Zum Inhalt springen Zur Navigation springen
Anforderungen an die Einwilligung von Kindern nach der DSGVO

Anforderungen an die Einwilligung von Kindern nach der DSGVO

Die DSGVO regelt in Art. 8 DSGVO spezielle Anforderungen zur Einwilligung von Kindern. Das schafft einerseits mehr Rechtssicherheit für Kinder und deren Vertreter, stellt andererseits aber auch Unternehmen vor die Herausforderung, sich zu prüfen, ob auch sie diese speziellen Anforderungen erfüllen müssen. Der vorliegende Beitrag stellt dar, welche Anforderungen Art. 8 DSGVO aufstellt.

Kind sein – nach der DSGVO auch eine nationale Frage

Art. 8 Abs. 1 S. 1 DSGVO sieht vor, dass Kinder grundsätzlich erst ab 16 Jahren einwilligungsfähig im Sinne der DSGVO sind. Dabei handelt es sich jedoch nur um eine Vermutung der Einwilligungsfähigkeit, nicht um eine Fiktion. Die Mitgliedstaaten können diese Grenze herabsetzen, jedoch nicht auf unter 13 Jahre (Art. 8 Abs. 1 S. 3 DSGVO). Das mag irritieren, weil es Ungleichheit und Unsicherheit im Binnenmarkt schafft, ist aber wohl Teil eines rechtskulturellen Kompromisses der Mitgliedstaaten. Unterhalb der jeweiligen Grenze müssen die für den Minderjährigen Verantwortlichen einwilligen.

Einwilligungskonzept für Kinder bei Informationsdiensten

Art. 8 Abs. 1 DSGVO gilt nur für Angebote von Diensten der Informationsgesellschaft. Diese Einschränkung führt dazu, dass für die betroffenen Dienste strengere Voraussetzungen gelten als für andere.

Was sind Dienste der Informationsgesellschaft?

Dienste der Informationsgesellschaft sind eine:

  1. in der Regel gegen Entgelt, worunter auch datenbasierte Bezahlmodelle (Meta, Twitter etc.) fallen,
  2. elektronische, d. h. mittels Kommunikation über Geräte für die Verarbeitung und Speicherung von Daten,
  3. im Fernabsatz erhältliche, d. h. ohne gleichzeitige (körperliche) Anwesenheit der Vertragsparteien,
  4. und auf individuellen Abruf

hin erbrachte Dienstleistung (Art. 4 Nr. 25 DSGVO). Als Einordnungshilfe wird im Anhang I der RL (EU) 2015/1535 aufgezählt, was nicht unter diese Definition fallen soll. Genannt werden u. a. historisch gewachsene Medien wie Fernsehen, Hörfunk und Teletext. Die im Übrigen wohl praktisch relevanteste Kategorie von Diensten der Informationsgesellschaft sind entgeltlich erbrachte Online-Services.

Wann sind deren Angebote direkt an Kinder gerichtet?

Der Dienst muss sein „Angebot direkt an das Kind richten“ (Art. 8 Abs. 1 S. 1 DSGVO). Was dies bedeutet, bleibt – abgesehen von den naheliegenden Fällen, die sich ethisch nur an Kinder oder nur an Erwachsene richten dürften (z. B. Online-Casinos für Erwachsene oder pädagogische Lern-Apps für Kinder) – offen. Dafür, dass nicht nur Plattformen mit expliziter Altersbeschränkung gemeint sind, spricht Erwägungsgrund 38 DSGVO, der die besondere Schutzbedürftigkeit von Kindern im Hinblick auf die Verwendung ihrer Daten zu Marketing- oder Profilingzwecken betont. Diese Gefahr besteht unabhängig vom Alter, wenn der Dienst Cookies für die genannten Zwecke verwendet.

Die elterliche Zustimmung bei solchen Diensten – eine Quadratur des Kreises?

