Die französische Datenschutz-Aufsichtsbehörde (Commission Nationale de l’Informatique et des Libertés - CNIL) hat am 10.11.2022 ein Bußgeld i.H.v. 800.000 € gegen das US-Unternehmen Discord wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt. Discord ist eine Anwendung, die den Benutzer:innen die Kommunikation über Text-, Sprach- und Video-Kanäle ermöglicht. Discord ist insbesondere bei jüngeren Menschen und in der eSports Szene sehr beliebt.

Die CNIL hat im Rahmen ihrer Untersuchung verschiedene (vermeintliche) Verstöße identifiziert.

Discord hatte kein Löschkonzept

Zunächst gab Discord an, tatsächlich über kein Löschkonzept (vgl. Art. 5 Abs. 1 lit. e) DSGVO) zu verfügen. Aufgefallen wa dies, nachdem eine große Anzahl von Accounts, die seit mehr als 3 Jahren nicht mehr genutzt wurden (ca. 2.5 Mio), noch in der Datenbank vorhanden waren. Immerhin 58.000 Accounts, die seit mehr als 5 Jahren nicht mehr genutzt wurden, waren ebenfalls noch vorhanden. Die DSGVO sieht zwar keine festen Löschfristen vor, gleichwohl ist gem. Erwägungsgrund 39, S. 10, eine regelmäßige Überprüfung der Datenbestände erforderlich. Vor diesem Hintergrund dürften verwaiste Accounts tatsächlich gegen den Grundsatz der Speicherbegrenzung verstoßen.

Datenschutzfreundliche Voreinstellungen: Discord bleibt nach Schließen der App aktiv

Eine weitere Problematik, die Discord im Zuge des Verfahrens mit der CNIL behoben hat, bestand in den Voreinstellungen für das Verhalten der Discord-App (auf Windows PCs) beim Schließen. Die App wurde beim Anklicken des "X" in der oberen, rechten Ecke nicht geschlossen, sondern lediglich in die Taskleiste minimiert. Dies führte dazu, dass Personen, die in einem Sprach-/Video-Chat waren, diesen beim vermeintlichen Schließen der App nicht verlassen hatten und insofern weiterhin über Mikrofon bzw. Webcam zu hören bzw. zu sehen waren. Einen expliziten Hinweis hierzu gab es in der Discord App nicht. Inzwischen wird die Voreinstellung unter Verweis auf etwaige datenschutzrechtliche Risiken beim erstmaligen Start der App durch die Nutzer:innen festgelegt.

Zu lockere Passwort-Regeln

Ein weiteres identifiziertes Problem bestand im Rahmen der IT-Sicherheit bei den Anforderungen, die an das Vergeben von Passwörtern gestellt wurden. Die DSGVO sieht hier vor, dass dem einer Verarbeitung personenbezogener Daten zugrunde liegendes Risiko durch dem Risiko angemessene Maßnahmen flankiert werden muss, vgl. Art. 32 DSGVO. Die Passwörter werden bei Discord verwendet, um sich in registrierte Accounts der Nutzer:innen einzuloggen, um dann unter diesen Pseudonym zu kommunizieren. Beim Registrieren eines Discord-Accounts werden die Passwörter selbst durch die Nutzer:innen festgelegt. Hier war eine Mindestlänge von lediglich 6 Zeichen und 2 Zeichenarten (z.B. Kleinbuchstaben und Zahlen) vorgesehen, sodass in der Folge durchaus schwache Passwörter vergeben werden konnten. Für eine Einschätzung unter den Gesichtspunkten deutschen Rechts liegt ein Blick in die Empfehlungen des Bundesamts für Informationssicherheit (BSI) nahe: Für Passwörter aus 2 Zeichenarten wäre demnach eine Mindestlänge von 25 Zeichen zu empfehlen. Enthält ein Passwort 4 Zeichenarten (Groß- und Kleinbuchstaben, Ziffern, Sonderzeichen), ist eine Mindestlänge von 8 Zeichen zu empfehlen.

Fehlende Datenschutz-Folgenabschätzung

Ein weiterer Kritikpunkt der CNIL war, dass Discord keine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO durchgeführt habe. Diese ist grundsätzlich erforderlich, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist, gem. Art. 35 Abs. 3 DSGVO, insbesondere der Fall, wenn

• eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (z.B. Profiling) erfolgt und dies als Grundlage für eine Entscheidung dient, die für die betroffene Person erheblich ist;
• eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 oder 10 DSGVO erfolgt, oder
• eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt.

Ein solches Regelbeispiel liegt bei Discord - das am ehesten mit Videokonferenz-Software verglichen werden kann, jedoch gerade nicht vor. Auch aus den von den Aufsichtsbehörden sog. Positiv-Listen gem. Art. 35 Abs. 4 DSGVO, die Beispiele für Anwendungen enthalten, bei denen eine DSFA erforderlich ist, ergibt sich dies nicht. Demnach kommt es bei Videokonferenz-Software vielmehr auf den konkreten Anwendungsfall und nicht auf die Software an sich an.

Die CNIL argumentiert diesbezüglich, dass insbesondere junge Menschen und Minderjährige Discord  verwenden. Dies überzeugt als Erfordernis für eine Datenschutz-Folgenabschätzung jedoch nicht: Der Schutz Minderjähriger wird in Art. 35 DSGVO nicht erwähnt. Vielmehr ergibt sich dieser aus den jeweiligen Rechtsgrundlagen: Im Zuge der Einwilligung Minderjähriger ist Art. 6 Abs. 1 lit. a) i.V.m. 8 DSGVO zu berücksichtigen, bei einem berechtigten Interesse ist die Schutzbedürftigkeit von Kindern unmittelbar in Art. 6 Abs. 1 lit. f) DSGVO geregelt. Für eine Verarbeitung auf Grundlage eines Vertrages ist wiederum ein solcher erforderlich, den (vermindert) Geschäftsfähige i.d.R. nicht selbstständig abschließen können.

Vor diesem Hintergrund wäre eine DSFA bei Discord oder anderen Videokonferenz-Systemen nach deutschem Rechtsstand wohl in der Regel nicht erforderlich.

Discord hat im Zuge des Verfahrens eine Datenschutz-Folgenabschätzung durchgeführt. Dabei kam Discord zu dem Ergebnis, dass voraussichtlich kein hohes Risiko bestehe.