Checkliste zur Einhaltung des COPPA: Gesetz zum Schutz der Online-Privatsphäre von Kindern

Kinder sind eine schnell wachsende Online-Bevölkerung und stellen ein erhebliches Datenschutzproblem dar, da sie keine rechtliche Zustimmung zur Verwendung ihrer Daten geben können. Aus diesem Grund verlangt COPPA eine strikte Zustimmung vor der Erfassung personenbezogener Daten.

Infolgedessen haben die Gesetzgeber Regelungen entwickelt oder eingeführt, um junge Menschen vor potenziellem Missbrauch und Verletzungen ihrer Privatsphäre zu schützen. Die Europäische Union Allgemeine Datenschutzverordnung (GDPR) enthält auch spezielle Bestimmungen zum Datenschutz bei Kindern.

Allerdings Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA) wurde speziell für minderjährige Benutzer entwickelt, um die Privatsphäre von Kindern zu schützen.

Was ist COPPA?

COPPA ist ein US-amerikanisches Datenschutzgesetz, das von der Federal Trade Commission (FTC) durchgesetzt wird. Es regelt die Erfassung personenbezogener Daten von Kindern unter 13 Jahren über Online- und digitale Dienste wie Websites, Anzeigen und Apps.

Die Datenschutzgesetz von 1998 COPPA ist ein wichtiger Bestandteil des Verbraucherschutzes. Ursprünglich konzentrierte sich COPPA auf grundlegende Informationen, die von Websites für Kinder online gesammelt wurden. Mit dem technologischen Fortschritt wurde COPPA 2013 jedoch geändert, um neuere Daten und Technologien wie Geolokalisierung, Fotos, Videos, mobile Apps und soziale Netzwerke einzubeziehen und so den Schutz der Online-Privatsphäre von Kindern zu erweitern und zu stärken.

Wer muss COPPA einhalten?

Alle Online-Unternehmen, Online-Aktivitäten oder Marketingkampagnen, die Daten online erfassen und sich an Kinder unter 13 Jahren richten, unterliegen den COPPA-Richtlinien. Dazu gehören Websites für Kinder, Plattformen mit gemischter Zielgruppe, die bewusst Kinder ansprechen, und Dienste, die Tools von Drittanbietern wie Anzeigen oder Analysetools verwenden. Wenn Ihre Inhalte, Funktionen oder Werbeaktionen Kinder ansprechen könnten, müssen Sie möglicherweise das Gesetz einhalten.

Wichtige Bestimmungen des COPPA

Das Gesetz stellt bestimmte Anforderungen an Betreiber von Websites und Online-Diensten, die sich an Kinder richten, sowie an Betreiber anderer Websites oder Online-Dienste, die wissentlich personenbezogene Daten von Kindern sammeln. Hier sind die wichtigsten Bestimmungen.

Betreiber müssen Zustimmung der Eltern bevor sie personenbezogene Daten eines Kindes online erfassen, verwenden oder weitergeben. Das bedeutet, dass die Betreiber vor der Datenerfassung bestimmte Schritte unternehmen müssen, um sicherzustellen, dass sie die Erlaubnis der Eltern oder Erziehungsberechtigten des Kindes eingeholt haben.

Die Daten, die sie sammeln, müssen nachweislich mit der ausdrücklichen Zustimmung der Eltern erhoben werden. Dies kann beispielsweise durch das Versenden von Einverständniserklärungen an die Eltern, das Erfordernis einer Kreditkartentransaktion zur Überprüfung oder die Verwendung eines amtlichen Ausweises zur Bestätigung der Identität der Eltern geschehen.

Durch diesen Prozess wird sichergestellt, dass die Eltern über die Erfassung und Verwendung der persönlichen Daten ihres Kindes informiert sind und dieser zustimmen. Dadurch wird die Privatsphäre der Kinder geschützt und den Eltern wird die Kontrolle über die Online-Präsenz ihres Kindes gegeben.

Datenschutzbestimmungen

Websites und Online-Dienste müssen eine klare und umfassende COPPA-Datenschutzrichtlinie Detaillierte Informationen zum Umgang mit personenbezogenen Daten von Kindern. Diese Richtlinie sollte leicht zugänglich und in einer für Eltern und Kinder verständlichen Sprache verfasst sein. Sie sollte darlegen, welche personenbezogenen Daten erhoben werden, wie sie verwendet werden, an wen sie weitergegeben werden und wie Eltern die Erhebung und Verwendung der Daten ihres Kindes kontrollieren können.

