Die US-Bundesbehörde Federal Trade Commission (FTC) hat am 19. September einen umfassenden Bericht veröffentlicht, der insbesondere die Datensammlung und -nutzung großer Social-Media- und Video-Streaming-Dienste unter die Lupe nimmt. Das Fazit der Wettbewerbs- und Verbraucherschutzbehörde: Die USA brauchen dringend ein nationales Datenschutzgesetz.
FTC-Bericht über Datenhunger der großen Social-Media-Plattformen
Der Bericht basiert auf einer Untersuchung, die im Dezember 2020 begann, als die FTC insgesamt neun große Unternehmen anordnete, umfassend Auskunft über ihre Datenschutzpraktiken zu geben. Konkret handelt es sich um folgende Unternehmen: Amazon (für die Gaming-Plattform Twitch), Facebook (jetzt Meta Platforms), YouTube, Twitter (jetzt X Corp.), Snap, ByteDance (für die Video-Sharing-Plattform TikTok), Discord, Reddit und WhatsApp.
Ziel war es, herauszufinden, wie diese Plattformen Daten sammeln, speichern und verwenden. Außerdem wurde untersucht, wie die Unternehmen demografische Informationen für Werbezwecke nutzen und welche Maßnahmen zum Schutz von Kindern und Jugendlichen ergriffen werden.
Der Bericht zeigt, dass viele dieser Unternehmen
- riesige Mengen personenbezogener Daten sammeln. Und zwar nicht nur von Nutzern, sondern auch von Nicht-Nutzern, oft mit Hilfe von Datenvermittlern.
- diese Daten auf unbestimmte Zeit speichern, ohne angemessene Löschrichtlinien anzuwenden.
- Daten in großem Umfang weitergeben, was Bedenken hinsichtlich des Schutzes dieser Informationen aufwirft.
- Kinder und Jugendliche nicht ausreichend schützen, indem sie dieselben Datenschutzstandards wie für Erwachsene anwenden.
- Werbetracking-Technologien einsetzen, um auf der Grundlage von Interessen und Vorlieben zielgerichtete Werbung zu schalten.
Alarmierend ist laut FTC-Bericht, dass viele der untersuchten Unternehmen nicht angemessen auf Löschungsbegehren der Nutzer reagiert haben. Zudem werden Tracking-Technologien wie „Pixel“ eingesetzt, um umfangreiche Profile für gezielte Werbemaßnahmen zu erstellen. Kinder und Jugendliche, die besonders schutzbedürftig sind, werden häufig wie Erwachsene behandelt und nicht ausreichend geschützt, obwohl sie erheblichen Risiken wie Identitätsdiebstahl oder Beeinträchtigung ihrer psychischen Gesundheit ausgesetzt sind.
Unternehmen sollen Datenschutzpraktiken anpassen
Die Ergebnisse des Berichts haben weitreichende Konsequenzen für Unternehmen, insbesondere im Hinblick auf die Anpassung ihrer Datenschutzpraktiken und -strategien.
