Kinder sind eine schnell wachsende Online-Bevölkerung und stellen ein erhebliches Datenschutzproblem dar, da sie keine rechtliche Zustimmung zur Verwendung ihrer Daten geben können. Aus diesem Grund schreibt COPPA strenge Zustimmungsanforderungen vor.
Infolgedessen haben die Gesetzgeber Regelungen entwickelt oder eingeführt, um junge Menschen vor potenziellem Missbrauch und Datenschutzverletzungen zu schützen. Die Europäische Union Allgemeine Datenschutzverordnung (GDPR) enthält auch spezielle Bestimmungen zum Datenschutz bei Kindern.
Allerdings Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA) wurde speziell für minderjährige Benutzer entwickelt.
Was ist COPPA?
COPPA-Konformität ist ein US-amerikanisches Datenschutzgesetz, das von der Federal Trade Commission (FTC) durchgesetzt wird. Es regelt die Erfassung personenbezogener Daten von Kindern unter 13 Jahren über Online- und digitale Dienste wie Websites, Anzeigen und Apps.
Die Datenschutzgesetz von 1998 COPPA ist ein wichtiger Bestandteil des Verbraucherschutzes. Ursprünglich konzentrierte sich COPPA auf grundlegende Informationen, die von Websites für Kinder online gesammelt wurden. Mit dem technologischen Fortschritt wurde COPPA jedoch 2013 geändert, um neuere Daten und Technologien wie Geolokalisierung, Fotos, Videos, mobile Apps und soziale Netzwerke einzubeziehen. Dadurch wurde der Schutz der Online-Datenschutzrechte von Kindern erweitert und gestärkt.
Alle Online-Unternehmen, -Aktivitäten oder -Marketingkampagnen mit Online-Datenerfassung, die sich an Kinder unter 13 Jahren richten, unterliegen den COPPA-Bestimmungen.
Wichtige Bestimmungen des COPPA
Das Gesetz stellt bestimmte Anforderungen an Betreiber von Websites oder Online-Diensten, die sich an Kinder richten, sowie an Betreiber anderer Websites oder Online-Dienste, die wissentlich personenbezogene Daten von Kindern sammeln. Hier sind die wichtigsten Bestimmungen.
Zustimmung der Eltern
Die Betreiber müssen nachweisbare Zustimmung der Eltern bevor personenbezogene Daten eines Kindes online erhoben, verwendet oder weitergegeben werden. Das bedeutet, dass Betreiber vor jeder Datenerfassung bestimmte Schritte unternehmen müssen, um sicherzustellen, dass sie die Erlaubnis der Eltern oder Erziehungsberechtigten des Kindes eingeholt haben.
Die Daten, die sie sammeln, müssen nachweislich mit der ausdrücklichen Zustimmung der Eltern erfolgen. Dies kann beispielsweise durch das Versenden von Einverständniserklärungen an die Eltern, das Erfordernis einer Kreditkartentransaktion zur Verifizierung oder die Verwendung eines amtlichen Ausweises zur Bestätigung der Identität der Eltern geschehen.
Durch diesen Prozess wird sichergestellt, dass die Eltern über die Erfassung und Verwendung der persönlichen Daten ihres Kindes informiert sind und damit einverstanden sind. Dadurch wird die Privatsphäre der Kinder geschützt und den Eltern wird die Kontrolle über die Online-Präsenz ihres Kindes gegeben.
Datenschutzbestimmungen
Websites und Online-Dienste müssen eine klare und umfassende Datenschutzerklärung Detaillierte Informationen zum Umgang mit personenbezogenen Daten von Kindern. Diese Richtlinie sollte leicht zugänglich und in einer für Eltern und Kinder verständlichen Sprache verfasst sein. Sie sollte darlegen, welche Informationen erhoben, wie sie verwendet und an wen sie weitergegeben werden und wie Eltern die Erhebung und Verwendung der Daten ihres Kindes kontrollieren können.
Durch die Bereitstellung dieser Transparenz helfen die Betreiber den Eltern, fundierte Entscheidungen darüber zu treffen, ob sie ihren Kindern die Nutzung eines bestimmten Dienstes oder einer bestimmten Website gestatten.
Einschränkungen der Datenerfassung
Die Online-Erhebung personenbezogener Daten von Kindern unter 13 Jahren sollte auf das für die Nutzung der Website oder des Dienstes erforderliche Maß beschränkt sein. Das bedeutet, dass Betreiber nur die Mindestmenge an Daten erheben sollten, die für die Bereitstellung des von einem Kind genutzten Dienstes oder der Funktion erforderlich ist.
Wenn beispielsweise für ein Spiel Benutzername und Passwort erforderlich sind, sollte der Betreiber keine zusätzlichen Angaben wie Wohnadresse oder Sozialversicherungsnummer verlangen. Diese Einschränkung trägt zum Schutz der Privatsphäre von Kindern bei, da die Menge ihrer persönlichen Daten, die preisgegeben werden, reduziert wird.
Recht auf Einsichtnahme und Löschung
Eltern können auf die gesammelten personenbezogenen Daten ihres Kindes zugreifen und deren Löschung verlangen. Dieses Recht ermöglicht es Eltern, zu sehen, welche Daten über ihr Kind gesammelt wurden, und Maßnahmen zu ergreifen, wenn sie mit der Speicherung oder Verwendung dieser Daten nicht einverstanden sind.
Dadurch wird sichergestellt, dass Eltern die Kontrolle über den digitalen Fußabdruck ihres Kindes haben und die Privatsphäre ihres Kindes schützen können, indem sie dessen persönliche Daten verwalten.
Sicherheitsmaßnahmen
Online-Dienste, die Daten von Kindern online erfassen, müssen angemessene Verfahren zum Schutz der Integrität, Vertraulichkeit und Sicherheit der erfassten personenbezogenen Daten implementieren, insbesondere wenn diese online von Kindern erhoben werden. Sie müssen über technische, administrative und physische Sicherheitsvorkehrungen verfügen, um unbefugten Zugriff, Weitergabe oder Missbrauch der Daten zu verhindern.
Beispiele hierfür sind Verschlüsselung, sichere Server, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen. Mit robusten Sicherheitsmaßnahmen können Betreiber die persönlichen Daten von Kindern vor Datenlecks, Identitätsdiebstahl und anderen Cyberbedrohungen schützen und gleichzeitig die COPPA-Vorschriften einhalten.

So halten Sie die COPPA-Regeln ein
Die Datenerfassung von Kindern unter 13 Jahren ist nicht verboten, Organisationen müssen jedoch bestimmte Richtlinien befolgen, um die COPPA-Regeln einzuhalten. Die FTC erklärt: „Das Gesetz verpflichtet Betreiber von Websites oder Online-Diensten, die sich an Kinder unter 13 Jahren richten, vor der Datenerfassung eine nachweisbare elterliche Zustimmung einzuholen. Ausnahmen gelten für Aktivitäten, die interne Vorgänge unterstützen, wie z. B. Frequency Capping, kontextbezogene Werbung, Website-Analyse und Netzwerkkommunikation.“
Das Bundesgesetz legt die Verantwortung von Unternehmen beim Schutz der Online-Daten von Kindern klar fest. Hier sind einige von der FTC vorgeschlagene Standards zur Einhaltung des COPPA:
- COPPA definiert „persönliche Daten„“ als alle Informationen, die zur Identifizierung einer Person verwendet werden können, wie Name, Adresse, E-Mail-Adresse, Telefonnummer oder Sozialversicherungsnummer.
- COPPA gilt für Informationen, die von Kindern über Websites, Apps und andere Onlinedienste erhoben werden. Dazu gehören alle Websites und Onlinedienste, die wissentlich personenbezogene Daten von Kindern erheben, darunter soziale Netzwerke, Online-Gaming-Websites, Websites mit Themen, die Kinder interessieren, und sogar Websites mit an Kinder gerichteter Werbung.
- Jede Website, App, Microsite, jeder Abschnitt einer Website oder jede Art von Onlinedienst, der Kinder anspricht, gilt als an Kinder gerichtet.
- COPPA schreibt vor, dass Unternehmen Datenschutzrichtlinien anzeigen müssen, in denen angegeben wird, wie personenbezogene Daten verwendet werden.
