von RA Felix Barth

Quadratur des Kreises: Die Datenverarbeitung von Minderjährigen nach der DSGVO

News vom 29.03.2018, 12:58 Uhr | Keine Kommentare

Am 25.05.2018, dem Stichtag für das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO), wird sich auch der Umgang mit personenbezogenen Daten von Minderjährigen ändern. Noch weiß keiner wie genau die erhöhten Anforderungen an eine derartige Datenverarbeitung umgesetzt werden soll, aber dass es sein muss, ist gesetzlich normiert.

Die meisten Onlinehändler dürften mit der Umsetzung der DSGVO gut beschäftigt sein – und übersehen dabei vermutlich einen nicht ganz unwichtige Neuerung, die noch keiner so recht abschätzen kann. Es geht um die Einwilligung von Kindern bis 16 Jahre bei deren Datenverarbeitung.

Die neue Norm

Der einschlägige Art 8 Abs. 1 S.1 lautet:

"Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird."

Das bedeutet also:

a) Für die Wirksamkeit von Einwilligungen von Minderjährigen in die Verarbeitung ihrer personenbezogenen Daten besteht eine Altersgrenze von 16 Jahren, sofern es sich um ein Angebot von Diensten der Informationsgesellschaft handelt, das einem Kind direkt gemacht wird.

b) Hat das betroffene Kind das 16. Lebensjahr noch nicht vollendet, so soll die Verarbeitung nur dann rechtmäßig sein, soweit die „Einwilligung durch den Träger der elterlichen Verantwortung für das Kind erteilt wird“.

Die Kernaussage ist soweit klar:

Wer das 16. Lebensjahr noch nicht vollendet hat benötigt die Einwilligung der Eltern bzw. eines Elternteils.

Viel mehr ist dann aber auch nicht klar. Denn weitere Feststellungen des Art. 8 sind stark auslegungsbedürftig, da es an deren Klarheit fehlt:

Premiumpaket

Dienst der Informationsgesellschaft

Dieser Begriff wird in der DSGVO leider nicht definiert. In Art. 4 Nr. 25 DSGVO findet sich jedoch diesbezüglich ein Verweis auf die Vorgaben der EU-Richtlinie 2015/1535 Danach soll es sich bei einer Dienstleistung der Informationsgesellschaft um „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ handeln.

Sprich: Damit dürfte „die Verbreitung kommerzieller Kommunikationen mit elektronischer Post“, also der bekannte E-Mail Newsletter zu Marketingzwecken, in den Anwendungsbereich dieser Norm fallen. Was im Übrigen nicht darunter fällt ist in Anhang I der vorgenannten EU-Richtlinie aufzufinden.

Direkte Angebote an Kinder

Zum anderen will der Gesetzeswortlaut die Beschränkung nur auf Angebote beschränkt wissen, die einem Kind direkt gemacht werden.

Da hier eine Legaldefinition fehlt, wird die Rechtspraxis diesen Begriff ausfüllen müssen. Geht man ganz eng vom Wortlaut aus, wären nur Angebote gemeint, die sich direkt an Kinder (gemeint hier: bis zur Vollendung des 16.Lebensjahres) richten und deren Interesse wecken sollen. Das dürften dann die wenigsten Onlineshops angehen, da genau genommen auch Shops, die sich auf Kinderwaren beziehen, diese Angebote sich ja eigentlich vielmehr an die Eltern bzw. volljährige Käufer richten, da der Vertragsschluss regelmäßig hierauf beschränkt wird. Eine solch enge Auslegung dürfte aber zur Bedeutungslosigkeit dieser Klausel führen und vermutlich nicht im Sinne des Gesetzgebers sein.

Eine weitere Auslegung wäre, dass all solche Dienstleistungen erfasst sind, die Erwachsenen und Kindern gleichermaßen offenstehen, sich also auch an Kinder richten. Am Ende wird es auf eine vermittelnde Ansicht hinauslaufen und es wird darauf abzustellen sein, an welche Zielgruppe sich der Internetdienst primär richtet. Ist hier ein Kinderbezug festzustellen, dürfte die Klausel in jedem Fall anwendbar sein. Ist kein eindeutiger Bezug zu erkennen, dürfte aus Kinderschutzgesichtspunkten die Klausel aber ebenfalls anwendbar sein. Quasi in dubio pro….

Jedenfalls eines scheint bei aller Unklarheit klar zu sein: Wenn es um Werbung oder die Erstellung von Persönlichkeits- oder Nutzerprofilen geht wird die Norm in jedem Fall anwendbar sein. So will es auch der Erwägungsgrund 38 der Norm in dem es heißt:

"Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen."

Und nun? Wer ist betroffen? Ein klares Ergebnis kann an dieser Stelle zu dieser Zeit nicht erzielt werden. Aber man kann festhalten: Zumindest jeder Shop=Diensteanbieter, der nicht ausschließlich Ware für Erwachsene anbietet, wie etwa aus dem Bereich Erotik, müsste theoretisch und streng genommen beim Newsletterversand (=Werbung) die Neuerungen für sich gelten lassen – wie am Ende aber diese Regelung auszulegen sein wird, kann nur die Praxis zeigen.

Gehen wir nun mal davon aus, dass die Vorschrift eher mehr als weniger Onlineshops treffen wird – dann nun nochmal zurück zu den Kernaussagen der einschlägigen Vorschrift:

1. Die Datenverarbeitung von Minderjährigen unter 16 Jahren ist nur mit Einwilligung wirksam.
2. Diese Einwilligung nur dann wirksam ist, wenn sie entweder von den Eltern selbst erteilt wurde oder zumindest mit deren Zustimmung.
3. Eine nachträgliche Genehmigung der Eltern ist ebenfalls nicht ausreichend sein, es muss eine Zustimmung von Anfang vorliegen.

