Newsletter-Abonnements von Minderjährigen – Elterliche Einwilligung notwendig

Fachbeitrag

Nach in Kraft treten der Datenschutz-Grundverordnung (DSGVO) gelten gesteigerte Anforderungen bei Verarbeitung personenbezogener Daten von Minderjährigen unter 16 Jahren. Der nachfolgende Beitrag soll einen praktischen Lösungsansatz für den Umgang mit diesem Problemfeld bieten.

Einwilligungserfordernis des Trägers der elterlichen Sorge

Art. 8 Abs. 1 S. 1 DSGVO sieht für die Wirksamkeit von Einwilligungen von Minderjährigen in die Verarbeitung ihrer personenbezogenen Daten eine neue Altersgrenze von 16 Jahren vor. Hat der Betroffene das 16. Lebensjahr noch nicht vollendet, ist die Verarbeitung nur dann rechtmäßig, soweit die „Einwilligung durch den Träger der elterlichen Verantwortung für das Kind […] erteilt wird“.

Diese gesonderte Einwilligung […] ist jedoch nur dann notwendig, wenn die Zulässigkeit der Datenverarbeitung auf eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO gestützt, das Unternehmen einen „Dienst der Informationsgesellschaft“ anbietet und das Angebot „einem Kind direkt gemacht“ wird. In allen übrigen Fällen kommt es für die Wirksamkeit der Einwilligung in die Datenverarbeitung auf die Einsichtsfähigkeit des betroffenen Minderjährigen an.

Exkurs: Dienst der Informationsgesellschaft

Der Begriff wird in der DSGVO nicht definiert. Art. 4 Nr. 25 DSGVO verweist diesbezüglich auf die Vorgaben der EU-Richtlinie 2015/1535 sowie auf die EU-Richtlinie 2000/31/EG. Danach handelt es sich bei einer Dienstleistung der Informationsgesellschaft um

„jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“.

Nach Erwägungsgrund 18 der vorstehend genannten EU-Richtlinie fällt „die Verbreitung kommerzieller Kommunikationen mit elektronischer Post“, also E-Mail Newsletter zu Marketingzwecken, insbesondere in den Anwendungsbereich dieser Norm.

Gestaltungsmöglichkeiten zur Nachprüfung der elterlichen Einwilligung

Die gesteigerten Anforderungen sind also bei der Anmeldung zu E-Mail Newslettern, sofern diese personenbezogene Daten verarbeiten, zu beachten.

Bislang gibt es hierzu noch keine etablierten Lösungsansätze, da Art. 8 DSGVO anders als die §§ 104 ff. BGB nicht allein vor den Gefahren eines rechtlichen Nachteils, sondern die Rechte und Freiheiten als natürliche Person, schützt.

Als vermeintliche Lösungen kommen daher derzeit allein sog. PostIdent oder VideoIdent-Verfahren in Betracht. Diese ermöglichen die Überprüfung des Näheverhältnisses sowie den Rückschluss auf eine Sorgeberechtigung welcher zumindest durch den Blick in vorgelegte/vorgezeigte Ausweispapiere bei Namens- und/oder Adressgleichheit verstärkt wird.

Aufwand und Kosten stehen jedoch in aller Regel bei diesen Verfahren, insbesondere bei Anmeldung zu einem Newsletter, außer Verhältnis zu den verarbeiteten Daten. Solche Verfahren können daher nur bei besonders sensiblen Daten (z.B. Gesundheitsdaten) sinnvollerweise gefordert werden.

Alternative: Modifiziertes Double-Opt-In

Denkbar wäre jedoch, dass Anstelle des VideoIdent-Verfahrens eine zulässige Datenverarbeitung im Rahmen des Newsletters auch nach erfolgreicher Durchführung eines modifiziertes Double-Opt-In Verfahren möglich sein dürfte.

