Kinder verdienen in allen Lebensbereichen einen besonderen Schutz – nicht nur im privaten Bereich, sondern insbesondere auch im unternehmerischen Kontext. Das sieht die Datenschutz-Grundverordnung glücklicherweise auch so. In Erwägungsgrund 38 der DSGVO ist nachzulesen, dass sich der Schutz der DSGVO sich besonders auf die Verwendung von Kinderdaten für Werbezwecke und die Erhebung von Kinderdaten bei der Nutzung von Diensten, die Kindern direkt angeboten werden, bezieht. Aber wie genau ist dies im unternehmerischen Alltag umzusetzen? Am Beispiel der Datenschutzerklärung und der Einholung einer Einwilligung sollen die Möglichkeiten und Fallstricke aufgezeigt werden.
Der Inhalt im Überblick
Wer gilt als Kind im Datenschutzrecht?
Zunächst stellt sich natürlich die Frage, wer überhaupt als Kind nach der DSGVO einzustufen ist. Die Antwort ist in Art. 8 DSGVO zu finden. Hiernach ist das datenschutzrelevante Alter eines Kindes bei Diensten der Informationsgesellschaft grundsätzlich auf 16 Jahre festgelegt. Ist das Kind noch keine 16 Jahre alt, dürfen dessen personenbezogenen Daten nur verarbeitet werden, sofern und soweit eine Einwilligung der Eltern vorliegt. Von der Öffnungsklausel der Mitgliedsstaaten in Art. 8 Abs. 1 Satz 3 DSGVO hat Deutschland keinen Gebrauch gemacht. Anders sind aber beispielsweise Dänemark und Italien vorgegangen, die die Öffnungsklausel nutzten und das datenschutzrelevante Alter von 16 Jahren auf 13 bzw. 14 Jahre herabgesetzt haben. Bei Einwilligungen abseits von Diensten der Informationsgesellschaft ist es umstritten, ob für deren Wirksamkeit ein Mindestalter vom Kind erreicht worden sein muss.
Beispiel 1: Anforderungen an eine Datenschutzerklärung für Kinder
Zum Schutz einer betroffenen Person beinhalten die Art. 12 bis 14 DSGVO Transparenz- und Informationspflichten im Hinblick auf die Verarbeitung personenbezogener Daten. Business Standard ist es derzeit, diesen Pflichten in Form einer Datenschutzerklärung nachzukommen. Ob bei dem Besuch einer Webseite, dem Anmelden zu einem Newsletter oder der Teilnahme an einer Online-Mitmach-Aktion – eine Datenschutzerklärung darf nicht fehlen. Sowohl in Art. 12 DSGVO als auch im Erwägungsgrund 58 der DSGVO wird eine klare und einfache Sprache gefordert, insbesondere wenn sich die Informationen (auch) an Kinder richten.
Kindgerechte Ansprache
Für die Ansprache von Kindern ist daher eine kindgerechte Sprache zu nutzen. Datenschutzerklärungen sind schon für einen verständigen Erwachsenen nicht unbedingt leicht nachvollziehbar. Wichtig ist es daher, sie für Kinder mit großem Feingefühl aufzubereiten:
- Kurze Sätze; bestenfalls Hauptsätze, keine Nebensätze
- Gegenwartsform nutzen
- Schwierige Begriffe durch geläufigere Wörter ersetzen
- Für Kinder unbekannte Wörter erklären
- Alles Unwichtige weglassen
- „Du“ statt „Sie“ verwenden
Konkrete Formulierungen
Insbesondere wenn sich ein Newsletter oder eine Mitmach-Aktion an Kinder direkt wendet, ist es sinnvoll, die Kinder auch direkt anzusprechen:
„Liebe Kinder, eure Sicherheit im Internet ist uns sehr wichtig. Sprecht am besten immer mit euren Eltern, bevor ihr eine Seite im Internet besucht. […].“
Des Weiteren sollte in kindgerechter Ansprache erklärt werden, was passiert, wenn eine Webseite angeklickt oder ein Newsletter abonniert wird. Auch sollte das Unternehmen kindgerecht erklären, was sie mit den Daten machen, die sie erheben und warum sie diese Daten erheben:
„Wenn ihr unsere Webseite besucht, hinterlasst ihr Spuren auf unserem Server. Einen Server könnt ihr euch wie einen großen Computer vorstellen. Ein neues Gesetz sagt, dass eure Spuren in Form von Daten ganz besonders gut geschützt sein sollen. Deswegen […]. Wir können sehen, wie viele Menschen unsere Internetseite besuchen und welche Artikel ihnen am besten gefallen. Wir sehen auch, […]. Mit diesen Informationen möchten wir unsere Website besser machen. […]“
Zusätzliche Ansprache der Eltern
Neben einer Ansprache der Kinder sollten auch die Träger elterlicher Sorge in der Datenschutzerklärung angesprochen werden. Besonders relevante Inhalte sollten sich hier noch einmal in nicht kindgerechter Sprache finden. Denkbar ist beispielsweise der Verweis auf die allgemeinen Datenschutzhinweise, ein Verweis auf Social-Media-Fanpages oder der Verweis auf den/die Datenschutzbeauftrage/n des Unternehmens:
