In unserem ersten Teil dieses Beitrags gingen wir auf die Neuerungen des Art. 8 DSGVO in Bezug auf Einwilligung von Kindern und Jugendlichen bei Angeboten von „Diensten der Informationsgesellschaft“ ein. In diesem Beitrag möchten wir beleuchten, welche Anforderungen seit Anwendbarkeit der DSGVO an die Einwilligung von Kindern bestehen, wenn die Angebote keine Dienste der Informationsgesellschaft betreffen.
Der Inhalt im Überblick
Einwilligungsfähigkeit von Minderjährigen
Grundsätzlich geht der europäische Gesetzgeber mit der DSGVO davon aus, dass Minderjährige fähig sind eine Einwilligung abzugeben. Denn neben der Regelung des Art. 8 DSGVO steht in Erwägungsgrund 65 Satz 2:
„Dieses Recht ist insbesondere wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die personenbezogenen Daten – insbesondere die im Internet gespeicherten – später löschen möchte.“
Gleichzeitig geht er auch von einer besonderen Schutzbedürftigkeit Minderjähriger aus:
„Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.“
Wie ist nun die Rechtslage?
Im deutschen Recht wurde vor der DSGVO auf die Einsichtsfähigkeit des Minderjährigen abgestellt.
Wie die Rechtslage nun ist, ist leider umstritten. Teilweise wird davon ausgegangen, dass auch die DSGVO auf die Einsichtsfähigkeit im konkreten Einzelfall abstelle, da zu einer wirksamen Einwilligung entsprechendes Verständnis für die Tragweite der jeweiligen Erklärungen vorausgesetzt würde. Dies wird vor allem auf Erwägungsgrund 58 gestützt. Dieser beschreibt, dass die Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen muss, dass ein Kind sie verstehen kann wenn sich die Verarbeitung an Kinder richtet. Es sei aber darauf zu achten, dass sowohl eine Einwilligungsfähigkeit als auch ein Verständnis für die Auswirkungen im konkreten Fall vorhanden seien.
Daneben wird vertreten, dass diese Einsichtsfähigkeit nicht für jeden Einzelfall konkret zu prüfen sei, sondern ab Erreichen eines Mindestalters von der Einsichtsfähigkeit eines Minderjährigen ausgegangen werden könnte. Mit unterschiedlichen Begründungen wird dabei zum einen die Untergrenze von 13 Jahren vorgeschlagen, dies ergäbe sich etwa aus der Öffnungsklausel des Art. 8 Abs. 1 S. 3 DSGVO. Zum anderen wid aber auch eine Untergrenze von 16 Jahren vertreten, da die Abgabe einer Einwilligung mit 16 Jahren sogar bei Angeboten von „Diensten der Informationsgesellschaft“ möglich sei.
Zu berücksichtigen ist, dass nach Art. 8 Abs. 3 DSGVO die Vorschriften der Mitgliedsstaaten zur Gültigkeit und zum Zustandekommen eines Vertrags mit Minderjährigen unberührt bleiben sollen. Daher sind etwa zusätzlich die zivilrechtlichen Regelungen zur Geschäftsfähigkeit zu beachten.
Zusätzlich sei noch auf eine Ausnahme in Erwägungsgrund 38 Satz 3 hinweisen. Dieser stellt fest:
„Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.“
Umsetzung in der Praxis
Doch wie soll dies in der Praxis umgesetzt werden?
- Die Einsichtsfähigkeit im Einzelfall zu prüfen, ist wohl die unpraktikabelste Variante.
- Eine sichere, aber auch wenig praktikable Herangehensweise wäre die Verifikation des Alters durch das PostIdent-Verfahren oder Vorlage des Ausweises. Damit könnte zumindest über das verifizierte Alter auf die Einsichtsfähigkeit geschlossen werden. Die entstehenden Kosten dürften wohl eher wenige Unternehmen tragen wollen.
- Ansonsten könnte auch das Kind darauf verwiesen werden, dass die Eltern eine entsprechende Einwilligung abgeben sollen.
Es bleibt leider immer ein Restrisiko, wenn die Einsichtsfähigkeit im Einzelfall – bezogen auf das jeweilige Kind – bestimmt werden soll. Wenn man sich dazu entschließt bei der Einwilligung auf eine Untergrenze des Alters abzustellen, sollte dokumentiert werden, weshalb für die geplante Datenverarbeitung die Einsichtsfähigkeit ab diesem Alter angenommen wird.
Hallo, wir, eine überbetriebliche Bildungsstätte, beschäftigen uns neben der „Auftragsausbildung“ auch noch mit der Vermittlung von Jugendlichen auf freie Ausbildungsplätze bei unseren Partnerfirmen. Für den Bewerbungsprozess nutzen wir unsere Website mit integrierter Online Bewerbungsfunktion. Mit dem Betreiber der Bewerbungs- /Datenbankfunktion wurde ein AV-Vertrag geschlossen. Das Absenden der hochgeladenen Daten ist erst mit einem Opt-in zur Anerkennung unserer hinterlegten DS-Erklärung möglich. In dieser DS-Erklärung wird auch auf die Weitergabe der Bewerbungsunterlagen, inklusive der möglichen Empfänger, hingewiesen. Eine Abfrage bezüglich des Bewerberalters erfolgt nicht. Frage: Sind wir mit diesem Vorgehen gemäß Art. 8 ein Anbieter von „Diensten der Informationsgesellschaft“.
In Art. 4 Nr. 25 DSGVO findet sich eine Definition des Dienstes der Informationsgesellschaft, danach handelt es sich dabei um eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates. Nach Art. 1 Nr. 1 lit. b) dieser Richtlinie ist eine Dienstleistung der Informationsgesellschaft, jede in der Regel
– gegen Entgelt
– elektronisch
– im Fernabsatz
– und auf individuellen Abruf eines Empfängers
– erbrachte Dienstleistung.
Demnach müssen die unterstrichenen fünf Voraussetzungen kumulativ vorliegen.
Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Sie können sich dazu an einen spezialisierten Rechtsanwalt wenden.
Vielen Dank für Ihre Rückmeldung!