Die DSGVO für Anbieter von Kinderseiten: 5 Praxistipps
Die DSGVO für Anbieter von Kinderseiten: 5 Praxistipps
Blogbeitrag vom
Jeder Webseitenbetreiber tut gut daran, sich auf den 25. Mai 2018 vorzubereiten. Ab diesem Datum gilt nämlich die neue Datenschutzgrundverordnung (DSGVO) – und zwar europaweit. Von den neuen Datenschutzvorschriften sind nicht nur große Unternehmen, sondern auch KMU, Einzelunternehmer, Freiberufler und auch Vereine betroffen. Da die DSGVO auch spezielle Schutzvorschriften für Kinder und Jugendliche enthält, besteht für Angebote, die sich explizit an Kinder richten, ganz besonderer Handlungsbedarf.
ACHTUNG: Die folgenden Ausführungen verstehen sich lediglich als Hinweise, haben keinen Anspruch auf Richtigkeit und/oder Vollständigkeit und ersetzen keine Rechtsberatung. Wenden Sie sich in Zweifelsfällen immer an einen im IT-Recht erfahrenen Rechtsanwalt.
Was ist zu tun?
Zunächst einmal: Durchatmen. Wer sich zum ersten Mal mit der DSGVO beschäftigt, fühlt sich von den vielen juristischen Begrifflichkeiten und den scheinbar unmöglich zu erfüllenden Anforderungen schnell erschlagen. Und ja: Die DSGVO in Gänze zu berücksichtigen, ist eine Aufgabe, die nicht in 5 Minuten erledigt ist. Umso wichtiger, sie so früh wie möglich ernst zu nehmen.
4 erste Schritte für jeden
Unabhängig von der Ausrichtung gibt es Grundanforderungen an jedes Unternehmen, jede/n Einzelunternehmer/in und auch jeden Verein. Daraus lassen sich vier erste Schritte ableiten, die JEDER Anbieter berücksichtigen sollte:
- Ermitteln, welche personenbezogenen Daten von wem, wann, wo und wie erfasst, gespeichert und verarbeitet werden
- Auftragsverarbeitungsverträge mit Drittunternehmern abschließen
- Die Datenschutzerklärung anpassen
- Die Website auf HTTPS umstellen
Wenn Sie mehr zu diesen ersten Schritten wissen möchten, empfehle ich Ihnen einen Blick in meinen Artikel „Was bedeutet die DSGVO für Einzelunternehmer und Freelancer?“, in dem sie näher ausgeführt sind. Aber Achtung: Schritt 3 beinhaltet bereits ein Thema, das bei Angeboten für Kinder noch einmal separat zu betrachten ist. Doch dazu gleich mehr.
Kontaktformulare, Kommentarfunktionen & Co.
Je nachdem, welche Dienste, Tools oder Funktionen die Website außerdem noch anbietet, können auch noch weitere Schritte nötig werden. Beispielsweise bei Kommentarfunktionen im Blog, Kontaktformularen oder beim Newsletterversand. Auch zu diesen Punkten finden Sie nähere Informationen im oben verlinkten Artikel.
Und für Kinderseiten?
Wie schon angedeutet, sind manche dieser Themen für Kinderseiten noch einmal stärker anzupassen. Deshalb werfen wir im Folgenden noch einen Blick auf die näheren Anforderungen für Angebote, die sich (auch) an Kinder richten.
1. Gut verständlich informieren
Einer der entscheidenden Grundsätze der Datenschutzverordnung ist die transparente, verständliche Kommunikation und Information.
Willigen Nutzer beispielsweise in die Verarbeitung ihrer Daten ein, ist diese Einwilligung nur dann wirksam, wenn über die Art der Verarbeitung vorher in verständlicher Form informiert wurde. Das gilt insbesondere für Kinder:
„Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.“
(Erwägungsgrund 58 zur DSGVO)
Da die Standard-Vorlagen für Datenschutzerklärungen diese Anforderungen sicherlich nicht erfüllen, steht hier eine Zusatz-Herausforderung für Anbieter von Kinderseiten an: nämlich die häufig eher komplexen Abhandlungen in einfach verständliche, auch von Kindern nachvollziehbare Texte umzuformulieren. Natürlich gilt das auch über die Datenschutzerklärung hinaus – beispielsweise überall dort, wo Daten eingegeben und über die Verwendung dieser Daten informiert wird.
2. Möglichst wenige personenbezogene Daten erheben
Einer der Grundsätze der DSGVO ist die Datenminimierung. Das ist im Prinzip nichts Neues, hat nur einen neuen Namen (hieß früher „Datensparsamkeit“). Und es empfiehlt sich gerade bei Angeboten für Kinder, die eigenen Prozesse im Hinblick auf diese Anforderung noch einmal zu überprüfen. Braucht man für das Anlegen eines Benutzerkontos tatsächlich einen Namen? Tun es nicht auch die Initialen? Oder ein Nickname?
