Unternehmen, deren Websites oder Online-Plattformen Daten von Kindern unter 13 Jahren sammeln, müssen den Children's Online Privacy Protection Act (COPPA), ein US-Bundesgesetz, einhalten, und die Folgen eines Verstoßes dagegen sind schwerwiegend.
Im Folgenden beantworte ich alle Ihre COPPA-Fragen, damit Sie Ihr Unternehmen und die Kinder, die Ihre Plattform nutzen, besser schützen können.
- Was ist der Children's Online Privacy Protection Act (COPPA)?
- COPPA Schlüsselbegriffe und Definitionen
- Was deckt der Children's Online Privacy Protection Act ab?
- Anforderungen des Children's Online Privacy Protection Act
- COPPA vs. Datenschutzgesetze der US-Bundesstaaten: Gemeinsamkeiten und Unterschiede
- Wie sind die Verbraucher von COPPA betroffen?
- Wie sind Unternehmen von COPPA betroffen?
- Wer muss sich an COPPA halten?
- Wie können Unternehmen die COPPA-Vorschriften einhalten?
- Wie wird COPPA durchgesetzt?
- Geldbußen und Strafen gemäß dem Gesetz zum Schutz der Privatsphäre von Kindern im Internet
- Wie Termly bei der Einhaltung von COPPA hilft
- Gibt es in den USA noch andere Datenschutzgesetze?
- Zusammenfassung
Was ist der Children's Online Privacy Protection Act (COPPA)?
COPPA ist ein US-Bundesgesetz, das eine Reihe strenger Richtlinien festlegt, die Online-Unternehmen zum Schutz der Privatsphäre von Kindern unter 13 Jahren befolgen müssen.
COPPA wurde entwickelt, um die Menge an Informationen, die Unternehmen von kleinen Kindern sammeln, zu begrenzen, und gilt für alle Unternehmen weltweit, die Daten von Kindern in den USA verarbeiten.
Datum des Inkrafttretens des COPPA
COPPA wurde 1998 als Gesetz unterzeichnet und trat im April 2000 in Kraft.
Die Federal Trade Commission (FTC) verwaltet das Gesetz und aktualisierte es 2013, um strengere Bestimmungen aufzunehmen.
COPPA Schlüsselbegriffe und Definitionen
Um zu verstehen, wie die FTC den COPPA durchsetzt und was er für Online-Unternehmen bedeutet, sollten wir uns ansehen , wie der COPPA einige Schlüsselbegriffe definiert.
Betreiber
Die FTC betrachtet jede Website oder jeden Online-Dienst, der personenbezogene Daten sammelt oder kontrolliert oder für die Sammlung oder Pflege dieser Daten bezahlt, als "Betreiber".
Lesen Sie die gesamte Definition des Begriffs " Betreiber"(wie sie im COPPA steht) unten:
"Jede Person, die eine Website im Internet oder einen Online-Dienst betreibt und die persönliche Daten von oder über die Benutzer oder Besucher einer solchen Website oder eines solchen Online-Dienstes sammelt oder aufbewahrt oder in deren Namen solche Daten gesammelt oder aufbewahrt werden, oder die Produkte oder Dienstleistungen zum Verkauf über diese Website oder diesen Online-Dienst anbietet, wenn eine solche Website oder ein solcher Online-Dienst für kommerzielle Zwecke betrieben wird, die den Handel zwischen den einzelnen Staaten oder mit einer oder mehreren ausländischen Nationen betreffen; in einem Gebiet der Vereinigten Staaten oder im District of Columbia oder zwischen einem solchen Gebiet und einem anderen solchen Gebiet oder einem Staat oder einer ausländischen Nation; oder zwischen dem District of Columbia und einem Staat, einem Gebiet oder einer ausländischen Nation. Diese Definition schließt keine gemeinnützigen Einrichtungen ein, die andernfalls gemäß Abschnitt 5 des Federal Trade Commission Act (15 U.S.C. 45) von der Erfassung ausgenommen wären. Personenbezogene Daten werden im Namen eines Betreibers gesammelt oder gespeichert, wenn:
(1) Sie werden von einem Agenten oder Dienstleister des Betreibers gesammelt oder aufbewahrt; oder
(2) Der Betreiber profitiert davon, dass eine andere Person personenbezogene Daten direkt von den Nutzern einer solchen Website oder eines solchen Online-Dienstes erheben kann."
Persönliche Informationen
Die COPPA-Definition des Begriffs "personenbezogene Daten" umfasst auch "dauerhafte" Identifikatoren, d. h. Details, die eine Person über einen längeren Zeitraum hinweg identifizieren können, wie z. B. IP-Adressen.
Lesen Sie im Folgenden genau, wie COPPA personenbezogene Daten definiert:
"Individuell identifizierbare Informationen über eine Person, die online gesammelt werden, einschließlich:
- (1) Einen Vor- und Nachnamen;
- (2) Eine Wohnanschrift oder eine andere physische Adresse einschließlich Straßenname und Name einer Stadt oder eines Ortes;
- (3) Online-Kontaktinformationen gemäß der Definition in diesem Abschnitt;
- (4) Ein Bildschirm- oder Nutzername, wenn er in der gleichen Weise funktioniert wie Online-Kontaktinformationen, wie in diesem Abschnitt definiert;
- (5) Eine Telefonnummer;
- (6) Eine Sozialversicherungsnummer;
- (7) Eine dauerhafte Kennung, die verwendet werden kann, um einen Nutzer über einen längeren Zeitraum und über verschiedene Websites oder Online-Dienste hinweg zu erkennen. Eine solche dauerhafte Kennung umfasst unter anderem eine in einem Cookie gespeicherte Kundennummer, eine Internet-Protokoll-Adresse (IP), eine Prozessor- oder Geräteseriennummer oder eine eindeutige Gerätekennung;
- (8) Eine Foto-, Video- oder Audiodatei, wenn diese Datei das Bild oder die Stimme eines Kindes enthält;
- (9) Geolokalisierungsinformationen, die ausreichen, um den Straßennamen und den Namen einer Stadt oder eines Ortes zu identifizieren; oder
- (10) Informationen über das Kind oder die Eltern des Kindes, die der Betreiber online von dem Kind erhebt und mit einem in dieser Definition beschriebenen Identifikator kombiniert".
Wenn Ihre Website personenbezogene Daten mit Hilfe von Cookies sammelt, müssen Sie eine Cookie-Richtlinie veröffentlichen, in der diese Aktivitäten genau beschrieben werden.
Sammeln
Laut COPPA umfasst der Begriff "Sammeln" Folgendes:
- Ermöglichen, dass ein Kind persönliche Informationen der Öffentlichkeit zugänglich macht
- Ermutigung zur Übermittlung personenbezogener Daten
- Passive Verfolgung eines bekannten Kindes
Im Folgenden können Sie genau nachlesen, wie COPPA das Sammeln oder die Sammlung in seiner Gesamtheit definiert:
"Das Sammeln von persönlichen Informationen über ein Kind mit allen Mitteln, einschließlich, aber nicht beschränkt auf:
(1) Aufforderung, Aufforderung oder Ermutigung eines Kindes, persönliche Daten online zu übermitteln;
(2) Ermöglichen, dass ein Kind personenbezogene Daten in identifizierbarer Form öffentlich zugänglich macht. Es wird nicht davon ausgegangen, dass ein Betreiber personenbezogene Daten im Sinne dieses Absatzes erhoben hat, wenn er angemessene Maßnahmen ergreift, um alle oder fast alle personenbezogenen Daten aus den Beiträgen eines Kindes zu löschen, bevor sie veröffentlicht werden, und um diese Daten auch aus seinen Aufzeichnungen zu löschen; oder
(3) Passive Verfolgung eines Kindes im Internet".
Offenlegung von
COPPA verwendet eine weit gefasste Definition des Begriffs " Offenlegung ", die alles umfasst, von der Veröffentlichung der Daten bis hin zu ihrer Freigabe für beliebige Zwecke.
Lesen Sie die gesamte Definition, wie sie im Gesetzestext steht, unten:
"... in Bezug auf persönliche Informationen:
(1) Die Freigabe von personenbezogenen Daten, die ein Betreiber von einem Kind in identifizierbarer Form gesammelt hat, für jeden Zweck, es sei denn, ein Betreiber stellt solche Informationen einer Person zur Verfügung, die den internen Betrieb der Website oder des Online-Dienstes unterstützt; und
(2) Persönliche Informationen, die ein Betreiber von einem Kind gesammelt hat, in identifizierbarer Form öffentlich zugänglich zu machen, einschließlich, aber nicht beschränkt auf ein öffentliches Posting im Internet oder über eine persönliche Homepage oder einen Bildschirm auf einer Website oder einem Online-Dienst, einen Brieffreundschaftsdienst, einen elektronischen Postdienst, ein Message Board oder einen Chatroom".
