Die niederländische Datenschutzbehörde (DPA) verhängte am 22. Juli 2021 gegen den Bertreiber der beliebten App TikTok eine Geldstrafe in Höhe von 750.000 Euro. Nach Ansicht der DPA hatte das Unternehmen seine zum Teil sehr jungen Nutzer nicht richtig informiert.
Hintergrund und Begründung der DSGVO-Geldbuße
Die Informationen, die TikTok den niederländischen Nutzern, darunter viele Minderjährige, bei der Installation und Nutzung der App zur Verfügung stellte, waren nur auf Englisch und daher nach Ansicht der zuständigen Aufsichtsbehörde nicht ohne Weiteres für alle Betroffenen verständlich. Indem TikTok seine Datenschutzerklärung nicht auf Niederländisch anbot, versäumte es das Unternehmen, angemessen zu erklären, wie die App personenbezogene Daten sammelt, verarbeitet und nutzt. Dies sei, so die niederländische Aufsichtsbehörde, ein Verstoß gegen die Informationspflichten der DSGVO.
Das soziale Netzwerk ist vor allem bei Kindern und Jugendlichen beliebt, die besonders schutzbedürftig sind. TikTok legte Einspruch gegen die Geldstrafe ein. In einer Stellungnahme erklärte TikTok, dass die Datenschutzerklärung speziell auch für jüngere Nutzer bereits seit Juli 2020 auf Niederländisch zur Verfügung gestanden hätte. Die Datenschutzbehörde habe dies als Lösung des Problems akzeptiert.
Weitere Datenschutzverstöße wurden von der Behörde nicht geahndet. Jedoch nicht, weil sie sonst nichts gefunden hätte. Das für seine Datenschutzpraktiken häufig kritisierte Unternehmen (siehe etwa der 92-Millionen-Dollar-Sammelklage-Vergleich wegen des Scannens von Gesichtern Minderjähriger in den USA) gründete während der laufenden Ermittlungen eine Niederlassung in Irland, weswegen die niederländische Aufsichtsbehörde ab diesem Tag die Zuständigkeit verlor und nur gegen den in der Vergangenheit liegenden Verstoß vorgehen konnte, für den sie dann auch das Bußgeld aussprach.
Die Ergebnisse der weiteren Untersuchung wurden jedoch an die irische Behörde übermittelt, damit diese die Untersuchungen fortsetzen kann. Man darf daher gespannt sein, ob dem Unternehmen weitere Maßnahmen drohen.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung der Geldbuße
Gemäß Art. 13 DSGVO müssen Betroffene über die Verarbeitung ihrer personenbezogenen Daten ausführlich informiert werden, um immer eine klare Vorstellung davon zu haben. Den Maßstab für eine solche transparente Information gibt Art. 12 Abs. 1 S. 1 DSGVO vor. Danach muss der Verantwortliche die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder bzw. Minderjährige richten.
In welcher Sprache konkret die Datenschutzerklärung verfasst sein soll, ist in der DSGVO nicht geregelt. Die Vorgaben des Art. 12 DSGVO lassen jedoch erkennen, dass der Betroffene in der Lage sein soll, die Informationen zu verstehen. Die Artikel 29 Datenschutzgruppe (heute der Europäische Datenschutzausschuss) stellte in ihren Guidelines on transparency under Regulation 2016/679 2017 bereits 2017 klar, dass aus Transparenzgründen eine Übersetzung in eine oder mehrere andere Sprachen bereitgestellt werden soll, wenn der für die Verarbeitung Verantwortliche sich an Personen richtet, die diese Sprachen sprechen.
Bei der Entscheidung über die Sprache der Datenschutzerklärung sollte also vorrangig auf den Empfängerkreis abgestellt werden. In der Regel wird die Datenschutzerklärung also in der Sprache des Landes zu verfassen sein, in dem die Webseite oder die App betrieben wird. Im vorliegenden Fall wäre das für niederländische Nutzer, insbesondere wenn die Zielgruppe Kinder sind, bei denen davon ausgegangen werden muss, dass keine Fremdsprachkenntnisse vorliegen, Niederländisch.
Anforderung an eine transparente Information
Um sich nicht einer ähnlichen Bußgeldgefahr wie TikTok auszusetzen, sollten Sie sich immer versuchen in die betroffene Gruppe hineinzuversetzen und überlegen, was die durchschnittliche Person dieser Gruppe mit der gegebenen Information anfangen könnte.
Ein anderer Indikator können zum Beispiel Berufsgruppen sein. So darf ein Informationsschreiben für eine Veranstaltung für Rechtsanwälte sicher juristischer formuliert sein und Gesetzesverweise enthalten, während das für Nichtjuristen regelmäßig nicht verständlich sein könnte. Ähnliches wäre bei der Beschreibung von technischen Abläufen für Informatiker und Nichtinformatiker zu sagen.
Im Zweifel sollten Sie einen Betroffenen fragen, ob er die Information versteht, oder Sie ziehen professionellen Rat hinzu. Nutzen Sie auch gerne unseren kostenlosen Generator zur Erstellung einer datenschutzkonformen Datenschutzerklärung, damit Sie bei der Erfüllung Ihrer Transparenzpflichten keine kostspieligen Fehler begehen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!