Die "Children's Online Privacy Protection Rule"

Am 21. Oktober 1998 verabschiedete der US-Kongress den "Children's Online Privacy Protection Act" (COPA), ein Gesetz zum Schutz personenbezogener Daten von Kindern bis zu 13 Jahren vor unlauterer Datensammlung und -benutzung im Internet. Am 27. April hat die Federal Trade Commission (FTC) die im Gesetz vorgesehene Verordnung (rule) mit Definitionen und Auslegungsregeln zur Kommentierung durch die Öffentlichkeit vorgelegt (siehe auch www.ftc.gov/privacy/index.html). Die Äusserungsfrist ist am 11. Juni 1999 abgelaufen, für den 20. Juli ist ein Termin für einen Workshop über Anregungen und Kommentare vorgesehen.

COPA verpflichtet die Betreiber kommerziell betriebener, an Kinder gerichteter Online-Angebote,

a. gegenüber den Eltern offenzulegen, ob und in welchem Umfang personenbezogene Daten erfasst, genutzt oder veröffentlicht werden (Offenlegung),

b. vor der Erfassung, Nutzung oder Weitergabe personenbezogener Daten von Kindern die vorherige Zustimmung der Eltern einzuholen (Zustimmung),

c. es den Eltern auf Verlangen zu ermöglichen, die erfassten personenbezogenen Daten ihres Kindes einzusehen, zu ändern und zu löschen,

d. es den Eltern auf Verlangen zu ermöglichen, die weitere Nutzung bereits erfasster Daten und die weitere Sammlung personenbezogener Daten ihres Kindes zu verhindern,

e. die Erfassung personenbezogener Daten von Kindern bei Online-Preisausschreiben, -spielen oder anderen Online- Aktivitäten auf das zur Durchführung dieser Aktivitäten notwendige Mass zu beschränken,

f. die Teilnahme von Kindern an Online-Preisausschreiben, - spielen oder anderen Online-Aktivitäten nicht von der Erfassung personenbezogener Daten abhängig zu machen, soweit diese zur Durchführung nicht erforderlich sind, sowie

g. angemessene Massnahmen zu ergreifen und zu unterhalten, um die Vertraulichkeit, Sicherheit und Vollständigkeit der erfassten personenbezogenen Daten sicherzustellen.

Als Betreiber (operator) eines Online-Angebotes im Sinne von COPA gelten natürliche oder juristische Personen, die das Angebot im Internet betreiben und dabei personenbezogene Daten der Nutzer erfassen oder erfassen lassen. Als Betreiber gilt auch, wer, ohne selbst ein Online-Angebot zu unterhalten, über oder durch die Webseite eines Dritten auf personenbezogene Daten zugreift. Nicht unter den Betreiber-Begriff fallen hingegen Online-Angebote, die lediglich als Portal konzipiert sind und den Zugriff auf Webseiten Dritter ermöglichen, sofern dabei nicht personenbezogene Daten gesammelt werden. In Zweifelsfällen wird die FTC im Wege einer Gesamtbetrachtung unter anderem untersuchen, wer auf die personenbezogenen Daten zugreift, wer den Zugang kontrolliert, wer rechtlich und/oder wirtschaftlich für die Datenerfassung verantwortlich ist und welche vertraglichen Beziehungen im Zusammenhang mit der Datenerfassung bestehen.