Einholung einer überprüfbaren Zustimmung
Um personenbezogene Daten von Kindern im Sinne des COPPA zu erfassen oder zu verarbeiten, müssen Sie alle zumutbaren Anstrengungen unternehmen, um die überprüfbare Zustimmung eines Erziehungsberechtigten einzuholen.
Lesen Sie im Folgenden, wie das Gesetz diesen Begriff genau definiert:
"Alle angemessenen Anstrengungen unternehmen (unter Berücksichtigung der verfügbaren Technologie), um sicherzustellen, dass ein Elternteil des Kindes informiert wird, bevor personenbezogene Daten des Kindes erhoben werden:
(1) über die Praktiken des Betreibers zur Erhebung, Verwendung und Weitergabe von persönlichen Daten informiert wird; und
(2) die Erhebung, Verwendung und/oder Weitergabe der personenbezogenen Daten genehmigt".
Nachdem Sie nun das Wesentliche über COPPA und seinen Zweck wissen, wollen wir untersuchen, ob Ihr Unternehmen unter dieses Gesetz fällt und wie Sie es einhalten können.
Was deckt der Children's Online Privacy Protection Act ab?
Der Children's Online Privacy Protection Act (Gesetz zum Schutz der Online-Privatsphäre von Kindern) schützt die Daten von Kindern unter 13 Jahren in den USA, indem er sicherstellt, dass Websites, mobile Anwendungen, Plugins und Spielzeuge mit Online-Funktionen ihre Daten ordnungsgemäß verarbeiten.
COPPA legt nicht nur Richtlinien dafür fest, wie Online-Unternehmen mit den Daten von Kindern umgehen sollten, sondern bestraft auch Unternehmen, die sich nicht an diese Richtlinien halten.
So verhängte die FTC 2019 gegen YouTube eine COPPA-Strafe in Höhe von 170 Millionen US-Dollar, weil das Unternehmen illegal Daten von Kindern sammelte und ohne die Zustimmung der Eltern Werbung an Kinder richtete.
Anforderungen des Children's Online Privacy Protection Act
In den folgenden Abschnitten haben wir die Anforderungen, die Unternehmen zur Einhaltung der COPPA-Richtlinie erfüllen müssen, aufgeschlüsselt.
Erstellen Sie eine COPPA-konforme Datenschutzrichtlinie
Unternehmen müssen eine Datenschutzrichtlinie veröffentlichen, die den strengen Anforderungen des Gesetzes entspricht.
Selbst wenn Sie bereits eine Datenschutzrichtlinie auf Ihrer Website oder App haben, genügt diese möglicherweise nicht den spezifischen Richtlinien des COPPA.
Nach den Vorschriften der FTC muss Ihre Datenschutzpolitik folgende Informationen enthalten:
- Namen, Adressen und Telefonnummern aller Betreiber von Standorten/Diensten
- Eine Beschreibung, welche Informationen der Betreiber von Kindern sammelt
- Wie Informationen von Nutzern gesammelt werden
- Wie die Betreiber der Website/Dienste die gesammelten Informationen verwenden
- ob die Betreiber die gesammelten Informationen an Dritte weitergeben und wie diese die Informationen verwenden
- Eine Beschreibung der Möglichkeit der Erziehungsberechtigten, der Erfassung der Daten ihrer Kinder auf der Website zuzustimmen, ohne der Weitergabe dieser Daten an Dritte zuzustimmen
Sie muss auch eine Erklärung der Rechte des gesetzlichen Vormunds enthalten, einschließlich der Rechte auf:
- Vermeiden Sie die Weitergabe von mehr Informationen über Kinder unter 13 Jahren als nötig
- sich weigern, Informationen über ein Kind zu geben
- Überprüfung der dem Betreiber vorgelegten Informationen über das betreffende Kind
Sie können einige dieser Richtlinien erfüllen, indem Sie einen COPPA-Hinweis in Ihre Website einfügen, wie es die Bildungssoftware Classkick in ihrer Datenschutzrichtlinie tut(siehe Abbildung unten).
Denken Sie bei der Erstellung Ihrer COPPA-Datenschutzrichtlinien daran, sich mit Dritten, mit denen Sie zusammenarbeiten, in Verbindung zu setzen und sie nach ihren Datenerfassungsmethoden zu fragen, die Sie in Ihre Datenschutzrichtlinien aufnehmen müssen.