Nach Art. 8 Abs. 2 DSGVO sind Anbieter von Diensten der Informationsgesellschaft ferner verpflichtet, angemessene Anstrengungen zu unternehmen, um sich dem Einverständnis der Verantwortlichen zu vergewissern. Das ist alles andere als trivial, umso mehr als sich noch keine Best Practice herausgebildet hat, wie der Spagat zwischen Missbrauchsprävention und Datenschutz gelingen kann. So kann z. B. auch ein Double-Opt-In nicht sicherstellen, dass die Einwilligung von den Eltern stammt.

Das deutsche Vertragsrecht entschärft diese Problematik zumindest insoweit, als der gesetzliche Minderjährigenschutz unberührt bleibt. Damit kann dieses teilweise ein nachträgliches Auffangnetz bilden, das die Rückabwicklung von Dienstleistungsverträgen ermöglicht. Aber auch diese Einschränkung ist kein datenschutzrechtliches Allheilmittel, denn „Code is Law“ und nicht „Law is Code“.

Was bestehen für Anforderungen an die Einwilligung bei sonstigen Diensten?

Für Dienste, die nicht der Informationsgesellschaft zuzuordnen sind, fehlen spezielle Normen zur Einwilligung von Kindern. Die DSGVO scheint hier von einer altersunabhängigen Einwilligungsfähigkeit auszugehen. Dass damit die Einwilligung auch von der Einsichtsfähigkeit abgekoppelt sein kann, zeigt Erwägungsgrund 65 der DSGVO, wo dem Berichtigungsrecht besondere Bedeutung zukommt („… in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und […] die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte […]“).

Trotzdem sollen Kinder einen besonderen Schutz unter der DSGVO erfahren, denn:

„Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“ (Erwägungsgrund 38 DSGVO)

Der Schutz soll durch mehr Transparenz vor der Einwilligung des Kindes erreicht werden, wie Erwägungsgrund 58 der DSGVO zeigt. Während Erwägungsgrund 32 zur Einwilligung generell sagt:

„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung (…) einverstanden ist (…).“

sieht der Europäische Gesetzgeber in Erwägungsgrund 58 vor:

„Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.“

Offen ist allerdings, ob für das nötige Maß an Klarheit und Verständlichkeit bei Kindern ein an den Altersgrenzen des Art. 8 Abs. 1 DSGVO orientierter oder ein individueller Maßstab gelten soll. Für Ersteres sprechen Praktikabilitätsgründe, da Altersgrenzen leichter zu überprüfen sind als die individuelle Einwilligungsfähigkeit. Allerdings würde damit die formale Unterscheidung zwischen Diensten der Informationsgesellschaft und anderen Diensten eingeebnet. Ein guter Mittelweg zwischen diesen Extremen dürfte es sein, dass die Dienste angeben, für welche Altersgruppe sie ihre Dienste anbieten und warum die Informationen für diese Gruppe hinreichend transparent gestaltet sind.

Wie prüfe ich nun was gilt?

Als Take-Away bieten sich für die Prüfung, ob man unter Art. 8 DSGVO fällt, folgende Grundregeln an:

  1. Bin ich ein Dienst der Informationsgesellschaft, der sich (auch) an Kinder richtet? Wenn ja, erfülle ich die Anforderungen des Art. 8 DSGVO? Insbesondere kann ich gegenüber der Aufsichtsbehörde ggf. nachweisen, dass ich mich um die Einwilligung der Eltern bemüht habe?
  2. Bin ich ein anderer Dienst? Wenn ja, habe ich meine Erwägungen zur Altersangemessenheit meiner Informationen für die angesprochene Altersgruppe der Minderjährigen hinreichend dokumentiert, um sie gegenüber der Datenschutzaufsichtsbehörde nachweisen zu können.

Darüber hinaus bieten die Regelungen des nationalen Jugendschutzrechts gute Anknüpfungspunkte. Letztlich ist es empfehlenswert, sich auf eine fundierte Beratung zu verlassen, z. B. durch einen internen oder externen Datenschutzbeauftragten. Das erspart Ärger, wenn nicht im Zweifelsfall sogar Geld.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.