Der Datenschutz kennt keine Mindestaltersgrenze, im Gegenteil: Gerade die personenbezogenen Daten von Kindern und Jugendlichen sind häufig sensibel. Gleichwohl sind es in vielen Fällen Minderjährige, die ihre Daten oft unbedacht im Internet verteilen. Ziel dieses Beitrags ist es, Eltern auf Gefahren aufmerksam zu machen und ihnen Lösungswege zum Schutz ihrer Kinder aufzuzeigen. Dabei wird der von der DSGVO vorgesehene Kinderdatenschutz erläutert, die Geltendmachung der Betroffenenrechte des Kindes dargelegt und auch Kritik geübt.
Der Inhalt im Überblick
- Datenschutz von Kindern beginnt bei den Eltern
- Risiken und Gefahren für Kinder und Jugendliche im Internet
- Wie können Eltern ihre Kinder davor schützen?
- Besonderer Schutz für Kinder und Jugendliche auch in der DSGVO
- DSGVO: Wer kann Betroffenenrechte der Kinder geltend machen?
- Kritik an den Regelungen der DSGVO und ihrer Umsetzung in der Praxis
- Nachholbedarf bei allen Beteiligten
Datenschutz von Kindern beginnt bei den Eltern
Jedes Baby hat einen Namen und hierzulande schnell auch eine Steuer-ID. Das sind personenbezogene Daten, die geschützt werden müssen. Doch schon bereits vor der Geburt sind Daten Gold wert – Die Werbeindustrie nutzt das Einkaufsverhalten der werdenden Eltern aus und bombardiert diese mit personalisierter Babyprodukte-Werbung. Der US-Einzelhändler Target kam vor einigen Jahren auf die Idee, Rabattcoupons an Kunden zu verschicken, bei denen infolge der Einkaufsgewohnheiten eine frühe Schwangerschaft vermutet wurde. Was ganz nett klingt, kann zum Albtraum werden. Nämlich dann, wenn das Umfeld nichts von der Schwangerschaft erfahren sollte oder man sein Kind verloren hat.
Da der Datenschutz auf dem Recht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. 1 Abs. 1 GG fußt, ist es nicht verwunderlich, dass auch der Minderjährige über die Verarbeitung seiner personenbezogenen Daten selbst bestimmen darf. Die Realität auf Social Media sieht jedoch häufig anders aus: Stolze Eltern posten die Windelfotos ihrer Babys oder Videos vom letzten Strandurlaub mit ihren Kleinen, ohne sich Gedanken über die Folgen der Veröffentlichung zu machen. Einmal im Internet, verschwindet der Inhalt nie. Der Klick auf den Lösch-Button verhindert kein Wiederhochladen durch Fremde mit unlauteren Absichten. Gerät das Foto in Vergessenheit oder wird nostalgisch online verwahrt, taucht es ggf. bei der künftigen Jobsuche des Kindes wieder auf. Es sind die Eltern, die in der Verantwortung für den Schutz der Daten ihrer Kinder stehen, denn die Kinder sind zu jung, um ihre Rechte einzufordern. Im Falle ungebremsten Sharentings werden die Eltern ihrer Verantwortung aber leider nicht gerecht.
Risiken und Gefahren für Kinder und Jugendliche im Internet
Das Internet ist kein rechtsfreier Raum, allerdings wenig kontrollierbar. Gefahren – gerade auch für Kinder und Jugendliche – lauern hinter jeder Ecke. Um zu wissen, wie man sich bzw. seinen Nachwuchs schützen kann, muss man die Risiken kennen.
Nutzt das Kind ein Smartphone, Tablet, einen Laptop oder eine Konsole, hinterlässt es Datenspuren, und seien es „nur“ Angaben zur Anzahl und Dauer der Besuche, zu den Seitenaufrufen oder zum Standort. Oft geben die Minderjährigen Name, E-Mail-Adresse und weitere Daten bei sozialen Medien wie Instagram, Instagram Kids oder TikTok bzw. bei Spiele-Apps an. Für Werbenetzwerke ist das ein gefundenes Fressen.
