Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Quadratur des Kreises: Die Datenverarbeitung von Minderjährigen nach der DSGVO

29.03.2018, 12:58 Uhr | Lesezeit: 8 min
Quadratur des Kreises: Die Datenverarbeitung von Minderjährigen nach der DSGVO

Am 25.05.2018, dem Stichtag für das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), wird sich auch der Umgang mit personenbezogenen Daten von Minderjährigen ändern. Noch weiß keiner wie genau die erhöhten Anforderungen an eine derartige Datenverarbeitung umgesetzt werden soll, aber dass es sein muss, ist gesetzlich normiert.

Die meisten Onlinehändler dürften mit der Umsetzung der DSGVO gut beschäftigt sein – und übersehen dabei vermutlich einen nicht ganz unwichtige Neuerung, die noch keiner so recht abschätzen kann. Es geht um die Einwilligung von Kindern bis 16 Jahre bei deren Datenverarbeitung.

Die neue Norm

Der einschlägige Art 8 Abs. 1 S.1 lautet:

"Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird."

Das bedeutet also:

a) Für die Wirksamkeit von Einwilligungen von Minderjährigen in die Verarbeitung ihrer personenbezogenen Daten besteht eine Altersgrenze von 16 Jahren, sofern es sich um ein Angebot von Diensten der Informationsgesellschaft handelt, das einem Kind direkt gemacht wird.

b) Hat das betroffene Kind das 16. Lebensjahr noch nicht vollendet, so soll die Verarbeitung nur dann rechtmäßig sein, soweit die „Einwilligung durch den Träger der elterlichen Verantwortung für das Kind erteilt wird“.

Die Kernaussage ist soweit klar:

Wer das 16. Lebensjahr noch nicht vollendet hat benötigt die Einwilligung der Eltern bzw. eines Elternteils.

Viel mehr ist dann aber auch nicht klar. Denn weitere Feststellungen des Art. 8 sind stark auslegungsbedürftig, da es an deren Klarheit fehlt:

Banner Starter Paket

Dienst der Informationsgesellschaft

Dieser Begriff wird in der DSGVO leider nicht definiert. In Art. 4 Nr. 25 DSGVO findet sich jedoch diesbezüglich ein Verweis auf die Vorgaben der EU-Richtlinie 2015/1535 Danach soll es sich bei einer Dienstleistung der Informationsgesellschaft um „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ handeln.

Sprich: Damit dürfte „die Verbreitung kommerzieller Kommunikationen mit elektronischer Post“, also der bekannte E-Mail Newsletter zu Marketingzwecken, in den Anwendungsbereich dieser Norm fallen. Was im Übrigen nicht darunter fällt ist in Anhang I der vorgenannten EU-Richtlinie aufzufinden.

Direkte Angebote an Kinder

Zum anderen will der Gesetzeswortlaut die Beschränkung nur auf Angebote beschränkt wissen, die einem Kind direkt gemacht werden.

Da hier eine Legaldefinition fehlt, wird die Rechtspraxis diesen Begriff ausfüllen müssen. Geht man ganz eng vom Wortlaut aus, wären nur Angebote gemeint, die sich direkt an Kinder (gemeint hier: bis zur Vollendung des 16.Lebensjahres) richten und deren Interesse wecken sollen. Das dürften dann die wenigsten Onlineshops angehen, da genau genommen auch Shops, die sich auf Kinderwaren beziehen, diese Angebote sich ja eigentlich vielmehr an die Eltern bzw. volljährige Käufer richten, da der Vertragsschluss regelmäßig hierauf beschränkt wird. Eine solch enge Auslegung dürfte aber zur Bedeutungslosigkeit dieser Klausel führen und vermutlich nicht im Sinne des Gesetzgebers sein.

Eine weitere Auslegung wäre, dass all solche Dienstleistungen erfasst sind, die Erwachsenen und Kindern gleichermaßen offenstehen, sich also auch an Kinder richten. Am Ende wird es auf eine vermittelnde Ansicht hinauslaufen und es wird darauf abzustellen sein, an welche Zielgruppe sich der Internetdienst primär richtet. Ist hier ein Kinderbezug festzustellen, dürfte die Klausel in jedem Fall anwendbar sein. Ist kein eindeutiger Bezug zu erkennen, dürfte aus Kinderschutzgesichtspunkten die Klausel aber ebenfalls anwendbar sein. Quasi in dubio pro….

Jedenfalls eines scheint bei aller Unklarheit klar zu sein: Wenn es um Werbung oder die Erstellung von Persönlichkeits- oder Nutzerprofilen geht wird die Norm in jedem Fall anwendbar sein. So will es auch der Erwägungsgrund 38 der Norm in dem es heißt:

"Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen."

Und nun? Wer ist betroffen? Ein klares Ergebnis kann an dieser Stelle zu dieser Zeit nicht erzielt werden. Aber man kann festhalten: Zumindest jeder Shop=Diensteanbieter, der nicht ausschließlich Ware für Erwachsene anbietet, wie etwa aus dem Bereich Erotik, müsste theoretisch und streng genommen beim Newsletterversand (=Werbung) die Neuerungen für sich gelten lassen – wie am Ende aber diese Regelung auszulegen sein wird, kann nur die Praxis zeigen.

