschiedene Weise nutzen, auch positiv.
14 AADC-Standard — Vernetzte Spielzeuge und Geräte
Die vorletzte Norm lenkt die Aufmerksamkeit auf das wachsende Problem des Schutzes personenbezogener Daten, die durch Spielzeuge und physische Geräte mit Internetanschluss gesammelt werden.
Zu den Geräten, die die Rechte von Kindern verletzen können, gehören Kameras, Mikrofone, Fitness-Tracker und interaktive Lautsprecher. Die Hersteller von Spielzeug und Geräten sind verpflichtet, Kinder im Internet selbst zu schützen. Die Abwälzung der Verantwortung auf externe Stellen wird als erheblicher Verstoß gegen die Rechte aus der AACD betrachtet.
Die Benutzer von Spielzeugen und Geräten müssen in den Verkaufsstellen, bei der Konfiguration und auf der Verpackung darüber informiert werden, wie die Daten erfasst und gespeichert werden.
Insbesondere sollten die Benutzer durch Informationen und Warnungen auf Situationen und Aktionen aufmerksam gemacht werden, die die Datenerfassungsfunktion auslösen. Noch wichtiger ist, dass die Datenerfassung im "Standby"-Modus des Geräts nicht möglich sein sollte.
15 AADC-Standard — Online-Tools
Was sind Online-Tools? Der Age Appropriate Design Code legt fest, dass es sich dabei um alle Arten von Mechanismen handelt, die es den Kindern erleichtern, ihre Rechte auf einfachere, freundlichere und informiertere Weise wahrzunehmen.
Beispiele für solche Werkzeuge könnten Funktionen sein, die den Zugang zu Kopien personenbezogener Daten, Beschwerdeformularen und Informationen über Rechte in Anwendungen und Software-Schnittstellen erleichtern.
Der Schutz der Privatsphäre von Kindern sollte ihnen die Möglichkeit geben:
- Hilfe in Anspruch nehmen
- Missbilligung ausdrücken
- Weitere Informationen und Erklärungen
- Beschwerden einreichen
Es sei daran erinnert, dass die Datenschutz-Grundverordnung, die auch die Grundlage für den letzten AACD-Standard ist, den Personen, auf die sich die Daten beziehen, das Recht einräumt:
- Zugang zu ihnen
- Löschen Sie sie
- Ihre Verarbeitung einschränken
- Widersprechen
Age Appropriate Design Code. Zusammenfassung
Schon ein oberflächlicher Blick auf die im Vereinigten Königreich verabschiedeten Lösungen (der Age Appropriate Design Code wird bereits in der Presse diskutiert) zum Schutz von Kindern bei der Nutzung von Produkten und Diensten im Internet macht deutlich, wie wichtig der Wandel ist, den wir bald in vielen Ländern erleben werden.
Die angenommenen Lösungen haben eine hervorragende Chance, Präzedenzcharakter zu erlangen, und sind bereits Vorläuferlösungen, die andere Länder zu gesetzgeberischen Maßnahmen anregen.
Ihre Richtigkeit ist offensichtlich. Die Wirksamkeit ist eine Frage der Zeit und der Überprüfungsmaßnahmen, die in den jeweiligen Ländern ergriffen werden.
Dennoch sollten wir bereits jetzt auf diese Veränderungen vorbereitet sein. In rechtlicher, geschäftlicher, gestalterischer, UX- und technischer Hinsicht.
In dem Artikel "Wie kann man altersgerecht gestalten? Age Appropriate Design Code" haben wir erörtert, wie man sich auf die durch den Age Appropriate Design Code eingeleiteten Veränderungen vorbereiten kann.
