Verarbeitung von Daten von Kindern

Mit den neuen Datenschutzgesetzen werden die Regeln zur Einholung und Verarbeitung von Daten verschärft.

Jede Organisation muss dies detailliert und lückenlos dokumentieren und die Zweckgebundenheit der Verwendung der Daten nachweisen.

Insbesondere Kinder und Jugendliche werden durch die neuen Vorgaben besser geschützt.

Diese verdienen laut DSGVO besonderen Schutz, da Kinder und Heranwachsende möglicherweise weniger Bewusstsein über Risiken, Folgen und Garantien hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben.

Der Schutz bezieht sich vor allem auf die Verwendung der Daten für Werbezwecke oder die Erstellung von Persönlichkeits- oder Nutzerprofilen.

Die Datenschutzgrundverordnung (DSGVO) beschreibt diesbezüglich erstmals eine ausdrückliche gesetzliche Regelung, was außerdem eine höhere Rechtssicherheit für Eltern und Verantwortliche schafft.

Unternehmen jedoch werden vor eine Herausforderung gestellt.

Kindern galt laut dem alten Bundesdatenschutzgesetz (BDGS) kein besonderer Schutz.

Die hing damit zusammen, dass Kinder im Gegensatz zu heute im Internet noch nicht wirklich selbstständig präsent waren.

Das hat sich in den letzten Jahren jedoch stark verändert.

Da keine gesetzliche Altersgrenze für die Wirksamkeit von kindlichen Einwilligungen in die Datenverarbeitung vorgegeben wurde, musste auf die Einsichtsfähigkeit gesetzt werden.

Das bedeutet, wenn ein Kind augenscheinlich die Tragweite der Entscheidung einschätzen konnte, wurde die Einwilligung zur Verarbeitung der Daten als wirksam gewertet.

Es war dabei irrelevant, ob das Kind schon geschäftsfähig war oder nicht.

Mit der Einführung der DSGVO hat sich das jedoch grundlegend verändert.

Eine entscheidende Altersgrenze wird hier ausdrücklich und klar definiert.

In erster Linie geht es bei der DSGVO-konformen Verarbeitung und Einwilligung der Daten von Kindern um die Fähigkeit, wirksame Datenverarbeitungserklärungen abzugeben.

In Artikel 8 der DSGVO wird hier zunächst eine grundsätzliche Altersgrenze von 16 Jahren für die Wirksamkeit von Einwilligungen von Kindern und Jugendlichen festgelegt.

Grundsätzlich bedeutet hier, dass die Regelung abweichen kann, also eine sogenannte Öffnungsklausel enthält.

Das heißt, die Altersgrenze kann individuell an die sonstigen Jugendschutzvorschriften der Mitgliedsstaaten angepasst werden.

Die Untergrenze liegt jedoch bei 13 Jahren.

Das ist auf der einen Seite sinnvoll, auf der anderen Seite stellt es Unternehmen, die auch international tätig sind, vor eine Herausforderung.

Diese müssen sich stetig informieren, um die unterschiedlichen Vorgaben zu berücksichtigen.

In Deutschland wurde jedoch kein Gebrauch von dieser Öffnungsklausel gemacht.

Gemäß Artikel 8 DSGVO sind Einwilligungen von Kindern und Jugendlichen, die das Alter von 16 Jahren noch nicht erreicht haben, nur unter bestimmten Voraussetzungen wirksam.

Die Zustimmung zur Verarbeitung der Daten ist erst dann rechtskräftig, wenn sie von den Eltern oder Erziehungsberechtigten erteilt wurde.

Das Kind kann die Einwilligung also nicht selbst erteilen, auch nicht, wenn der oder die Erziehungsberechtigte nachträglich zustimmt.

Die Einwilligung muss noch vor Beginn der Tätigkeit von den Eltern eingeholt werden.

Das Unternehmen muss sicherstellen, dass die Einwilligung tatsächlich von den Eltern gegeben wurde oder zumindest eine Zustimmung vorliegt.

Es sollte in jedem Fall eine Absprache mit den Erziehungsberechtigten gehalten werden, um Probleme zu vermeiden.

Außerdem muss die Authentizität der Erklärung der Erziehungsberechtigten sichergestellt sein.

Grundsätzlich sind zwei Fälle zu unterscheiden.

Hat das Kind oder der/die Jugendliche das 16 Lebensjahr vollendet ist die Verarbeitung personenbezogener Daten rechtmäßig und die Einwilligung wirksam.

Hat das Kind oder der/ die Jugendliche das 16 Lebensjahr noch nicht vollendet ist die Verarbeitung personenbezogener Daten nur mit der Einwilligung oder Zustimmung eines Erziehungsberechtigten wirksam.

Es müssen entsprechende technische Anstrengungen seitens des Unternehmens vorgenommen werden, um diese Einwilligung oder Zustimmung auf die Echtheit zu überprüfen.

Der oben erwähnte Artikel 8 der Datenschutzgrundverordnung ist nur anwendbar, wenn es sich bei der Tätigkeit um einen „Dienst der Informationsgesellschaft“ handelt.

Dies ist leider ein unbestimmter Rechtsbegriff, sprich nicht in der DSGVO definiert.

Es wird diesbezüglich in Art. 4 Nr. 25 DSGVO auf die Vorgaben der Richtlinie 2015/1535 verwiesen.

Diese besagten, dass die Dienstleistung im Normalfall gegen Entgelt und im Fernabsatz erbracht werden muss.

Das bedeutet, die Vertragspartei ist während der Ausübung der Tätigkeit nicht physisch anwesend.

Außerdem wird die Leistung elektronisch und auf individuellen Abruf eines Empfängers erbracht.

Das heißt, die Dienstleistung wird vom Ausgangspunkt an den Endpunkt gesendet, wobei sie verarbeitet und gespeichert wird.

Eine Datenübertragung findet nur aufgrund einer individuellen Anforderung statt.

Die für den erfolgten Abruf eingegangenen Angebote können sich entweder an das Kind oder an Kinder und Erwachsene gleichermaßen richten.

Auch hier greift Artikel 8 DSGVO.

Sobald sich das Angebot jedoch allein an eine erwachsene Person richtet, gilt Artikel 8 DSGVO nicht mehr.