14. September 2018
Anastasia Bergstern

Eine Klage des Generalstaatsanwalts von New Mexico (USA) wirft einem populären App-Anbieter, sowie Online-Werbeunternehmen vor, die von Google und Twitter betrieben werden, dass sie Kinderrechte verletzen.

Auch in Deutschland könnte dieses Thema die Gerichte beschäftigen

Was war geschehen: Bevor Kim Slingerland die Fun Kid Racing App für ihren damals 5-jährigen Sohn Shane herunter lud, überprüfte sie, ob sie im Familienbereich des Google Play Store lag und als altersgerecht eingestuft wurde. Das Spiel, in dem Kinder Cartoon-Autos mit Tieren als Fahrern steuern, wurde millionenfach heruntergeladen. Bis letzten Monat teilte die App die Nutzerdaten mehr als einem halben Dutzend Werbe- und Online-Tracking-Unternehmen mit, manchmal sogar den genauen Standort der Geräte. Am Dienstagabend reichte der Generalstaatsanwalt von New Mexico eine Klage ein, in der er behauptete, der Hersteller von Fun Kid Racing habe durch Dutzende von Android-Apps, die die Daten von Kindern teilten, gegen das Bundeskinderschutzgesetz verstoßen. „Ich denke nicht, dass es richtig ist“, sagte Frau Slingerland, die Mutter von drei Kindern in Alberta, Kanada. „Ich glaube nicht, dass das etwas mit ihrem Geschäft, ihrer Lage oder so etwas zu tun hat.“

Das, was passiert, ist in USA verboten

Die Klage beschuldigt den App-Hersteller Tiny Lab Productions, zusammen mit Online-Werbeunternehmen von Google, Twitter und drei anderen Unternehmen, ein Gesetz zu missachten, das verhindern soll, dass die persönlichen Daten von Kindern unter 13 in die Hände von Fremden, Hackern und manipulative Vermarktern geraten. Eine offizielle Analyse ergab, dass Kinder-Apps anderer Entwickler ebenfalls Daten sammelten. Die Überprüfung von 20 Kinder-Apps – jeweils 10 auf Google Android und Apple iOS – fand Beispiele auf beiden Plattformen, die Daten an Tracking-Unternehmen schickten und möglicherweise gegen das Datenschutzgesetz von Kindern verstoßen. Die iOS-Apps haben insgesamt weniger Daten gesendet. Diese Ergebnisse stimmen mit denen überein, die im Frühjahr von akademischen Forschern veröffentlicht wurden, die fast 6.000 kostenlose Android-Apps für Kinder analysiert haben. Sie berichteten, dass mehr als die Hälfte der Apps, einschließlich denen von Tiny Lab, Details mit externen Unternehmen in einer Art und Weise geteilt haben, die möglicherweise gegen das Gesetz verstoßen haben. Obwohl Bundesgesetze nicht viele digitale Datenschutzbestimmungen für Erwachsene vorsehen, gibt es Schutzmaßnahmen für Kinder unter 13 Jahren. Das Online-Datenschutzgesetz für Kinder schützt sie vor unangemessener Verfolgung, auch zu Werbezwecken. Ohne explizite, nachprüfbare Erlaubnis von Eltern dürfen Kinderseiten und Apps keine persönlichen Daten wie Namen, E-Mail-Adressen, Geolokalisierungsdaten und Tracking-Codes wie „Cookies“ erfassen, wenn sie für gezielte Werbung verwendet werden. Aber die New-Mexico-Klage und die Analysen von Apps für Kinder legen nahe, dass einige App-Entwickler, Ad-Tech-Unternehmen und App-Stores die Privatsphäre der Kinder nicht schützen. „Diese hoch entwickelten Tech-Unternehmen kontrollieren sich nicht selbst“, sagte der Generalstaatsanwalt von New Mexico, Hector Balderas. „Die Kinder dieses Landes zahlen letztendlich den Preis.“

Jessica Rich, eine ehemalige Verbraucherschutzdirektorin bei der Federal Trade Commission, nannte die Ergebnisse „signifikant und beunruhigend“. Sie dokumentieren, „dass die“ sicheren Räume „für Kinder in den Apps-Shops überhaupt nicht sicher sind.“ Ein Google-Sprecher, Aaron Stein, sagte, dass Entwickler dafür verantwortlich sind, zu erklären, ob ihre Apps in erster Linie für Kinder bestimmt sind, und dass Apps im Familienbereich des Shops „strengeren Richtlinien entsprechen müssen“. Ein Twitter-Sprecher sagte, dass die Werbeplattform des Unternehmens, MoPub, nicht erlaubt, seine Dienste zu nutzen, um Informationen von Kinder-Apps für gezielte Werbung zu sammeln, und dass es den Hersteller von Fun Kid Racing im September 2017 wegen Verstoßes gegen seine Richtlinien suspendiert hat. Jonas Abromaitis, Gründer des in Litauen ansässigen Tiny Lab, sagte, er glaube, er habe das Gesetz und die Anforderungen von Google befolgt, da die App nach dem Alter der Nutzer fragte und diejenigen ausfindig machte, die sich als 13 ausgewiesen hatten. „Wir dachten, wir würden alles richtig machen. „Übrigens“, sagte er. „Dutzende Unternehmen verfolgen nun die Konsumenten auf ihren Handys, um Verhaltensprofile zu erstellen, die die Anzeige der angezeigten Anzeigen unterstützen. Zwei der größten sind AdMob und MoPub“.

Kinder unter 13 Jahren müssen besonders geschützt werden

Um Geld zu verdienen, haben App-Entwickler im Allgemeinen zwei Möglichkeiten: Sie können kostenlose Apps veröffentlichen, die von Anzeigen unterstützt werden, oder Nutzer Kosten berechnen. Aber Kinder haben nicht das Geld, um Einkäufe zu tätigen, und nach Bundesrecht können sie nicht für das Anzeigen-Targeting erfasst werden. Hunderte von App-Entwicklern machen mobile Apps für Kinder. Einige von ihnen verkaufen Anzeigen in ihren Apps, um Geld zu verdienen.

Die App-Industrie habe Probleme gehabt, sich an Kinder anzupassen, sagte Dylan Collins, der Geschäftsführer von SuperAwesome, einem Technologieunternehmen, das Unternehmen hilft, Apps für Kinder zu entwickeln, ohne sie auszuspähen. Collins sagte, einige Top-Kinder-App-Hersteller hätten damit begonnen, Eltern für Abonnements zu belasten oder Anzeigen zu zeigen, die kein Tracking verwenden. Aber kleine Entwickler verkaufen in der Regel weniger Abonnements und verkaufen nicht immer genug Werbung mit nur kinderfreundlichen Werbenetzwerken. „Infolgedessen werden immer noch sehr viele Daten über Kinder gesammelt“, sagte er. Im Jahr 2013 führte Apple in seinem App Store eine Kinderabteilung ein. Es sagte den Entwicklern, dass sie, um dort aufgeführt zu werden, „kein Tracking über Websites oder über Apps hinweg machen könnten“. Apple sagt den Eltern, dass sie jede App überprüfen würden.

Google führte 2015 ein ähnliches Programm namens „Designed for Families“ ein. Das Unternehmen informierte Android-Entwickler, dass Apps, die „in erster Linie auf Kinder ausgerichtet sind und dass Entwickler bestätigen müssen, dass ihre Apps dem Datenschutzgesetz der Kinder entsprechen. Google hat erklärt, dass es seinen Familienbereich entwickelt hat, um Eltern dabei zu helfen, „geeignete, vertrauenswürdige und qualitativ hochwertige Apps“ für ihre Kinder zu finden. „Für Kinder“ gegenüber „Für Familien“.