Folgenden Risiken und Gefahren werden Kinder und Jugendliche im Internet ausgesetzt:
- Spam und Phishing
- Abzocke
- Schadprogramme
- Datendiebstahl
- Ungewolltes Weiterverbreiten von Daten (Fotos, Videos)
- Cybermobbing
- Ungeeignete Inhalte
Für viele Minderjährige sind kostenlose Online-Spiele zu verlockend, um das (betrügerische) Angebot zu hinterfragen. Ein Klick und die Daten sind weg, das kostenpflichtige Abo ist abgeschlossen. Mit etwas „Glück“ hat man sich auch gleich noch einen Trojaner eingefangen. Wo die eigenen Daten inklusive Fotos nach der Eingabe bei Gewinnspielen, in sozialen Netzwerken oder Chats hin verschwinden, weiß kein Mensch. Kinder und Jugendliche können im Internet nicht nur leicht auf gewalttätige oder sexuelle Inhalte stoßen, sie werden oft auch selbst Opfer unangemessenen Verhaltens. Die im Internet veröffentlichten Daten bieten eine beliebte Angriffsfläche für Cybermobbing.
Wie können Eltern ihre Kinder davor schützen?
Vorsicht ist besser als Nachsicht. Aus diesem Grund sollten Eltern gewisse Schutzmaßnahmen ergreifen, um ihre Kinder vor den genannten Risiken und Gefahren zu bewahren. Ziel ist es, dass der Nachwuchs lernt, seine Daten selbst zu schützen. Dieses Vorhaben scheitert, wenn man ihn zu sehr bevormundet und nichts ausprobieren lässt. Ein Internetverbot ist demnach kontraproduktiv.
Sensibilisierung und Aufklärung
Um Ihr Kind zu sensibilisieren und über Datenschutz sowie die Gefahren des Internets aufzuklären, sollten Sie dem Kind erklären,
- was Daten sind und was sie über die Person dahinter aussagen können
- was der Unterschied zwischen privat und öffentlich ist
- warum es wichtig ist, nicht jedermann seine Daten preiszugeben
- was Fremde über einen im Internet erfahren
- was man im Internet nicht über sich verraten sollte
- und wo man im Internet seine Spuren hinterlassen kann.
Ohne diese Grundlagen zu verstehen, wird das Kind den Ernst der Lage nicht nachvollziehen können. Es ist sinnlos darauf zu plädieren, so wenig Daten wie möglich im Internet anzugeben, wenn das Kind nicht zuordnen kann, was für Folgen ein naiver Umgang hat und wann es überhaupt zu Datenflüssen kommt. Achten Sie auf eine altersgerechte Erläuterung.
Learning by doing
Schaffen Sie Verständnis, keine Fragezeichen. Das geht am besten, indem man die Theorie mit der Praxis verbindet. Dies funktioniert so:
- spielerisch mit Hilfe des Surfschein-Spiels oder über Lernmodule
- durch gemeinsames Erarbeiten des Umgangs mit dem Internet
Setzen Sie sich mit Ihrem Kind vor Laptop oder Smartphone und rufen Sie die Webseite auf, die Ihr Kind besonders gerne besucht. Erforschen Sie mit dem Kind, welche personenbezogenen Daten dabei verarbeitet werden. Welche Daten stehen im Profil? Was gibt man bei der Registrierung an? Welche Angaben sind sensibel? Machen Sie das Kind auf die Datenschutzerklärung aufmerksam und geben Sie wichtige Inhalte kindgerecht wieder (z. B. „Deine Daten werden an Firmen verkauft, die damit Werbung machen. Das heißt, wenn du nach Mathelösungen im Internet suchst, dann bekommst du Werbung für Nachhilfe und jede Menge Menschen weiß, dass genau du Nachhilfe brauchst.“). Rufen Sie gemeinsam den Verlauf (Cache) Ihres Webbrowsers auf, den Sie länger nicht gelöscht haben. Zeigen Sie dem Kind eine Spam-E-Mail und erklären, woran es diese erkennen kann, worauf es nicht klicken sollte und was ein Virus ist.
