Wann benötigt man die Zustimmung der Eltern?

Personenbezogene Daten von Kindern und Jugendlichen sind nach Maßgaben der Datenschutz-Grundverordnung (DSGVO) besonders schützenswert. Denn an der Fähigkeit mögliche Gefahren der jeweiligen Datenverarbeitung richtig einordnen zu können, muss bei minderjährigen Personen zumindest gezweifelt werden. Die DSGVO sieht daher eigene Regelungen für Unternehmen vor, deren Produkte oder Dienstleistungen auch Kinder und Jugendliche als Zielgruppe haben. Was hierbei beachtet werden muss, möchten wir Ihnen nachfolgend zusammenfassen. 

Rechtmäßigkeit bei der Verarbeitung von personenbezogenen Daten von Kindern  

In der DSGVO gilt das sogenannte Verbotsprinzip mit Erlaubnisvorbehalt. Das heißt, eine Datenverarbeitung ist grundsätzlich verboten und ausnahmsweise nur dann erlaubt, wenn eine der sechs in Art. 6 Abs. 1 DSGVO aufgeführten Rechtsgrundlagen erfüllt ist.  

Eine zentrale Rechtsgrundlage bildet dabei die Einwilligung der betroffenen Person in eine Datenverarbeitung zu einem oder mehreren bestimmten Zwecken (Art. 7 DSGVO). Die speziellen Bedingungen an die Einwilligung eines Kindes werden sogar mit einem eigenen Artikel (Art. 8 DSGVO) gewürdigt. Demnach wird für die Wirksamkeit einer Einwilligung eine allgemeine Altersgrenze von 16 Jahren bestimmt.  

Da die Norm eine Öffnungsklausel erhält, kann die Altersgrenze von den EU-Mitgliedstaaten individuell angepasst werden. Dies gibt den Mitgliedstaaten beispielsweise die Möglichkeit die Regelungen an ihre Jugendschutzgesetze anzugleichen. Deutschland hat hiervon, im Gegensatz zu Österreich, keinen Gebrauch gemacht, sodass die allgemeinen Regelungen des Art. 8 DSGVO anzuwenden sind. 

Was sagt Art. 8 DSGVO noch? 

Zunächst ist festzuhalten, dass die Norm nur anwendbar ist, wenn die Einwilligung gegenüber einem sogenanntem „Dienst der Informationsgesellschaft“ erklärt werden soll. 

Der Begriff der „Informationsgesellschaft“ wird in der DSGVO nicht genauer definiert. Hinweise finden sich aber in Art. 4 Nr. 25 DSGVO, der auf die Vorgaben der EU-Richtlinie 2015/1535 verweist. Demnach ist ein „Dienst einer Informationsgesellschaft“ eine Dienstleistung, die 

• regelmäßig gegen Entgelt erbracht wird, 

• innerhalb des Fernabsatzmarkts geschieht (also ohne, dass die Parteien physisch Vorort sind), 
• elektronisch stattfindet 
• und die Datenübertragung auf individuelle Anforderung einer Partei erfolgt 

Eine Informationsgesellschaft ist also ein Unternehmen (ein Diensteanbieter), wie Airbnb (vgl. EuGH, 19.12.2018 – C 390/18), das bestimmte Dienste anbietet. Nach dem Urteil des Bundesgerichtshofs (BGH) vom 5.10.2017 sind die Worte “in der Regel gegen Entgelt” aber weit auszulegen. Die Dienste der Informationsgesellschaft erstrecken sich demnach auch auf Dienste, die nicht direkt von denjenigen vergütet werden, die sie empfangen, sondern etwa über Werbung finanziert werden. Darunter fallen z.B. auch soziale Medien. 

Wenn unklar ist, ob eine Dienstleistung als Dienst der Informationsgesellschaft einzustufen ist, kann ein Blick in Anhang I der RL 2015/1535 hilfreich sein. In dieser Negativliste werden Dienstleistungen aufgezählt, die definitiv nicht als „Dienst der Informationsgesellschaft“ gelten.  

Handelt es sich um einen Dienst der Informationsgesellschaft, können gemäß Art. 8 Abs. 1 S. 1 DSGVO Minderjährige, die ihr 16. Lebensjahr vollendet haben, wirksam in die Datenverarbeitung einwilligen. Voraussetzung ist, dass die Einwilligung gemäß Art. 7 DSGVO ausdrücklich und freiwillig abgegeben und die betroffene Person über die konkrete Datenverarbeitung und ihre Betroffenenrechte informiert wurde.  

Wenn das Kind, das 16. Lebensjahr noch nicht vollendet hat, ist eine Einwilligung in eine Datenverarbeitung nur dann wirksam, wenn der Sorgeberechtige dieser zustimmt oder die Einwilligung selbst erteilt. Eine Einwilligung des Kindes allein genügt in diesem Fall also nicht. Die Zustimmung ist überdies die vorherige Einwilligung. Eine nachträgliche Genehmigung (auch eines Elternteils) ist nicht wirksam.   

Wie kann Art. 8 DSGVO auf der Webseite umgesetzt werden? 

Ganz allgemein gesprochen, müssen Unternehmen, die einen Dienst der Informationsgesellschaft für Minderjährige unter 16 Jahren anbieten, entsprechende Informationen zur Datenverarbeitung vorhalten und technische Vorkehrungen für eine wirksame Einwilligung gem. Art. 8 DSGVO treffen.  

Um Ihren Informationspflichten nach Art. 13 und 14 DSGVO gerecht zu werden, müssen Webseitenbesucher über die Datenverarbeitungsvorgänge auf der Webseite hinreichend informiert werden. Sofern die Produkte oder Dienstleistungen auch Kinder und Jugendliche ansprechen, sind die Informationen zum Datenschutz in einfacher Sprache vorzuhalten, also so zu formulieren, dass auch komplizierte Verarbeitungstätigkeiten leicht verstanden werden können. 

Damit im Falle einer einwilligungsbedürftigen Datenverarbeitung sichergestellt werden kann, dass die betroffene Person das 16. Lebensjahr bereits vollendet hat, hat der Verantwortliche zudem gemäß Art. 8 Abs. 2 DSGVO unter Berücksichtigung seiner verfügbaren technischen Möglichkeiten entsprechende Anstrengungen zu betreiben um sich zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. 

Eine Möglichkeit hierfür ist etwa die Zwei-Stufen-Prüfung. Nachdem eine Abfrage des Alters erfolgt ist und mit „unter 16 Jahren“ angegeben wurde, kann in einem zusätzlichen Schritt die elterliche E-Mail-Adresse zur Bestätigung der Angabe abgefragt werden.  

Der Sorgeberechtigte erhält die E-Mail und wird in dieser über die wesentlichen Merkmale der Datenverarbeitung informiert. Hierzu zählen insbesondere: 

• die personenbezogenen Daten des Kindes, die verarbeitet werden 

• die Kontaktdaten des Verantwortlichen  
• sowie der Umfang der Datenverarbeitung.  

Der Sorgeberechtigte hat anschließend die Möglichkeit die E-Mail zu bestätigen und somit seine Zustimmung zur Datenverarbeitung zu erteilen und so den Zugang für das Kind freizuschalten. 

Diese gängige Zwei-Stufen-Prüfung hat jedoch auch seine Schwachstellen. So können die getätigten Angaben des Kindes nur schwer auf Richtigkeit hin überprüft werden. Soweit aber (z.B. manuelle) Maßnahmen zur Verifizierung der angegebenen E-Mail-Adresse ergriffen werden, sollten die nach Art. 8 Abs. 2 DSGVO erforderlichen Anstrengungen des Verantwortlichen zur Altersüberprüfung im Rahmen des technisch Möglichen erfüllt worden sein.  

Das effektivste Mittel ist aber wohl das sogenannte PostID-Verfahren, dass zur persönlichen Identifikation durch die Deutsche Post AG durchgeführt wird. Bei der Variante PostID durch Videochat kann sich eine Person über einen Videochat mit einem Call-Center-Mitarbeiter der Deutschen Post identifizieren. Bei diesem Verfahren, das mit Hilfe der PostID durch Videochat-App auch auf Mobilgeräten möglich ist, wird das Ausweisdokument über die Gerätekamera eingesehen und ein Ausweis-Foto gespeichert. Durch die abschließende Eingabe einer SMS-Transaktionsnummer (mTAN) wird der Identifizierungsprozess abgeschlossen. 

Ein Ausweisdokument enthält neben dem Geburtsdatum jedoch auch weitere personenbezogene Daten, die für die Überprüfung des Alters nicht erforderlich sind, aber durch das Verfahren ebenfalls verarbeitet werden (z.B. Wohnort). Die Nutzung des PostID-Verfahrens zur Altersüberprüfung sollten Sie daher zunächst mit Ihrem Datenschutzbeauftragten für den konkreten Anwendungsfall abstimmen. 

Fazit 

Eine zweifelfrei sichere Feststellung des Alters von betroffenen Personen durch den Verantwortlichen ist im Rahmen einer Webseite nur bedingt möglich. Fehlerquellen sind auch bei der gängigen Zwei-Stufen-Lösung nicht gänzlich auszuschließen. Sicherheit kann daher nur die Einzelfallbetrachtung des konkreten Datenverarbeitungsvorgangs bringen. 

Wir sind Ihnen bei der Findung einer zu Ihrer Datenverarbeitung passenden Altersabfrage gerne behilflich. Kontaktieren Sie uns hierzu gern.