Abromaitis, der Gründer des Tiny Lab, gründete 2013 Fun Kid Racing, nachdem er erfolglos nach einem Rennspiel für seinen 3-jährigen Neffen gesucht hatte. Andere Tiny Lab Apps beinhalten einfache Spiele mit Titeln wie Run Cute Little Pony. Dennoch sagte Abromaitis in einem Interview, dass die Apps des Unternehmens auf „gemischtes Publikum“ ausgerichtet seien, wobei Kinder unter 13 Jahren nur einen Teil des Marktes bildeten. Die Unterscheidung ist wichtig: Nach dem Datenschutzgesetz ist es Apps für jüngere Kinder untersagt, Nutzer ohne Zustimmung der Eltern für Anzeigen zu finden, aber solche, die für ein allgemeines Publikum bestimmt sind, können Spieler nach ihrem Alter fragen und ältere Nutzer ansprechen.

Als Tiny Lab Apps in den Store von Google einreichte, deutete dies darauf hin, dass sie für Familien und nicht nur für Kinder bestimmt waren, und Google akzeptierte die Apps. Bei den Tests von Fun Kid Racing im Juli forderte die App, dass Spieler ihr Geburtsjahr aus einer Liste auswählen. Aber mit der Standardeinstellung zwischen 2000 und 2001 könnte ein kleines Kind, das unbedingt auf den nächsten Bildschirm kommen möchte, schnell durchrutschen und als Teenager gezählt werden. In den Tests hat die App keine Standortdaten gesammelt, wenn der Player als unter 13 identifiziert wurde. Anfang Juni haben E-Mails gezeigt, dass die akademischen Forscher Google darüber informiert hatten, dass App-Entwickler „anscheinend einen Anreiz haben, die Apps ihrer Kinder als“ nicht primär an Kinder gerichtet „zu missinterpretieren, um Nutzer für zielgerichtete Werbung aufzuspüren. Sie zitierten 84 Apps von Tiny Lab als Beispiele und sagten, dass sie fast 3.000 Apps in allen identifiziert hatten, die ähnlich falsch gekennzeichnet zu sein schienen.

Im Juli antwortete ein Google-Manager, das Unternehmen habe die Tiny Lab-Apps untersucht und festgestellt, dass sie das Datenschutzgesetz nicht verletzt hätten. Google, so sagte er, habe nicht gedacht, dass „diese Apps primär für Kinder gedacht sind, sondern für Familien im Allgemeinen“. Einen Monat später schien Google den Kurs umzukehren: Das Unternehmen teilte Abromaitis mit, dass es eine Tiny Lab-App identifiziert habe, die für Kinder bestimmt sein sollte. Google gab Tiny Lab eine Woche, um diese App und alle anderen zu ändern. Tiny Lab hat 10 seiner Apps für Kinder gekennzeichnet und in ihnen Werbenetzwerke für Kinder-Apps verwendet. Google hat die Updates genehmigt, aber Ende August hat er mehr Apps angekündigt, sagte Abromaitis, und machte eine weitere Runde von Änderungen. In dieser Woche beendete Google auf Anfrage das Tiny Lab-Konto und entfernte alle Apps aus dem Play-Store, wobei mehrere Richtlinienverstöße angeführt wurden.

Zu den früheren E-Mails befragt, sagte Google, dass die Aussagen irrtümlich gemacht wurden und dass es nicht dokumentiert, ob Apps im Play Store dem Datenschutzgesetz der Kinder entspricht. Abromaitis sagte, er hoffe, mit Google zusammenzuarbeiten, um wieder ins Geschäft zurück zu kommen.

Weit verbreitetes Tracking von Kindern

Die Studie in diesem Frühling zeigte nicht nur, dass mehr als die Hälfte der Kinder-Apps auf Android Tracking-ID-Nummern teilten, sondern auch, dass 5 Prozent den Kinderstandort oder Kontaktinformationen ohne die Erlaubnis ihrer Eltern sammelten.

Um das Tracking sowohl auf iOS als auch auf Android zu bewerten, führten verschiedene Tester eine kleine Studie durch, bei der 10 Apps auf jeder Plattform betrachtet wurden. Man wählte eine Mischung aus den beliebtesten Kinder-Apps und kleineren Apps, die in der Forschung der Wissenschaftler zum Teilen von Daten gekennzeichnet wurden, um zu testen, ob die Apps Probleme mit iOS hatten und ob sie auf Android korrigiert wurden.