Schließlich müssen Sie Ihre Datenschutzrichtlinien auf der Startseite Ihrer Website und überall dort, wo Sie Daten von Kindern sammeln, veröffentlichen.
Sie können eine Datenschutzerklärung herunterladen und bearbeiten Datenschutzerklärung vorlage herunterladen und bearbeiten, um die COPPA-Richtlinien zu erfüllen und die Datenverarbeitungspraktiken auf Ihrer Website korrekt wiederzugeben.
Benachrichtigung der Eltern
Bevor Sie Daten von Kindern sammeln, müssen Sie laut COPPA die Eltern direkt benachrichtigen und um ihre Zustimmung bitten.
Die folgenden Angaben müssen in Ihrer direkten Mitteilung an die Eltern enthalten sein, die gemäß COPPA erforderlich ist:
- Diese Informationen (z. B. Name und E-Mail-Adresse der Eltern oder des Erziehungsberechtigten des Kindes) wurden gesammelt, um die Zustimmung einzuholen
- dass die gesammelten Daten nach einem angemessenen Zeitraum gelöscht werden, wenn keine weitere Zustimmung erteilt wird
- dass Sie Informationen über ihr Kind sammeln möchten
- die Art der Informationen, die Sie von ihren Kindern sammeln werden und wie sie verwendet werden
- Der Erziehungsberechtigte muss zustimmen, bevor Ihr Unternehmen die Daten seiner Kinder erfassen, verwenden und weitergeben darf.
- Wie sie Ihre Datenschutzrichtlinie finden können
- Wie sie ihre Zustimmung geben können
Darüber hinaus sollten Sie Eltern und Erziehungsberechtigte jedes Mal direkt benachrichtigen, wenn Sie ändern, welche Daten Sie erheben oder wie diese erhoben werden.
Holen Sie die überprüfbare Zustimmung der Eltern ein
Eine überprüfbare elterliche Zustimmung ist die Zustimmung eines Elternteils oder Erziehungsberechtigten, dessen Identität Sie hinreichend bestätigt haben.
Gemäß COPPA müssen Sie diese Zustimmung einholen, bevor Sie Daten von Kindern erfassen.
Dies sind akzeptable Methoden, um die Zustimmung der Eltern einzuholen und ihre Identität zu bestätigen:
- Eine unterzeichnete Einverständniserklärung
- Verwendung einer Kredit- oder Debitkarte (zum Zeitpunkt einer Geldtransaktion)
- Ein Telefonat mit geschultem Personal
- Ein Videogespräch mit geschultem Personal
- Fragen, die für andere Personen als die Eltern schwierig zu beantworten sind
- Foto-ID
Wenn die von Ihnen erfassten Daten nur für den internen Gebrauch Ihres Unternehmens bestimmt sind, können Sie die so genannte "E-Mail plus"-Methode verwenden, um die Zustimmung der Eltern einzuholen:
- E-Mail an die Eltern oder den Erziehungsberechtigten
- Bitten Sie sie, mit ihrer Zustimmung zu antworten
- Bestätigen Sie, dass Sie es erhalten haben
Wenn Sie die "E-Mail plus"-Methode verwenden, müssen Sie sicherstellen, dass Sie während des Prozesses der Überprüfung der Zustimmung keine personenbezogenen Daten von Kindern preisgeben.
Für eine Checkliste zur Einhaltung des COPPA bietet die FTC einen 6-Schritte-Plan an, der Sie durch den gesamten Prozess führt.
