ICO reddit gdpr fine bringt Altersüberprüfungen und Kinderschutz unter neue Prüfung

Regulierungsbehörden haben die Debatte über Privatsphäre, den Schutz von Kindern im Internet und die Reddit-GDPR-Geldstrafe neu entfacht, nachdem die britische Aufsichtsbehörde die Plattform wegen Daten von unter 13-Jährigen sanktioniert hat.

ICO sanktioniert Reddit wegen Kinderdaten und Altersüberprüfung

Das britische Information Commissioner’s Office (ICO) hat Reddit am 24. Februar 2026 eine Geldstrafe von 14,47 Mio. Pfund (£) (19,6 Mio. USD) wegen angeblicher Verstöße gegen die DSGVO im Zusammenhang mit Kindern auferlegt. Datenschutzbefürworter warnen jedoch, dass die Durchsetzungsmaßnahmen die Anonymität und Sicherheit der Nutzer im Internet untergraben könnten.

Die Behörde erklärte, dass die Strafe auf zwei Hauptversäumnissen beruht. Erstens fehlten bei Reddit „robuste“ Altersverifizierungsmaßnahmen, was es dem Unternehmen unmöglich machte, eine rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten von Nutzern unter 13 Jahren zu haben. Zweitens hatte Reddit vor Januar 2025 keine formale Datenschutz-Folgenabschätzung (DPIA) durchgeführt, um Risiken für Kinder auf der Plattform zu erkennen und zu mindern.

Laut ICO spiegelte die Höhe der Strafe mehrere Faktoren wider. Dazu gehörten die große Anzahl junger Nutzer, die potenziellen Schäden, die ihnen entstehen könnten, die Dauer der Versäumnisse sowie Reddit’s weltweiter Umsatz. Zudem hoben die Ermittler die Art der Inhalte hervor, denen Kinder möglicherweise ausgesetzt waren.

Regulierer: Reddit hat jüngere Nutzer im Stich gelassen

Der Datenschutzbeauftragte John Edwards erklärte, dass bei Kindern unter 13 Jahren persönliche Informationen gesammelt und in einer Weise verwendet wurden, die sie nicht vollständig verstehen oder kontrollieren konnten. Dadurch seien sie potenziell Inhalten ausgesetzt gewesen, die für ihr Alter unangemessen sind, so Edwards in einer deutlich formulierten Stellungnahme.

„Bei Kindern unter 13 Jahren wurden persönliche Informationen gesammelt und genutzt, ohne dass sie dies verstehen, zustimmen oder kontrollieren konnten. Das hat sie potenziell Inhalten ausgesetzt, die sie nicht hätten sehen dürfen. Das ist inakzeptabel und hat zu der heutigen Geldstrafe geführt“, sagte Edwards. Er betonte, dass Unternehmen von Anfang an Dienste so gestalten müssen, dass sie Kinder berücksichtigen.

Edwards fügte hinzu, dass Online-Dienste, die wahrscheinlich Kinder anziehen, eine klare Verantwortung haben, sie zu schützen. Dazu müssten sie mit angemessenem Vertrauen wissen, wie alt ihre Nutzer sind, und geeignete, wirksame Altersüberprüfungen einsetzen. Er gab jedoch keine konkrete Technologie vor, sondern konzentrierte sich auf Ergebnisse und Risikominderung.

Reddit’s Reaktion und Datenschutzbedenken

Reddit widersprach und argumentierte, dass seine langjährigen Designentscheidungen den Schutz der Anonymität und Sicherheit der Nutzer priorisieren. In einer Erklärung sagte das Unternehmen, es „verlangt von Nutzern nicht, Informationen über ihre Identität zu teilen, unabhängig vom Alter, weil wir uns tief für deren Privatsphäre und Sicherheit engagieren.“ Es bestreitet jedoch nicht, dass Kinder Zugriff auf die Plattform hatten.

Im Juli 2025 führte Reddit Altersbarrieren für den Zugriff auf „reife Inhalte“ ein und forderte neue Nutzer auf, bei der Kontoerstellung ihr Alter anzugeben. Das ICO erkannte diese Änderungen an, erklärte jedoch, dass die Selbstdeklaration zu leicht zu umgehen sei und nicht den DSGVO-Standards für risikoreiche Verarbeitung von Minderjährigen entspreche.

Datenschutzexperten unterstützten Reddit’s Haltung und argumentierten, dass strengere Kontrollen Bedenken hinsichtlich der Altersverifikation verstärken könnten. Sie warnten davor, dass die Übertragung der invasiven Identitätsanforderungen, die auf einigen Erwachsenenplattformen gelten, die Angriffsfläche für Cyberkriminelle erhöhen und den Datenschutz insgesamt schwächen könnte.

Experten warnen vor Datenschutzrisiken bei Altersüberprüfung

Paul Bischoff, Verbraucherschutzanwalt bei Comparitech, hofft, dass Reddit dem Druck widerstehen wird, strenge Identitätsprüfungen einzuführen. Er argumentierte, dass verpflichtende Verifizierungsregime die Beweislast auf Nutzer verschieben, die nicht des Fehlverhaltens verdächtigt werden, was breite bürgerliche Freiheitsfragen aufwirft.

„Das Problem bei verpflichtenden Identitätsprüfungen ist, dass sie die Beweislast unangemessen auf die Mehrheit der Nutzer legen, die nicht des Fehlverhaltens verdächtigt werden“, warnte Bischoff. Zudem gebe es kaum belastbare Belege dafür, dass solche Systeme die behaupteten Sicherheitsvorteile bei großem Maßstab tatsächlich bieten.

Er fügte hinzu, dass Zwangsprüfungen die Meinungs- und Vereinigungsfreiheit einschränken können. Seiner Ansicht nach sollten Eltern mehr Verantwortung für die Überwachung der Online-Aktivitäten ihrer Kinder übernehmen, anstatt diese Aufgabe an private Firmen, Regierungen oder die Öffentlichkeit zu übertragen.

Pieter Arntz, leitender Forscher bei Malwarebytes, warnte ebenfalls vor erheblichen Risiken bei Altersbewertungstechnologien. Besonders betonte er Systeme, die auf biometrischer Analyse, Finanzdaten oder zentralisierten Identitätsdatenbanken basieren, da jede Option neue Angriffsvektoren für Missbrauch, Überwachung oder Datenlecks eröffne.

Arntz nannte biometrische Gesichtsalterkennung, Open-Banking-Checks, digitale ID-Wallets und Foto-Identitätsabgleiche als Beispiele für Tools, die hochsensible Identitätsdaten konzentrieren könnten. Auch einfachere Mechanismen wie Kreditkartenprüfungen, E-Mail-Inferenz oder Mobilfunkverifizierung könnten Bedenken hinsichtlich Ausschluss, Profilbildung und Zuverlässigkeit aufwerfen.

Double-Blind-Modelle als möglicher Kompromiss

Um Datenschutzbedenken bei Altersüberprüfungen mit Sicherheitszielen in Einklang zu bringen, verwies Arntz auf das „Double-Blind“-Verfahren als datenschutzfreundlichere Lösung. Bei diesem Modell bestätigt eine vertrauenswürdige Drittpartei, ob ein Nutzer ein bestimmtes Alterslimit, z. B. 18+, erfüllt, und stellt dann ein anonymisiertes Token an die vertrauende Website aus.

Dabei erhält die Website nur eine einfache Angabe, ob der Nutzer beispielsweise „18+“ ist, ohne seine vollständige Identität oder die verwendete Verifizierungsstelle zu kennen. Dies kann den Datenzugriff reduzieren, die plattformübergreifende Nachverfolgung einschränken und die Erstellung großer „Honeypots“ sensibler persönlicher Daten, die Angreifer anziehen, vermeiden.

Arntz ist der Ansicht, dass solche Architekturen stärkeren Datenschutz bieten können als viele aktuelle Systeme, während sie gleichzeitig regulatorische Anforderungen erfüllen. Allerdings erfordern sie eine sorgfältige technische Gestaltung, klare Governance und eine robuste Überwachung, um sicherzustellen, dass sie tatsächlich den Datenzugriff begrenzen und keine neuen Risiken durch Backend-Integrationen schaffen.

Compliance-Verpflichtungen und Lehren aus der Reddit-GDPR-Strafe für die Branche

Die Reddit-GDPR-Strafe unterstreicht auch die umfassenderen Verpflichtungen zum Schutz von Kinderdaten bei allen Online-Diensten, die von Minderjährigen genutzt werden, unabhängig davon, ob sie die Zielgruppe sind oder nicht. Strategische und governancebezogene Versäumnisse bei DPIAs und Altersüberprüfungen werden mit zunehmender Durchsetzung wahrscheinlich mehr regulatorische Aufmerksamkeit auf sich ziehen.

