Gratis
11. Dezember 2017 - Minderjährigendatenschutz nach DSGVO

Die Einwilligung bei Kindern und Jugendlichen

Die Frage, ob Minderjährige wirksam in den Umgang mit ihren Daten einwilligen können, wurde schon unter dem Bundesdatenschutzgesetz diskutiert. Die Datenschutz-Grundverordnung sieht dazu nun zumindest bei internetbasierten Diensten Regelungen vor, die Klarheit schaffen.

Wann kann ein Minderjähriger einwilligen, wann müssen es die Eltern tun? Richtet sich ein Internet-Angebot an Minderjährige, sind die erforderlichen Informationen so zu formulieren, dass die Zielgruppe sie leicht verstehen kann. Bei unter 16-Jährigen müssen die Eltern einwilligen. (Bild: jandrielombard / iStock / Thinkstock)

Kinder und Jugendliche sind leicht beeinflussbar. Erscheint ihnen im Internet ein Angebot besonders verlockend, ist schnell und unbesorgt der Button angeklickt, der in den Erhalt von Werbung oder Ähnlichem einwilligt.

In der Regel überblicken die Minderjährigen nicht vollständig die Folgen, die sich daraus ergeben. Daher müssen die Eltern des Minderjährigen im Rahmen der elterlichen Sorge über den Umgang mit dessen Daten entscheiden.

Ab 16 Jahren nicht mehr schutzwürdig?

Dieser Schutzbedarf kann sich jedoch mit dem Alter des Minderjährigen verringern – je älter, desto weniger schutzwürdig.

Nach der Datenschutz-Grundverordnung (Art. 8 Abs. 1 DSGVO) können daher Minderjährige, die ihr 16. Lebensjahr vollendet haben, wirksam ihre Einwilligung erteilen, ohne dass die Sorgeberechtigten einzubinden sind.

Wie muss die Einwilligung aussehen?

Voraussetzung ist, dass die Einwilligung Art. 7 DSGVO entspricht. Sie muss also freiwillig, ausdrücklich, informiert und für den konkreten Fall abgegeben werden. Die Inhalte müssen so ausführlich wie möglich beschrieben sein. Für verschiedene Zwecke sind auch verschiedene Einwilligungen einzuholen.

Der Verantwortliche muss sicherstellen, dass ein Minderjähriger die Einwilligung verstehen kann. Der Text sollte berücksichtigen, dass auch ein über 16-jähriger Minderjähriger noch schutzbedürftig ist und nicht wie ein Volljähriger behandelt werden darf, für den allein Art. 7 DSGVO anwendbar ist.

Als Kriterium kann hier die Einsichtsfähigkeit dienen. Der Verantwortliche sollte daher die Formulierung sorgfältig wählen und auf eventuelle Nachteile, die dem Minderjährigen durch seine Einwilligung entstehen könnten, hinweisen.

PRAXIS-TIPP: Der Verantwortliche muss nach Art. 5 DSGVO nachweisen, dass er die Einwilligung wirksam eingeholt hat. Daher empfiehlt sich eine Dokumentation, warum der Verantwortliche davon ausgeht, dass seine Einwilligungserklärung die Einsichtsfähigkeit ausreichend berücksichtigt.

Ansonsten: Einwilligung der Eltern

Der deutsche Gesetzgeber hat nach Art. 8 Abs. 1 DSGVO das Recht, die oben genannte Altersgrenze zu reduzieren, solange sie nicht unter dem vollendeten 13. Lebensjahr liegt. Bislang hat der deutsche Gesetzgeber davon keinen Gebrauch gemacht, sodass die oben genannte starre Grenze grundsätzlich greift.

Damit müssen die Eltern bzw. Sorgeberechtigten von Minderjährigen unter 16 Jahren entweder direkt für das Kind einwilligen oder ihre Zustimmung erteilen.

Die Zustimmung muss zeitlich vor der Erhebung der Daten für die geplanten Zwecke erfolgen, da ansonsten der Minderjährige nicht ausreichend geschützt wäre. Fehlt es an einer wirksamen Einwilligung bzw. Zustimmung, liegt das Risiko aufseiten des Verantwortlichen.

Beachte: Ausnahme von der Einwilligung

In Ausnahmefällen, d.h. in sensiblen oder kritischen Situationen, kann zum Schutz des Kindes ein Verzicht auf die Einwilligung der Sorgeberechtigten sinnvoll sein. Hierunter fallen nach Erwägungsgrund 38 Angebote, die im Zusammenhang mit Präventions- oder Beratungsdiensten für Kinder stehen, wie die Sucht- oder Schwangerschaftsberatung.

Der Verzicht ist hier angeraten, um das Kind vor den Sorgeberechtigten zu schützen. Richtet beispielsweise ein 15-Jähriger eine Anfrage an eine Suchtberatungsstelle, hat er meist ein erhebliches Interesse, die Erziehungsberechtigten nicht einzubeziehen. Insofern werden in diesen Fällen die starren Grenzen des Art. 8 DSGVO aufgeweicht.

Nur anwendbar für Dienste der Informationsgesellschaft

Nach Art. 4 Nr. 25 DSGVO in Verbindung mit Art. 1 Nr. 1 Buchst. b Richtlinie (EU) 2015/1535 fallen unter die „Dienste der Informationsgesellschaft“ z.B.

  • der Verkauf von Waren über das Internet,
  • der Online-Abruf von Videos,
  • Dienste, die Informationen bereitstellen,
  • Suchmaschinen oder auch
  • soziale Netzwerke.

Auch der Download eines Klingeltons oder die Registrierung für eine Lernplattform können im Ergebnis umfasst sein.

Dienste müssen sich ausschließlich an Minderjährige richten

Die Abgrenzung, wann sich Angebote ausschließlich an Minderjährige richten, ist nicht ganz einfach. Sicherlich sind dies Angebote, die eine direkte Interaktion mit oder zwischen Minderjährigen zum Ziel haben, wie Schülerportale und kindgerechte Spiele-, Informations- oder Lernplattformen.

Anhaltspunkte zur Einordnung können die einfachen Formulierungen auf der Webseite, die Wortwahl bei der Ansprache der Nutzergruppe (z.B. „Du“) oder die gezielte Bewerbung von Kindern sein.

Richtet sich das Angebot hingegen eher an die Sorgeberechtigten, bieten Webseiten also z.B. Reisen für Kinder an oder verkaufen sie Spielzeug, wird Art. 8 DSGVO keine Anwendung finden.

Und wie erfolgt die Kontrolle?

Art. 8 Abs. 2 DSGVO sieht vor, dass der Verantwortliche unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen unternehmen muss, um sich zu vergewissern, dass tatsächlich die Sorgeberechtigten die Einwilligung erteilt haben oder die Zustimmung nach Art. 8 Abs. 1 DSGVO vorliegt.

Der Gesetzgeber hat sich ebenso wie die Datenschutzaufsichtsbehörden hinsichtlich der Umsetzung der Anforderungen bislang eher bedeckt gehalten.

Rein praktisch wird der Verantwortliche wohl zunächst online das Alter des Minderjährigen abfragen.

Differenzierung nach Art des Dienstes

Ist der Dienst kritisch, weil es sich z.B. um eine Kontaktbörse handelt, ist eine komplexe sichere Altersverifikation nötig. Eine Möglichkeit ist die Einschaltung eines entsprechenden Anbieters wie der Schufa oder der Post.

Die Übersendung einer Kopie oder eines Scans des Personalausweises wird in der Regel als unzulässig abgelehnt, da sie mit anderen Rechtsvorschriften kollidiert und damit nicht angemessen ist. Gleiches gilt wohl auch für die Eingabe von entsprechenden Daten (siehe Urteil des Bundesgerichtshofs vom 18.10.2007 – I ZR 102/05).

Eine schriftliche Einwilligung bzw. Zustimmung der Eltern abzufragen, wird vermutlich einerseits an der Praxis und andererseits am Medienbruch scheitern.

Als Möglichkeit, z.B. in werbliche Maßnahmen einzuwilligen, wird diskutiert, dass der Verantwortliche eine E-Mail an die E-Mail-Adresse der Eltern schickt, die der Minderjährige angeben muss. So können diese die Einwilligung bzw. die Zustimmung erteilen. Hier ist ein Double-Opt-in-Verfahren empfehlenswert, um Risiken zu minimieren.

Und was gilt sonst?

Art. 8 Abs. 3 DSGVO stellt klar, dass die Einwilligungsfähigkeit keine Auswirkungen auf das Vertragsrecht der Mitgliedstaaten hat. Das heißt, dass nach dem Bürgerlichen Gesetzbuch (BGB) zu prüfen ist, ob der Minderjährige einen Vertrag abschließen kann oder nicht.

Damit ist der Umgang mit Daten von Minderjährigen im Übrigen an den weiteren Rechtsgrundlagen der Datenschutz-Grundverordnung bzw. des nationalen Rechts zu messen.

Bei der Beurteilung der Rechtmäßigkeit ist ein besonderes Augenmerk auf die hohe Schutzwürdigkeit der Minderjährigen zu richten. So werden z.B. im Rahmen einer Interessenabwägung die schutzwürdigen Interessen des Minderjährigen umfassend zu berücksichtigen sein.

Fazit: Sorgfalt ist oberstes Gebot

Betreibt ein Verantwortlicher Online-Angebote für Minderjährige und nutzt er ihre Daten auf Grundlage einer Einwilligung bzw. Zustimmung, muss er zum einen künftig sehr sorgfältig an den Formulierungen feilen.

Zum anderen sind technische Maßnahmen nötig, um das Alter des Minderjährigen festzustellen oder die Einwilligung bzw. Zustimmung der Eltern wirksam einzuholen.

Das wird die Verantwortlichen vor praktische Schwierigkeiten stellen und den einen oder anderen Anbieter davon abhalten, Kindern den Bezug von Newslettern anzubieten oder Persönlichkeitsprofile zu erstellen.

Zudem stellt sich die Frage, ob Eltern solchen Angeboten ihre Zustimmung erteilen. Es bleibt abzuwarten, wie die Praxis diese Anforderungen konkret umsetzt.

Silvia C. Bauer
Silvia C. Bauer ist Rechtsanwältin und Partnerin bei der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sie berät Unternehmen bei der Umsetzung der DSGVO.