Ausnahmeregelungen für die Zustimmung
COPPA beschreibt mehrere Szenarien, in denen Sie keine elterliche Zustimmung einholen müssen, bevor Sie personenbezogene Daten von Nutzern unter 13 Jahren erfassen, darunter:
- Sammlung von Informationen zur Einholung der elterlichen Zustimmung
- Durch "einmaligen Kontakt" (Wettbewerbe, Werbegeschenke, Fragen)
- Zum Schutz der Sicherheit eines Kindes (wenn ein Kind seine Informationen unverantwortlich öffentlich macht)
- Um die Sicherheit oder Integrität Ihrer Website zu schützen
- Zur Unterstützung der internen Abläufe auf Ihrer Website
COPPA vs. Datenschutzgesetze der US-Bundesstaaten: Gemeinsamkeiten und Unterschiede
Das Gesetz zum Schutz der Online-Privatsphäre von Kindern (Children's Online Privacy Protection Act) ist ein Bundesgesetz in den USA, aber auch mehrere Bundesstaaten haben Datenschutzgesetze in Kraft gesetzt oder werden in den nächsten Jahren in Kraft treten, darunter auch die USA:
- California Consumer Privacy Act(CCPA), geändert durch den California Privacy Rights Act(CPRA)
- Colorado Datenschutzgesetz(CPA)
- Connecticut-Datenschutzgesetz(CTDPA)
- Delaware-Gesetz zum Schutz persönlicher Daten(DPDPA)
- Florida Digital Bill of Rights(FDBR)
- Indiana Consumer Data Protection Act(Indiana CDPA) - gültig ab 1. Januar 2026
- Iowa Verbraucherdatenschutzgesetz(Iowa CDPA)
- Oregon-Datenschutzgesetz(ODPA)
- Tennessee-Informationsschutzgesetz(TIPA)
- Gesetz zum Datenschutz und zur Datensicherheit in Texas(TDPSA)
- Gesetz zum Schutz der Privatsphäre der Verbraucher in Utah(UCPA)
- Virginia Verbraucherdatenschutzgesetz(VCDPA)
In der nachstehenden Tabelle können Sie einige der Anforderungen des COPPA mit den Gesetzen der US-Bundesstaaten vergleichen.
Staatliches Recht | Opt-in-Einwilligung für bestimmte Arten der Datenverarbeitung | Opt-out-Zustimmung für bestimmte Arten der Datenverarbeitung | Muss den Nutzern eine Datenschutzrichtlinie (oder einen Hinweis) zur Verfügung stellen | Erfordert Datenschutzbeurteilungen | Umreißt vertragliche Verpflichtung mit Drittverarbeitern | Ermöglicht zivilrechtliche Klagen oder das Recht auf Privatklage | Muss die globalen Datenschutzkontrollen/Browser-Datenschutzeinstellungen beachten |
COPPA | ✓ | ✓ | |||||
CCPA/CPRA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
CPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
CTDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
DPDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
FDBR | ✓ | ✓ | ✓ | ✓ | |||
Indiana CDPA | ✓ | ✓ | ✓ | ✓ | |||
Iowa CDPA | ✓ | ✓ | ✓ | ||||
MCDPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
ODPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
TIPA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
TDPSA | ✓ | ✓ | ✓ | ✓ | ✓ | ||
UCPA | ✓ | ✓ | ✓ | ||||
VCDPA | ✓ | ✓ | ✓ | ✓ |
Wie sind die Verbraucher von COPPA betroffen?
COPPA hat Auswirkungen auf die Verbraucher, indem es die Privatsphäre von Kindern unter 13 Jahren schützt und so ein sichereres Internet für Minderjährige ermöglicht.
Das Gesetz gibt den Erziehungsberechtigten das Recht zu bestimmen, wie und ob die Daten ihrer Kinder gesammelt und verwendet werden.
Diese Auswahl, Kontrolle und Transparenz bedeutet, dass Eltern und Erziehungsberechtigte fundiertere Entscheidungen treffen können, um die Sicherheit ihrer Kinder im Internet zu gewährleisten.
Für wen gilt der COPPA?
Der Children's Online Privacy Protection Act gilt für Kinder unter 13 Jahren in den Vereinigten Staaten.
Sie schützt keine Personen, die älter als 13 Jahre sind oder sich außerhalb der USA aufhalten.
Wie sind Unternehmen von COPPA betroffen?
Obwohl COPPA ein US-Gesetz ist, hat es Auswirkungen auf Unternehmen in der ganzen Welt - auch auf solche, die sich nicht unbedingt an Kinder unter 13 Jahren richten.
Wie wirkt sich COPPA auf meine Datenschutzrichtlinie aus?
COPPA hat erhebliche Auswirkungen auf die Datenschutzpolitik aller Unternehmen.
Unternehmen, die der COPPA-Verordnung unterliegen, müssen in ihren Datenschutzrichtlinien bestimmte Anforderungen einhalten, unter anderem:
- Geben Sie Name, Adresse und Telefonnummer Ihrer Website oder Ihres Dienstes an.
- Auflistung aller Arten von Informationen, die Sie sammeln, wie Sie sie sammeln und wie Sie sie verwenden.
- ob Sie die Daten an Dritte weitergeben und wie diese die Informationen verwenden.