- Organisationen müssen vor der Erhebung personenbezogener Daten die nachweisbare Einwilligung der Eltern einholen. Darüber hinaus sollten Eltern die Möglichkeit haben, die personenbezogenen Daten ihrer Kinder einzusehen. Das bedeutet auf Anfrage vollen Zugriff auf Profile, Datensätze und Anmeldeinformationen.
- Es wird empfohlen, nur solche personenbezogenen Daten aufzubewahren, die den Zweck ihrer ursprünglichen Erhebung erfüllen, und die Daten anschließend zu vernichten, um die Rechte und die Sicherheit des Kindes zu schützen.
COPPA-Bußgelder und -Strafen
Online-Betreiber müssen COPPA einhalten, andernfalls drohen ihnen empfindliche Strafen. Beispielsweise kann die Federal Trade Commission (FTC) COPPA durchsetzen und Unternehmen mit Geldstrafen von bis zu 142.530.000 US-Dollar pro Verstoß belegen. Unternehmen können zudem mit Zivilklagen, Strafverfahren und Ermittlungen der Generalstaatsanwaltschaft rechnen.
Die höchste Geldstrafe wurde im Jahr 2022 verhängt; Epic Games erklärte sich bereit, eine Strafe von $275 Millionen zu zahlen wegen COPPA-Verstößen. In der Beschwerde hieß es, Epic habe illegal personenbezogene Daten von Kindern unter 13 Jahren gesammelt und es den Eltern erschwert, die Daten löschen zu lassen.
Über Geldstrafen hinaus kann die Nichteinhaltung zu erheblichen Reputationsschäden und einem Verlust des Verbrauchervertrauens führen, was die Bedeutung der Einhaltung der COPPA-Vorschriften unterstreicht.
Warum ist die Einhaltung des COPPA wichtig?
Vertrauen und Sicherheit bewahren
Die Einhaltung der COPPA-Vorschriften ist entscheidend, um das Vertrauen der Eltern zu erhalten und die Online-Sicherheit von Kindern zu gewährleisten. Unternehmen, die sich für den Schutz der Privatsphäre von Kindern einsetzen, zeigen ihr tiefes ethische Verantwortung um sie vor den Gefahren einer unkontrollierten Datensammlung und -ausnutzung zu schützen.
Stärkung der Eltern
COPPA bietet Eltern die nötigen Werkzeuge und Sicherheiten, um die Online-Interaktionen ihrer Kinder zu verwalten. Es sorgt für Transparenz und Kontrolle über persönliche Informationen und ermöglicht Eltern, fundierte Entscheidungen über die digitale Präsenz ihrer Kinder zu treffen. Dies fördert die digitale Kompetenz und ein verantwortungsvolles Online-Verhalten innerhalb der Familie.
Förderung einer sicheren digitalen Umgebung
Die Schaffung einer sicheren digitalen Umgebung für Kinder ist entscheidend. COPPA schützt vor verschiedenen digitalen Bedrohungen wie Datenschutzverletzungen, Identitätsdiebstahl, Online-Betrügern und schädlichen Inhalten. Die Einhaltung der COPPA-Standards gewährleistet, dass Kinder sicher, respektvoll und datenschutzorientiert online sind.
Bahnbrechende ethische Standards
COPPA ist nicht nur eine rechtliche Verpflichtung, sondern auch ein Rahmen für ethische Innovation und verantwortungsvollen Umgang mit digitalen Medien. Die durch dieses Datenschutzgesetz festgelegten Standards unterstützen Unternehmen dabei, verantwortungsvoll zu innovieren und sicherzustellen, dass die wirtschaftlichen Fortschritte die Rechte von Kindern respektieren und schützen.
Dieses Engagement für ethisches Verhalten stärkt das öffentliche Vertrauen und fördert die Entwicklung von Technologien und Praktiken, die das Wohl der Nutzer in den Vordergrund stellen. COPPA dient dabei als Modell für die Integration ethischer Überlegungen in Geschäftsstrategien und beeinflusst globale Standards für den Online-Datenschutz und die Online-Sicherheit von Kindern.