Chris Linnell, stellvertretender Leiter Datenschutz bei Bridewell, betonte, dass bei der Verarbeitung von Kinderdaten eine DPIA nicht optional ist. Es ist eine gesetzliche Anforderung, die sicherstellen soll, dass Organisationen Risiken bewerten, dokumentieren und mindern, bevor Schaden entsteht, insbesondere bei Profiling oder Content-Targeting.

Linnell argumentierte, dass das Fehlen einer robusten DPIA darauf hindeutet, dass Risiken für Kinder nicht richtig erkannt oder adressiert wurden. Zudem sei die ausschließliche Abhängigkeit von Allgemeinen Geschäftsbedingungen, die unter 13-Jährige vom Dienst ausschließen, kein wirksamer Schutz, wenn keine technischen Kontrollen vorhanden sind.

„Wenn keine wirksamen technischen oder operativen Maßnahmen zur Durchsetzung dieser Regelung vorhanden sind, kann die Organisation nicht glaubhaft argumentieren, dass sie angemessene Schritte unternommen hat, um den Zugriff zu verhindern“, sagte er. „Die Einhaltung darf nicht nur in vertraglichen Formulierungen bestehen, sondern muss sich in praktischen Schutzmaßnahmen widerspiegeln.“ Seine Kommentare deuten darauf hin, dass papierbasierte Richtlinien in zukünftigen Durchsetzungsmaßnahmen nicht ausreichen werden.

Aktuelle Durchsetzung und Leitlinien für Online-Plattformen

Die Entscheidung gegen Reddit folgt einem weiteren britischen Fall im Zusammenhang mit Kinderdaten. Nur wenige Wochen zuvor erhielt MediaLab, die Muttergesellschaft der Bilderplattform Imgur, eine Geldstrafe von über 247.000 Pfund, weil sie Kinderinformationen nicht rechtmäßig genutzt hatte. Zusammen zeigen diese Fälle, dass die ICO die Überwachung der Behandlung junger Nutzer durch soziale und Content-Plattformen verstärkt.

Linnell forderte Anbieter online Dienste auf, jetzt zu handeln, um ähnliche Konsequenzen zu vermeiden. Erstens sollten sie erkennen, wo Kinder wahrscheinlich auf ihre Dienste zugreifen, auch wenn diese Nutzer nicht die Zielgruppe sind. Zweitens müssten sie DPIAs für risikoreiche Verarbeitung durchführen und diese regelmäßig überprüfen und aktualisieren.

Er riet den Unternehmen außerdem, eine klare rechtliche Grundlage für die Verarbeitung von Kinderdaten zu schaffen und proportionale, wirksame Kontrollen umzusetzen, anstatt sich nur auf Richtlinien zu verlassen. Diese Kontrollen sollten jedoch mit Datenschutz-by-Design-Prinzipien in Einklang stehen, um eine übermäßige Datenerfassung zu vermeiden, die selbst neue Risiken schaffen könnte.

Ausblick für Plattformen, die Sicherheit, Privatsphäre und Compliance in Einklang bringen

Die Maßnahmen der ICO gegen Reddit signalisieren eine härtere Durchsetzung im Bereich Kinderschutz und Datenschutz im Jahr 2026 und darüber hinaus. Plattformen, die stark auf nutzergenerierte Inhalte setzen, werden zunehmend unter Druck geraten, Sicherheit, Privatsphäre und rechtliche Pflichten in Einklang zu bringen, während sie gleichzeitig tragfähige Geschäftsmodelle und das Vertrauen der Gemeinschaft aufrechterhalten.

Das bedeutet in der Praxis, altersbewusste Designs zu entwickeln, sinnvolle DPIAs durchzuführen und datenschutzfreundliche Verifizierungsmodelle zu erforschen, anstatt pauschale Identitätsprüfungen vorzuschreiben. Während Regulierungsbehörden und die Branche diese Ansätze testen, wird die Debatte um die Einhaltung der GDPR bei Reddit wahrscheinlich globale Standards für den Schutz Minderjähriger im Internet prägen.

Insgesamt dient der Reddit-Fall als hochkarätige Warnung, dass der Schutz kindbezogener Daten von einer Orientierungshilfe zu einer Durchsetzungsaufgabe wird, die Plattformen dazu drängt, Schutzmaßnahmen zu verstärken und gleichzeitig die Privatsphäre der Nutzer zu wahren.