Datenschutz bei neuen Internetdiensten
Bei der Entwicklung und Ausgestaltung neuer, innovativer Internetdienste sollte von Anfang an auch das Datenschutzrecht beachtet werden. Andernfalls besteht die Gefahr, dass schwer aufzulösende Datenschutzprobleme entstehen, die umfangreiche Änderungen erfordern oder sogar den Betrieb des Dienstes gefährden können.
Durch eine Presseanfrage sowie Berichte in verschiedenen Medien wurde die Aufsichtsbehörde auf einen von einem Startup-Unternehmen angebotenen Dienst aufmerksam, der dem Schutz von Kindern bei der Kommunikation über das Internet dienen sollte. Das Startup-Unternehmen hatte mittels künstlicher Intelligenz (KI) ein System entwickelt, das schriftliche Kommunikation über das Internet (z.B. via Instant-Messenger) analysieren und darin Inhalte erkennen konnte, die für Kinder problematisch sein können.
Mittels dieser Technik bot das Unternehmen einen App-basierten Dienst an, der für Kinder und Jugendliche potenziell gefährliche Kommunikation bzw. Kommunikationspartner (z.B. Cybergrooming, Sexting etc.) erkennen konnte und die Erziehungsberechtigten auf die konkrete Gefahr hinwies. Die Eltern konnten sich bei dem Dienst kostenpflichtig anmelden und eine Verbindung zwischen dem Dienst und einer auf dem Handy des Kindes installierten App eines bestimmten, weit verbreiteten Messengers herstellen. Dazu wurde eine Schnittstelle ausgenutzt, die der Anbieter des Messengers für dessen Webbasierte Nutzung zur Verfügung stellt. Sobald diese Verbindung bestand, wurde die gesamte über diesen Messenger geführte Kommunikation des Kindes auf die Server des Diensteanbieters übertragen und dort von der KI analysiert. Sofern der Algorithmus Hinweise darauf fand, dass die Kommunikation für das Kindeswohl gefährlich sein könnte, wurden die Erziehungsberechtigten auf diesen Umstand hingewiesen und zur Überprüfung des Vorgangs und Unterstützung des Kindes aufgefordert.
Obwohl der Zweck dieses Dienstes selbstverständlich begrüßens- und unterstützenswert ist, barg dessen Ausgestaltung auch erhebliche Risiken für das Persönlichkeitsrecht der Betroffenen.
Aus datenschutzrechtlicher Sicht problematisch war der Dienst insbesondere dadurch, dass die gesamte per Messenger geführte Kommunikation automatisch an den Diensteanbieter weitergeleitet und von diesem gespeichert und verarbeitet wurde. Dies betraf notwendigerweise nicht nur die Kommunikation des von seinen eigenen Eltern überwachten Kindes, sondern auch die von dessen verschiedenen Chatpartnern. Die elektronisch geführten Unterhaltungen fallen sowohl unter das Telekommunikationsgeheimnis als auch unter das Datenschutzrecht, da die Chats regelmäßig eine Vielzahl personenbezogener Daten enthalten und zudem Meta-Daten (z.B. Zeitpunkt der Kommunikation etc.) anfallen.
Erschwerend kommt hinzu, dass der Dienst explizit der Überwachung Minderjähriger diente, deren Chatpartner zumeist andere Minderjährige sind. Kinder und Jugendliche genießen im Datenschutzrecht besonderen Schutz, da sie regelmäßig noch nicht in der Lage sind, die mögliche Tragweite von Datenverarbeitungsvorgängen zu erfassen.
In der vorliegenden Konstellation ist es bereits schwierig, die Verarbeitung der Daten bzw. Kommunikationsinhalte desjenigen Kindes, dessen Erziehungsberechtigte den Dienst nutzen, datenschutzrechtlich in zulässiger Weise zu gestalten. Da anderweitige Rechtsgrundlagen dazu nicht in Betracht kommen, können die Daten nur mit der Einwilligung des betroffenen Kindes verarbeitet werden. Dabei hängt es jedoch vom Alter und der Einsichtsfähigkeit des Kindes ab, ob dieses selbst in die Datenverarbeitung einwilligen kann oder ob die Eltern als Erziehungsberechtigte dies für das Kind tun können bzw. müssen. In diesem Zusammenhang stellen sich zudem Fragen der Transparenz und der Hinweispflichten gegenüber dem Kind. Auch sind verschiedene technische Datenschutzanforderungen (z.B. Verschlüsselung, sichere Speicherung, fristgerechte Löschung etc.) zu beachten.
Noch problematischer ist jedoch die Tatsache, dass auch die gesamte Kommunikation der Chatpartner eines überwachten Kindes an den Diensteanbieter weitergeleitet und dort verarbeitet wurde. Ohne Zutun des überwachten Kindes bzw. der Eltern, die den Dienst zum Schutze ihres Kindes nutzten, konnten die Chatpartner jedoch nicht einmal erkennen, dass der Dienst überhaupt genutzt wurde und ihre gesamte Kommunikation mit dem überwachten Kind automatisch an ein für sie unbekanntes Unternehmen übermittelt und dort verarbeitet wurde. Ohne dieses Wissen war es für die Kommunikationspartner auch nicht möglich, dem Dienst auszuweichen, geschweige denn in hinreichender Form und nach erfolgter Information in die Verarbeitung ihrer Daten wirksam einzuwilligen. Es hätte vermutlich erhebliche Veränderungen an dem Dienst erfordert, um eine datenschutzrechtlich tragfähige Lösung für dieses Problem umzusetzen.
Die Beantwortung bzw. Lösung dieser datenschutzrechtlich problematischen Fragen konnte im konkreten Fall letztlich jedoch dahinstehen, da der Dienst aus finanziellen Gründen vom Anbieter eingestellt wurde. Damit wurde auch die zu diesem Zeitpunkt noch laufende Datenschutzprüfung gegenstandslos.
Das vorliegende Beispiel zeigt allerdings, dass selbst der noch so gute und begrüßenswerte Wunsch, Kinder vor bestimmten Gefahren bei der Internetnutzung zu schützen, ungewollt auch mit einer nicht unerheblichen Gefährdung für die Persönlichkeitsrechte der Kinder und unbeteiligter Dritter einhergehen kann. Entwickler von neuen, innovativen Diensten tun deshalb gut daran, bereits bei der Entwicklung der Dienste deren datenschutzrechtliche Folgen zu bedenken und die Dienste so zu gestalten, dass die Persönlichkeitsrechte der Nutzer dadurch nicht beeinträchtigt werden.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks