Die EU-Datenschutz-Grundverordnung (DSGVO) enthält in Art. 8 DSGVO erstmals eine ausdrückliche gesetzliche Regelung in Bezug auf die Einwilligung von Kindern und Jugendlichen. Die Norm schafft mehr Rechtssicherheit für Eltern und Verantwortliche, stellt Unternehmen aber gleichzeitig vor eine gewisse Herausforderung.
Der Inhalt im Überblick
Bisher keine Altersgrenze im BDSG
Im Bundesdatenschutzgesetz (BDSG) gab es bisher keine Regelung, die sich explizit auf Kinder bezog. Dies ist auch verständlich, da sich die Normalität, mit der Kinder und Jugendliche sich heutzutage im Netz bewegen, erst in den letzten Jahren herausgebildet hat.
Mangels Bestehen einer gesetzlichen Altersgrenze für die Wirksamkeit von kindlichen Einwilligungen in die Datenverarbeitung, kam es bisher auf die Einsichtsfähigkeit an. Die Einwilligung eines Kindes in die Verarbeitung seiner Daten war dann wirksam, wenn es die Tragweite seiner Entscheidung vernünftigerweise absehen konnte. Die Geschäftsfähigkeit war dagegen nicht maßgeblich. In der DSGVO wird nun eine ausdrückliche Altersgrenze normiert.
Neue Altersgrenze von 16 Jahren in der DSGVO
Im Folgenden wird der Inhalt des Art. 8 DSGVO kurz dargestellt:
Zunächst sieht dieser für die Wirksamkeit von Einwilligungen von Kindern und Jugendlichen nun eine grundsätzliche Altersgrenze von 16 Jahren vor. Grundsätzlich deshalb, weil die Norm gleichzeitig eine Öffnungsklausel enthält. Diese ermöglicht es den Mitgliedsstaaten, individuell eine niedrigere Altersgrenze festzulegen. Deutschland hat z.B. von dieser Möglichkeit keinen Gebrauch gemacht, Österreich hingegen schon. Die Grenze darf dabei jedoch nicht unter 13 Jahren liegen.
Dieser Regelungsspielraum ist zwar insofern sinnvoll, als sie den EU-Mitgliedsstaaten die Möglichkeit gibt, die Regelungen zur Wirksamkeit von datenschutzrechtlichen Einwilligungen an ihre sonstigen Jugendschutzvorschriften anzupassen. Andererseits kann sie aber Unternehmen, die grenzüberschreitend tätig sind, vor Herausforderungen stellen. Diese haben künftig bei ihrer Tätigkeit gegebenenfalls unterschiedliche Altersgrenzen zu beachten.
Angebot von Diensten der Informationsgesellschaft
Art. 8 DSGVO ist nur anwendbar, wenn von Unternehmen ein sogenannter „Dienst der Informationsgesellschaft“ angeboten wird. Der Begriff wird in der DSGVO leider nicht definiert. Art. 4 Nr. 25 DSGVO verweist diesbezüglich lediglich auf die Vorgaben der EU-Richtlinie 2015/1535.
Damit sind folgende Elemente gemeint, die eine Dienstleistung zu einem „Dienst der Informationsgesellschaft“ machen. Die Dienstleistung
- wird in der Regel gegen Entgelt erbracht,
- wird im Fernabsatz erbracht, d.h. ohne gleichzeitige (physische) Anwesenheit der Vertragsparteien,
- wird elektronisch erbracht, d.h. sie wird mittels Geräten für die elektronische Verarbeitung und Speicherung von Daten an einem Ausgangspunkt gesendet und am Endpunkt empfangen und dabei vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen, und
- wird auf individuellen Abruf eines Empfängers erbracht, d.h. die Übertragung von Daten findet auf individuelle Anforderung hin statt.
Die RL 2015/1535 enthält in ihrem Anhang 1 eine Liste von Dienstleistungen, die nicht als „Dienst der Informationsgesellschaft“ im genannten Sinn gelten. Sollte sich ein Unternehmen hinsichtlich der Einordnung unsicher sein, empfiehlt sich daher auch ein Blick in den Anhang der Richtlinie.
Einem Kind direkt gemacht
Art. 8 DSGVO gilt nur, wenn das Angebot von Diensten der Informationsgesellschaft dem Kind direkt gemacht wird. Das schließt solche Dienste aus, die nicht für Kinder oder Jugendliche bestimmt sind, sondern nur von diesen genutzt werden (z.B. Dating-Apps oder soziale Netzwerke speziell für Erwachsene).
Umgekehrt sollen aber solche Dienstleistungen erfasst werden, die Kindern und Erwachsenen gleichsam offenstehen (wie z.B. Facebook). Eine andere Auslegung würde dem Sinn und Zweck des Art. 8 DSGVO zuwiderlaufen, da sich eine Vielzahl von Angeboten im Internet an beide Personengruppen gleichermaßen richtet. Fielen diese Dienste aus dem Anwendungsbereich der Vorschrift heraus, könnte ein effektiver Kinder- und Jugendschutz nicht erreicht werden.