Schaffen Sie Regeln
Hilfreich sind Regeln für die Laptop-, Tablet- und Smartphone-Nutzung. Bitten Sie das Kind darum, Sie vor dem Herunterladen von Apps oder der Eingabe von Daten zu fragen, damit Sie Hinweise zur Nutzung geben können. Außerdem bietet sich ein (nicht ganz ernst gemeinter) Mediennutzungsvertrag an. Achten Sie aber auch auf Ihre Internetnutzung – was immer Sie im Internet machen, Ihr Kind beobachtet Sie genau und adaptiert Ihr Verhalten. Wenn Sie also Videos hochladen oder in sozialen Netzwerken unterwegs sind: Handeln Sie nicht Ihren eigenen Regeln zuwider. Ihr Kind nimmt Sie sonst nicht ernst.
Prüfung und Einstellungsmöglichkeiten
Beschäftigen Sie sich mit den Apps Ihres Kindes. Wie sind diese bewertet? Was wird auf Datenschutzseiten dazu gesagt? Welche Sicherheitseinstellungen gibt es? Stellen Sie das Profil möglichst auf privat (und erklären Sie dem Nachwuchs, warum Sie das tun und dass der Hersteller der App dennoch weiterhin Daten erfasst). Erklären Sie dem Kind, was sichere Passwörter sind. Prüfen Sie zusammen mit dem Kind vor dem Download einer App, worauf die App Zugriff hat und ob das alles Sinn ergibt oder nicht. Kostenfallen wie In-App-Käufe vermeiden Sie durch das Einschränken der Bezahlmöglichkeiten, den Zugang zu unangemessenen Inhalten können Sie durch Kinder-Profile oder Jugendschutzprogramme verhindern.
Materialien zum Lernen
Wer Input benötigt, kann gerne auf die Materialien des Baden-Württembergischen Landesdatenschutzbeauftragten zurückgreifen („Datenschutz kinderleicht“ in Märchenform), auf Flyer und Broschüren von klicksafe sowie auf die Informationen des Jugendportals der unabhängigen Datenschutzbehörden des Bundes, der Länder und des Kantons Zürich, Youngdata.
Äußerst putzig sind die vom Bundesdatenschutzbeauftragten zusammen mit dem Carlsen Verlag herausgegebenen Datenschutz-Pixi-Bücher für Kinder im Kindergarten- und Grundschulalter, die man kostenfrei bestellen kann.
Besonderer Schutz für Kinder und Jugendliche auch in der DSGVO
Laut Erwägungsgrund 38 der DSGVO gilt folgendes:
„Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.“
Der besondere Schutz wird vor allem bei den Informationspflichten, der Interessensabwägung und der Einwilligung spürbar. Art. 12 Abs. 1 DSGVO stellt für Informationen, die sich speziell an Kinder richten, hohe Anforderungen an Verständlichkeit und Einfachheit der Sprache. Dieses Erfordernis wird in Erwägungsgrund 58 noch einmal betont. Aus Art. 6 Abs. 1 S. 1 lit. f DSGVO ergibt sich, dass die Interessensabwägung äußerst sorgfältig erfolgen muss, wenn Kinder betroffen sind.
Jugendliche können laut Art. 8 Abs. 1 DSGVO erst ab 16 Jahren wirksam in die Verarbeitung ihrer personenbezogenen Daten durch Diensteanbieter der Informationsgesellschaft einwilligen. Bei Minderjährigen unter 16 Jahren müssen die Erziehungsberechtigten einwilligen. Die Mitgliedsstaaten der EU haben jedoch die Möglichkeit, diese Altersgrenze auf bis zu 13 Jahre herabzusetzen. Bei den Altersstufen gibt es in der EU große Abweichungen, in Deutschlang liegt sie bei 16 Jahren.
DSGVO: Wer kann Betroffenenrechte der Kinder geltend machen?
