Anforderungen an die Einwilligung von Kindern nach der DSGVO

In unserem ersten Teil dieses Beitrags gingen wir auf die Neuerungen des Art. 8 DSGVO in Bezug auf Einwilligung von Kindern und Jugendlichen bei Angeboten von „Diensten der Informationsgesellschaft“ ein. In diesem Beitrag möchten wir beleuchten, welche Anforderungen seit Anwendbarkeit der DSGVO an die Einwilligung von Kindern bestehen, wenn die Angebote keine Dienste der Informationsgesellschaft betreffen.

Einwilligungsfähigkeit von Minderjährigen

Grundsätzlich geht der europäische Gesetzgeber mit der DSGVO davon aus, dass Minderjährige fähig sind eine Einwilligung abzugeben. Denn neben der Regelung des Art. 8 DSGVO steht in Erwägungsgrund 65 Satz 2:

„Dieses Recht ist insbesondere wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die personenbezogenen Daten – insbesondere die im Internet gespeicherten – später löschen möchte.“

Gleichzeitig geht er auch von einer besonderen Schutzbedürftigkeit Minderjähriger aus:

„Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.“

Wie ist nun die Rechtslage?

Im deutschen Recht wurde vor der DSGVO auf die Einsichtsfähigkeit des Minderjährigen abgestellt.

Wie die Rechtslage nun ist, ist leider umstritten. Teilweise wird davon ausgegangen, dass auch die DSGVO auf die Einsichtsfähigkeit im konkreten Einzelfall abstelle, da zu einer wirksamen Einwilligung entsprechendes Verständnis für die Tragweite der jeweiligen Erklärungen vorausgesetzt würde. Dies wird vor allem auf Erwägungsgrund 58 gestützt. Dieser beschreibt, dass die Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen muss, dass ein Kind sie verstehen kann wenn sich die Verarbeitung an Kinder richtet. Es sei aber darauf zu achten, dass sowohl eine Einwilligungsfähigkeit als auch ein Verständnis für die Auswirkungen im konkreten Fall vorhanden seien.

Daneben wird vertreten, dass diese Einsichtsfähigkeit nicht für jeden Einzelfall konkret zu prüfen sei, sondern ab Erreichen eines Mindestalters von der Einsichtsfähigkeit eines Minderjährigen ausgegangen werden könnte. Mit unterschiedlichen Begründungen wird dabei zum einen die Untergrenze von 13 Jahren vorgeschlagen, dies ergäbe sich etwa aus der Öffnungsklausel des Art. 8 Abs. 1 S. 3 DSGVO. Zum anderen wid aber auch eine Untergrenze von 16 Jahren vertreten, da die Abgabe einer Einwilligung mit 16 Jahren sogar bei Angeboten von „Diensten der Informationsgesellschaft“ möglich sei.

Zu berücksichtigen ist, dass nach Art. 8 Abs. 3 DSGVO die Vorschriften der Mitgliedsstaaten zur Gültigkeit und zum Zustandekommen eines Vertrags mit Minderjährigen unberührt bleiben sollen. Daher sind etwa zusätzlich die zivilrechtlichen Regelungen zur Geschäftsfähigkeit zu beachten.

Zusätzlich sei noch auf eine Ausnahme in Erwägungsgrund 38 Satz 3 hinweisen. Dieser stellt fest:

„Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.“

Umsetzung in der Praxis

Doch wie soll dies in der Praxis umgesetzt werden?

Die Einsichtsfähigkeit im Einzelfall zu prüfen, ist wohl die unpraktikabelste Variante.
Eine sichere, aber auch wenig praktikable Herangehensweise wäre die Verifikation des Alters durch das PostIdent-Verfahren oder Vorlage des Ausweises. Damit könnte zumindest über das verifizierte Alter auf die Einsichtsfähigkeit geschlossen werden. Die entstehenden Kosten dürften wohl eher wenige Unternehmen tragen wollen.
Ansonsten könnte auch das Kind darauf verwiesen werden, dass die Eltern eine entsprechende Einwilligung abgeben sollen.

Es bleibt leider immer ein Restrisiko, wenn die Einsichtsfähigkeit im Einzelfall – bezogen auf das jeweilige Kind – bestimmt werden soll. Wenn man sich dazu entschließt bei der Einwilligung auf eine Untergrenze des Alters abzustellen, sollte dokumentiert werden, weshalb für die geplante Datenverarbeitung die Einsichtsfähigkeit ab diesem Alter angenommen wird.

Quelle: datenschutzbeauftragter-info.de