Ab 2025 Gesetz zum Schutz der Online-Privatsphäre von Kindern (COPPA) wurde die umfangreichste Aktualisierung seit über einem Jahrzehnt erfahren und verändert den Umgang von Unternehmen mit Kinderdaten im Internet. Die FTC hat am 16. Januar 2025 wesentliche Änderungen am COPPA beschlossen. Die neuen Regeln der Federal Trade Commission (FTC) markieren einen grundlegenden Wandel von statischen Compliance-Checklisten hin zu dynamischer, proaktiver Datenverwaltung. Mit neuen regulatorischen Definitionen, verbindlichen Kontrollen und erweiterten Durchsetzungsbefugnissen müssen Apps und Websites, die Einnahmen aus der Erhebung, Weitergabe und dem Verkauf personenbezogener Daten von Kindern erzielen, ihren Umgang mit Einwilligung, Datenspeicherung, Sicherheit und Werbepraktiken für Nutzer unter 13 Jahren überdenken.
Lassen Sie uns einen Blick auf die neuesten COPPA-Regeländerungen werfen und erfahren, was sie für Ihr Unternehmen bedeuten und welche künftigen Gesetze möglicherweise in Sicht sind.
Wichtige COPPA-Regeländerungen 2025: Was ist neu und was hat sich geändert?
Die FTC veröffentlichte die endgültigen Änderungen der COPPA-Regel am 22. April 2025. Die veröffentlichten Änderungen treten am 23. Juni 2025 in Kraft. Betreiber haben bis zum 22. April 2026 Zeit, die vollständige Einhaltung zu erreichen. Nachfolgend finden Sie die neuen Änderungen am COPPA.
1. Obligatorisches Opt-In für gezielte Werbung
Nach der aktualisierten Regelung müssen Unternehmen eine separate, überprüfbare Zustimmung der Eltern einholen, bevor sie die Daten eines Kindes für gezielte Werbung verwenden. Dies gilt für Erst- und Drittanbieter-Werbesysteme und erfordert detaillierte Zustimmungsmechanismen.
Was es bedeutet: Unternehmen können die Zustimmung nicht mehr in allgemeine Servicebedingungen bündeln oder sich bei der Monetarisierung auf konkludente Zustimmung verlassen. Separate Workflows für Kernfunktionen und Werbung sind heute unerlässlich.
2. Erweiterte Definition personenbezogener Daten
Der Geltungsbereich von COPPA schließt nun ausdrücklich Geolokalisierungsdaten und biometrische Identifikatoren wie Gesichtserkennung, Stimmabdrücke, Fingerabdrücke und Netzhautscans ein.
Was es bedeutet: Plattformen, die Video- und Audiodaten erfassen oder KI/ML zur Personalisierung oder Moderation verwenden, müssen diese Eingaben als regulierte Daten behandeln und sicherstellen, dass sie nur mit gültiger Zustimmung erfasst, gespeichert und verwendet werden.
3. Verbindliche schriftliche Sicherheitsprogramme
Organisationen müssen ein formelles, schriftliches Datensicherheitsprogramm implementieren und aufrechterhalten, das administrative, technische und physische Schutzmaßnahmen umfasst.
Was es bedeutet: Unternehmen können nicht länger vage oder ad-hoc getroffene Sicherheitsmaßnahmen vorweisen. Die Aufsichtsbehörden werden nach dokumentierten Richtlinien, Audits, Protokollen von Sicherheitsverletzungen und Nachweisen technischer Kontrollen zum Schutz von Kinderdaten suchen.
4. Strengere Aufbewahrungs- und Löschrichtlinien
COPPA verpflichtet Unternehmen nun dazu, personenbezogene Daten nur so lange aufzubewahren, wie es für den spezifischen Zweck, für den sie erhoben wurden, erforderlich ist, und schreibt anschließend eine sichere Entsorgung vor.
Was es bedeutet: Unbefristete Speicherung ist nicht länger akzeptabel. Unternehmen benötigen eine richtlinienbasierte Datenaufbewahrung und automatisierte Lösch-Workflows.
5. Beschränkungen der Schulzulassung
Die aktualisierte Regelung stellt klar, dass Schulen die Datennutzung über Bildungszwecke hinaus nicht genehmigen dürfen und dass für die Verwendung von Kinderdaten zu kommerziellen Zwecken weiterhin die Zustimmung der Eltern erforderlich ist.
Was es bedeutet: EdTech-Anbieter müssen die Art und Weise überdenken, wie sie die von Schulen erhaltenen Daten verwenden und die lernbezogene Nutzung von der Monetarisierung oder Analyse trennen.
6. Durchsetzung der Datenfreigabe durch Dritte
Die FTC betonte die Verantwortung von Drittpartnern, die Daten von Kindern erhalten. Von den primären Betreibern wird nun erwartet, die Weiterverwendung zu überwachen und einzuschränken.
Was es bedeutet: Cookie-Synchronisierung, Analysen und Plug-Ins müssen überprüft werden und Datenfreigabevereinbarungen müssen die COPPA-Einschränkungen widerspiegeln.
Die Zukunft von COPPA: Beobachtung der Gesetzgebung und Branchentrends
Die Regeländerungen von 2025 sind zwar bedeutsam, könnten aber nur der Anfang sein. Folgendes könnte als Nächstes kommen:
1. Mögliche Überarbeitungen durch den Kongress (COPPA 2.0 oder KOSA)
Es wurden zahlreiche Vorschläge unterbreitet, darunter COPPA 2.0 und die Gesetz zur Online-Sicherheit von Kindern (KOSA). Diese zielen darauf ab:
- Erhöhung des Schutzalters auf 16 Jahre
- Gezielte Werbung für Minderjährige vollständig verbieten
- Durchsetzung von Sorgfaltspflichtstandards für algorithmische Schäden
- Erweitern Sie private Klagerechte
- Während KOSA im Kongress ins Stocken geraten ist, könnte die Dynamik auf Bundesstaatsebene das Interesse neu entfachen.
2. Landesweite Gesetze zum Schutz der Privatsphäre von Kindern
- Staaten wie Kalifornien und Connecticut entwickeln ihre Versionen der Datenschutzgesetze für Kinder weiter und gehen dabei oft über den Umfang des COPPA hinaus.
- Unternehmen, die US-amerikanische Kinder betreuen, müssen sich möglicherweise bald an ein Flickwerk von Gesetzen halten, was eine adaptive Steuerung erfordert.
3. Verstärkte Durchsetzung und Strafen durch die FTC
- Die FTC hat erklärt, dass sie die neuen Regeln energisch durchsetzen wird. Frühere Vereinbarungen (z. B. Epische Spiele, TikTok, YouTube) erreichte Hunderte Millionen.
- Mit einer erweiterten Definition personenbezogener Daten und einer besseren Transparenz bei Verstößen werden die Durchsetzungsmaßnahmen wahrscheinlich zunehmen.
4. Grenzüberschreitender Einfluss: DSGVO-K und internationales Recht
- Globale Trends wie der Schutz von Kindern durch die DSGVO (insbesondere Artikel 8) und ähnliche Vorschriften aus Großbritannien, Südkorea und Indien könnten künftige regulatorische Maßnahmen in den USA beeinflussen.
Was es für Ihr Unternehmen bedeutet
Unternehmen, die Dienste für Kinder anbieten oder Daten von Nutzern unter 13 Jahren erfassen, müssen nun:
- Zustimmungs-Workflows erneut prüfen und trennen
- Überprüfen und Zuordnen von Datenflüssen für untergeordnete Daten
- Überwachen Sie Integrationen von Drittanbietern und die Nutzung von Ad-Tech
- Implementieren Sie formelle Sicherheits- und Aufbewahrungsrichtlinien
- Erstellen Sie auditfähige Systeme für Einwilligung, Löschung und Meldung von Verstößen
Wer Compliance als einmaliges Projekt behandelt, setzt sich einem zunehmenden Risiko aus. Datenschutz ist heute eine operative Funktion, die in die Produkt-, Marketing-, Entwicklungs- und Rechtsteams integriert werden muss.
Wie BigID Sie auf die Zukunft von COPPA vorbereitet
Die Zukunft von COPPA erfordert mehr Transparenz, Verantwortlichkeit und Kontrolle. Ob Technologieplattform, Spieleentwickler, Bildungs-App oder Content-Anbieter – Ihr Umgang mit Kinderdaten muss sich weiterentwickeln.
BigID ist die erste und einzige Datensicherheits- und Datenschutzplattform, die Unternehmen hilft Entdecken, Verwalten und Schützen von Kinderdaten über ihr gesamtes Ökosystem hinweg. So unterstützt BigID die Einhaltung des COPPA:
- Entdecken und klassifizieren Sie persönliche und sensible Daten von Kindern – einschließlich Identifikatoren, biometrischen Daten und Geolokalisierungsdaten
- Automatisieren Sie Workflows zur elterlichen Zustimmung mit überprüfbaren Protokollen
- Verwalten der Freigabe durch Dritte Risiken bei der Datenflussabbildung
- Anwenden richtlinienbasierter Aufbewahrung und sicherer Löschung
- Unterstützung der schriftlichen Implementierung von Sicherheitsprogrammen durch Risikoberichterstattung und Vorfallverfolgung
Seien Sie Compliance-Risiken einen Schritt voraus und bauen Sie mit BigID digitales Vertrauen auf. Planen Sie ein 1:1-Gespräch, um mehr darüber zu erfahren, wie BigID die COPPA-Konformität unterstützt.
Autor