Obwohl es schwierig ist zu wissen, ob Unternehmen tatsächlich gegen die bundesstaatlichen Vorschriften verstoßen, haben sechs der Android-Apps Daten die präzisen Standort, IP-Adressen und Tracking-IDs auf eine Weise ausgetauscht, die problematisch sein könnte. Unter iOS schickten fünf Apps IDs an Tracking-Unternehmen.

Zusätzlich zu Fun Kid Racing zeigten die Tests eine weitere Android-App, die genaue Standortdaten an andere Unternehmen weitergab: Mascha und der Bär: Free Animal Games für Kids, eine animierte Spiele-App mit Millionen von Downloads. Die iOS-Version hat Werbe-ID-Codes an ein Unternehmen gesendet, das Apps von Kindern generell untersagt, das Netzwerk zu verwenden. In einer E-Mail gab Indigo Kids, der in Zypern ansässige Hersteller der Masha-App, an, dass es nicht dafür verantwortlich sei, Kinderinformationen zu sammeln, da Drittfirmen die Daten sammelten. „Wir als Unternehmen sammeln und speichern keine Daten unserer Nutzer“, sagte das Unternehmen.

Andere Apps mit Datenpraktiken, die gegen die Datenschutzregeln der Kinder verstoßen könnten, senden Daten an mehrere Tracking-Unternehmen, die keine Apps für Kinder zulassen, oder senden die Daten mit Hinweisen im Computercode fälschlicherweise darauf hin, dass sie nicht von Kindern stammten.

Mehrere von The Times überprüfte Apps schickten die Werbe-ID auch an andere Unternehmen, erklärten jedoch, dass dies für bestimmte gesetzlich erlaubte Zwecke zulässig sei, beispielsweise um zu verhindern, dass eine Anzeige zu oft gezeigt wird. Tom Neumayr, ein Apple-Sprecher, sagte, dass die Privatsphäre von Kindern in Apps „etwas ist, was wir sehr ernst nehmen“ und dass Entwickler strenge Richtlinien zum Tracking in Kinder-Apps befolgen müssen.

Durchsetzung des Gesetzes

Seit dem Inkrafttreten des Online-Datenschutzgesetzes für Kinder im Jahr 1998 hat die Federal Trade Commission (F.T.C.) fast 30 Fälle von Verstößen von Unternehmen, darunter Sony BMG Music Entertainment und Yelp, eingereicht. Alle diese Firmen haben sich letztendlich mit der Prozedur abgefunden. Das F.T.C. hat der Durchsetzung des Kinder-Online-Datenschutzgesetzes eine hohe Priorität eingeräumt „, sagte Juliana Grünwald, Sprecherin einer Agentur.

Aber die New Mexico Klage ist anders. Der Staat sucht nicht nur einen einzigen App-Hersteller oder eine Werbeagentur; Es beinhaltet auch die Anzeigenplattformen von Google und Twitter sowie den Überprüfungsprozess des Google App Store. „Google weiß, dass die Apps von „Tiny Lab“ Kinder unrechtmäßig verfolgen“, heißt es in der Beschwerde. „Die schlechten Taten von Google werden verschärft, weil es für die Eltern steht“, dass die Apps von Tiny Lab dem Datenschutzgesetz der Kinder entsprechen und „sicher für Kinder“ sind.

Der Fall ist besonders prekär für Google und Twitter, die jeweils bereits von Bundesstreitigkeiten über Verbraucherschutz oder Sicherheitsverletzungen betroffen sind. Diese Regelungen verbieten es den Unternehmen, ihre Datenschutzerklärungen falsch darzustellen, und Verstöße könnten zu hohen Geldstrafen führen. „Ich sehe keine Möglichkeit, dass sich irgendetwas ändern würde, wenn keine Durchsetzungsmaßnahmen ergriffen werden“, sagte Serge Egelman, ein Forscher an der Universität von Kalifornien, Berkeley, der die Studie in diesem Frühjahr leitete.

New Mexicos Generalstaatsanwalt sagte, er hoffe, dass der F.T.C. und andere in Washington seiner Führung folgen würden. „Ich versuche, Gesetzgeber auf Bundesebene dazu zu bringen, aufzuwachen.“