Das Online-Angebot muss zu wirtschaftlichen Zwecken betrieben werden, wobei auch der Verkauf von Produkten oder andere kommerzielle Aktivitüten über die Grenzen der USA hinaus erfasst werden soll. Nicht unter den "Betrieb zu wirtschaftlichen Zwecken" fallen Online-Angebote gemeinnütziger Organisationen, wobei dieser Ausnahmetatbestand generell eng gefasst wird und schon dann nicht greifen soll, wenn eine an sich gemeinnützige Organisation zum eigenen oder zum Nutzen ihrer Mitglieder kommerzielle Aktivitaeten entfaltet. Das Online-Angebot muss jedenfalls teilweise an Kinder unter 13 Jahren gerichtet sein. Das ist nicht der Fall bei Hyperlinks, Indices, Verzeichnisse oder vergleichbare Wegweiser zu anderen Angeboten, die direkt von COPA erfasst werden. Allerdings sollen auch Betreiber von "General Interest"-Angeboten den COPA- Verpflichtungen unterliegen, soweit ihnen bekannt ist, dass der an Kinder gerichtete Bereich ihres Angebotes auch von Kindern aufgerufen wird. Bei der Prüfung, ob ein Online-Angebot an Kinder gerichtet ist, behält sich die FTC vor, in einer Gesamtwürdigung unter anderem die ausdrückliche Bezeichnung als "Kinderbereich", die auf der Seite behandelten Themen, deren Präsentation in kindgerechter Sprache, Design oder das Vorhandensein typischer Elemente zu berücksichtigen, mit denen regelmässig das Interesse von Kindern geweckt wird (Comicfiguren, Spiele, Puppen u.ä.). Insoweit werden neben speziellen Online-Magazinen auch die Online-Angebote von TV- Sendern, Schulbuchverlagen, Spielzeuggeschäften und vergleichbaren Anbietern kinderbezogener Informationen, Produkte und Dienstleistungen vom Geltungsbereich von COPA umfasst. Als personenbezogene Daten gelten auch Informationen, die der Betreiber über Cookies erfasst, weiterhin Hardware- Seriennummern, Screen-Namen in Chats oder Foren, "Instant Message"-Identifikationen o.ä., sofern diese den Zugriff auf individuelle Email-Adressen oder andere unmittelbare Kontaktmedien ermoeglichen. Entscheidend ist, ob ueber die personenbezogenen Daten der Nutzer identifiziert werden kann und Dritte unmittelbar in Kontakt zum Nutzer treten können. Selbst das Ausfüllen eines anonymisierten Fragebogens würde mithin beim zusätzlichen Einsatz von Cookies als Datensammlung betrachtet.

Als Datensammlung werden sowohl direkte Abfragen personenbezogener Daten - etwa durch das Ausfüllen von Online- Formularen oder das Einsenden eines ausgedruckten Formulars - und die Veröffentlichung von E-Mail-Adressen in Chats, Newsgroups oder anderen öffentlich zugänglichen Bereichen als auch die "passive" Sammlung, etwa durch Cookies oder andere zur Identifikation geeignete Technologien. Das Gesetz erfasst weiterhin die Nutzung personenbezogener Daten für andere als interne Zwecke, so etwa jede Form von Veröffentlichung und entgeltlicher oder unentgeltlicher Weitergabe an Dritte.

Eine Beschränkung des Anwendungsbereichs auf Betreiber mit Wohn- oder Geschäftssitz in den USA sieht der Verordnungsentwurf nicht vor. Bis zum Ablauf der Auesserungsfrist am 11. Juni hat kein ausserhalb der USA ansässiger Betreiber von Online-Angeboten zu diesem Problemfeld Stellung genommen (siehe die bis zum 21. Juni eingegangenen Kommentare unter www.ftc.gov/privacy/comments/index.html, die zahlreichen Einzelfragen des Entwurfs vor allem die erheblichen Kostenfolgen von COPA und die insoweit negativen Auswirkungen auf Online-Anbieter diskutieren).

COPA-Verstösse koennen wie unlautere Wirtschaftspraktiken von der FTC im Wege entsprechender Anordnungen verfolgt werden; bei Verstoessen gegen bestandskraeftige Anordnungen koennen Bussgelder bis zu $ 10.000 pro Verstoss bzw. pro Tag bei fortgesetzten Verst&oul;ssen faellig werden. Fuer Betreiber von Online-Angeboten mit Sitz ausserhalb der USA sind diese Rechtsfolgen insoweit bedeutsam, als sie z.B. auch gegen die US- Tochter eines auslöndischen Unternehmens verhängt werden können.

*