Der neue Newsletterversand

Ein zentrales Thema im Zusammenhang mit dieser neue Regelung wird der Newsletterversand sein, da dort Daten verarbeitet werden. Aber wie soll nun ein Onlineshop beispielsweise beim Versand von Newslettern mit dieser neuen Situation umgehen? Wie kann überprüft werden, wie alt der Newsletter-besteller ist und ob eine Einwilligung der Eltern bzw. der Träger der elterlichen Verantwortung vorliegt.

Eines steht fest: Der Gesetzgeber fordert zumindest eine gewisse Anstrengung des Diensteanbieters, um die neuen Regelungen umzusetzen:

In Art. 8 Abs.2 findet sich zu den Anstrengungen des verantwortlichen Betreibers in dieser Sache folgende Regelung:

"Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde."

Aber was ist schon eine angemessene Anstrengung? Auch diese Formulierung lässt wieder viel Spielraum und wird erst mit der Zeit und mit entsprechender Rechtspraxis ausgefüllt werden müssen.

Gestaltungsmöglichkeiten

In der Praxis wird dies nicht praktikabel und 100%rechtssicher umsetzbar sein – zumindest aus jetziger Sicht. Die Händler müssen abwägen und einen Kompromiss finden:

1. PostIdent/VideoIdent: Sicher aber unpraktikabel?

Der sicherste, aber definitiv auch wenig praktikabelste Weg wäre das PostIdent oder VideoIdent-Verfahren. Dadurch wäre das Alter und ein Rückschluss auf die Sorgeberechtigung durch Vorlage Ausweispapieren möglich. Aufwand und Kosten dürften bei diesem Verfahren jedoch außer Verhältnis stehen. Es ist schlicht einem Shopbetreiber nicht zumutbar vor jeder Newsletteranmeldung ein solches Verfahren vorzuschalten.

2. Zweistufiges Prüfverfahren: Praktikabel aber unsicher?

Bei dieser Variante wäre eine Altersabfrage verpflichtend als 1. Prüfstufe. Und als 2. Prüfstufe müsste auch die email-Adresse der elterlichen Verantwortung in den Bestätigungsprozess einfließen – wie das bekannte double-opt-in-Verfahren nur modifiziert durch die Involvierung der elterlichen email-Adresse. Wir stellen uns das also dann in etwa so vor bei der Newsletteranmeldung:

1. Neben der email-adresse wird auch noch das Alter abgefragt.
2. Wird dies mit „Unter 16 Jahren“ angegeben sind zusätzliche Angaben wie die Wohnadresse, Namen und email-Adresse der elterlichen Fürsorge anzugeben.
3. Nach Anmeldung erhält der Träger der elterlichen Verantwortung eine email, aus der sich die Daten des anmeldenden Kindes, der Betreiber des Newsletters und der Umfang der Datenerhebung feststellen lassen. Nach Bestätigung durch den elterlichen Verantwortlichen wäre eine wirksame Einwilligung erteilt.

Aber natürlich hat auch diese Variante eine Schwachstelle: Denn die Eingaben, die das Kind hier zu machen hat, sind schwer überprüfbar und dem Missbrauch offen.

Diese Variante ist also zwar praktikabler als die erstgenannte – aber auch nicht ohne Risiko. Das eine scheint ohne das andere nicht zu bekommen zu sein. Aber in jedem Fall dürften die geforderten Bemühungen des Diensteanbieters bzw. Shopbetreibers damit einigermaßen nachgewiesen sein.

Wenn Sie noch kein Schutzpaket der IT-Recht Kanzlei nutzen und sich für die DSGVO fit machen möchten, dann schauen Sie doch einmal hier vorbei!

Fazit

Ab dem 25.04.2018 muss mit Geltung der DSGVO bei Verarbeitung personenbezogener Daten eine Einwilligung eines Minderjährigen unter 16 Jahren dergestalt vorliegen, dass die Träger der elterlichen Verantwortung hierzu Ihre anfängliche Zustimmung erteilt haben mussten. Diese Regelung stellt mehr Fragen als sie Antworten gibt – denn die Norm ist gespickt mit auslegungsbedürftigen Begriffen, die vermutlich erst die Rechtspraxis prägen muss. So ist unklar an welchen Dienstanbieter sich diese Vorschrift richtet – wir gehen davon aus, dass es streng genommen durchaus alle Webseitenbetreiber sein können, die sich mit Werbung (etwa Newsletter) auch an Jugendliche richten.

Ein weiteres Fragezeichen ist wie festgestellt werden kann, wie alt der Nutzer ist und falls er ehrlicherweise seine Minderjährigkeit einräumt, wie die Einwilligung nachgewiesen werden kann. Das sicherste Verfahren (Post/VideoIdent) hierzu ist nicht praktikabel, und das vergleichsweise praktikabelste Verfahren (2-stufiges Prüfverfahren) ist nicht so ganz sicher. Verlässliche Antworten kann hier letztlich nur die Praxis liefern – etwa den Newsletterversand gänzlich einzustellen und den Bezug den Seitenbesuchern nicht mehr zur Verfügung zu stellen dürfte aber jedenfalls nicht der richtige Weg sein.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Felix Barth
Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller