Der beliebte Kurzvideo-Hosting-Dienst TikTok wurde vom französischen Datenschutzbeauftragten zu einer Geldstrafe in Höhe von 5 Mio. € (ca. 5,4 Mio. $) verurteilt, weil er gegen die Cookie-Zustimmungsregeln verstoßen hat. Damit ist TikTok nach Amazon, Google, Meta und Microsoft die letzte Plattform, die seit 2020 mit ähnlichen Strafen belegt wurde.
„Die Nutzerinnen und Nutzer von ‚tiktok[.]com‘ konnten Cookies nicht so einfach ablehnen, wie sie sie akzeptierten, und sie wurden nicht hinreichend genau über die Ziele der verschiedenen Cookies informiert“, erklärte die Commission nationale de l’informatique et des libertés (CNIL) in einer Stellungnahme.
Die Aufsichtsbehörde erklärte, sie habe zwischen Mai 2020 und Juni 2022 mehrere Audits durchgeführt und dabei festgestellt, dass das Unternehmen, das sich im Besitz von ByteDance befindet, keine einfache Option anbietet, um alle Cookies abzulehnen, anstatt sie mit nur einem Klick zu akzeptieren. Die Option, „alle“ Cookies abzulehnen, wurde von TikTok im Februar 2022 eingeführt.
Die CNIL argumentierte: „Wenn man den Opt-out-Mechanismus komplizierter macht, hält man die Nutzerinnen und Nutzer davon ab, Cookies abzulehnen, und ermutigt sie, die einfache Schaltfläche ‚Alle akzeptieren‘ zu bevorzugen“, und nannte dies einen Verstoß gegen das französische Datenschutzgesetz.
Die CNIL kritisierte außerdem, dass TikTok die Nutzer/innen nicht über den Zweck der Cookies informiert, die beim Besuch von tiktok[.]com auf den Systemen der Nutzer/innen abgelegt werden. Das Unternehmen hat die Probleme inzwischen behoben.
Seit der Einführung der EU-Datenschutz-Grundverordnung(GDPR) im Mai 2018 werden immer häufiger Banner mit Cookie-Einwilligungen verwendet, aber es wurde auch immer wieder beobachtet, dass Unternehmen auf illegale dunkle Muster zurückgreifen, um Nutzer/innen dazu zu bringen, mehr Informationen preiszugeben.
Gemäß den Gesetzen sind Websites verpflichtet, alle Cookies und Tracker von Drittanbietern – die für verhaltensbezogene Werbung oder das Sammeln von Analysedaten verwendet werden könnten – zurückzuhalten, bis die ausdrückliche Erlaubnis der Nutzer/innen eingeholt wird.
Die Entwicklung kommt auch Wochen, nachdem die CNIL Apple bestraft hat, weil das Unternehmen in iOS 14.6 keine Zustimmung der iPhone-Nutzer/innen eingeholt hat, bevor es Kennungen für gezielte Werbung im App Store verwendet und damit gegen die EU-Datenschutzrichtlinie verstoßen hat.