Um die jungen Nutzer möglichst früh für einen eigenverantwortlichen, zurückhaltenden Umgang mit ihren eigenen Daten zu sensibilisieren, kann es ohnehin empfehlenswert sein, sie überall dort, wo keine Klarnamen benötigt werden, bewusst zum Eingeben von Fantasienamen aufzufordern.
3. Rechtliche Grundlage für die Erhebung von Daten ermitteln
Liest man Texte zur DSGVO, erhält man manchmal den Eindruck, dass man jetzt als Anbieter gar keine Daten mehr erheben dürfte. Das ist – zum Glück – nicht richtig. Die Rechtmäßigkeit der Verarbeitung von Daten (Art. 6 DSGVO) wird allerdings ab Mai stärker reguliert.
Erlaubt ist die Verarbeitung von Daten auch ohne explizite Einwilligung beispielsweise dann, wenn die Daten für die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung erforderlich sind, wenn sie benötigt werden, um lebenswichtige Interessen zu schützen oder wenn sie zur „Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten“ erforderlich sind.
Dieses letzte Argument mit seiner gewohnt schwammigen Formulierung – was sind „berechtigte Interessen“? – ist vor allem dann, wenn es um Kinder geht, mit Vorsicht zu betrachten. Denn die Interessen des Anbieters sind nur dann „berechtigt“, wenn dies nicht den Interessen oder Grundrechten des Nutzers zuwiderläuft. Und das gilt ganz besonders dann, wenn es sich bei dabei um ein Kind handelt.
Hier gilt also: Genau hinschauen und im Zweifel doch einen Rechtsanwalt befragen. Denn die Formulierung lässt natürlich jede Menge Freiraum für Interpretationen.
4. Status klären: Handelt es sich um einen „Dienst der Informationsgesellschaft“?
Wenn keine andere rechtliche Grundlage gegeben ist, braucht man für jede Verarbeitung von personenbezogenen Daten eine Einwilligung des Nutzers. Und dieser Punkt ist zweifelsohne der, der Anbietern von Kinderseiten die meisten Bauchschmerzen bereiten wird, denn für die Einwilligung von Kindern hat der Gesetzgeber nun in Art. 8 DSGVO sehr strenge, neue Regeln erlassen, von denen noch überhaupt nicht klar ist, wie sie in der Praxis umsetzbar sind.
Deshalb kann es sich lohnen, zunächst einmal festzustellen, ob das eigene Angebot von den dazugehörigen Vorschriften überhaupt betroffen ist. Achtung: Jetzt wird es ein wenig juristisch, aber für die genaue Einordnung ist der Blick in die Original-Gesetzestexte sicherlich der hilfreichste Weg.
Wörtlich beziehen sich die Bedingungen des Art. 8 auf jedes „Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird.“
Dass sich die angebotenen Dienste direkt an Kinder richten, können wir bei Kinderseiten wohl als gegeben voraussetzen. Was aber sind „Dienste der Informationsgesellschaft“?
Die wiederum definiert die Richtlinie 2000/31/EG (Erwägungsgrund 17) als „alle Dienstleistungen, die in der Regel gegen Entgelt im Fernabsatz mittels Geräten für die elektronische Verarbeitung (…) und Speicherung von Daten auf individuellen Abruf eines Empfängers erbracht werden“.
Die gute Nachricht: Für kostenlose Angebote sind die Vorschriften des Art. 8 DSGVO also offenbar nicht gültig. (Achtung: Diese Schlussfolgerung gilt nur für die Vorschriften dieses speziellen Artikels, nicht für die gesamte DSGVO!)
Und eine gewisse Vorsicht bleibt dennoch angebracht, denn: Die Formulierung „in der Regel“ bringt erneut Interpretationsspielraum mit sich. Und da immer mehr Geschäftsmodelle ja dazu übergehen, ihre Dienste kostenlos anzubieten und die Kunden stattdessen mit ihren Daten zahlen zu lassen, ist wohl zu erwarten, dass die konkrete Rechtsprechung auch solche Dienste hier mit einbeziehen wird, die nur augenscheinlich kostenlos sind.
5. Einwilligung der Eltern einholen
Wenn für die Verarbeitung der Daten eine Einwilligung nötig ist und es sich um ein gewerbliches, also kostenpflichtiges (oder nur augenscheinlich kostenloses) Online-Angebot handelt, reicht bei der Erfassung personenbezogener Daten von Kindern – verständliche Erklärung hin oder her – eine Einwilligung des Kindes selbst aber nicht aus. Zusätzlich müssen auch die Eltern der Datenverarbeitung zustimmen.
Das ist an sich auch gar nicht so neu – die Einwilligung musste man sich auch bislang vor allem bei jüngeren Kindern schon bestätigen lassen. Bislang gab es allerdings keine festgelegte Altersgrenze, entscheidend war die „Einsichtsfähigkeit“ des Kindes. Das ändert sich mit der DSGVO: Einwilligungen der Eltern – und zwar von Anfang an, eine nachträgliche Zustimmung genügt nicht – sind jetzt für alle Kinder unter 16 Jahren verpflichtend.
