Alles neu macht der Mai? Was die neue DSGVO über digitale Angebote für Kinder bereithält

Die neue Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai EU-weit in Kraft. Hohe Bußgelder und Abmahnungen drohen nicht nur großen Unternehmen – auch Seitenbetreiber, Blogschreiber oder Freelancer sollten die Verordnung nicht ignorieren. Auf die Betreiber von Webseiten, die sich speziell an Kinder und Jugendliche richten, kommen jedoch zusätzliche Anforderungen zu.

Denn „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind“ (DSGVO: S. 61, Erwägungsgrund 38). Daher schützt die Grundverordnung neben einigen anderen Neuerungen auch verstärkt die Daten von Kindern und Jugendlichen.

1. Einfache und verständliche Information

Grundsätzlich müssen die notwendigen Informationen zum Datenschutz laut DSGVO „präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein. Richtet sich ein digitales Angebot dezidiert an Kinder, ist deren Information folglich auf ihre Bedürfnisse abzustimmen – aber auch Webseiten, die sowohl für Erwachsene als auch für Kinder konzipiert sind, fallen unter diesen Grundsatz.

Das heißt: Auf Kinderseiten sind Informationen zum Datenschutz daher in einer Art und Weise aufzubereiten, dass ein Kind sie verstehen kann (DSGVO: S. 68, Erwägungsgrund 58). Insbesondere die Datenschutzerklärungen von Kinderwebseiten sind daher entsprechend umzuformulieren. Aber auch alle anderen Hinweise und Erklärungen – bspw. bei der Eingabe von personenbezogenen Daten zur Anmeldung in einem Forum – sind leicht verständlich aufzubereiten.

2. Verarbeitung personenbezogener Daten

Die Verarbeitung personenbezogener Daten ist nach Art. 6 Abs. 1 a DSGVO in der Regel nur mit Einwilligung des Betroffenen möglich, sofern beispielsweise kein Vertragsverhältnis oder ein anderer Grund laut Art. 6 Abs. 1 b bis f der DSGVO vorliegt, der die Verarbeitung nötig macht. Die strengen zusätzlichen Bedingungen des Artikel 8 der DSGVO über die elterliche Einwilligung zur Verarbeitung der personenbezogenen Daten eines Kindes beziehen sich jedoch ausschließlich auf sogenannte „Dienste der Informationsgesellschaft“.

Doch wann ist eine Dienstleistung ein solcher Dienst? Die neue Grundverordnung macht dahingehend keine eigenen Angaben, sondern verweist auf die EU-Richtlinie 2015/1535. Dort wird definiert, dass der Dienst einer Informationsgesellschaft in der Regel

  • gegen Entgelt,
  • im Fernabsatz,
  • elektronisch und
  • auf individuellen Abruf des Empfängers

erbracht wird.

Zudem hat der Bundesgerichtshof (BGH) bereits 2017 deutlich gemacht, dass die Definition dieser Dienste eher weit als eng zu verstehen ist und daher „alle Formen der Kommunikation abdeckt, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren oder Dienstleistungen einer natürlichen oder juristischen Person dienen, die eine unternehmerische Tätigkeit ausübt“ (I ZR 117/16). Wann diese Formulierung aber auf Kinderseiten zutrifft, ist derzeit noch unklar und muss sich erst noch zeigen.

Achtung: Die Klärung, ob eine Dienstleistung ein Dienst einer Informationsgesellschaft ist oder nicht ist, sollte von einem Anwalt für Internet- bzw. IT-Recht vorgenommen werden! Insbesondere die Formulierung „in der Regel“ indiziert, dass hier Interpretationsspielraum gegeben ist.

Alleinige Einwilligung: Mindestalter 16 Jahre

Die alleinige Einwilligung von Kindern, die unter 16 Jahre alt sind, ist daher nicht wirksam, wenn es sich um einen Dienst einer Informationsgesellschaft handelt (Art. 8 DSGVO). Der Gesetzgeber geht hier davon aus, dass die Tragweite und Bedeutung der Einwilligung nicht von Kindern und Jugendlichen unter dem betreffenden Alter überblickt werden kann. Zwar bestand die Möglichkeit, das Einwilligungsalter in den nationalen Bestimmungen zum Datenschutz auf minimal 13 Jahre hinunterzusetzen – davon hat Deutschland jedoch keinen Gebrauch gemacht, sodass für deutsche Kinderseiten weiterhin die generelle Altersgrenze der DSGVO gilt.

Statt nur des Einverständnisses des Kindes benötigen Kinderseitenbetreiber zur Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren die Einwilligung der Eltern bzw. des Sorgeberechtigten (Art. 8 DSGVO) – und zwar zwingend vor der Verarbeitung der Daten. Denn eine nachträgliche Einwilligung ist nicht zulässig.

Ausnahmen: Präventions- und Beratungsdienste für Kinder und Jugendliche

Eine wichtige Ausnahme vom Erfordernis einer elterlichen Einwilligung kennt die DSGVO dennoch: Handelt es sich um Präventions- oder Beratungsangebote, die unmittelbar einem Kind angeboten werden, entfällt die Pflicht, das Einverständnis der Eltern einzuholen. Denn solche vertraulichen Angebote sollten Kinder auch ohne Kenntnis der Eltern nutzen können.

Ebenso ist der Artikel 8 der DSGVO nicht anwendbar, wenn es sich um Dienste handelt, die nicht für Kinder, sondern nur für Erwachsene bestimmt sind. Darunter fallen zum Beispiel Dating-Apps wie Tinder. Gleichzeitig greift der Artikel jedoch auch bei Diensten, die sowohl für Erwachsene als auch Kinder konzipiert sind (bspw. Facebook).