- Stärkere Regulierung und gesetzliche Vorgaben
Der Bericht fordert den Kongress ausdrücklich auf, ein umfassendes nationales Datenschutzgesetz zu verabschieden. Unternehmen müssen damit rechnen, dass künftige Gesetze strengere Anforderungen an die Datensparsamkeit und den Schutz von Verbraucherdaten stellen werden. Dies könnte die geschäftliche Nutzung von Daten durch Unternehmen erheblich einschränken und ihnen gleichzeitig strengere Haftungs- und Compliance-Verpflichtungen auferlegen. - Beschränkung der Datenspeicherung und -weitergabe
Die FTC empfiehlt Unternehmen, klare Richtlinien zur Datensparsamkeit einzuführen. Dazu gehört, dass Daten nur so lange gespeichert werden, wie sie benötigt werden, und dass der Umfang der Datensammlung stark eingeschränkt wird. Unternehmen müssen ihre Speicherpraktiken überprüfen und neue Maßnahmen entwickeln, um sicherzustellen, dass Daten nach Ablauf der erforderlichen Nutzungsdauer gelöscht werden. - Zielgerichtete Werbung einschränken
Der Bericht kritisiert, dass das Geschäftsmodell vieler Unternehmen auf der massiven Sammlung und Monetarisierung von Nutzerdaten durch zielgerichtete Werbung beruht. Unternehmen müssen sich auf strengere Regulierungen einstellen, die die Nutzung personenbezogener Daten für Werbezwecke einschränken könnten, insbesondere im Zusammenhang mit sensiblen Informationen. - Stärkere Kontrolle von Algorithmen und KI- Systemen
Der Einsatz von Algorithmen und künstlicher Intelligenz (KI) zur Verarbeitung und Analyse personenbezogener Daten wurde im Bericht ebenfalls kritisch beleuchtet. Unternehmen, die auf solche Technologien angewiesen sind, müssen mit strengeren Anforderungen an die Transparenz und Kontrolle dieser Systeme rechnen. Es wird erwartet, dass strengere Test- und Kontrollmechanismen eingeführt werden, um Missbrauch oder Fehlverhalten durch automatisierte Systeme zu verhindern. - Verbesserung des Schutzes von Kindern und Jugendlichen
Besonders gravierend ist die Kritik der FTC, dass Unternehmen Kinder und Jugendliche genauso behandeln wie Erwachsene. Viele Unternehmen verlassen sich darauf, dass sich ihre Plattformen formal nicht an Kinder richten. So können sie eine Haftung nach dem Children’s Online Privacy Protection Act (COPPA) vermeiden. Die FTC fordert jedoch, dass Unternehmen anerkennen, dass Kinder und Jugendliche ihre Plattformen nutzen und diese entsprechend schützen. In der Praxis könnte dies bedeuten, dass Unternehmen zusätzliche Datenschutzmaßnahmen für jüngere Nutzer ergreifen und in Zukunft strengere Vorschriften zu Altersbeschränkungen und elterlicher Zustimmung einhalten müssen. - Erhöhtes Risiko der Marktbeherrschung
Der Bericht weist auch darauf hin, dass die massenhafte Sammlung von Nutzerdaten einigen Unternehmen eine marktbeherrschende Stellung verschafft. Unternehmen, die große Datenmengen verwalten, könnten in Zukunft einer stärkeren Wettbewerbskontrolle unterliegen, insbesondere wenn dies zu Wettbewerbsverzerrungen und einer Einschränkung der Wahlmöglichkeiten der Verbraucher führt.
Lese-Tipp: EuGH-Urteil zu DSGVO-Bußgeldern – welches Ermessen hat eine Datenschutzbehörde?
Empfehlungen der FTC
Die FTC hat in ihrem Bericht eine Reihe von Empfehlungen für Unternehmen und Gesetzgeber formuliert. Die Kernpunkte dieser Empfehlungen sind:
- Die Notwendigkeit eines umfassenden Bundesdatenschutzgesetzes für die USA.
- Unternehmen sollten Daten nur so lange wie nötig speichern und eine klare und verständliche Datenschutzpolitik verfolgen.
- Der Einsatz von in die Privatsphäre eingreifenden Technologien wie Ad-Tracking sollte deutlich eingeschränkt werden.
- Der Schutz von Kindern und Jugendlichen muss über das gesetzliche Mindestmaß hinausgehen, mit besonderem Augenmerk auf den Schutz der Privatsphäre und der psychischen Gesundheit.
Für Unternehmen ist es entscheidend, ihre Datenschutzpraktiken an diese Empfehlungen anzupassen. Und das nicht nur, um regulatorische Sanktionen zu vermeiden, sondern auch um das Vertrauen der Verbraucher in einer zunehmend datenschutzbewussten Gesellschaft zu erhalten. Wer jetzt handelt, kann zukünftige gesetzliche Anforderungen bereits in seine Unternehmensstrategie integrieren und sich langfristig Wettbewerbsvorteile sichern.