Tarmio Frei*
A. Einführung
Die Regelungen zum datenschutzrechtlichen Minderjährigenschutz zählen zu den Kerninnovationen der DSGVO.1 Auch wenn bereits 2010 98 % der 10- bis 18-Jährigen Deutschen das Internet nutzten2 fanden sich bis dahin weder im BDSG noch innerhalb der EU-DSRL spezifische Regelungen.3 Der Verankerung eines EU-weiten datenschutzrechtlichen Minderjährigenschutzes durch die DSGVO4 liegt nach EG 38 S. 1 der Gedanke zugrunde, dass Kinder sich der Risiken, Folgen und Garantien sowie ihrer Rechte bei der Verarbeitung ihrer Daten weniger bewusst sind und daher besonderen Schutz verdienen. Verschärft wird dies durch die Preisgabe personenbezogener Daten auf sozialen Netzwerken, wo sie sich besonders schnell verbreiten.5 Hinzu kommen geringere geschäftliche Erfahrung, erhöhte Beeinflussbarkeit und wirtschaftliche Relevanz als Zielgruppe, gerade in Bezug auf Apps, soziale Netzwerke oder Online-Spiele,6 wo es zu umfassender Persönlichkeitsprofilbildung kommen kann.7 Im Zentrum des datenschutzrechtlichen Minderjährigenschutzes stehen die kontroversen Regelungen zur Einwilligung von Kindern in die Datenverarbeitung.8 Im Folgenden sollen die Regelungen zur Einwilligung Minderjähriger im Allgemeinen umrissen werden (B.). Anschließend werden die Besonderheiten i.R.v. Diensten der Informationsgesellschaft aufzeigt und Auslegungsvorschläge diskutiert (C.). Sodann sollen die Regelungen kritisch evaluiert werden (D.).
B. Einwilligung Minderjähriger im Allgemeinen
Gem. Art. 5 lit. a ist die DSGVO als Verbot mit Erlaubnisvorbehalt konzipiert, eine Datenverarbeitung mithin nur rechtmäßig, wenn einer der in Art. 6 abschließend genannten Erlaubnistatbestände greift.9 Die Einwilligung i.S.d. Art. 6 I 1 lit. a steht dabei an erster Stelle und ist von zentraler Bedeutung.10
Die Anforderungen folgen aus Art. 4 Nr. 11, Art. 6 I 1 lit. a, Art. 7, 8 und unterscheiden sich online und offline grds. nicht.11 Die Einwilligung hat gem. Art. 4 Nr. 11 freiwillig, für einen oder mehrere bestimmte Zwecke (Art. 6 I 1 lit a), bezogen auf eine bestimmte Verarbeitung, informiert und durch eine Willensbekundung in Form einer eindeutigen bestätigenden Handlung zu erfolgen.12 Ein Formerfordernis besteht nicht.13 Besondere Anforderungen bei der Einwilligung durch Kinder folgen aus dem Merkmal der Informiertheit.
Informiertheit meint, dass dem Betroffenen die Art der zu verarbeitenden Daten, der Verantwortliche, die Dauer und die Modalitäten der Verarbeitung und die damit verfolgten Zwecke bekannt sein müssen.14 Die Einwilligung muss in voller Kenntnis der Sachlage erteilt werden und ihre Konsequenzen leicht bestimmbar sein.15 Das Kind muss auf sein Widerrufsrecht nach Art. 7 III 1 hingewiesen werden.16 Die Information muss gem. EG 58 S. 4 kindgerecht erfolgen.