- Eine klare Beschreibung der Rechte aller Erziehungsberechtigten in Bezug auf die Daten ihrer Kinder.
Außerdem müssen Sie überall dort, wo Daten von Kindern erhoben werden, einen Link zu Ihrer Richtlinie platzieren.
Selbst wenn COPPA nicht auf Sie zutrifft, müssen Sie eine Klausel in Ihre Datenschutzrichtlinie aufnehmen, die besagt, dass Sie sich nicht an Kinder wenden oder wissentlich deren persönliche Daten sammeln.
Sie müssen auch erklären, wie Eltern oder Erziehungsberechtigte Sie kontaktieren können, wenn sie glauben, dass Sie versehentlich Daten über ihr Kind gesammelt haben.
Wer muss sich an COPPA halten?
Ihr Unternehmen muss den COPPA einhalten, wenn Sie gewinnorientiert arbeiten und personenbezogene Daten von Kindern unter 13 Jahren mit Wohnsitz in den USA erfassen.
Viele Menschen gehen davon aus, dass dieses Datenschutzgesetz nur Websites betrifft, aber die Anforderungen von COPPA gelten für die meisten Online-Dienste, einschließlich der folgenden:
- Mobile Anwendungen
- Plattformen für Spiele
- Plugins
- Anzeigennetzwerke
- Geolokalisierungsdienste
- Voice Over Internet Protocol (VOIP)-Dienste
- Spielzeug oder Geräte, die mit dem Internet verbunden sind
- Internet der Dinge (IoT)-Geräte
Selbst wenn Ihr Online-Geschäft außerhalb der Vereinigten Staaten angesiedelt ist, könnte die FTC gegen Sie vorgehen, wenn Sie an amerikanische Verbraucher vermarkten, wie es bei dem chinesischen App-Hersteller BabyBus der Fall war.
Wenn Ihr Unternehmen in eine der oben genannten Kategorien fällt, müssen Sie prüfen, ob Sie die FTC-Definition der "gezielten Ansprache von Kindern" erfüllen - die FTC berücksichtigt dabei Faktoren wie:
- ob das Thema des Unternehmens für diese Altersgruppe attraktiv ist
- ob das Unternehmen visuelle und akustische Inhalte anbietet, die sich an kleine Kinder richten
- Die Verwendung von Zeichentrickfiguren oder animierten Figuren
- Das Alter der in der Werbung verwendeten Modelle
- Der Einsatz von Kinderprominenten oder von Prominenten, die von Kindern bevorzugt werden
Wenn Ihr Unternehmen oder Ihre Website Themen behandelt, die Kinder unter 13 Jahren ansprechen - oder wenn Ihr Dienst von Websites genutzt wird, die dies tun -, dann müssen Sie das Gesetz vollständig einhalten.
Wenn Sie personenbezogene Daten von EU-Bürgern erheben, müssen Sie zusätzlich zu COPPA sicherstellen, dass Ihr Unternehmen die Allgemeine Datenschutzverordnung einhält (DSGVO).
Wer ist von COPPA ausgenommen?
Gemeinnützige Organisationen, die Abschnitt 5 des FTC-Gesetzes nicht befolgen müssen, sind von der Einhaltung des COPPA befreit.
Wenn Ihre Dienste nicht in den USA angeboten werden und Sie sich nicht an Minderjährige wenden, müssen Sie die COPPA-Anforderungen nicht einhalten.
Vergessen Sie jedoch nicht, dass Sie eine Klausel in Ihre Datenschutzbestimmungen aufnehmen müssen, die besagt, dass Sie nicht den spezifischen COPPA-Anforderungen unterliegen.
Wie können Unternehmen die COPPA-Vorschriften einhalten?
Unternehmen können die COPPA-Vorschriften einhalten, indem sie sicherstellen, dass sie über eine konforme Datenschutzpolitik verfügen, die alle im Gesetz beschriebenen Verpflichtungen erfüllt.
Sie sollten auch ein Verfahren zur Überprüfung und Einholung der entsprechenden Zustimmung der Eltern oder Erziehungsberechtigten einführen, bevor Sie personenbezogene Daten von Minderjährigen erfassen.
Achten Sie darauf, welche Internet-Cookies Ihre Website verwendet, da viele Cookies personenbezogene Daten von Besuchern sammeln.
Wie wird COPPA durchgesetzt?
Die FTC und die Generalstaatsanwaltschaften der Bundesstaaten setzen COPPA durch und verhängen hohe Strafen gegen Unternehmen, die sich nicht daran halten.
