ray shrewsberry gavel 8436504 1920 UK: 14,47 Mio. £ Bußgeld gegen Reddit wegen unzureichenden Schutzes von Kindern im digitalen Raum Ihr externer Datenschutzbeauftragter in Berlin | sofortdatenschutz.de

ICO sanktioniert fehlende Altersverifikation und unzureichende Schutzmaßnahmen

Das britische Information Commissioner’s Office (ICO) hat im Februar 2026 ein Bußgeld in Höhe von 14,47 Mio. £ gegen Reddit Inc. verhängt. Das Unternehmen betreibt eine Social-Media-Plattform, auf der Nutzer Inhalte veröffentlichen, kommentieren und bewerten können.

Anlass des Bußgelds waren schwerwiegende Verstöße gegen das britische Datenschutzrecht im Bereich des Kinderschutzes. Auch wenn es sich um eine Entscheidung einer britischen Behörde handelt, ist der Fall für Unternehmen in Deutschland relevant: Die datenschutzrechtlichen Anforderungen an den Schutz minderjähriger Nutzer entsprechen im Kern der DSGVO, und auch deutsche Aufsichtsbehörden rücken das Thema zunehmend in den Fokus ihrer Aufsichtstätigkeit.

Der Fall: Kinder nutzten die Plattform trotz Altersgrenze

Obwohl Reddit gemäß seinen Nutzungsbedingungen Kinder unter 13 Jahren von der Plattform ausschloss, setzte das Unternehmen diese Altersgrenze in der Praxis nicht wirksam durch.

Nach eigenen Schätzungen von Reddit nutzten in den Jahren 2021 bis 2023 täglich rund 42.000 Kinder unter 13 Jahren die Plattform im Vereinigten Königreich. Das ICO geht von deutlich höheren Zahlen aus und nimmt an, dass 2024 rund 537.000 Kinder Reddit besucht haben, darunter etwa 226.000 unter 13 Jahren.

Nach Auffassung des ICO fehlte eine tragfähige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten dieser Nutzer. Hinzu kam, dass Reddit erst im Januar 2025 eine spezifische Datenschutz-Folgenabschätzung zu den Risiken für minderjährige Nutzer durchführte, obwohl die Plattform bereits zuvor auch von 13- bis 18-Jährigen genutzt werden durfte. Aus Sicht der Behörde setzte Reddit Kinder dadurch potenziell unangemessenen und schädlichen Inhalten aus.

Abhilfemaßnahmen von Reddit und Bewertung durch das ICO

Im Juli 2025 führte Reddit Maßnahmen zur Alterskontrolle ein, darunter eine Alterserklärung bei der Kontoerstellung sowie eine Altersverifikation für den Zugang zu „Mature Content“. Das ICO stellte jedoch klar, dass eine bloße Selbstdeklaration des Alters bei risikobehafteten Diensten weder geeignet noch ausreichend ist, da sie leicht umgangen werden kann.

Reddit hat gegen den Bußgeldbescheid am 1. April 2026 Beschwerde beim First-tier Tribunal eingelegt, um die Entscheidung des ICO von einem unabhängigen Gericht überprüfen zu lassen.

Bußgeldbemessung und berücksichtigte Faktoren

Bei der Festsetzung der Geldbuße berücksichtigte das ICO insbesondere:

  • die hohe Anzahl betroffener Kinder,
  • das Ausmaß potenzieller Schäden,
  • die lange Dauer der Verstöße sowie
  • den globalen Jahresumsatz von Reddit.

Rechtlicher Hintergrund: Children’s Code und Anforderungen an die Altersprüfung

Das Bußgeldverfahren ist Teil einer umfassenden ICO-Initiative zum Schutz von Kindern im digitalen Raum. Grundlage ist der im Vereinigten Königreich geltende „Age Appropriate Design Code“ („Children’s Code“), der sicherstellen soll, dass Online-Dienste Kindern ein altersgerechtes Schutzniveau bieten.

Zentraler Bestandteil ist die sogenannte Alterssicherung. Darunter versteht das ICO nicht nur die klassische Altersverifikation, sondern auch Verfahren wie Altersschätzung, elterliche Bestätigung, Selbstauskunft oder kombinierte mehrstufige Ansätze. Die gewählte Methode soll sich am konkreten Risikoprofil des Dienstes orientieren.

Anbieter müssen dabei entweder das Alter ihrer Nutzer mit einem dem Risiko angemessenen Maß an Sicherheit bestimmen oder die Schutzstandards des Codes auf sämtliche Nutzer anwenden. Ist ein Dienst für Kinder ungeeignet, muss der Zugang wirksam beschränkt werden.