Durch die Bereitstellung dieser Transparenz helfen die Betreiber den Eltern, fundierte Entscheidungen darüber zu treffen, ob sie ihren Kindern die Nutzung eines bestimmten Dienstes oder einer bestimmten Website gestatten.

Einschränkungen der Datenerfassung

Die Erhebung von Daten von Kindern unter 13 Jahren sollte auf das für die Nutzung der Website oder des Dienstes erforderliche Maß beschränkt sein. Das bedeutet, dass die Betreiber nur die Mindestmenge an Daten erheben sollten, die für die Bereitstellung des von einem Kind genutzten Dienstes oder der Funktion erforderlich ist.

Wenn beispielsweise für ein Spiel Benutzername und Passwort erforderlich sind, sollte der Betreiber keine zusätzlichen Angaben wie Wohnadresse oder Sozialversicherungsnummer verlangen. Diese Einschränkung trägt zum Schutz der Privatsphäre von Kindern bei, da die Menge ihrer persönlichen Daten, die preisgegeben werden, reduziert wird.

Recht auf Einsichtnahme und Löschung

Eltern können auf die gesammelten personenbezogenen Daten ihres Kindes zugreifen und deren Löschung verlangen. Dieses Recht ermöglicht es Eltern, zu sehen, welche Daten über ihr Kind gesammelt werden, und Maßnahmen zu ergreifen, wenn sie mit der Speicherung oder Verwendung dieser Daten nicht einverstanden sind.

Dadurch wird sichergestellt, dass Eltern die Kontrolle über den digitalen Fußabdruck ihres Kindes haben und die Privatsphäre ihres Kindes schützen können, indem sie dessen persönliche Daten verwalten.

Sicherheitsmaßnahmen

Online-Dienste, die personenbezogene Daten von Kindern online erfassen, müssen angemessene Verfahren zum Schutz der Integrität, Vertraulichkeit und Sicherheit der erfassten personenbezogenen Daten implementieren, insbesondere wenn diese online von Kindern erhoben werden. Sie müssen über technische, administrative und physische Sicherheitsvorkehrungen verfügen, um unbefugten Zugriff, Offenlegung oder Missbrauch der Daten zu verhindern.

Beispiele hierfür sind Verschlüsselung, sichere Server, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. Mit robusten Sicherheitsmaßnahmen können Betreiber die persönlichen Daten von Kindern vor Datenlecks, Identitätsdiebstahl und anderen Cyberbedrohungen schützen und gleichzeitig die COPPA-Vorschriften einhalten.

So erfüllen Sie die COPPA-Regeln: Checkliste zur COPPA-Konformität

Die Datenerhebung von Kindern unter 13 Jahren ist nicht verboten, Organisationen müssen jedoch bestimmte COPPA-Verfahren befolgen, um die Einhaltung sicherzustellen. Die FTC erklärt: „Das Gesetz verlangt von den Betreibern von Websites oder Online-Diensten, die sich an Kinder unter 13 Jahren richten, vor der Datenerhebung eine nachweisbare elterliche Zustimmung. Ausnahmen gelten für Aktivitäten, die interne Vorgänge unterstützen, wie z. B. Frequency Capping, kontextbezogene Werbung, Website-Analyse und Netzwerkkommunikation.“

Das Bundesgesetz legt die Verantwortung von Unternehmen beim Schutz der Online-Daten von Kindern klar fest. Hier sind einige von der FTC vorgeschlagene Standards zur Einhaltung des COPPA:

• COPPA definiert „persönliche Daten„“ als alle Informationen, die zur Identifizierung einer Person verwendet werden können, wie Name, Adresse, E-Mail-Adresse, Telefonnummer oder Sozialversicherungsnummer.
• COPPA gilt für Informationen, die von Kindern über Websites, Apps und andere Onlinedienste erhoben werden. Dazu gehören alle Websites und Onlinedienste, die wissentlich personenbezogene Daten von Kindern erheben, darunter soziale Netzwerke, Online-Gaming-Websites, Websites mit Themen, die Kinder interessieren, und sogar Websites mit an Kinder gerichteter Werbung.
• Jede Website, App, Microsite, jeder Abschnitt einer Website oder jede Art von Onlinedienst, der Kinder anspricht, gilt als an Kinder gerichtet.
• COPPA schreibt vor, dass Unternehmen Datenschutzrichtlinien anzeigen müssen, in denen angegeben wird, wie personenbezogene Daten verwendet werden.
• Organisationen müssen vor der Erhebung personenbezogener Daten die nachweisbare Zustimmung der Eltern einholen. Darüber hinaus sollten Eltern die Möglichkeit haben, die personenbezogenen Daten ihrer Kinder einzusehen. Das bedeutet, dass sie auf Anfrage vollen Zugriff auf Profile, Datensätze und Anmeldeinformationen erhalten.
• Es wird empfohlen, nur solche personenbezogenen Daten aufzubewahren, die den Zweck ihrer ursprünglichen Erhebung erfüllen, und die Daten anschließend zu vernichten, um die Rechte und die Sicherheit des Kindes zu schützen.