So stellte der Generalstaatsanwalt von New York im Jahr 2016 fest, dass Viacom, Mattel, JumpStart und Hasbro gegen COPPA verstoßen haben, weil einer ihrer Werbepartner Cookies verwendet hat, um die persönlichen Daten ihrer Nutzer zu verfolgen.
Um Verstöße aufzuspüren, fordert die FTC Internetnutzer auf, eine Beschwerde über eine Website einzureichen, die ihrer Meinung nach gegen die Richtlinien verstößt.
Tatsächliches Wissen
Ein Teil des FTC-Durchsetzungsverfahrens für COPPA besteht darin, festzustellen, ob ein Betreiber "tatsächliche Kenntnis" davon hat, dass er Daten von Kindern unter 13 Jahren anspricht und sammelt.
Wenn die FTC feststellt, dass ein Betreiber "tatsächliche Kenntnis" von einer solchen Datenverarbeitung hat, aber die COPPA-Vorschriften nicht einhält, wird ein Richter wahrscheinlich eine höhere Strafe für die eklatante Missachtung der Rechtsvorschriften verhängen.
Geldbußen und Strafen gemäß dem Gesetz zum Schutz der Privatsphäre von Kindern im Internet
Verstöße gegen den COPPA können nun mit einer Höchststrafe von bis zu $50.120 pro Verstoß erreichen, nach Angaben der FTC.
Wenn Sie persönliche Daten von nur zehn Kindern sammeln, aber gegen COPPA verstoßen, können Sie mit einer Geldstrafe von bis zu 501.200 Dollar belegt werden.
In der Vergangenheit betrug die Höchststrafe 16.000 US-Dollar, die 2016 auf 40.654 US-Dollar erhöht wurde.
Im Allgemeinen hängt die Höhe der Strafe, die ein Unternehmen erhält, davon ab, wie schwerwiegend der Verstoß ist und wie viel das Unternehmen von den personenbezogenen Daten profitiert hat.
Wie Sie der nachstehenden Tabelle entnehmen können, wurden mehrere bekannte Unternehmen bestraft.
Name (Klicken Sie hier für FTC-Bußgelddetails) | Datum | Fein | Erreichen Sie | Kosten pro |
Ms. Fields Berühmte Marken | 2/27/2003 | $100,000 | 84,000 | $1.19 |
Xanga.com | 9/7/2006 | $1,000 | 1,7000,000 | $0.59 |
Imbee.com | 1/30/2008 | $130,000 | 10,500 | $12.38 |
Sony BMG Music Entertainment | 10/11/2008 | $1,000,000 | 30,000 | $33.33 |
Iconix Markengruppe | 10/20/2009 | $250,000 | 1,000 | $250 |
Playdom, Inc. | 5/13/2011 | $3,000,000 | 1,244,000 | $2.45 |
W3 Innovationen LLC | 9/8/2011 | $50,000 | 50,000 | $1 |
Skidekids.com | 11/8/2011 | $100,000 | 56,000 | $17.86 |
RockYou, Inc. | 3/27/2012 | $250,000 | 79,000 | $1.40 |
Künstler-Arena LLC | 10/4/2012 | $1,000,000 | 75,000 | $13.33 |
Path, Inc. | 2/1/2013 | $800,000 | 3,000 | $266.67 |
YouTube | 9/4/2019 | $170,000,000 | K.A. | K.A. |
Während 170 Millionen Dollar für ein großes Unternehmen wie YouTube vielleicht nicht viel sind, könnten sie ein kleines oder mittleres Unternehmen leicht zerstören.
In Staffel 4 der HBO-Serie Silicon Valley gibt es eine fiktive Geschichte, die eine reale Möglichkeit darstellt, in der ein Angestellter entdeckt, dass sein Unternehmen keine Datenschutzrichtlinien hat, aber bereits Nutzerdaten sammelt, was bedeutet, dass es gegen COPPA verstoßen hat und für über 25 Milliarden Dollar haftbar ist!
YouTube und COPPA-Einhaltung
Im Jahr 2019 erhielt YouTube eine Geldstrafe in Höhe von 170 Millionen US-Dollar für Verstöße gegen den COPPA, was ein gutes Beispiel dafür ist, wie die FTC Verstöße gegen den COPPA durchsetzt.