3. Auswirkungen auf die Praxis

Was bedeutet dies für die Verantwortlichen von Kinderseiten? Art. 8 Abs. 2 der DSGVO legt zudem fest, dass sich um die elterliche Einwilligung „unter Berücksichtigung der verfügbaren Technik“ und angemessener Anstrengungen bemüht werden muss.

In welcher Art und Weise Webanbieter von Seiten für Kinder und Jugendliche dies umsetzen werden bzw. umsetzen sollten, muss sich erst noch zeigen. Um eine irgendwie geartete Kontaktaufnahme mit den Eltern kommen Betreiber von Kinderseiten aber wohl nicht herum. Auch fraglich ist, inwiefern Kinderseitenbetreiber die elterliche Zustimmung authentifizieren werden.

Im Grunde sollten Anbieter von Kinderseiten sich daher auf den Grundsatz der Datensparsamkeit bzw. der Datenminimierung besinnen. Je weniger personenbezogene Daten erhoben werden, desto seltener kommen Kinderseitenbetreiber in die Verlegenheit, die Einwilligung von Eltern einholen zu müssen. So ist es bei Foren beispielsweise nicht immer notwendig, den Klarnamen eines Kindes zu verlangen – Nicknames, Initialen oder Phantasienamen können ebenso ausreichend sein.

Bestehen Zweifel, welche Regelungen auf Ihre konkrete Webseite zutreffen, wenden Sie sich immer an einen Anwalt, um die neuen Datenschutzanforderungen und mögliche Lösungen für die Praxis zu erörtern!

Kommentare

01

Rückfragen

Liebe/r Autor/in, danke für den Beitrag und den Input zur DSGVO. Nach dem Lesen des Artikels sind bei mir zwei Fragen aufgekommen.

Zum Einen geht es um die Definition eines "Dienstes einer Informationsgesellschaft" in Punkt 2:
Wie streng ist das erste Kriterium "gegen Entgelt" denn auszulegen? Zählen nicht-kommerzielle Kinderseiten, die aus Engagement und mit Bildungsintention im Netz angeboten werden, keinerlei Einnahmen durch die Seite haben, genauso dazu? Vermutlich liegt der Interpretationsspielraum in der Formulierung " in der Regel", oder?

Zum zweiten stellt sich mir die Frage, wie die Einwilligung der Eltern praktisch umgesetzt werden kann - ohne entweder einen riesigen verwaltungstechnischen Aufwand zu haben (z.B. über unterschriebene Briefe der Eltern) oder ohne zusätzliche personenbezogene Daten abzufragen - wenn ich sicher gehen will, dass es die Eltern sind, die zustimmen, werde ich zumindest deren E-Mail-Adresse oder Anschrift benötigen.

Hier wäre ein "Zentral-Login" für Kinderseiten wirklich hilfreich... Oder gibt es andere Ideen?

02

Rückfragen

Liebe Frau Hildebrandt,

zu Ihrer ersten Frage: Die neue Datenschutzgrundverordnung (DSGVO) konkretisiert in diesem Punkt leider zu wenig, wann es sich um Dienste einer Informationsgesellschaft handelt und wann nicht. Es lässt sich momentan noch keine Aussage darüber treffen, welches der Kriterien bei der Beurteilung wie schwer gewichtet ist. Da aber der Bundesgerichtshof (BGH) bereits erklärt hat, dass der Dienst einer Informationsgesellschaft eher im weiten Sinne verstanden werden muss, sollte auch nicht einfach davon ausgegangen werden, dass die Kriterien auf Ihre Seite nicht zutreffen. Ob die durch Sie angebotene Dienstleistung nun ein Dienst einer Informationsgesellschaft ist, lässt sich von unserer Seite aus schwer beurteilen. Um zu klären, ob es sich um einen solchen Dienst handelt, sollte, wie bereits im Text erwähnt, ein Anwalt für Internet- bzw. IT-Recht konsultiert werden, um auf Nummer sicher zu gehen.

zu Ihrer zweiten Frage: Eine ideale Vorgehensweise hat sich hierbei leider in der kurzen Zeit
seit des Inkrafttretens der DSGVO noch nicht herauskristallisiert. Grundsätzlich gilt, dass die Eltern einer Datenverarbeitung zustimmen müssen und in jedem Fall von Ihnen als Seitenbetreiber versucht werden muss, sicherzustellen, dass es sich dabei auch wirklich um den Erziehungsberechtigten handelt. Da liegt aber auch im Moment das Problem bei der Umsetzung, da beispielsweise durch eine Checkbox nicht versichert werden kann, wer diese angeklickt hat. Vollkommene rechtliche Sicherheit werden Sie voraussichtlich erst einmal nicht haben, womit, bei welcher Methode auch immer, ein gewisses Risiko immer bestehen bleibt. Denkbare Möglichkeiten wären derzeit ein Zustimmungsverfahren mittels Video- oder PostIdent oder durch Double-Opt-In. Weiterführende Informationen zum Double-Opt-In-Verfahren finden Sie beispielweise unter https://www.datenschutz.org/.

Liebe Grüße

Neuen Kommentar schreiben

Mit einem Sternchen (*) versehene Felder sind Pflichtfelder und müssen ausgefüllt werden.

Sollten Sie einen Beitrag löschen oder korrigieren wollen, melden Sie sich bitte unter der im Impressum angegebenen E-Mail-Adresse.
H
2
W
t
W
p
Die Zeichenfolge ohne Leerstellen eingeben.