„Liebe Eltern, da diese Aktion eure Kinder anspricht, […]. Mit welchen Anbietern wir zusammenarbeiten, warum wir Daten erfassen und wie genau Daten auf unsere Webseite erfasst werden, können Sie in den allgemeinen Datenschutzhinweisen nachlesen. […] Außerdem betreiben wir auch eine XY- Seite auf Facebook. Hier weisen wir darauf hin, dass wir keine Kenntnis vom Inhalt der übermittelten Daten durch die Betreiber des Sozialen Netzwerks erhalten. […] Wenn Sie Fragen hierzu haben oder aber Ihre Rechte in Sachen Datenschutz wahrnehmen möchten, wenden Sie sich gern an unseren Datenschutzbeauftragten. […]“
Beispiel 2: Die Einwilligung als Rechtsgrundlage der Verarbeitung von Kinderdaten
Erfüllt ein Unternehmen die Voraussetzungen des Art. 8 Abs. 1 Satz 2 DSGVO und möchte es mit Initiativen, Projekten oder Mitmach-Aktionen auch oder ganz gezielt Kinder ansprechen, kommt regelmäßig nur die Einwilligung als Rechtsgrundlage in Betracht. Die Einwilligung ist in Art. 6 Abs. 1 lit. a DSGVO zu finden. Die bei einer Einwilligung grundsätzlich einzuhaltenden Voraussetzungen sind in Art. 7 DSGVO geregelt.
Möchten Unternehmen Daten von Kindern verarbeiten, bei denen die Voraussetzungen des Art. 8 Abs. 1 Satz 1 DSGVO in Verbindung mit Art. 8 Abs. 1 Satz 2 DSGVO vorliegen, stellt sich daher ganz praktisch die Frage nach der Umsetzungsmöglichkeit. Denn bei Kindern müssen die Träger elterlicher Sorge für das Kind in die Datenverarbeitung einwilligen. Problematisch ist, dass insbesondere Jugendliche, die nur knapp unter 16 Jahren alt sind, das Internet in der Regel selbstständig und ohne ständige elterliche Kontrolle nutzen.
Die Frage der Einholung einer rechtskonformen Einwilligung stellt sich im unternehmerischen Kontext häufig im Zusammenhang mit Newslettern, die sich (auch) an Kinder richten oder bei Mitmach-Aktionen, bei denen sich (auch) Kinder über eine Webseite anmelden können.
Reicht eine einfache Altersabfrage?
Von einigen Unternehmenswebseiten, beispielsweise solchen, die Alkohol oder Tabakprodukte verkaufen, kennt man die Checkbox, in der man sein Alter angeben muss, bevor man auf die Webseite gelangt.
Eine solche Altersabfrage, in der ein Kind angeben kann, dass es unter 16 Jahre alt ist oder gar, dass es mit Zustimmung seiner gesetzlich Vertretenden handelt, reicht allerdings für eine rechtmäßige Einwilligung nicht aus. Denn ganz offensichtlich ist die Missbrauchsgefahr in einer solchen Lösung sehr hoch. Eine Altersabfrage durch eine Checkbox kann daher lediglich ein zusätzliches Mittel sein, eine datenschutzkonforme Einwilligung zu ermöglichen.
Möglichkeit: Post-Ident-Verfahren oder Video-Ident-Verfahren
Sowohl das Post-Ident- als auch das Video-Ident-Verfahren bieten die Möglichkeit, die Einwilligung der Erziehungsberechtigten einzuholen und eine Identitätsprüfung vorzunehmen.
Beim Post-Ident-Verfahren füllen die Eltern ein spezielles Formular aus, welches ihnen beispielsweise per E-Mail zugesendet wurde. Die Sorgeberechtigten sollten in diesem Zuge über ganz konkrete Vorhaben des Unternehmens, beispielsweise eine Mitgliedschaft oder eine Mitmach-Aktion, und den Umfang der Datenverarbeitung unterrichtet werden. Anschließend bringen die Eltern das Formular mit dem Postident-Coupon in eine Postfiliale. Der Mitarbeitende überprüft die Identität der Eltern, scannt den Coupon und trägt die Daten der Eltern in ein Formular ein, welches diese anschließend unterschreiben. In dem Formular können die benötigten Daten des Kindes direkt mit angegeben werden.
Ein Identitätsnachweis ist auch über das Videoident-Verfahren möglich. Die Eltern bekommen neben den Informationen über die geplante Datenverarbeitung ihres Kindes einen Link zugesendet. Über den Link starten sie einen Videochat mit einem Mitarbeitenden. Die Eltern halten ihre Ausweise in die Webcam, damit der Mitarbeiter ihre Identität auf diesem Wege überprüfen kann. Anschließend kann das Kind selbst oder seine Eltern ein entsprechendes Anmeldeformular ausfüllen.