Bei den Betroffenenrechten kennt die DSGVO keine Altersgrenze. Etwas merkwürdig erscheint es schon, für die eigenständige Geltendmachung weitreichender Rechte (z.B. der Löschung) kein Mindestalter zu fordern, während in anderen Rechtsgebieten
- Einsichtsfähigkeit (bei Einwilligungen)
- Geschäftsfähigkeit (beschränkt geschäftsfähig laut § 106 BGB ab 7 Jahren)
- Handlungsfähigkeit (im Sozialrecht ab 15 Jahren, § 36 Abs. 1 S. 1 SGB I)
- Deliktsfähigkeit (bedingte Deliktsfähigkeit laut § 828 BGB ab 7 Jahren)
- oder Schuldfähigkeit (Strafmündigkeit ab 14 Jahren, § 19 StGB)
eine Rolle spielen.
Der BGH hielt bei einer vor der DSGVO zu entscheidenden Frage, ob zwei mittels künstlicher Insemination gezeugte Schwestern (eine davon 12 Jahre alt) Auskunft über die Identität des Samenspenders verlangen können, ein Mindestalter nicht für erforderlich, da sich ein solches weder aus der Anspruchsgrundlage noch aus dem allgemeinen Persönlichkeitsrecht ergebe. Nichtsdestotrotz ist es – gerade in jüngeren Jahren – unwahrscheinlich, dass das Kind seine Rechte selbst geltend macht. Der BGH betonte im oben angesprochenen Fall, auch die Eltern könnten den Auskunftsanspruch des Kindes als gesetzliche Vertreter geltend machen, dazu sei aber erforderlich, dass die Auskunft zum Zweck der Information des Kindes verlangt wird.
Kritik an den Regelungen der DSGVO und ihrer Umsetzung in der Praxis
Das Einwilligungserfordernis der Eltern bis zur Vollendung des 16. Lebensjahrs des Kindes stößt berechtigterweise auf Kritik. Es ist realitätsfremd zu glauben, alle Kinder und Jugendlichen würden ihre Eltern vor der Nutzung einer App stets um Einwilligung bitten. Wird die Zustimmung einmal verweigert, fragt der Minderjährige künftig gar nicht mehr. Zudem dürfte es viele Apps geben, deren Sinn die Eltern gar nicht nachvollziehen können und die allein deswegen ihre Einwilligung verweigern. Eine flexiblere Handhabung der Einsichtsfähigkeit anstelle starrer Altersgrenzen wäre hier sinnvoller.
Eine Befragung von 1200 Minderjährigen durch die irische Datenschutzaufsichtsbehörde zeigt, dass sich Kinder und Jugendliche durchaus Gedanken über den Schutz ihrer Daten machen und einige interessante Vorschläge in petto haben. Erziehung zur Selbstständigkeit heißt daher auch, den Kindern mit zunehmendem Alter einen größer werdenden Freiraum im Internet zu lassen.
Zwischen dem in der DSGVO geforderten Kinderdatenschutz und der Umsetzung dieser Regelungen in der Praxis liegen Welten. Im September 2020 hat sich die britische Aufsichtsbehörde (ICO) vorgewagt und den „Children’s Code“ verabschiedet. Dieser Kodex verpflichtet alle sozialen Medien und Online-Dienste, die voraussichtlich von Minderjährigen in Großbritannien genutzt werden, zur Einhaltung bestimmter Standards. Auch andere Länder haben bereits (wenn auch weniger umfassende) Maßnahmen getroffen.
Nachholbedarf bei allen Beteiligten
In erster Linie ist es Aufgabe der Eltern, für den Datenschutz ihrer Kinder zu sorgen. Eltern müssen nicht nur ihre Kinder vor den Gefahren des Internets schützen, sondern ihnen auch beibringen, wie ein verantwortungsvoller Umgang mit den eigenen Daten im Internet gelingt. Die DSGVO sieht zwar Regelungen zum Kinderschutz vor, auch können Kinder ihre Betroffenenrechte selbst geltend machen. Dennoch gibt es Probleme bei der Umsetzung, das Einwilligungserfordernis erscheint realitätsfern. Angesichts dieser Kritikpunkte besteht Nachholbedarf – bei vielen Eltern, den Aufsichtsbehörden und dem Datenschutzgesetzgeber.