Gehen wir nun mal davon aus, dass die Vorschrift eher mehr als weniger Onlineshops treffen wird – dann nun nochmal zurück zu den Kernaussagen der einschlägigen Vorschrift:

1. Die Datenverarbeitung von Minderjährigen unter 16 Jahren ist nur mit Einwilligung wirksam.
2. Diese Einwilligung nur dann wirksam ist, wenn sie entweder von den Eltern selbst erteilt wurde oder zumindest mit deren Zustimmung.
3. Eine nachträgliche Genehmigung der Eltern ist ebenfalls nicht ausreichend sein, es muss eine Zustimmung von Anfang vorliegen.

Der neue Newsletterversand

Ein zentrales Thema im Zusammenhang mit dieser neue Regelung wird der Newsletterversand sein, da dort Daten verarbeitet werden. Aber wie soll nun ein Onlineshop beispielsweise beim Versand von Newslettern mit dieser neuen Situation umgehen? Wie kann überprüft werden, wie alt der Newsletter-besteller ist und ob eine Einwilligung der Eltern bzw. der Träger der elterlichen Verantwortung vorliegt.

Eines steht fest: Der Gesetzgeber fordert zumindest eine gewisse Anstrengung des Diensteanbieters, um die neuen Regelungen umzusetzen:

In Art. 8 Abs.2 findet sich zu den Anstrengungen des verantwortlichen Betreibers in dieser Sache folgende Regelung:

"Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde."

Aber was ist schon eine angemessene Anstrengung? Auch diese Formulierung lässt wieder viel Spielraum und wird erst mit der Zeit und mit entsprechender Rechtspraxis ausgefüllt werden müssen.

Gestaltungsmöglichkeiten

In der Praxis wird dies nicht praktikabel und 100%rechtssicher umsetzbar sein – zumindest aus jetziger Sicht. Die Händler müssen abwägen und einen Kompromiss finden:

1. PostIdent/VideoIdent: Sicher aber unpraktikabel?

Der sicherste, aber definitiv auch wenig praktikabelste Weg wäre das PostIdent oder VideoIdent-Verfahren. Dadurch wäre das Alter und ein Rückschluss auf die Sorgeberechtigung durch Vorlage Ausweispapieren möglich. Aufwand und Kosten dürften bei diesem Verfahren jedoch außer Verhältnis stehen. Es ist schlicht einem Shopbetreiber nicht zumutbar vor jeder Newsletteranmeldung ein solches Verfahren vorzuschalten.

2. Zweistufiges Prüfverfahren: Praktikabel aber unsicher?

Bei dieser Variante wäre eine Altersabfrage verpflichtend als 1. Prüfstufe. Und als 2. Prüfstufe müsste auch die email-Adresse der elterlichen Verantwortung in den Bestätigungsprozess einfließen – wie das bekannte double-opt-in-Verfahren nur modifiziert durch die Involvierung der elterlichen email-Adresse. Wir stellen uns das also dann in etwa so vor bei der Newsletteranmeldung:

1. Neben der email-adresse wird auch noch das Alter abgefragt.
2. Wird dies mit „Unter 16 Jahren“ angegeben sind zusätzliche Angaben wie die Wohnadresse, Namen und email-Adresse der elterlichen Fürsorge anzugeben.
3. Nach Anmeldung erhält der Träger der elterlichen Verantwortung eine email, aus der sich die Daten des anmeldenden Kindes, der Betreiber des Newsletters und der Umfang der Datenerhebung feststellen lassen. Nach Bestätigung durch den elterlichen Verantwortlichen wäre eine wirksame Einwilligung erteilt.

Aber natürlich hat auch diese Variante eine Schwachstelle: Denn die Eingaben, die das Kind hier zu machen hat, sind schwer überprüfbar und dem Missbrauch offen.

Diese Variante ist also zwar praktikabler als die erstgenannte – aber auch nicht ohne Risiko. Das eine scheint ohne das andere nicht zu bekommen zu sein. Aber in jedem Fall dürften die geforderten Bemühungen des Diensteanbieters bzw. Shopbetreibers damit einigermaßen nachgewiesen sein.

Wenn Sie noch kein Schutzpaket der IT-Recht Kanzlei nutzen und sich für die DSGVO fit machen möchten, dann schauen Sie doch einmal hier vorbei!

Fazit

Ab dem 25.04.2018 muss mit Geltung der DSGVO bei Verarbeitung personenbezogener Daten eine Einwilligung eines Minderjährigen unter 16 Jahren dergestalt vorliegen, dass die Träger der elterlichen Verantwortung hierzu Ihre anfängliche Zustimmung erteilt haben mussten. Diese Regelung stellt mehr Fragen als sie Antworten gibt – denn die Norm ist gespickt mit auslegungsbedürftigen Begriffen, die vermutlich erst die Rechtspraxis prägen muss. So ist unklar an welchen Dienstanbieter sich diese Vorschrift richtet – wir gehen davon aus, dass es streng genommen durchaus alle Webseitenbetreiber sein können, die sich mit Werbung (etwa Newsletter) auch an Jugendliche richten.

Ein weiteres Fragezeichen ist wie festgestellt werden kann, wie alt der Nutzer ist und falls er ehrlicherweise seine Minderjährigkeit einräumt, wie die Einwilligung nachgewiesen werden kann. Das sicherste Verfahren (Post/VideoIdent) hierzu ist nicht praktikabel, und das vergleichsweise praktikabelste Verfahren (2-stufiges Prüfverfahren) ist nicht so ganz sicher. Verlässliche Antworten kann hier letztlich nur die Praxis liefern – etwa den Newsletterversand gänzlich einzustellen und den Bezug den Seitenbesuchern nicht mehr zur Verfügung zu stellen dürfte aber jedenfalls nicht der richtige Weg sein.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei