Die EU-Datenschutz-Grundverordnung (DSGVO) enthält in Art. 8 DSGVO erstmals eine ausdrückliche gesetzliche Regelung in Bezug auf die Einwilligung von Kindern und Jugendlichen. Die Norm schafft mehr Rechtssicherheit für Eltern und Verantwortliche, stellt Unternehmen aber gleichzeitig vor eine gewisse Herausforderung. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.
Bisher keine Altersgrenze im BDSG
Im Bundesdatenschutzgesetz (BDSG) gab es bisher keine Regelung, die sich explizit auf Kinder bezog. Dies ist auch verständlich, da sich die Normalität, mit der Kinder und Jugendliche sich heutzutage im Netz bewegen, erst in den letzten Jahren herausgebildet hat.
Mangels Bestehen einer gesetzlichen Altersgrenze für die Wirksamkeit von kindlichen Einwilligungen in die Datenverarbeitung, kam es bisher auf die Einsichtsfähigkeit an. Die Einwilligung eines Kindes in die Verarbeitung seiner Daten war dann wirksam, wenn es die Tragweite seiner Entscheidung vernünftigerweise absehen konnte. Die Geschäftsfähigkeit war dagegen nicht maßgeblich. In der DSGVO wird nun eine ausdrückliche Altersgrenze normiert.
Neue Altersgrenze von 16 Jahren in der DSGVO
Im Folgenden wird der Inhalt des Art. 8 DSGVO kurz dargestellt:
Zunächst sieht dieser für die Wirksamkeit von Einwilligungen von Kindern und Jugendlichen nun eine grundsätzliche Altersgrenze von 16 Jahren vor. Grundsätzlich deshalb, weil die Norm gleichzeitig eine Öffnungsklausel enthält. Diese ermöglicht es den Mitgliedsstaaten, individuell eine niedrigere Altersgrenze festzulegen. Deutschland hat z.B. von dieser Möglichkeit keinen Gebrauch gemacht, Österreich hingegen schon. Die Grenze darf dabei jedoch nicht unter 13 Jahren liegen.
Dieser Regelungsspielraum ist zwar insofern sinnvoll, als sie den EU-Mitgliedsstaaten die Möglichkeit gibt, die Regelungen zur Wirksamkeit von datenschutzrechtlichen Einwilligungen an ihre sonstigen Jugendschutzvorschriften anzupassen. Andererseits kann sie aber Unternehmen, die grenzüberschreitend tätig sind, vor Herausforderungen stellen. Diese haben künftig bei ihrer Tätigkeit gegebenenfalls unterschiedliche Altersgrenzen zu beachten.
Angebot von Diensten der Informationsgesellschaft
Art. 8 DSGVO ist nur anwendbar, wenn von Unternehmen ein sogenannter „Dienst der Informationsgesellschaft“ angeboten wird. Der Begriff wird in der DSGVO leider nicht definiert. Art. 4 Nr. 25 DSGVO verweist diesbezüglich lediglich auf die Vorgaben der EU-Richtlinie 2015/1535.
Damit sind folgende Elemente gemeint, die eine Dienstleistung zu einem „Dienst der Informationsgesellschaft“ machen. Die Dienstleistung wird in der Regel gegen Entgelt erbracht,
wird im Fernabsatz erbracht, d.h. ohne gleichzeitige (physische) Anwesenheit der Vertragsparteien,
wird elektronisch erbracht, d.h. sie wird mittels Geräten für die elektronische Verarbeitung und Speicherung von Daten an einem Ausgangspunkt gesendet und am Endpunkt empfangen und dabei vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen, und
wird auf individuellen Abruf eines Empfängers erbracht, d.h. die Übertragung von Daten findet auf individuelle Anforderung hin statt.
Die RL 2015/1535 enthält in ihrem Anhang 1 eine Liste von Dienstleistungen, die nicht als „Dienst der Informationsgesellschaft“ im genannten Sinn gelten. Sollte sich ein Unternehmen hinsichtlich der Einordnung unsicher sein, empfiehlt sich daher auch ein Blick in den Anhang der Richtlinie.
Einem Kind direkt gemacht
Art. 8 DSGVO gilt nur, wenn das Angebot von Diensten der Informationsgesellschaft dem Kind direkt gemacht wird. Das schließt solche Dienste aus, die nicht für Kinder oder Jugendliche bestimmt sind, sondern nur von diesen genutzt werden (z.B. Dating-Apps oder soziale Netzwerke speziell für Erwachsene).
Umgekehrt sollen aber solche Dienstleistungen erfasst werden, die Kindern und Erwachsenen gleichsam offenstehen (wie z.B. Facebook). Eine andere Auslegung würde dem Sinn und Zweck des Art. 8 DSGVO zuwiderlaufen, da sich eine Vielzahl von Angeboten im Internet an beide Personengruppen gleichermaßen richtet. Fielen diese Dienste aus dem Anwendungsbereich der Vorschrift heraus, könnte ein effektiver Kinder- und Jugendschutz nicht erreicht werden.
Kinder unter 16 Jahren
Für Kinder unter 16 Jahren schreibt Art. 8 DSGVO vor, dass die Einwilligung nur dann wirksam ist, wenn sie entweder von den Eltern selbst erteilt wurde oder zumindest mit deren Zustimmung. Die Einwilligung des Kindes allein genügt dann nicht.
Eine nachträgliche Genehmigung der Erziehungsberechtigten soll ebenfalls nicht ausreichend sein. Gefordert wird, dass die Zustimmung der Eltern von Anfang an vorliegt.
In diesem Zusammenhang wird Unternehmen die Verpflichtung auferlegt, sich darüber zu vergewissern, dass die Einwilligung tatsächlich von den Eltern stammt oder mit deren Zustimmung von dem Kind erteilt wurde. Zwar fordert die gesetzliche Regelung dabei nur „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“, was gewisse Argumentationsspielräume eröffnet. Jedoch werden wohl eine (irgendwie geartete) Kontaktaufnahme zu den Erziehungsberechtigten und deren positive Rückmeldung erforderlich sein. Zudem muss die Authentizität der Erklärung der Eltern sichergestellt werden. Es wird interessant sein, wie genau Unternehmen die Vorgaben umsetzen werden.