Kinder unter 16 Jahren
Für Kinder unter 16 Jahren schreibt Art. 8 DSGVO vor, dass die Einwilligung nur dann wirksam ist, wenn sie entweder von den Eltern selbst erteilt wurde oder zumindest mit deren Zustimmung. Die Einwilligung des Kindes allein genügt dann nicht.
Eine nachträgliche Genehmigung der Erziehungsberechtigten soll ebenfalls nicht ausreichend sein. Gefordert wird, dass die Zustimmung der Eltern von Anfang an vorliegt.
In diesem Zusammenhang wird Unternehmen die Verpflichtung auferlegt, sich darüber zu vergewissern, dass die Einwilligung tatsächlich von den Eltern stammt oder mit deren Zustimmung von dem Kind erteilt wurde. Zwar fordert die gesetzliche Regelung dabei nur „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“, was gewisse Argumentationsspielräume eröffnet. Jedoch werden wohl eine (irgendwie geartete) Kontaktaufnahme zu den Erziehungsberechtigten und deren positive Rückmeldung erforderlich sein. Zudem muss die Authentizität der Erklärung der Eltern sichergestellt werden. Es wird interessant sein, wie genau Unternehmen die Vorgaben umsetzen werden.
In einem zweiten Teil zu diesem Beitrag beleuchten wir welche Anforderungen seit Anwendbarkeit der DSGVO an die Einwilligung von Kindern bestehen, wenn die Angebote keine Dienste der Informationsgesellschaft betreffen.
Wie sieht es aus wenn ein Kind ein Praktikum macht und für dieses Praktikum eine Datenschutzvereinbarung unterschreiben muss? Ab welchem Alter reicht die Unterschrift des Praktikanten aus und wann muss eine zusätzliche Unterschrift der Eltern erfolgen?
Aus Ihrer Frage geht leider nicht genau hervor, worauf diese „Datenschutzvereinbarung“ abzielt. Es ist insbesondere nicht klar, ob der Praktikant einer Vereinbarung seiner Daten im Rahmen des Beschäftigungsverhältnisses zustimmen soll oder aber ob er über die Wahrung des Datenschutzes fremder, personenbezogener Daten informiert wird.
Im letzteren Falle dient die Unterschrift dem Arbeitgeber nur zu Dokumentationszwecken und begründet daher keine weiteren rechtlichen Pflichten.
Im ersten Falle finden die herkömmlichen Vorschriften des Bürgerlichen Gesetzbuches hinsichtlich der Geschäftsfähigkeit von Minderjährigen Anwendung, insbesondere §§ 107 ff. BGB. Der Anwendungsbereich von Art. 8 DSGVO ist nicht eröffnet, da es hier nicht um „Dienste einer Informationsgesellschaft“ geht.
Bitte haben Sie Verständnis, dass wir im Rahmen des Blog-Artikels keine Rechtsberatung anbieten dürfen und daher keine genauere Antwort geben können.
Vielen Dank für ihre Antwort.
Es geht bei meiner Frage um die personenbezogenen Daten fremder. Also muss in diesem Fall keine Unterschrift von den Eltern erfolgen, wenn ich Sie richtig verstanden habe.
Muss von Kindern, deren Eltern seinerzeit die Zustimmung zur Verwendung von Bild- oder Filmmaterial zugestimmt haben nach dem 16. Geburtstag eine neue Einwilligung vom Betroffenen selbst eingeholt werden oder dürfen diese weiter verwendet werden?
Die Wirkung der Einwilligungserklärung der Eltern ist zeitlich begrenzt. Sobald der Betroffene 16 Jahre alt ist, muss von ihm selbst eine Einwilligungserklärung eingeholt werden.
Ist zwingend die Einwilligung aller sorgeberechtigten erforderlich? Oder reicht z.B. die Zustimmung nur eines Elternteils?
Die Einwilligung muss vom „Träger der elterlichen Verantwortung“ erteilt werden. Ob dies nun beide Elternteile zusammen sind oder nur ein Elternteil sein kann, wird aus dem Gesetzestext allein nicht deutlich.
Üblicherweise vertreten nach deutschem Recht die Eltern das Kind gemeinschaftlich, vgl. § 1629 BGB. Zwar lässt sich dies nicht ohne Weiteres ins Datenschutzrecht übertragen, da die DSGVO Anwendungsvorrang zukommt. Da allerdings weder die DSGVO konkrete Regelungen enthält, noch europäische Regelungen zum Familienrecht existieren, kann das BGB durchaus zu Auslegungszwecken herangezogen werden.
Dies würde bedeuten, dass stets beide Elternteile einwilligen müssten.
Der BGH ging bei dieser Frage im Falle eines medizinischen Eingriffs davon aus, dass nur dann beide Elternteile ausdrücklich einwilligen müssen, wenn es sich um eine schwere und weitreichende Entscheidung handelt. Bliebe die Frage, was im Einzelfall eine schwere und weitreichende Entscheidung ist.
Wenn Sie sicher gehen wollen, müssen Sie daher beide Elternteile einwilligen lassen.