BECKMANN UND NORDA - Rechtsanwälte Bielefeld

Die Irische Datenschutzbehörde hat ein Bußgeld in Höhe von 345 Millionen EURO gegen TikTok wegen diverser Verstöße gegen die DSGVO verhängt.

Die Pressemitteilung der Irish Data Protection Commission:
Irish Data Protection Commission announces €345 million fine of TikTok

The Data Protection Commission (DPC) adopted its final decision regarding its inquiry into TikTok Technology Limited (TTL) on 1 September 2023.

This own-volition inquiry sought to examine the extent to which, during the period between 31 July 2020 and 31 December 2020 (the Relevant Period), TTL complied with its obligations under the GDPR in relation to its processing of personal data relating to child users of the TikTok platform in the context of:

Certain TikTok platform settings, including public-by-default settings as well as the settings associated with the ‘Family Pairing’ feature; and
Age verification as part of the registration process.
As part of the inquiry, the DPC also examined certain of TTL’s transparency obligations, including the extent of information provided to child users in relation to default settings.

At the conclusion of its investigation, the DPC submitted a draft decision to all Supervisory Authorities Concerned (CSAs), for the purpose of Article 60(3) GDPR, on 13 September 2022. The DPC’s draft decision proposed findings of infringement of Articles 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1) and 13(1)(e) GDPR, in relation to the above processing. While there was broad consensus on the DPC’s proposed findings, objections to the draft decision were raised by the Supervisory Authorities (each an SA, collectively SAs) of Italy and Berlin (acting on behalf of itself and the Baden-Württemberg SA).

The objection raised by the Berlin SA sought the inclusion of an additional finding of infringement of the Article 5(1)(a) GDPR principle of fairness as regards ‘dark patterns’ while the objection raised by the Italian SA sought to reverse the DPC’s proposed finding of compliance with Article 25 GDPR, as regards TTL’s approach to age verification during the Relevant Period. The DPC was unable to reach consensus with the CSAs on the subject-matter of the objections and, in the circumstances, decided to refer the objections to the EDPB for determination pursuant to the Article 65 GDPR dispute resolution mechanism.

The European Data Protection Board adopted its binding decision on the subject matter of the objections on 2 August 2023 with a direction that the DPC must amend its draft decision to include a new finding of infringement of the Article 5(1)(a) GDPR principle of fairness, further to the objection raised by the Berlin SA, and to extend the scope of the existing order to bring processing into compliance, to include reference to the remedial work required to address this new finding of infringement.

The DPC’s decision, which was adopted on 1 September 2023, records findings of infringement of Articles 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1), 13(1)(e) and 5(1)(a) GDPR. The decision further exercises the following corrective powers:

A reprimand;
An order requiring TTL to bring its processing into compliance by taking the action specified within a period of three months from the date on which the DPC’s decision is notified to TTL; and
Administrative fines totalling €345 million.
For more information, the EDPB has published the Article 65 decision and the final decision on its website.

Die vollständige Entscheidung finden Sie hier:

Die EU-Kommission hat bei der Überprüfung ("Sweep") von Online-Shops bei 148 von 399 untersuchten Online-Shops manipulative Praktiken / Dark Patterns festgestellt.

Die Pressemitteilung der EU-Kommission:
Heute haben die Europäische Kommission und die nationalen Verbraucherschutzbehörden von 23 Mitgliedstaaten sowie Norwegen und Island (Netzwerk für die Zusammenarbeit im Verbraucherschutz, kurz CPC-Netz) die Ergebnisse einer Überprüfung („Sweep“) von Einzelhandelswebsites veröffentlicht. Die Kontrolle erstreckte sich auf 399 Online-Shops von Einzelhändlern, die Waren von Textilien bis Elektrogeräten verkaufen. Schwerpunkt der Kontrolle waren drei bestimmte Arten manipulativer Praktiken, sogenannte Dark Patterns, die Verbraucherinnen und Verbraucher häufig dazu veranlassen, Entscheidungen zu treffen, die möglicherweise nicht in ihrem Interesse liegen. Dazu gehören falsche Countdown-Zähler, Websites, die so angelegt sind, dass die Verbraucherinnen und Verbraucher zu Käufen, Abonnements oder anderen Entscheidungen gedrängt werden, und verborgene Informationen. Die Untersuchung ergab, dass 148 Websites mindestens eines dieser drei Dark Patterns enthielten.