Möglichkeit: Modifiziertes Double-Opt-In Verfahren
Ein reguläres Double-Out-In besteht zunächst aus einer Registrierung. Nach der Registrierung wird an die betroffene Person eine E-Mail gesendet, in der die Registrierung bestätigt werden muss und sichergestellt wird, dass die E-Mail-Adresse korrekt ist. Das modifizierte Double-Opt-In umfasst einen weiteren Schritt. Im Rahmen der Registrierung wird nicht nach den Daten des Kindes gefragt, sondern nur die E-Mail-Adresse der Eltern angefordert. Die Eltern erhalten eine E-Mail, in der sie über die geplante Registrierung ihres Kindes informiert werden. Die E-Mail enthält einen Link. Nachdem der Sorgeberechtigte auf diesen geklickt hat, wird er aufgefordert, seine Daten anzugeben und kann anschließend in die Datenverarbeitung des Minderjährigen einwilligen. Die E-Mail-Adresse des Kindes kann in diesem Zuge auch mitgeteilt werden. Anschließend wird noch eine E-Mail an die Adresse des Kindes geschickt, das dann auch selbst die Registrierung bestätigen kann.
Möglichkeit: Gemeinsame Ansprache
Um die Eltern stärker in den Registrierungsprozess miteinzubinden und einem selbstständigen Tätigwerden des Kindes entgegenzuwirken, ist es denkbar, die Eltern mit ihren Kindern gemeinsam zur Registrierung aufzufordern. Möglich wäre, dass die Eltern gemeinsam mit ihren Kindern ein (Online-) Formular ausfüllen, in dem die notwendigen Daten der Eltern und des Kindes eingetragen werden und zugleich eine Einwilligung der Eltern in die Datenverarbeitung erteilt wird. Anschließend sollten sowohl die Eltern als auch das Kind eine Bestätigungsmail bekommen, um ihre Identität zu bestätigen.
Vorteile und Nachteile der Umsetzungsmöglichkeiten
Jede Umsetzungsmöglichkeit bietet Vor- und Nachteile. Da das Postident- als auch das Videoident-Verfahren mit einem erheblichen Aufwand und Kosten verbunden sind, entscheiden sich Unternehmen regelmäßig nur für diese Verfahren, wenn besonders sensible Daten (wie z.B. Gesundheitsdaten) verarbeitet werden. Wenn die Einwilligung der Anmeldung zu Newslettern dient, stehen die Verfahren in der Regel außer Verhältnis zu den verarbeiteten Daten. Hervorzuheben ist jedoch, dass durch diese Verfahren eine sehr sichere Überprüfungsmöglichkeit der Identität der Eltern gesichert ist. Sowohl das modifizierte Double-Opt-In Verfahren als auch die gemeinsame Ansprache sind mit einem deutlich kleineren Aufwand verbunden und verursachen regelmäßig weniger Kosten. Allerdings ist hier ein Missbrauchsrisiko vorhanden. Bei allen Methoden kann man ein Restrisiko nicht ausschließen. Umso wichtiger ist die sorgfältige Auswahl der Umsetzungsmöglichkeiten, um eine möglichst rechtssichere Einwilligung des Kindes bzw. des Vertreters der elterlichen Sorge nachweisen zu können.
Woran ist noch zu denken?!
Na klar, die Einwilligung der Eltern! Im Rahmen jeder Umsetzungsmöglichkeit werden nicht nur die Daten der Kinder, sondern auch die Daten der Eltern verarbeitet. Hierfür ist eine Rechtsgrundlage notwendig – regelmäßig eine Einwilligung der Eltern für sich selbst.
Kinderdaten erfordern hohe Sensibilität
Abschließend lässt sich festhalten: Wer Kinderdaten verarbeitet muss Einiges beachten. Eine Standard-Datenschutzerklärung oder ein einfaches Online-Registrierungs-Formular reichen nicht aus. Dennoch ist den Datenverarbeitenden ein Spielraum gegeben, in dessen Rahmen sie die besonderen Anforderungen im Umgang mit Kinderdaten umsetzen. Den Unternehmen ist hier ein Vorgehen mit Augenmaß zu empfehlen.
Ich danke für Ihren Beitrag zur Thematik. Allerdings fehlt mir bei der Betrachtung des Mindestalters nach Art. 8 DSGVO die Einschränkung auf „Dienste der Informationsgesellschaft“ (sowie Erläuterung, was dies für Dienste sind). Der Art. 8 DSGVO trifft damit docher eher keine grundsätzliche Aussage hinsichtlich eines Mindestalters hinsichtlich der Datenverarbeitung von Kindern.
Vielen Dank für den Hinweis. Das ist richtig und ein berechtigter Einwand. Der Beitrag ist an der Stelle etwas undeutlich. Wir haben daher den Abschnitt leicht angepasst und unsere Beiträge, in denen wir die zwei Punkte ausführlicher besprochen haben, verlinkt.