Kinder lieben es, sich zu verkleiden, aber Eltern möchten nicht, dass sie ohne Erlaubnis und angemessene Aufsicht den Dachboden durchwühlen oder auf das oberste Regal im Kleiderschrank klettern. Die Website i-Dressup.com bot den Nutzern – auch Kindern – eine virtuelle Möglichkeit, sich zu verkleiden und Kleider zu entwerfen, ohne diese potenziellen Gefahren. Laut einer FTC-Beschwerde hat Unixiz, Inc., das Unternehmen hinter i-Dressup, jedoch gegen den Children’s Online Privacy Protection Act verstoßen, und zwar auf eine Art und Weise, die verschiedene Risiken mit sich bringt.
COPPA sieht zwei verschiedene Schutzmaßnahmen vor, damit Eltern die Kontrolle über die von ihren Kindern online erfassten persönlichen Daten behalten. Erstens müssen Unternehmen, die unter COPPA fallen, ihre Informationspolitik klar offenlegen und die Zustimmung der Eltern einholen, bevor sie personenbezogene Daten von Kindern unter 13 Jahren erfassen. Zweitens müssen die Unternehmen die gesammelten Daten in angemessener und geeigneter Weise schützen. Laut einem FTC-Vergleich hat i-Dressup beide COPPA-Anforderungen nicht erfüllt.
In der Beschwerde wird behauptet, dass i-Dressup auf seiner Website nicht ausreichend über die von Kindern online gesammelten Daten, deren Verwendung, seine Offenlegungspraktiken und andere von der COPPA-Regel geforderte Einzelheiten informiert hat. Auch die direkten Mitteilungen des Unternehmens an die Eltern waren unzureichend. Unter anderem enthielten sie nicht die von der COPPA-Richtlinie geforderte Erklärung, dass i-Dressup ihre Online-Kontaktdaten aus seinen Unterlagen löschen wird, wenn die Eltern nicht innerhalb einer angemessenen Frist ihre Zustimmung erteilen. Bleiben Sie an der Geschichte dran, denn dieses Versäumnis erwies sich als besonders beunruhigend.
Neben der Möglichkeit, Online-Spiele zu spielen, bot i-Dressup eine Gemeinschaft, in der die Benutzer „ihre Kreativität und ihren Sinn für Mode mit einzigartigen persönlichen Profilen erkunden“ und mit anderen interagieren konnten. Um sich zu registrieren, musste man bei i-Dressup einen Benutzernamen, ein Passwort, ein Geburtsdatum und eine E-Mail-Adresse angeben. Wenn das Geburtsdatum angab, dass die Person unter 13 Jahren war, änderte sich das E-Mail-Feld in „E-Mail der Eltern“. Sobald der Benutzer unter 13 Jahren die erforderlichen Felder ausgefüllt und auf „Jetzt anmelden“ geklickt hatte, erfasste i-Dressup die persönlichen Daten und schickte eine Nachricht an die Adresse, die in das Feld „E-Mail der Eltern“ eingegeben worden war. Die Person, die die E-Mail erhielt, konnte ihr Einverständnis geben, indem sie auf die Schaltfläche „Jetzt aktivieren“ klickte.
Wenn die Eltern jedoch nicht zustimmten, behielt i-Dressup die persönlichen Daten, die es online von dem Kind gesammelt hatte. Die FTC ist der Ansicht, dass das Versäumnis des Unternehmens, diese Daten zu löschen, gegen Abschnitt 312.5(c)(1) der COPPA-Regeln verstößt.
Neben der Verletzung der COPPA-Bestimmungen über die elterliche Zustimmung hat i-Dressup angeblich auch gegen die Datensicherheitsanforderungen der Regel verstoßen. Der FTC zufolge speicherte und übermittelte i-Dressup die persönlichen Daten der Nutzer (einschließlich Passwörter) im Klartext. Darüber hinaus versäumte es das Unternehmen, sein Netzwerk auf Schwachstellen zu prüfen, selbst im Hinblick auf bekannte Bedrohungen wie SQL-Angriffe; es setzte kein System zur Erkennung und Verhinderung von Eindringlingen ein und überwachte nicht auf potenzielle Sicherheitsvorfälle. Das Ergebnis? Das Unternehmen erfuhr, dass sich ein Hacker Zugang zu seinem Netzwerk verschafft und auf Informationen über 2,1 Millionen Nutzer zugegriffen hatte, darunter etwa 245.000 Nutzer, die angaben, unter 13 Jahre alt zu sein.
Um den Fall beizulegen, werden i-Dressup und seine Eigentümer eine zivilrechtliche Strafe in Höhe von 35.000 Dollar zahlen. Außerdem ist es ihnen untersagt, in Zukunft gegen COPPA zu verstoßen, und sie dürfen keine personenbezogenen Daten verkaufen, weitergeben oder sammeln, bis sie ein umfassendes Datensicherheitsprogramm einführen und sich alle zwei Jahre einer unabhängigen Bewertung unterziehen. Darüber hinaus müssen sie der FTC jährlich eine Bescheinigung über die Einhaltung der Vorschriften vorlegen.
Die Botschaft für Websites und Betreiber, die unter COPPA fallen, lautet, dass ein wirksames System der elterlichen Zustimmung nur der erste Schritt zur Einhaltung der Vorschriften ist. Gemäß Abschnitt 312.8 der COPPA-Regel müssen Sie auch „angemessene Verfahren zum Schutz der Vertraulichkeit, Sicherheit und Integrität der von Kindern erhobenen personenbezogenen Daten einführen und aufrechterhalten“.
Interessieren Sie sich für Fragen der Datensicherheit? Lesen Sie eine begleitende Erklärung der Kommission und erfahren Sie mehr über eine weitere heute angekündigte Maßnahme der FTC.