Vor kurzem hat TikTok seine Datenschutzrichtlinien in den USA angepasst und erlaubt sich damit selbst das Sammeln von biometrischen Daten der Nutzer. Zwar ist nicht klar, in welchem Umfang TikTok davon tatsächlich Gebrauch machen wird, jedoch können mit biometrischen Daten – im Gegensatz zu allgemeinen Daten – Nutzer eindeutig identifiziert werden.
TikTok erklärt, dass dort, wo es das Gesetz verlange, vor dem Einsatz der Technik vorab die Erlaubnis der Nutzer eingeholt werden soll. Die Wahl, die den Nutzern am Ende bleibt, ist jedoch begrenzt – entweder Akzeptieren oder den Dienst nicht mehr weiter nutzen.
Im folgenden Statement erklärt Shane McNamee, Chief Privacy Officer bei Avast, warum diese Änderung in Deutschland nicht so einfach möglich wäre.
„Durch die Änderung seiner US-Datenschutzrichtlinien hat TikTok in Zukunft die Möglichkeit, biometrische Daten seiner US-Nutzer zu sammeln. Es ist jedoch eher unwahrscheinlich, dass dieses Vorgehen auch nach deutschem Recht erlaubt wäre. Denn ‘biometrische Daten zum Zweck der eindeutigen Identifizierung’ fallen unter eine besondere Kategorie personenbezogener Daten, die gemäß Artikel 9 der Datenschutz-Grundverordnung (DSGVO) eine höhere Schutzpriorität haben. Die Verarbeitung dieser Daten ist verboten. Es sei denn, es wird eine, der in Artikel 9 genannten Voraussetzungen erfüllt.
Im Fall von TikTok wäre das am wahrscheinlichsten die ‘ausdrückliche Zustimmung’ der Nutzer. Zudem müsste TikTok Transparenz über den genauen Zweck der Datenerhebung und -verwendung schaffen. Dazu zählt beispielsweise, mit wem die Daten geteilt werden dürfen oder wie lange sie gespeichert werden.
Darüber hinaus müsste TikTok womöglich eine Datenschutz-Folgenabschätzung (DPIA) durchführen, bevor eine biometrische Verarbeitung in der EU möglich wäre. So schreibt etwa Artikel 35 DSGVO vor, dass in Fällen, in denen die Verarbeitung von Daten – insbesondere unter Verwendung neuer Technologien – wahrscheinlich zu einem ‘hohen Risiko für die Rechte und Freiheiten natürlicher Personen’ führt, vorab eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz der personenbezogenen Daten durchzuführen ist.
Der Artikel weist außerdem darauf hin, dass eine Datenschutz-Folgenabschätzung insbesondere dann durchgeführt werden muss, wenn es sich um eine ‘Verarbeitung besonderer Datenkategorien in großem Umfang’ handelt. In Erwägungsgrund 91 wird die Verarbeitung biometrischer Daten zudem ausdrücklich als ein Vorgang genannt, der wahrscheinlich eine Datenschutz-Folgenabschätzung erfordert.
Im Allgemeinen könnte TikTok Schwierigkeiten haben, die in Artikel 5 DSGVO festgelegten Grundprinzipien der Zweckbindung, dass Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden dürfen – sowie der Datenminimierung, dass Daten dem Zweck angemessen sind und auf das notwendige Maß beschränkt werden, zu erfüllen.“