Die EU-Verordnung macht die konkrete Altersgrenze zur Ländersache: Den Ländern ist es freigestellt, die Altersgrenze von 16 bis auf maximal 13 Jahre herunterzusetzen. Österreich hat davon beispielsweise Gebrauch gemacht und die Grenze auf 14 Jahre festgelegt. In Deutschland bleibt es allerdings bei der recht hohen Altersgrenze von 16 Jahren.
„Angemessene Anstrengungen“
Was sich vor allem aber ändert: Der Anbieter muss „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“ unternehmen, um sicherzustellen, dass die Einwilligung auch tatsächlich vom „Träger der elterlichen Verantwortung“, also den Erziehungsberechtigten, gegeben wurde.
Und wie soll das in der Praxis aussehen?
Die große Frage besteht aktuell also darin, wie sich Anbieter vergewissern können, dass die erteilte Zustimmung tatsächlich von den Eltern gemacht wurde. Ob ein Erwachsener oder ein Kind die Checkbox anklickt, kann man leider aus der Ferne nicht erkennen. Und ob der Erwachsene auch noch der Erziehungsberechtigte ist, erst recht nicht.
Die schlechte Nachricht ist: Diese Frage lässt sich derzeit leider schlicht und ergreifend noch nicht beantworten. Denn mit der Praxis befasst sich der Gesetzgeber nicht – und die Formulierungen lassen jede Menge Interpretationsspielraum, beispielsweise zu der Frage, wann eine Anstrengung „angemessen“ ist. Zu diesem Ergebnis kommt unter anderem auch das Bayerische Landesamt für Datenschutzaufsicht, das sich ausführlicher mit dieser Frage befasst hat und resümiert, dass sich „in der Praxis noch viele Fragen stellen werden.“ Und auch eine Rechtsanwaltskanzlei, die das Thema mit Blick auf Kinderapps beleuchtet hat, zieht das Fazit: „Gewisse Risiken können daher nicht ausgeschlossen werden.“
Das Pikante an der Sache: Wer tatsächlich sicherstellen möchte, dass die Einwilligung tatsächlich von den Erziehungsberechtigten kommt, wird im Zweifel nicht umhinkommen, deutlich mehr Daten zu erheben als er für den ursprünglichen Nutzen eigentlich brauchte, wie dieser Vorschlag für die DSGVO-konforme Einholung einer Newsletter-Einwilligung von Kindern und Jugendlichen zeigt.
Es wird deshalb tatsächlich spannend zu beobachten sein, wie die Gerichte mit konkreten Fragen zur Rechtmäßigkeit bzw. Angemessenheit praktischer Umsetzungsmodelle umgehen werden. Unter einem ganz anderen Blickwinkel übrigens auch im Hinblick auf die Frage, wie sich diese mit dem Recht des Kindes auf Privatsphäre und Entfaltung einer eigenen Identität in Einklang bringen lassen.
So lange gilt wohl leider, dass es für gewerbliche Anbieter von Kinderseiten, Kinderapps oder anderen an Kinder und Jugendliche gerichteten Online-Diensten in dieser Frage kaum Rechtssicherheit geben wird.
Ausnahme bei vertraulichen Angeboten
Achtung: Eine Ausnahme gilt laut DSGVO (Erwägungsgrund 38) für Präventions- oder Beratungsdienste, die „unmittelbar einem Kind angeboten werden“. Damit Kinder solche Angebote vertraulich wahrnehmen können, muss für solche Dienste keine Einwilligung der Eltern eingeholt werden.
Fazit
Auch wenn das Thema DSGVO keines ist, bei dem man in Panik verfallen sollte, bleibt insbesondere für Betreiber von Kinderseiten einiges zu tun. Da gerade im Hinblick auf die Frage der elterlichen Einwilligung noch viele Fragen offenbleiben, die sich wohl erst im Zuge konkreter Rechtsprechung beantworten lassen werden, ist wohl die beste Möglichkeit, sich auf die Grundsätze der Transparenz und der Datenminimierung zu fokussieren, möglichst wenige personenbezogene Daten zu erheben und dabei besonders transparent und gut verständlich zu informieren. Und natürlich die Entwicklungen zum Thema aufmerksam im Auge zu behalten.
Welche Punkte Sie über die spezifische Kinder- und Jugendthematik hinaus als Webseitenbetreiber ohnehin anfassen sollten, fasst mein oben bereits erwähnter Artikel zum Thema DSGVO für Freelancer und Einzelunternehmer zusammen. Vielleicht eignen sich die dortigen Anregungen ja dafür, praktisch ins Thema einzusteigen und auch schon mal die ersten allgemeinen Anforderungen von der ToDo-Liste zu streichen.
Weitere Links zum Thema
DSGVO: Informationspflicht & Interessenabwägung bei Daten von Kindern (Datenschutzbeauftragter INFO, 01.08.2017)
Anforderungen an die Einwilligung von Kindern nach der DSGVO (Datenschutzbeauftragter INFO, 25.07.2017)