Datenschutzrechtliche Anforderungen an die Altersprüfung

Zugleich betont das ICO, dass auch die Maßnahmen zur Altersprüfung selbst datenschutzkonform ausgestaltet sein müssen. Sie müssen insbesondere rechtmäßig, fair, transparent und verhältnismäßig sein sowie den Grundsätzen der Datenminimierung und Zweckbindung entsprechen.

Werden biometrische oder KI-gestützte Verfahren eingesetzt, sind zudem die besonderen Risiken, wie Fehlbewertungen, Diskriminierung und übermäßige Datenerhebung zu berücksichtigen. Bei Verarbeitungen mit erhöhtem Risiko ist regelmäßig eine Datenschutz-Folgenabschätzung durchzuführen.

Was das Bußgeld für die Praxis in Deutschland bedeutet

Der Fall zeigt typische Schwachstellen im Umgang mit Kinderdaten auf: Altersgrenzen werden in den Nutzungsbedingungen festgelegt, aber technisch nicht wirksam durchgesetzt, Risikoanalysen erfolgen zu spät oder unzureichend und spezifische Schutzmaßnahmen für minderjährige Nutzer fehlen oder sind nicht hinreichend ausgestaltet.

Zwar gilt der Children’s Code nicht in Deutschland, die zugrunde liegenden Anforderungen und datenschutzrechtlichen Grundsätze lassen sich jedoch auf die DSGVO übertragen. Die Durchsetzungspraxis des ICO bietet dabei eine hilfreiche Orientierung für die praktische Umsetzung.

Entscheidend ist ein risikobasierter Ansatz: Je höher das Risiko für Kinder, desto verlässlicher muss die Altersprüfung sein. Zugleich muss sie datenschutzkonform und verhältnismäßig bleiben. Unternehmen sollten ihre Dienste daher am tatsächlichen Risikoprofil ausrichten und geeignete Maßnahmen zur Alterssicherung implementieren.

Praxis-Tipps:

  • Einsatz und Risiko prüfen: Analysieren Sie zunächst, ob Ihr Dienst von Kindern genutzt wird oder genutzt werden kann. Bewerten Sie anschließend, welche möglichen Risiken Ihr Dienst für Kinder birgt.
  • Alterssicherung risikobasiert und datensparsam ausgestalten: Wählen Sie eine Form der Altersbestimmung, die dem Risikoprofil Ihres Dienstes entspricht und ein angemessenes Maß an Sicherheit erreicht, ohne mehr personenbezogene Daten zu verarbeiten als erforderlich. Bei erhöhten Risiken reichen reine Selbstauskünfte regelmäßig nicht aus.
  • Anfechtbarkeit der Entscheidung gewährleisten: Stellen Sie sicher, dass Entscheidungen überprüfbar sind, insbesondere wenn automatisierte oder KI-gestützte Verfahren eingesetzt werden.
  • DSFA frühzeitig durchführen: Sobald die Verarbeitung mit hohen Risiken für Kinder verbunden ist, sollte die Datenschutz-Folgenabschätzung frühzeitig in die Produkt- und Prozessgestaltung einbezogen werden, um Risiken systematisch zu identifizieren und geeignete Schutzmaßnahmen abzuleiten.
  • Transparenz sicherstellen: Informieren Sie Nutzer verständlich und altersgerecht darüber, warum eine Altersprüfung erfolgt, wie diese funktioniert, welche Daten verarbeitet werden und welche Folgen dies für die Nutzung des Dienstes hat.
  • Zweckbindung beachten: Daten, die zur Alterssicherung erhoben werden, dürfen grundsätzlich nicht für andere Zwecke (z.B. Profiling oder Werbung) weiterverwendet werden.

Sofortdatenschutz – Kontaktaufnahme

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Einwilligungserklärung und Datenschutzinformation
Mit Absenden des Formulars erkläre ich mich damit einverstanden, dass die im Rahmen dieser Nachricht angegebenen personenbezogenen Daten in einer unter der Verantwortung der mip Consult GmbH geführten Datenbank ausschließlich für die Bearbeitung und Beantwortung dieser Anfrage verarbeitet werden und die mip Consult GmbH mir entsprechende, anfragebezogene Informationen per Post, E-Mail oder telefonisch zukommen lassen kann. Die Einverständniserklärung kann jederzeit z.B. schriftlich an mip Consult GmbH, Wilhelm-Kabus-Str. 9, 10829 Berlin oder per E-Mail an sofortdatenschutz@mip-consult.de mit Wirkung für die Zukunft widerrufen werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben. Die Datenübertragung erfolgt verschlüsselt. Weitere Informationen zum Datenschutz finden Sie unter https://www.sofortdatenschutz.de/datenschutzinformation.

Inhalt