EU-Justizkommissar Didier Reynders erklärte: „Die Kontrolle hat ergeben, dass sich fast 40 % der Online-Shopping-Sites manipulativer Praktiken bedienen, um Schwächen der Verbraucherinnen und Verbraucher auszunutzen oder sie zu täuschen. Dieses Verhalten ist eindeutig unrecht und verstößt gegen die Verbraucherschutzregeln. Bereits heute gibt es verbindliche Instrumente, um dagegen vorzugehen, und ich fordere die nationalen Behörden auf, ihre Möglichkeiten der Strafverfolgung auszuschöpfen, um entsprechende Maßnahmen zu ergreifen und diese Praktiken zu bekämpfen. Parallel dazu überprüft die Kommission alle Verbraucherschutzvorschriften, um sicherzustellen, dass diese an das digitale Zeitalter angepasst sind. Dabei prüft sie auch, ob Dark Patterns ausreichend berücksichtigt sind.“

42 Websites verwendeten falsche Countdown-Zähler mit Fristen für den Kauf bestimmter Produkte.
54 Websites drängten die Verbraucher zu bestimmten Entscheidungen – von Abonnements bis hin zu teureren Produkten oder Lieferoptionen – entweder durch ihre visuelle Gestaltung oder sprachliche Mittel.
Bei 70 Websites wurde festgestellt, dass sie wichtige Informationen verbergen oder so darstellen, dass sie für die Verbraucher schlechter erkennbar sind. Dazu gehörten beispielsweise Angaben zu Lieferkosten, zur Zusammensetzung der Produkte oder zu einer preisgünstigeren Alternative. 23 Websites verbargen Informationen mit dem Ziel, Verbraucher zum Abschluss eines Abonnements zu bewegen.

Der Sweep umfasste auch die Anwendungen (Apps) von 102 der geprüften Websites, von denen 27 ebenfalls mindestens eine der drei Arten von Dark Patterns aufwiesen.
Die nächsten Schritte

Die nationalen Behörden werden sich nun mit den betroffenen Händlern in Verbindung setzen, damit diese die Mängel auf ihren Websites beheben, und erforderlichenfalls gemäß ihren nationalen Verfahren weitere Maßnahmen ergreifen.

Ergänzend dazu wird sich die Kommission zusätzlich zu diesem Sweep und im Rahmen ihrer umfassenderen Bemühungen zum Vorgehen gegen Dark Patterns auch an jene Online-Händler wenden, die 2022 in einer Studie zu unlauteren Geschäftspraktiken im digitalen Umfeld ermittelt wurden, und sie auffordern, die hier festgestellten Mängel zu beheben.

Darüber hinaus sammelt die Kommission Rückmeldungen zu folgenden drei Richtlinien mit Bezug zum Verbraucherschutz, um festzustellen, ob diese für ein hohes Schutzniveau im digitalen Umfeld sorgen: Richtlinie über unlautere Geschäftspraktiken, Verbraucherrechte-Richtlinie und Richtlinie über missbräuchliche Vertragsklauseln. Eine öffentliche Konsultation läuft bis zum 20. Februar 2023.

Hintergrund

Im Netz für die Zusammenarbeit im Verbraucherschutz (CPC-Netz) sind Behörden zusammengeschlossen, die für die Durchsetzung des EU-Verbraucherrechts zuständig sind. Damit die Behörden grenzüberschreitend operieren können, werden ihre Maßnahmen auf EU-Ebene koordiniert.

Die nationalen Behörden sind für die Durchsetzung der EU-Verbraucherschutzvorschriften zuständig. Dank der aktualisierten Verordnung über die Zusammenarbeit im Verbraucherschutz verfügen sie nun über mehr Befugnisse, um Unregelmäßigkeiten aufzudecken und schnell gegen unseriöse Händler vorzugehen.

Mit dem neuen Gesetz über digitale Dienste werden Dark Patterns auf Online-Plattformen verboten. Es wird Vorschriften wie die Richtlinie über unlautere Geschäftspraktiken oder die Datenschutz-Grundverordnung ergänzen und sicherstellen, dass keine Regelungslücke verbleibt, die es Plattformen erlaubt, Nutzerinnen und Nutzer zu manipulieren.

Darüber hinaus wurden mit der neuen Richtlinie zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union bestehende Instrumente des EU-Verbraucherrechts geändert, indem die Transparenz für die Verbraucherinnen und Verbraucher beim Kauf auf Online-Marktplätzen weiter erhöht wurde.

Die Sweeps werden vom CPC-Netz anhand gemeinsamer, von der Europäischen Kommission ausgearbeiteter Kriterien durchgeführt.