Verwenden Sie diese Checkliste, um sicherzustellen, dass Ihre Organisation die COPPA-Anforderungen erfüllt:

1. Anwendbarkeit bestimmen

Der erste Schritt besteht darin, zu prüfen, ob Ihre Website, App oder Ihr Onlinedienst sich an Kinder unter 13 Jahren richtet oder ob er wahrscheinlich Kinder anspricht, auch wenn er nicht speziell für sie vermarktet wird. Dies gilt auch für Inhalte von Drittanbietern auf Ihrer Website. Gibt es beispielsweise Anzeigen, Spiele oder Videos, die Minderjährige ansprechen könnten?

2. Persönliche Informationen identifizieren

Besitzen Sie gemäß der COPPA-Definition „personenbezogene Daten“ auf Ihrer Plattform? Denken Sie daran, dass dazu nicht nur offensichtliche Dinge wie Namen und Kontaktdaten gehören, sondern auch Identifikatoren wie Geolokalisierungsdaten, Cookies, Geräte-IDs sowie Fotos, Videos und Audioinhalte mit dem Bild oder der Stimme eines Kindes. Sie müssen genau wissen, welche dieser Daten direkt von Ihnen und auch indirekt über Integrationen von Drittanbietern erfasst werden.

3. Erstellen und zeigen Sie eine klare Datenschutzrichtlinie an

Um Transparenz zu gewährleisten, benötigen Sie eine klare und leicht zugängliche Datenschutzrichtlinie. Darin wird dargelegt, welche personenbezogenen Daten Sie erfassen, wie diese verwendet und an Dritte weitergegeben werden. Wenn sich Ihr Dienst an Kinder richtet, sollten Sie ihn außerdem in einfacher, altersgerechter Sprache präsentieren.

4. Holen Sie die ausdrückliche Zustimmung der Eltern ein

Vor der Erhebung personenbezogener Daten müssen Organisationen die nachweisbare Einwilligung der Eltern einholen. Zu den zugelassenen Methoden gehören:

• Unterschriebene Einverständniserklärung
• Kredit-/Debitkartennutzung und -bestätigung
• Telefon- oder Videoanruf
• ID-Kontrollen mit Gesichtserkennungsabgleich
• Wissensbasierte Herausforderungsfragen

Nach der Erteilung müssen Eltern außerdem die Möglichkeit haben, die Daten ihres Kindes jederzeit einzusehen, zu ändern oder zu löschen.

5. Datenminimierung

Obwohl die Einhaltung aller Datenschutzgesetze wichtig ist, ist die Begrenzung der Datenerfassung und -speicherung insbesondere für die Einhaltung des COPPA unerlässlich. Erfassen Sie nur die für den angebotenen Dienst erforderlichen Informationen und nicht mehr. Daten sollten nicht für andere Zwecke (wie z. B. verhaltensbasierte Werbung) erfasst werden. Sobald die erforderlichen Daten ihren Zweck erfüllt haben, sollten Sie sie sofort sicher löschen, um das Risiko eines Missbrauchs zu verringern.

6. Gewähren Sie elterlichen Rechten und Zugang

Eltern haben das Recht, genau zu erfahren, welche Informationen über ihre Kinder gesammelt wurden. Dies bedeutet, dass sie auf Anfrage Zugriff auf Konten, Profile und Datensätze gewähren müssen. Organisationen müssen Eltern außerdem die Möglichkeit geben, ihre Einwilligung zu widerrufen und die dauerhafte Löschung der Daten ihres Kindes zu verlangen.

7. Überwachen Sie Drittanbieterpartner

Wie bereits erwähnt, geht die COPPA-Konformität über Ihre eigenen Aktivitäten hinaus. Wenn Sie externe Dienste (wie Werbetreibende, Analyseanbieter oder Plugins) nutzen, sind Sie weiterhin dafür verantwortlich, dass auch diese die COPPA-Vorgaben einhalten. Prüfen Sie Ihre Partner gründlich, nehmen Sie Compliance-Verpflichtungen in Verträge auf und führen Sie regelmäßige Audits durch, um sicherzustellen, dass die Datenverarbeitung durch Dritte den COPPA-Standards entspricht.

8. Implementieren Sie robuste Sicherheitsmaßnahmen

Kinderdaten müssen durch strenge Sicherheitsprotokolle geschützt werden, da robuste technische und organisatorische Sicherheitsvorkehrungen das Risiko von Datenschutzverletzungen verringern. Beispiele hierfür sind die Verschlüsselung vertraulicher Informationen, die Beschränkung des Zugriffs auf autorisiertes Personal und die Schulung der Mitarbeiter zur Stärkung ihrer Datenschutzverantwortung.

Wie wird COPPA durchgesetzt? Bußgelder und Strafen

Online-Betreiber müssen COPPA einhalten, andernfalls drohen ihnen empfindliche Strafen. Beispielsweise kann die Federal Trade Commission (FTC) COPPA durchsetzen, indem sie Unternehmen pro Verstoß mit Geldstrafen von bis zu 142.530 TP4T pro Verstoß belegt. Unternehmen können zudem mit zivilrechtlichen Sanktionen, Klagen, Strafverfahren und Ermittlungen durch den Generalstaatsanwalt rechnen.

Die höchste Geldstrafe wurde im Jahr 2022 verhängt; Epic Games erklärte sich bereit, eine Strafe von $275 Millionen zu zahlen wegen COPPA-Verstößen. In der Beschwerde hieß es, Epic habe illegal personenbezogene Daten von Kindern unter 13 Jahren gesammelt und es den Eltern erschwert, die Daten löschen zu lassen.

Über Geldstrafen hinaus kann die Nichteinhaltung zu erheblichen Reputationsschäden und einem Verlust des Verbrauchervertrauens führen, was die Bedeutung der Einhaltung der COPPA-Vorschriften unterstreicht.

Warum ist die Einhaltung des COPPA wichtig?

Vertrauen und Sicherheit bewahren

Die Einhaltung der COPPA-Vorschriften ist entscheidend für das Vertrauen der Eltern und die Online-Sicherheit von Kindern. Unternehmen, die sich für den Schutz der Privatsphäre von Kindern einsetzen, zeigen ihre tiefe ethische Verantwortung um sie vor den Gefahren einer unkontrollierten Datensammlung und -ausnutzung zu schützen.

Stärkung der Eltern

COPPA bietet Eltern die nötigen Tools und Sicherheiten, um die Online-Interaktionen ihrer Kinder zu verwalten. Es sorgt für Transparenz und Kontrolle über persönliche Informationen und ermöglicht Eltern, fundierte Entscheidungen über die digitale Präsenz ihrer Kinder zu treffen. Dies fördert die digitale Kompetenz und ein verantwortungsvolles Online-Verhalten innerhalb der Familie.

Förderung einer sicheren digitalen Umgebung

Die Schaffung einer sicheren digitalen Umgebung für Kinder ist von entscheidender Bedeutung. COPPA schützt vor verschiedenen digitalen Bedrohungen wie Datenschutzverletzungen, Identitätsdiebstahl, Online-Betrügern und schädlichen Inhalten. Die Einhaltung der COPPA-Standards gewährleistet, dass Kinder sicher, respektvoll und datenschutzorientiert online sind.

Bahnbrechende ethische Standards

COPPA ist nicht nur eine rechtliche Verpflichtung, sondern auch ein Rahmen für ethische Innovation und verantwortungsvollen Umgang mit digitalen Medien. Die durch dieses Datenschutzgesetz festgelegten Standards unterstützen Unternehmen dabei, verantwortungsvoll zu innovieren und sicherzustellen, dass die Rechte von Kindern bei der Geschäftsentwicklung geachtet und geschützt werden.

Dieses Engagement für ethisches Verhalten stärkt das öffentliche Vertrauen und fördert die Entwicklung von Technologien und Praktiken, die das Wohl der Nutzer in den Vordergrund stellen. COPPA dient dabei als Modell für die Integration ethischer Überlegungen in Geschäftsstrategien und beeinflusst globale Standards für den Online-Datenschutz und die Online-Sicherheit von Kindern.

Interessengruppen und Vorschriften

Zu den Interessenvertretern von COPPA gehören Websitebetreiber, App-Entwickler, Werbetreibende, Eltern und Kinder. Jeder von ihnen trägt dazu bei, diese Standards einzuhalten und verantwortungsvolle Online-Praktiken zu fördern, um jungen Nutzern einen sichereren digitalen Raum zu bieten.