Technisch gesehen erhielt die Muttergesellschaft von YouTube, Google, die rekordverdächtige Strafe, weil sie Cookies verwendete, um die Surfgewohnheiten von Kindern auf Kinderkanälen zu verfolgen, ohne die Zustimmung der Eltern einzuholen.
Der Video-Sharing-Dienst profitierte von den Informationen der Kinder, indem er gezielte Werbung auf diesen Kanälen einblendete.
Als Ergebnis der Untersuchung benachrichtigt YouTube die Kanaleigentümer, dass ihre Inhalte dem COPPA unterliegen, und ermöglicht es ihnen, "an Kinder gerichtete Inhalte" zu identifizieren.
Das neue System bedeutet, dass die Ersteller von YouTube-Inhalten nun die volle Verantwortung für ihre Inhalte tragen und das Publikum ihres Kanals korrekt einstellen müssen, sonst drohen ihnen individuelle COPPA-Strafen von der FTC.
Wie Termly bei der Einhaltung von COPPA hilft
Termly bietet einen Generator für Datenschutzrichtlinienund eine Datenschutzerklärung vorlage die mit verschiedenen Datenschutzgesetzen aus der ganzen Welt übereinstimmt.
Der Generator stellt grundlegende Fragen zu Ihrem Unternehmen und Ihren Datenverarbeitungsaktivitäten und erstellt eine einzigartige Datenschutzrichtlinie, die Sie direkt auf Ihrer Website oder App einbetten können.
Um die Vorlage zu verwenden, füllen Sie die leeren Abschnitte des Dokuments mit Details darüber aus, wie Ihre Website oder App Daten sammelt und verarbeitet.
Sie können dann die Vorlage oder Teile des Generators bearbeiten, um die Anforderungen des COPPA zu erfüllen.
Wir bieten sogar einen Leitfaden zum Verfassen von Datenschutzrichtlinien an, falls Sie sich selbst daran versuchen möchten (nicht empfohlen).
Gibt es in den USA noch andere Datenschutzgesetze?
Zwar gibt es in den USA derzeit kein Bundesgesetz zum Schutz der Verbraucherdaten, doch existieren einige datenschutzbezogene Gesetze, darunter die folgenden:
- Gramm-Leach-Bliley Act(GLBA): Dieses Bundesgesetz regelt die Anforderungen an Finanzinstitute, einschließlich der Datenschutz- und Sicherheitsrichtlinien.
- Health Insurance Portability and Accountability Act (HIPAA): Dieses Bundesgesetz standardisiert den elektronischen Austausch medizinischer Informationen und regelt die Anforderungen an den Datenschutz.
- Family Educational Rights and Privacy Act (FERPA): Dieses Bundesgesetz schützt Schülerdaten und schreibt Vertraulichkeit vor.
- Datenschutzgesetz von 1974(das Datenschutzgesetz): Dieses Bundesgesetz verpflichtet die Behörden, bei der Erhebung personenbezogener Daten die Grundsätze der fairen Information zu befolgen, sieht aber auch einige Ausnahmen vor.
- Fair Credit Reporting Act von 1970(Fair Credit Reporting Act): Dieses Bundesgesetz verbietet Kreditauskunfteien die missbräuchliche Verwendung ihrer persönlichen Daten und schränkt ein, an wen sie diese Daten weitergeben dürfen.
In jedem Bundesstaat gibt es außerdem ein Gesetz zur Meldung von Datenschutzverletzungen, in dem festgelegt ist, welche Maßnahmen Unternehmen innerhalb welcher Zeitspanne ergreifen müssen, wenn es zu einer Internet- oder Datenverletzung kommt.
Zusammenfassung
COPPA legt strenge Richtlinien zum Schutz der Online-Privatsphäre von Kindern unter 13 Jahren fest, und jedes Unternehmen weltweit, das sich in den USA an Kinder in diesem Alter wendet, muss diese Richtlinien einhalten.
Unternehmen müssen eine Datenschutzerklärung aufstellen und die Zustimmung der Erziehungsberechtigten einholen, um Daten von Kindern zu verarbeiten, und YouTuber müssen Inhalte als "für Kinder gemacht" kennzeichnen, wenn sie Videos veröffentlichen, die sich an Kinder richten.
Wenn Ihr Unternehmen dem COPPA-Gesetz unterliegt, sollten Sie eine Datenschutzrichtlinie erstellen und diese an die Anforderungen des Gesetzes anpassen, um Strafen zu vermeiden.
Rezensiert von Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direktorin für globalen Datenschutz