Die Einwilligung zur Datenverarbeitung von Minderjährigen

Datenschutz ist ein für uns alle wichtiges Anliegen, noch wichtiger ist dabei nur der Schutz für die personenbezogenen Daten von Kindern und Jugendlichen. Auch die DSGVO sieht die personenbezogenen Daten von Minderjährigen als besonders schützenswert an, denn Risiken und Gefahren der Datenverarbeitung können möglicherweise weniger bewusst wahrgenommen und verstanden werden. Die DSGVO enthält daher Regelungen, die von allen Unternehmen, die Ihre Produkte oder Dienstleistungen auch an Minderjährige richten, unbedingt beachtet werden müssen. Damit Sie einen guten Überblick erhalten, führen wir Sie in diesem Beitrag durch die wichtigsten datenschutzrechtlichen Vorgaben in diesem Zusammenhang.

Was wird geregelt?

Der besondere Schutz von Kindern und Jugendlichen wird datenschutzrechtlich insbesondere in Art. 8 DSGVO geregelt. Dabei geht es in erster Linie, um die Fähigkeit wirksam in eine Datenverarbeitung einzuwilligen. Dabei unterscheidet Art. 8 Abs. 1 DSGVO in zwei Stufen:

Stufe 1: Minderjährige, die ihr 16. Lebensjahr vollendet haben

Gemäß Art. 8 Abs. 1 S. 1 DSGVO können Minderjährige, die ihr 16. Lebensjahr vollendet haben, wirksam in die Datenverarbeitung durch Dienste von Informationsgesellschaften einwilligen, ohne dass es einer Einwilligung des Sorgeberechtigten bedarf. Die Voraussetzung hierbei ist gemäß Art. 7 DSGVO, dass die Einwilligung (wie sonst auch) ausdrücklich und freiwillig abgegeben sowie die betroffene Person über die konkrete Datenverarbeitung und seine Betroffenenrechte ausreichend informiert wurde.

Stufe 2: Kinder, die noch nicht das 16. Lebensjahr vollendet haben

Hat das Kind das 16. Lebensjahr noch nicht vollendet, ist die Rechtmäßigkeit der Datenverarbeitung von der Einwilligung des Sorgeberechtigten oder dessen Zustimmung in die Einwilligung, abhängig. Wobei die Zustimmung des Sorgeberechtigten zeitlich vor der Datenerhebung erfolgen muss, eine nachträgliche Genehmigung reicht nicht.

Die Altersgrenze von 16 Jahren kann durch die in dieser Vorschrift enthaltene Öffnungsklausel von den Mitgliedstaaten auf 13 Jahre herabgesetzt werden. Die deutsche Gesetzgebung hat hiervon aber keinen Gebrauch gemacht.

Wie ist dies auf der Webseite umsetzbar?

Werden personenbezogene Daten verarbeitet, so sind die Informationspflichten gemäß Art. 13 und 14 DSGVO zu wahren. Sofern sich ein Internetangebot an Minderjährige richtet, sind die erforderlichen Informationen zum Datenschutz daher so zu formulieren, dass sie leicht verständlich sind. Besonderes Augenmaß sollte hier folglich auf eine einfache und leicht verständliche Sprache gelegt werden. Die Schutzbedürftigkeit eines Minderjährigen könnte beispielsweise dadurch besondere Würdigung erhalten, indem auch über mögliche Nachteile, die durch die Einwilligung in die Datenverarbeitung entstehen können, aufgeklärt wird.

Art. 8 Abs. 2 DSGVO sieht zudem vor, dass der Verantwortliche unter Berücksichtigung seiner verfügbaren technischen Möglichkeiten, entsprechende Anstrengungen betreiben muss, um sich zu vergewissern, dass eine Einwilligung gemäß Art. 8 Abs. 1 DSGVO, d.h. tatsächlich durch einen Minderjährigen, der das 16. Lebensjahr vollendet hat, abgegeben wurde. Dies bedeutet, Sie müssten zunächst das Alter des Minderjährigen überprüfen.

Zwei-Stufen-Prüfung: Sofern Sie das Alter der Person abgefragt haben und ein Alter von „unter 16 Jahren“ angegeben wird, könnte als zusätzlicher Schritt im Rahmen eines Bestätigungsprozesses die elterliche E-Mail-Adresse abgefragt werden, ähnlich wie bei dem bekannten Double-Opt-In-Verfahren bei der Newsletteranmeldung. Anschließend erhält der Sorgeberechtigte eine E-Mail, welche die wesentlichen Informationen zur Datenverarbeitung beinhaltet. Hierzu gehören zwingend die personenbezogenen Daten des Kindes, Kontaktdaten des Verantwortlichen sowie der Umfang der Datenverarbeitung. Aufgrund dessen steht es dem Träger der elterlichen Fürsorge frei, die E-Mail zu bestätigen und somit seine Einwilligung zur Datenverarbeitung zu erteilen. Diese Variante ist zwar praktikabel, hat jedoch die Schwachstelle, dass vom Kind getätigte Eingaben schwer überprüfbar sind. Die von der DSGVO geforderten Bemühungen zur Altersfeststellung durch den Verantwortlichen dürften jedoch entsprochen worden sein.

Fazit

Für eine Verarbeitung personenbezogener Daten eines Minderjährigen unter 16 Jahren bedarf es der Einwilligung oder Zustimmung des Trägers der elterlichen Fürsorge – und zwar vor Beginn der Datenverarbeitung. Eine sicher zweifelsfreie Feststellung des Nutzeralters ist aber praktisch unmöglich. Auch die pragmatische Zwei-Stufen-Prüfung kann etwaige Missbrauchsrisken nicht gänzlich ausschließen. Verlässliche Lösungen kann daher nur die Einzelfallbetrachtung des jeweiligen Datenverarbeitungsvorgangs liefern.

Versichern Sie sich daher im Zweifel frühzeitig bei uns, um in diesem heiklen Feld datenschutzkonform zu agieren. Wir sind Ihnen bei der Suche nach der richtigen Umsetzung gerne behilflich.