COPPA Safe Harbor-Programm

COPPA Safe Harbor ist eine Bestimmung des Online-Datenschutzgesetzes für Kinder, die es Branchenverbänden und anderen Unternehmen ermöglicht, eigene Selbstregulierungsrichtlinien zur Einhaltung des Gesetzes zu entwickeln. Diese Richtlinien müssen von der Federal Trade Commission (FTC) genehmigt werden. Organisationen, die einem von der FTC genehmigten Safe Harbor-Programm folgen, gelten als COPPA-konform, sofern sie die Richtlinien genau befolgen.

Zu den wichtigsten Aspekten von COPPA Safe Harbor gehören:

• Genehmigung durch die FTC: Die Selbstregulierungsrichtlinien müssen der FTC zur Überprüfung und Genehmigung vorgelegt werden, die beurteilt, ob diese Richtlinien die Anforderungen des COPPA wirksam erfüllen.
• Einhaltung und Durchsetzung: Unternehmen, die an einem Safe-Harbor-Programm teilnehmen, müssen die genehmigten Richtlinien einhalten. Die Organisation, die das Safe-Harbor-Programm verwaltet, ist dafür verantwortlich, die Einhaltung und Durchsetzung der Richtlinien bei den Teilnehmern sicherzustellen.
• Reduzierte Haftung: Stellt sich heraus, dass ein Unternehmen, das an einem Safe-Harbor-Programm teilnimmt, gegen COPPA verstößt, kann die FTC die Teilnahme des Unternehmens am Programm prüfen. Dies könnte zu geringeren Strafen führen als für Unternehmen, die nicht an einem Safe-Harbor-Programm teilnehmen und gegen COPPA verstoßen.
• Verbrauchervertrauen: Die Anzeige einer Safe-Harbor-Zertifizierung kann das Vertrauen der Verbraucher stärken und signalisieren, dass sich der Betreiber für den Schutz der Online-Daten von Kindern einsetzt.

Zu den von der FTC genehmigten Safe Harbor-Programmen zählen beispielsweise Organisationen wie die Bewertungsgremium für Unterhaltungssoftware (ESRB), Die Überprüfungseinheit für Kinderwerbung (CARU)und TrustArc.

Erfüllen Sie die COPPA-Compliance-Anforderungen mit BigID

Unternehmen müssen ihre Verpflichtungen verstehen und die COPPA-Compliance-Anforderungen durchsetzen. Wenn Ihr Unternehmen unter COPPA fällt, sind Sie verpflichtet, die Einhaltung der elterlichen Zustimmung und der Datenschutzanforderungen sicherzustellen. Mit BigID, du kannst:

• Entdecken und klassifizieren alle Daten von Kindern unter 13
• Kartieren und inventarisieren Sie alle Kinderdaten
• Optimieren Sie die Datenflusszuordnung, um Datenschutzrisiken zu überwachen
• Einwilligung und Präferenzen erfassen über Web, Mobilgeräte und Systeme von Drittanbietern hinweg
• Automatisieren Sie die vollständige Erfüllung von Datenrechten, vom Zugriff bis zur Löschung
• Führen Sie Maßnahmen zur Datenminimierung durch, die auf Aufbewahrungsrichtlinien basierend auf einem rechtlichen Zweck
• Führen Sie Datenschutzrisikobewertungen durch, um die Daten von Kindern zu schützen
• Nachweis der Einhaltung von aufschlussreiche Berichterstattung Hervorhebung der Risikominderung

Organisationen sollten ihren Umgang mit Kinderdaten überdenken. Wir tragen Verantwortung gegenüber unserer schwächsten Gruppe von Online-Bürgern. Erfahren Sie, wie BigID Organisationen bei der Einhaltung der COPPA-Compliance-Anforderungen unterstützt – Demo anfordern.

Autor

Verrion Wright

Strategie und Entwicklung von Inhalten

Verrion Wright ist ein sehr erfahrener und ehrgeiziger Vermarkter mit mehr als 20 Jahren Erfahrung in den Bereichen Produktmarketing, Inhaltsentwicklung und digitale Strategie. Mit dem Schwerpunkt auf datengesteuerten Erkenntnissen und integriertem Marketing hatte er leitende Positionen in verschiedenen Branchen inne, darunter IT-Dienstleistungen, Datenschutz, Marketing und Werbung (Medienplanung). Bei BigID ist Verrion Director of Content Strategy and Development und trägt dazu bei, Inhalte über alle Säulen, Regionen und Käufer hinweg zu verbessern, indem er durchgängig überzeugende Inhalte über verschiedene Medien erstellt - darunter Videos, Artikel, Checklisten, Whitepaper und Leitfäden.