Allgemein

Erhöhter Datenschutz für die Kommunikationsplattform Discord

Der Online-Dienst Discord, welcher sich insbesondere in der Gaming-Szene als Kommunikationstool hoher Beliebtheit erfreut, wurde von der französischen Datenschutzbehörde CNIL mit einer Sanktion i.H.v. 800.000€ beschwert. Grund dafür war die Nichteinhaltung der DSGVO in fünf Fällen. Die CNIL begründet ihre Bewertung auf nicht vorhandenen Standard- oder integrierte Sicherheitsoptionen, welche wie folgt zusammengefasst werden können:

Verstoß gegen Datenverarbeitungsgrundsatz nach Art. 5 I e) DSGVO

Im Rahmen eines groß angelegten Kontrollverfahrens wurde festgestellt, dass 2.474.000 Discord-Konten seit mehr als drei Jahren und 58.000 Konten seit über fünf Jahren nicht mehr genutzt werden. Bemängelt wurde in diesem Zusammenhang das Fehlen einer Datenspeicherungshöchstdauer.

Die CNIL empfiehlt eine Löschung der Kontodaten nach zwei Jahren Inaktivität. Wolle ein inaktiver Nutzer den Dienst erneut nutzen, so könne er sich jederzeit kostenlos ein neues Konto erstellen. Daher sei nicht ersichtlich, warum Kontenangaben für einen noch längeren Zeitraum gespeichert werden sollten.

Ungenügende Erfüllung von Informationspflichten nach Art. 13 DSGVO

Der zweite Verstoß betrifft die Maßgaben des Art. 13 DSGVO. Im Sinne des Art. 13 II a) DSGVO hat der Verantwortliche den Betroffenen zum Zeitpunkt der Erhebung seiner personenbezogenen Daten Informationen zur Speicherungsdauer zur Verfügung zu stellen, um eine faire und transparente Verarbeitung zu gewährleisten.

Für die Einhaltung dieser Pflicht reiche eine generelle Erklärung, die personenbezogenen Daten würden so lange gespeichert, wie es der legitime Zweck der Verarbeitung erfordert, nicht aus. Vielmehr soll die Speicherfrist so formuliert sein, dass Betroffene selbst beurteilen können, von was für einer Speicherdauer sie ausgehen müssen ((EU) 2016/679). Wenn der Verantwortliche die Dauer der Datenspeicherung nicht angeben kann, hat er zumindest die Kriterien für die Festlegung zu nennen.

Keine datenschutzfreundlichen Voreinstellungen nach Art. 25 II DSGVO

Der dritte Verstoß betrifft eine Eigenschaft von Discord, welche im Konflikt mit Art. 25 DSGVO steht. Das Programm läuft nach Schließen des Browserfensters im Hintergrund weiter, die Beendigung unter Betriebssystemen wie Windows und Linux erfordert zusätzliche Anpassungen unter den Standardeinstellungen. Dies kann dazu führen, dass der Nutzer der Überzeugung ist, er habe den Sprachkanal verlassen, ist tatsächlich aber noch mit ihm verbunden und entsprechend von Dritten zu hören. Der CNIL fehlte es zum Zeitpunkt der Überprüfung an klaren Informationen, es bestehe ein zu großes Risiko, dass es zu einer unbewussten Weitergabe von Nutzerdaten an Dritte kommt. Dies begründe einen Verstoß gegen Art. 25 II DSGVO, da Discord Voreinstellungen vorzunehmen habe, welche im Sinne der Datensicherheit seiner Nutzer sind.

Kein hinreichender Schutz der Datensicherheit nach Art. 32 DSGVO

Des Weiteren wird auch das Passwort-Sicherheitsniveau von Discord kritisiert. Zum Zeitpunkt der Überprüfung reichten bereits sechs Zeichen inklusive Zahlen und Buchstaben aus, um ein Discord-Konto anzulegen. Die CNIL sah die Anforderungen des Art. 32 DSGVO als nicht erfüllt an. Ihr mangelte es hier an hinreichenden Komplexitätskriterien, wodurch sich unbefugte Dritte einen zu leichten Zugang zu den Kontodaten verschaffen könnten.

Keine Datenschutzfolgenabschätzung nach Art. 35 DSGVO

Insbesondere im Fall der Plattform Discord, welche eine hohe Anzahl minderjähriger Nutzer vorweisen kann, hätte die Durchführung einer Datenschutzfolgenabschätzung (DSFA) großen Stellenwert. Eine DSFA ist ein Gutachten, welches Datenschutzrisiken eines Verarbeitungsprozesses benennt, bewertet und letztlich versucht, bestehende Gefahren durch Verbesserungsvorschläge zu minimieren. Allerdings hatte Discord zum Prüfungszeitpunkt keine DSFA vorgenommen.

Stetig wachsende Unternehmen müssen sich technischen Gefahren, vor allem potenziellen Cyber-Angriffen stellen. Im Fall von Discord zeigt sich erneut, dass die Größe einer Plattform allein nicht beweist, ob ausreichende Sicherheitsvorkehrungen für die Angaben der Nutzer getroffen werden. Anfang 2022 fielen unter anderem Discord, Apple und Facebook einem Angriff von Hackern zum Opfer, welche sich als Strafverfolgungsbehörden ausgegeben hatten. Über derartige Gefährdungen der Nutzerdaten kann der gute Ruf des Unternehmens für seine innere Sicherheit nicht hinwegtäuschen, solange es nicht auch den Schutz nach außen erweitert.

Können wir Ihnen weiterhelfen?

Sollten Sie datenschutzrechtliche Beratung für ihr eigenes Unternehmen benötigen, wenden Sie sich gerne an uns. Kontaktieren Sie uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de.

Karola Frenz

Recent Posts

EuGH: Arzneimittelverkauf über Amazon Marketplace nur mit ausdrücklicher Datenschutzeinwilligung

Der Europäische Gerichtshof (EuGH) hat am 4. Oktober 2024 eine wegweisende Entscheidung zum Verkauf von…

2 Wochen ago

Data Act: Datenkontrolle im Wandel

Der Data Act der Europäischen Union (EU) ist bereits am 11. Januar 2024 in Kraft…

2 Monaten ago

Rechtspflichten für Cannabis Social-Clubs: Welche Vorschriften es für Anbauvereinigungen nach dem Cannabisgesetz zu beachten gilt

Bild: Generiert mit Midjourney von Joerg Heidrich Seit der Legalisierung des Cannabiskonsums durch Inkrafttreten des…

7 Monaten ago

Erste Entscheidung in Deutschland zur unternehmensinternen Nutzung von ChatGPT

Bild: Generiert mit Midjourney von Joerg Heidrich Das Arbeitsgericht Hamburg hat in einem Fall, bei…

9 Monaten ago

Das EU-US Data Privacy Framework – ein neuer sicherer Hafen?

Die europäische Kommission hat am 10. Juli den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU…

1 Jahr ago

Bedeutung von KI-Richtlinien für Unternehmen

Bild: Generiert mit Midjourney von Joerg Heidrich Die Existenz der zahlreichen und sogar kostenlos nutzbaren…

1 Jahr ago