Das US-Justizministerium (DoJ) hat gegen den Robotik- und Spielzeuganbieter Apitor Technology Klage erhoben. Dem Unternehmen wird vorgeworfen, über sein Android‑App‑Ökosystem präzise Geolokationsdaten von Minderjährigen erfasst und an einen Drittanbieter übertragen zu haben – ohne transparente Elterninformation und verifizierbare Zustimmung. Kern des Vorwurfs: die Einbindung des SDK JPush des chinesischen Anbieters Jiguang (Aurora Mobile), das seit 2022 Standortdaten u. a. für Marketingzwecke verarbeitet haben soll.
Rechtlicher Rahmen: COPPA und Pflichten bei kindergerichteten Diensten
Die Federal Trade Commission (FTC) hatte die Klage an das DoJ verwiesen. Im Raum steht ein Verstoß gegen den Children’s Online Privacy Protection Act (COPPA), der Online-Dienste, die sich an Kinder unter 13 Jahren richten, zu vorheriger Elterninformation und verifizierbarer elterlicher Zustimmung verpflichtet. Apitor verkauft Bau‑ und Robotiksets für Kinder von 6–14 Jahren und bietet ein kostenloses Steuerungs‑App an, das für die Bluetooth‑Kopplung Standortrechte anfordert.
Technischer Kern: Drittanbieter‑SDK JPush und Hintergrund‑Erfassung
Laut Klage begann die Apitor‑App nach Erteilung der Android‑Berechtigungen, präzise Standortkoordinaten im Hintergrund zu sammeln und an Server von JPush zu übertragen. Nutzerinnen und Nutzer wurden nicht darüber informiert, dass eine dritte Partei Zugriff erhält. Eltern wurden nicht um eine nachprüfbare Zustimmung gebeten. Der Fall illustriert typische Supply‑Chain‑Risiken in mobilen Ökosystemen: SDKs für Push/Analytics verfügen über eigene Datenkanäle, die über die beabsichtigte App‑Logik hinausgehen.
Vergleich und Auflagen: $500.000 und umfassende Compliance
Im vorgeschlagenen Vergleich akzeptiert Apitor eine Zahlung von $500.000 sowie weitreichende Maßnahmen zur COPPA‑Einhaltung: Konfiguration und Kontrolle von Drittanbieter‑SDKs, transparente Elternhinweise, verifizierbare Zustimmung, Löschung historischer Daten und Datenminimierung inklusive begrenzter Speicherfristen.
Regulatorischer Kontext: Strengere Durchsetzung bei Kinder- und Standortdaten
Die FTC verschärft seit Jahren die Durchsetzung im Kinder- und Standortdatenschutz. Exemplarisch: Epic Games zahlte 2022 $275 Mio. wegen COPPA‑Verstößen (zzgl. $245 Mio. für Dark Patterns) [Quelle: FTC, 19.12.2022]. Amazon willigte 2023 in $25 Mio. ein, weil Alexa Kinderaufnahmen unzulässig vorhielt [Quelle: FTC/DoJ, 31.05.2023].