Interessengruppen und Vorschriften
Zu den Interessenvertretern von COPPA gehören Websitebetreiber, App-Entwickler, Werbetreibende, Eltern und Kinder. Jeder von ihnen trägt dazu bei, diese Standards einzuhalten und verantwortungsvolle Online-Praktiken zu fördern, um jungen Nutzern einen sichereren digitalen Raum zu bieten.
COPPA Safe Harbor-Programm
COPPA Safe Harbor ist eine Bestimmung des Online-Datenschutzgesetzes für Kinder, die es Branchenverbänden und anderen Unternehmen ermöglicht, eigene Selbstregulierungsrichtlinien zur Einhaltung des Gesetzes zu entwickeln. Diese Richtlinien müssen von der Federal Trade Commission (FTC) genehmigt werden. Organisationen, die einem von der FTC genehmigten Safe Harbor-Programm folgen, gelten als COPPA-konform, sofern sie die Richtlinien genau befolgen.
Zu den wichtigsten Aspekten von COPPA Safe Harbor gehören:
- Genehmigung durch die FTC: Die Selbstregulierungsrichtlinien müssen der FTC zur Überprüfung und Genehmigung vorgelegt werden, die beurteilt, ob diese Richtlinien die Anforderungen des COPPA wirksam erfüllen.
- Einhaltung und Durchsetzung: Unternehmen, die an einem Safe-Harbor-Programm teilnehmen, müssen die genehmigten Richtlinien einhalten. Die Organisation, die das Safe-Harbor-Programm verwaltet, ist dafür verantwortlich, die Einhaltung und Durchsetzung der Richtlinien bei den Teilnehmern sicherzustellen.
- Reduzierte Haftung: Stellt sich heraus, dass ein Unternehmen, das an einem Safe-Harbor-Programm teilnimmt, gegen COPPA verstößt, kann die FTC die Teilnahme des Unternehmens am Programm prüfen. Dies könnte zu geringeren Strafen führen als für Unternehmen, die nicht an einem Safe-Harbor-Programm teilnehmen und gegen COPPA verstoßen.
- Verbrauchervertrauen: Die Anzeige einer Safe-Harbor-Zertifizierung kann das Vertrauen der Verbraucher stärken und signalisieren, dass sich der Betreiber für den Schutz der Online-Daten von Kindern einsetzt.
Zu den von der FTC genehmigten Safe Harbor-Programmen zählen beispielsweise Organisationen wie die Bewertungsgremium für Unterhaltungssoftware (ESRB), Die Überprüfungseinheit für Kinderwerbung (CARU)und TrustArc.
Erreichen Sie COPPA-Konformität mit BigID
Unternehmen müssen ihre Verpflichtungen verstehen und die COPPA-Compliance-Anforderungen durchsetzen. Wenn Ihr Unternehmen unter COPPA fällt, sind Sie verpflichtet, die Einhaltung der elterlichen Zustimmung und der Datenschutzanforderungen sicherzustellen. Mit BigID, du kannst:
- Entdecken und klassifizieren alle Daten von Kindern unter 13
- Karte und Inventar alle Daten von Kindern
- Optimieren Sie die Datenflusszuordnung, um Datenschutzrisiken zu überwachen
- Einwilligung und Präferenzen erfassen über Web, Mobilgeräte und Systeme von Drittanbietern hinweg
- Automatisieren Sie die vollständige Erfüllung von Datenrechten, vom Zugriff bis zur Löschung
- Führen Sie Maßnahmen zur Datenminimierung durch, die auf Aufbewahrungsrichtlinien basierend auf einem rechtlichen Zweck
- Benehmen Datenschutzrisikobewertungen zum Schutz der Daten von Kindern
- Nachweis der Einhaltung von aufschlussreiche Berichterstattung Hervorhebung der Risikominderung
Organisationen sollten ihren Umgang mit Kinderdaten überdenken. Wir tragen Verantwortung gegenüber unserer schwächsten Gruppe von Online-Bürgern. Erfahren Sie, wie BigID Organisationen bei der Einhaltung der COPPA-Compliance-Anforderungen unterstützt – Demo anfordern.