Dieses Verfahren müsste aus drei Schritten bestehen:

  1. Ermittlung des Alters der Minderjährigen
  2. Einholung der Einwilligungserklärung des Träger der elterlichen Sorge
  3. Bestätigung der E-Mail-Adresse des Minderjährigen.

Denkbare Umsetzung

Die Anmeldung zu einem Dienst/Newsletter bzw. die Einwilligungserklärung in die Datenverarbeitung darf sich nicht auf die Angabe der E-Mail-Adresse beschränken, sondern muss auch das Alter abgefragt werden. Liegt das angegebene Alter unter 16 Jahren, so muss das modifizierte DOI-Verfahren durchlaufen werden.

Hier hat der Minderjährige nun zunächst weitere Angaben zu seiner Person vorzunehmen, d.h zusätzlich zur E-Mail-Adresse sind der vollständige Name und die Anschrift anzugeben, sowie die E-Mail-Adresse eines Trägers der elterlichen Sorge.

Der Träger der elterlichen Sorge erhält nun eine E-Mail, die den Sorgeberechtigten über die Anfrage zur Anmeldung des Minderjährigen zum Newsletter informiert und lässt sich dieser E-Mail-Adresse transparent der Newsletter, der Betreiber des Newsletters und der Umfang der Datenverarbeitung, sowie die E-Mail-Adresse und der Namen des Minderjährigen entnehmen. Nach Klick auf einen Link, muss der Sorgeberechtigte noch seinen vollständigen Namen, seine Telefonnummer, sowie seine Anschrift eingeben und kann anschließend in die Datenverarbeitung des Minderjährigen einwilligen.

Stimmen die Adressen von Minderjährigen und Sorgeberechtigten überein, erhält zum Abschluss des DOI-Verfahrens der Minderjährige noch eine E-Mail zur Sicherstellung, dass er die E-Mail-Adresse auch verwenden durfte. Bestätigt er mittels Klick dies, so ist er in den Newsletter eingetragen.

Leider nicht ohne Risiko

Das modifizierte Double-Opt-In ist leider nicht ohne Risiko, da insbesondere nicht sichergestellt werden kann, dass die vom Minderjährigen angegebene E-Mail-Adresse des Sorgeberechtigten auch tatsächlich die des Sorgeberechtigten ist. Gleichwohl scheint das modifizierte Double-Opt-In derzeit das einzige Verfahren zu sein, dass im Verhältnis zu den Kosten realisierbar ist und eine Einwilligung des Sorgeberechtigten berücksichtigt.

Es ist zu bedenken, dass der Nachweis hinsichtlich der Erfüllung der Anforderungen des Art. 8 DSGVO vom Werbetreibenden bzw. vom Verantwortlichen für die Datenverarbeitung erbracht werden muss und dieser ggf. bei Verstößen haftet.

Sie haben Fragen?

Wir unterstützen Unternehmen bei der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO). Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Rundum-Service zur DSGVO: Check, Vorbereitung und laufende Beratung
  • Aufbau und Pflege eines Dokumenten-Management-System
  • Mitarbeiterschulung zu den relevanten Neuerungen der Datenschutz-Grundverordnung

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Grundverordnung (DSGVO)

2 Kommentare zu diesem Beitrag

  1. Mal ehrlich: Für alles, was sich im Internet abspielt, wird Artikel 8 wirkungslos bleiben. Selbst wenn sich der Anbieter über solche Mechanismen wie hier dargestellt absichern kann – der Datenschutz-Idee, die hinter dem Artikel steht, ist damit sicherlich nicht gedient. Wenn das Kind das unbedingt machen will, dann gibt es einfach fiktive Daten und eine zweite Mail-Adresse ein. Also: entweder ganz lassen oder bei kritischen Dingen gleich Postident oder Papierweg nutzen.

  2. Das sehe ich ähnlich, wie Herr Petersen. Es wird allein daran schon scheitern, dass die unter 16-jährige Person einfach ein Fiktives Geburtsjahr angeben könnte. Wie solle das überprüft werden?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.