Alles neu macht der Mai? Was die neue DSGVO über digitale Angebote für Kinder bereithält
Alles neu macht der Mai? Was die neue DSGVO über digitale Angebote für Kinder bereithält
Blogbeitrag vom
Die neue Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai EU-weit in Kraft. Hohe Bußgelder und Abmahnungen drohen nicht nur großen Unternehmen – auch Seitenbetreiber, Blogschreiber oder Freelancer sollten die Verordnung nicht ignorieren. Auf die Betreiber von Webseiten, die sich speziell an Kinder und Jugendliche richten, kommen jedoch zusätzliche Anforderungen zu.
Denn „Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind“ (DSGVO: S. 61, Erwägungsgrund 38). Daher schützt die Grundverordnung neben einigen anderen Neuerungen auch verstärkt die Daten von Kindern und Jugendlichen.
1. Einfache und verständliche Information
Grundsätzlich müssen die notwendigen Informationen zum Datenschutz laut DSGVO „präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein. Richtet sich ein digitales Angebot dezidiert an Kinder, ist deren Information folglich auf ihre Bedürfnisse abzustimmen – aber auch Webseiten, die sowohl für Erwachsene als auch für Kinder konzipiert sind, fallen unter diesen Grundsatz.
Das heißt: Auf Kinderseiten sind Informationen zum Datenschutz daher in einer Art und Weise aufzubereiten, dass ein Kind sie verstehen kann (DSGVO: S. 68, Erwägungsgrund 58). Insbesondere die Datenschutzerklärungen von Kinderwebseiten sind daher entsprechend umzuformulieren. Aber auch alle anderen Hinweise und Erklärungen – bspw. bei der Eingabe von personenbezogenen Daten zur Anmeldung in einem Forum – sind leicht verständlich aufzubereiten.
2. Verarbeitung personenbezogener Daten
Die Verarbeitung personenbezogener Daten ist nach Art. 6 Abs. 1 a DSGVO in der Regel nur mit Einwilligung des Betroffenen möglich, sofern beispielsweise kein Vertragsverhältnis oder ein anderer Grund laut Art. 6 Abs. 1 b bis f der DSGVO vorliegt, der die Verarbeitung nötig macht. Die strengen zusätzlichen Bedingungen des Artikel 8 der DSGVO über die elterliche Einwilligung zur Verarbeitung der personenbezogenen Daten eines Kindes beziehen sich jedoch ausschließlich auf sogenannte „Dienste der Informationsgesellschaft“.
Doch wann ist eine Dienstleistung ein solcher Dienst? Die neue Grundverordnung macht dahingehend keine eigenen Angaben, sondern verweist auf die EU-Richtlinie 2015/1535. Dort wird definiert, dass der Dienst einer Informationsgesellschaft in der Regel
- gegen Entgelt,
- im Fernabsatz,
- elektronisch und
- auf individuellen Abruf des Empfängers
erbracht wird.
Zudem hat der Bundesgerichtshof (BGH) bereits 2017 deutlich gemacht, dass die Definition dieser Dienste eher weit als eng zu verstehen ist und daher „alle Formen der Kommunikation abdeckt, die der unmittelbaren oder mittelbaren Förderung des Absatzes von Waren oder Dienstleistungen einer natürlichen oder juristischen Person dienen, die eine unternehmerische Tätigkeit ausübt“ (I ZR 117/16). Wann diese Formulierung aber auf Kinderseiten zutrifft, ist derzeit noch unklar und muss sich erst noch zeigen.
Achtung: Die Klärung, ob eine Dienstleistung ein Dienst einer Informationsgesellschaft ist oder nicht ist, sollte von einem Anwalt für Internet- bzw. IT-Recht vorgenommen werden! Insbesondere die Formulierung „in der Regel“ indiziert, dass hier Interpretationsspielraum gegeben ist.
Alleinige Einwilligung: Mindestalter 16 Jahre
Die alleinige Einwilligung von Kindern, die unter 16 Jahre alt sind, ist daher nicht wirksam, wenn es sich um einen Dienst einer Informationsgesellschaft handelt (Art. 8 DSGVO). Der Gesetzgeber geht hier davon aus, dass die Tragweite und Bedeutung der Einwilligung nicht von Kindern und Jugendlichen unter dem betreffenden Alter überblickt werden kann. Zwar bestand die Möglichkeit, das Einwilligungsalter in den nationalen Bestimmungen zum Datenschutz auf minimal 13 Jahre hinunterzusetzen – davon hat Deutschland jedoch keinen Gebrauch gemacht, sodass für deutsche Kinderseiten weiterhin die generelle Altersgrenze der DSGVO gilt.
Statt nur des Einverständnisses des Kindes benötigen Kinderseitenbetreiber zur Verarbeitung personenbezogener Daten von Kindern unter 16 Jahren die Einwilligung der Eltern bzw. des Sorgeberechtigten (Art. 8 DSGVO) – und zwar zwingend vor der Verarbeitung der Daten. Denn eine nachträgliche Einwilligung ist nicht zulässig.
Ausnahmen: Präventions- und Beratungsdienste für Kinder und Jugendliche
Eine wichtige Ausnahme vom Erfordernis einer elterlichen Einwilligung kennt die DSGVO dennoch: Handelt es sich um Präventions- oder Beratungsangebote, die unmittelbar einem Kind angeboten werden, entfällt die Pflicht, das Einverständnis der Eltern einzuholen. Denn solche vertraulichen Angebote sollten Kinder auch ohne Kenntnis der Eltern nutzen können.
Ebenso ist der Artikel 8 der DSGVO nicht anwendbar, wenn es sich um Dienste handelt, die nicht für Kinder, sondern nur für Erwachsene bestimmt sind. Darunter fallen zum Beispiel Dating-Apps wie Tinder. Gleichzeitig greift der Artikel jedoch auch bei Diensten, die sowohl für Erwachsene als auch Kinder konzipiert sind (bspw. Facebook).
3. Auswirkungen auf die Praxis
Was bedeutet dies für die Verantwortlichen von Kinderseiten? Art. 8 Abs. 2 der DSGVO legt zudem fest, dass sich um die elterliche Einwilligung „unter Berücksichtigung der verfügbaren Technik“ und angemessener Anstrengungen bemüht werden muss.
In welcher Art und Weise Webanbieter von Seiten für Kinder und Jugendliche dies umsetzen werden bzw. umsetzen sollten, muss sich erst noch zeigen. Um eine irgendwie geartete Kontaktaufnahme mit den Eltern kommen Betreiber von Kinderseiten aber wohl nicht herum. Auch fraglich ist, inwiefern Kinderseitenbetreiber die elterliche Zustimmung authentifizieren werden.
Im Grunde sollten Anbieter von Kinderseiten sich daher auf den Grundsatz der Datensparsamkeit bzw. der Datenminimierung besinnen. Je weniger personenbezogene Daten erhoben werden, desto seltener kommen Kinderseitenbetreiber in die Verlegenheit, die Einwilligung von Eltern einholen zu müssen. So ist es bei Foren beispielsweise nicht immer notwendig, den Klarnamen eines Kindes zu verlangen – Nicknames, Initialen oder Phantasienamen können ebenso ausreichend sein.
Bestehen Zweifel, welche Regelungen auf Ihre konkrete Webseite zutreffen, wenden Sie sich immer an einen Anwalt, um die neuen Datenschutzanforderungen und mögliche Lösungen für die Praxis zu erörtern!