Die Umsetzbarkeit dieser Vorgaben ist bei komplexen Verarbeitungen indes zweifelhaft. Entsprechende Datenschutzinformationen sind oft äußerst lang und sprachlich anspruchsvoll, sodass sie eine hohe Lesekompetenz abverlangen, generell als schwer verständlich gelten und kaum gelesen werden.17 Wenn sich also schon Erwachsene der Modalitäten der Verarbeitung oft nicht bewusst sind, wird dies umso mehr auf Kinder zutreffen. Nicht nur ist fraglich, ob über komplexe Verarbeitungen überhaupt so informiert werden kann, dass es für Kinder verständlich bleibt, sondern auch, ob das Kind auch über die ausreichende Einsichtsfähigkeit verfügt, d.h. in der Lage ist, die Bedeutung und Tragweite der Einwilligung zu erfassen.18 Anders als bei Art. 8 wird die Einsichtsfähigkeit dabei stets im Einzelfall bestimmt, was dem Minderjährigenschutz und dem Erlenen eines selbstbestimmten Umgangs mit den eigenen Daten dient.19 Indizien für die Einsichtsfähigkeit sind die Fähigkeit zum selbstständigen, verantwortungsbewussten Handeln, sowie wegen Art. 8 III die Regeln zur Geschäftsfähigkeit im BGB.20 Würde man strenge Anforderungen an die Einsichtsfähigkeit und Informiertheit stellen, bestünde die Gefahr, dass zahlreiche Einwilligungen mangels genauer Kenntnis ihrer Tragweite unwirksam wären. Verantwortliche sind
* Der Autor ist Student an der Bucerius Law School, Hamburg
1 Vgl. für Art. 8 DSGVO: Karg, in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht38, 2021, Art. 8 Rn. 1.1.
2 BITKOM, Jugend 2.0, Eine repräsentative Untersuchung zum Internetverhalten von 10- bis 18-Jährigen, 2011, am 07.04.2021, https://t1p.de/jb7g, S. 18, 25.
3 Gola/Schulz, ZD 2013, 475 (475).
4 Alle Normen und Erwägungsgründe ohne Bezeichnung sind solche der DSGVO.
5 Entschl. EP v. 6.7.2011 zum Gesamtkonzept für den Datenschutz in der EU (2011/2025 (INI), Punkt M).
6 Rauda, MMR 2017, 15 (16); Heckmann/Paschke, in: Ehmann/Selmayr (Hrsg.), DS-GVO2, 2018, Art. 8 Rn. 1.
7 Gola/Schulz, ZD 2013, 475 (475).
8 Teilregelungen finden sich zudem in Art. 6, 8, 12, 16, 17, 22, 24, 40, 57; Joachim, ZD 2017, 414 (414).
9 EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89 Rn. 34.
10 Ernst, ZD 2017, 110 (110).
11 Vgl. EG 15.
12 Conrad/Hausen, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht3, 2019, § 36 Rn. 179.
13 Tinnefeld/Conrad, ZD 2018, 391 (395).
14 EuGH, Urt. v. 11.11.2020 – C-61/19, ZD 2021, 89 Rn. 40.
15 Ebd.
16 Tinnefeld/Conrad, ZD 2018, 391 (394).
17 Gerpott/Mikolas, MMR 2021, 936 (937, 941).
18 Klement, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht1, 2019, Art. 8 Rn. 10-12.
19 Buchner/Kühling, in: Kühling/Buchner (Hrsg.), DS-GVO BDSG3, 2020, Art. 8 Rn 3a.
20 Kühling/Buchner/Buchner/Kühling Art. 7 Rn. 67-70.
deshalb angehalten, Kinder in besonders einfacher Sprache zu informieren und von einer Verbindung der Einwilligung mit anderen Sachverhalten wie AGBs abzusehen.
Wichtig ist zudem, dass die Einwilligung vor der Verarbeitung erfolgt21 und ihr Vorliegen dokumentiert wird, Art.7 I.
C. Einwilligung nach Art. 8 DSGVO
I. Allgemeines
Art. 8 statuiert spezifische Rechtmäßigkeitsvoraussetzungen für die Einwilligung eines Kindes i.R.v. Diensten der Informationsgesellschaft22 und führt dort zu einer altersbedingten Abstufung des Minderjährigenschutzes mit erhöhten Anforderungen an die Rechtmäßigkeit der Einwilligung.23
1. Regelungszweck
Art. 8 ist primär eine Spezialvorschrift zum Schutz vor kindlich unreflektierter und uninformierter Datenpreisgabe bei Angeboten von Diensten der Informationsgesellschaft.24 Dogmatisch geschieht dies durch Ausformung des Merkmals der Informiertheit.25 Über den elterlichen Zustimmungsvorbehalt bei Kindern unter 16 Jahren betont die Norm zudem das Sorgerecht26 und über die Festlegung einer festen Altersgrenze das Anbieterinteresse an Verkehrssicherheit.27
2. Systematische Stellung
Für die Auslegung und Anwendung ist die systematische Stellung der Norm bedeutsam. Aus der Nähe zu Art. 7 ergibt sich, dass Art. 8 keine eigene Rechtsgrundlage darstellt, sondern kumulativ zu den allgemeinen Einwilligungsvoraussetzungen hinzutritt.28 Weiterhin ist die Gesamtkonzeption des Minderjährigenschutzes zu berücksichtigen. Dies betrifft EG 38 S. 2, der den Schutz von Minderjährigen bei der Verarbeitung ihrer Daten für Werbezwecke, die Erstellung von Persönlichkeits- und Nutzerprofilen sowie bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betont und insoweit für eine strenge Auslegung streitet. Ergänzend hinzu treten die Pflicht zur kindegerechten Information (Art. 12 I 1 Hs. 2 iVm EG 58 S. 4), der besondere Löschungsanspruch bei im Kindesalter erteilten Einwilligungen (Art. 17 I lit. f) und die Berücksichtigung der kindlichen Schutzbedürftigkeit bei der Erforderlichkeitsprüfung nach Art. 6 I 1 lit. f.29 Flankiert werden die Regelungen durch Art. 40 II lit. g, der Verbänden und anderen Vereinigungen das Ausarbeiten von Verhaltensregeln zur Präzisierung der Art und Weise, in der die Einwilligung des Trägers elterlicher Verantwortung für das Kind gem. Art. 8 einzuholen ist, ermöglicht und so zur Lösung von Auslegungsfragen beitragen kann.30
3. Unionsgrundrechtliche Vorgaben für die Auslegung
Auch die „multipolare Grundrechtskonstellation“31 ist auslegungsrelevant. Art. 8 ist im Lichte des umfassenden Datenschutzgrundrechtes aus Art. 8 GRCh (sowie aus Art. 16 I AEUV)32 und im Kontext des Rechts auf Privatleben aus Art. 7 GRCh zu sehen33, die beide auch auf den Schutz Minderjähriger gerichtet sind.34 Art. 8 GRCh weist eine Abwehrfunktion und eine Schutzpflichtdimension auf.35 Er schützt vor Verarbeitung personenbezogener Daten36 und entfaltet durch die Gewährung eines Schutzanspruchs mittelbare Drittwirkung im nicht-hoheitlichen Bereich.37 Er wird ergänzt durch Art. 24 GRCh, der die Rechte und den Schutz des Kindes und die für sein Wohlergehen notwendige Fürsorge als Grundrecht normiert.38 Dazu gehört die Möglichkeit der Entwicklung und Entfaltung der Persönlichkeit39, was einen datenschutzrechtlichen Schutz Minderjähriger gerade im Internet erfordert. Aus dem Erziehungsrecht des Art. 14 III GRCh folgt, dass den Eltern die Aufgabe zukommt, die Rechte der Kinder wahrzunehmen.
Der grundrechtliche Bezug verdeutlicht, dass die Norm zugunsten der Minderjährigen streng auszulegen ist.40
Eine Grenze statuiert der Verhältnismäßigkeitsgrundsatz, Art. 5 IV EUV, der durch EG 4 S. 2 und 170 S. 2 betont wird. Art. 1 I Alt. 2, EG 2-4 betonen zudem das Ziel des freien Datenverkehrs, des wirtschaftlichen Fortschritts und der unternehmerischen Freiheit, was verdeutlicht, dass die Auslegung nicht isoliert zugunsten des Minderjährigenschutzes vorzunehmen ist, sondern auch das Verkehrsinteresse der Anbieter zu berücksichtigen ist.
II. Tatbestandsvoraussetzungen (Abs. 1)
1. Kind
Art. 8 setzt voraus, dass der Betroffene ein Kind ist, ohne eine Definition vorzugeben.41 Wegen Art. 24 I 1 GRCh i.V.m. Art. 1 UN-KRK ist jedoch davon auszugehen, dass alle unter 18-Jährigen Kinder i.S.d. Norm sind.42
21 Kühling/Buchner/Buchner/Kühling Art. 7 Rn. 30.
22 Vgl. Schulz, in: Gola (Hrsg.), DS-GVO2, 2018, Art. 8 Rn. 1; Es handelt sich um eine Ausnahme des Grundsatzes der Technologieneutralität (EG 15).
23 Ehmann/Selmayr/Heckmann/Paschke Art. 8 Rn. 1;
Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 3.
24 Ehmann/Selmayr/Heckmann/Paschke Art. 8 Rn. 1.
25 BeckOK-DatenschutzR/Karg Art. 8 Rn. 8a;
aA: Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 2.
26 BeckOK-DatenschutzR/Karg Art. 8 Rn. 10.
27 Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 5.
28 Eichfeld/Hagen/James/James, in: Leupold/Wiebe/Glossner (Hrsg.), Münchener Anwaltshandbuch IT-Recht4, 2021, Teil 15.3 Rn. 80.
29 Steinrötter, in: Borges/Hilber (Hrsg.), BeckOK IT-Recht4, 2021, Art. 8 Rn. 2.
30 Joachim, ZD 2017, 414 (417).
31 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 10.
32 Dies folgt aus Art. 1 II iVm EG 1; zum Verhältnis zw. Art. 8 GRCh und Art. 16 I AEUV: Sydow, in: Sydow (Hrsg.), Europäische Datenschutzgrundverordnung2, 2018, Einleitung Rn. 7.
33 Zum Verhältnis zw. Art. 8 und 7 GRCh: Wolff, in: Pechstein/Nowak/Häde (Hrsg.), Frankfurter Kommentar zu EUV, GRC und AEUV1, 2017, Art. 8 GRC Rn. 3 f.
34 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 10.
35 Frankfurter Kommentar/Wolff Art. 8 GRC Rn. 15.
36 Jarass, in: Jarass (Hrsg.), Charta der Grundrechte der Europäischen Union4, 2021, Art. 8 Rn. 9.
37 Sydow/Sydow Rn. 15.
38 Roßnagel, ZD 2020, 88 (89).
39 Ebd.
40 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 10.
41 Ehmann/Selmayr/Heckmann/Paschke Art. 8 Rn. 16.
42 Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 13.
2. Dienst der Informationsgesellschaft
In sachlicher Hinsicht ist ein Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, notwendig.
Gem. Art. 4 Nr. 25 DSGVO i.V.m. Art. 1 Nr. 1 lit. b RL(EU) 2015/1535 ist ein Dienst der Informationsgesellschaft jede i.d.R. gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.43 Erfasst werden grds. alle Online-Dienstleistungen44 und nachgelagerte Datenverarbeitungen auf Basis eines elektronischen Nutzerprofils (z.B. personalisierte Werbung).45
Wann das Angebot dem Kind direkt gemacht wird, ist strittig. Grammatikalisch lässt sich der Wortlaut so auslegen, dass sich das Angebot spezifisch an Kinder richten muss.46 Direkt kann man aber auch als unmittelbar dem Kind angebotendeuten, d.h. als Angebot, für dessen Abwicklung es nicht der Einschaltung der Erziehungsberechtigten bedarf.47
Jedenfalls umfasst sind Angebote, die sich aus Sicht eines objektiven Angebotsempfängers gerade an Kinder richten,48 wie kindgerechte Online-Spiele oder soziale Netzwerke für Kinder.49 Allgemeine Indizien sind die Art der Dienstleistung, kindgerechte Aufmachung, oder gezielte Werbung ggü. Kindern.50
Unklarheiten bestehen bei Angeboten, die sich nicht nur, aber auch an Kinder richten (dual use-Angebote).51 Darunter fallen Gewinnspiele, Bildungsangebote oder soziale Netzwerke.52 Zwecks umfassenden Minderjährigenschutzes und intensiver Nutzung dieser Dienste durch Kinder müssen aber auch diese erfasst sein.53
Fraglich ist, ob unter Art. 8 I auch Angebote fallen, die Kindern faktisch offenstehen, sich aber primär an Erwachsene richten. Dies beträfe etwa manche Online-Nachrichtenzeitschriften.54 Dagegen spricht, dass so fast alle Internetangebote erfasst würden, was bei strengen Anforderungen an die Nachweisobliegenheit des Abs. 2 unverhältnismäßig sein könnte.55 Daher ließe sich fordern, dass das Angebot zumindest auch das Interesse von Kindern wecken und diese ansprechen solle.56 Eine Abgrenzung ist aber kaum trennscharf möglich, da die Interessen von Kindern unterschiedlich sind.57 Selbst, wenn nur wenige Kinder die Angebote nutzen würden, bleibt das Risiko der Datenverarbeitung für das einzelne Kind gleich. Im Sinne des Minderjährigenschutzes kann deshalb für ein direktes Angebot nur verlangt werden, dass Kinder die Angebote sinnvoll nutzen können.58
Unter Verweis auf den gewöhnlichen Sprachgebrauch des Begriffs direkt könnte man aber für den Ausschluss von Angeboten plädieren, die sich explizit an Erwachsene richten.59 Grammatikalisch ist aber – wie erörtert – auch eine Auslegung i.S.v. unmittelbar möglich. Dafür spricht in systematischer Hinsicht EG 38 S. 3, der im gleichen Kontext hinsichtlich Präventions- und Beratungsdiensten darauf abstellt, ob sie einem Kind unmittelbar angeboten werden.60 Dies gilt insbesondere im Vergleich mit Art. 12 I 1 der im Vergleich mit einem direkten Angebot die deutlich strengere Formulierung „speziell an Kinder richten“ verwendet.61 Teleologisch spricht für die weite Auslegung zudem, dass andernfalls durch das formale Aufstellen einer Altersgrenze, etwa in den AGB, die Pflichten aus Art. 8 umgangen werden könnten.62 Würde man Angebote ausklammern, die sich nur an Erwachsene richten, würde man zudem die Bereiche Datenschutz und Jugendmedienschutz vermischen. Während das Datenschutzrecht den Schutz natürlicher Personen und ihrer Persönlichkeitsrechte bei der Verarbeitung ihrer Daten zum Gegenstand hat,63 schützt der Jugendmedienschutz Minderjährige vor Gefahren in Medien, die zu einer sozialethischen Desorientierung oder Entwicklungsbeeinträchtigung führen können.64 Letzteres bezieht sich nicht auf die Verarbeitung, sondern die konsumierten Inhalte. Für die datenschutzrechtliche Gefährdungslage von Kindern ist die Zielrichtung des Angebotsinhalts also egal. Maßgeblich ist allein das mit der Verarbeitung verbundene Risiko für den Schutz ihrer personenbezogenen Daten, das auch dann besteht, wenn sich das Angebot nur an Erwachsene richtet, von Kindern aber faktisch genutzt werden kann.
Der deutsche Gesetzgeber scheint sich dem anzuschließen, was im Regierungsentwurf zur JuSchG-Novelle deutlich wird. § 24a II Nr. 4 JuSchG sieht neuerdings technische Mittel zur Altersverifikation für nutzergenerierte audiovisuelle Inhalte ab 18 Jahren vor. In der Begründung heißt es, dass die Pflicht aus dem JuSchG mit der aus Art. 8 II korrespondiere und daher kein zusätzlicher Aufwand seitens der Anbieter anfiele.65 Dieser Aussage liegt als logische Prämisse die Anwendbarkeit des Art. 8 bei Erwachsenenangeboten zugrunde.
Damit werden Angebote direkt Kindern ggü. gemacht, wenn ein Kind den angebotenen Dienst ohne Einschaltung einer weiteren Person sinnvoll nutzen kann.66 Nicht umfasst ist
43 v. d. Bussche, in: v.d. Bussche/Voigt (Hrsg.), Konzerndatenschutz2, 2019, Teil 3 Kap. 3 Rn. 25.
44 Vgl. Wolff, in: Schantz/Wolff (Hrsg.), Das neue Datenschutzrecht3, 2017, Rn. 479.
45 Gola/Schulz Art. 8 Rn. 13.
46 Dienst, in: Rücker/Kugler (Hrsg.), New European General Data Protection Regulation1, 2018, Rn. 463.
47 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 17 f.
48 BeckOK-DatenschutzR/Karg Art. 8 Rn. 49; Greve, in: Eßer/Kramer/von Lewinski (Hrsg.), Auerhammer DSGVO/BDSG7, 2020, Art. 8 Rn. 8.
49 Ebd.
50 Schantz/Wolff/Wolff Rn. 479.
51 Gola/Schulz Art. 8 Rn. 15.
52 Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO BDSG3, 2021, Art. 8 Rn. 7.
53 Ebd; Auerhammer/Greve, Art. 8 Rn. 9; Spindler/Schuster/Spindler/Dalby, in Spindler/Schuster (Hrsg.), Recht der elektronischen Medien4, 2019, Art. 8 Rn. 6.
54 Vgl. Taeger, in: Taeger/Gabel (Hrsg.), DSGVO – BDSG – TTDSG4, 2022, Art. 8 Rn. 20.
55 Ebd.
56 v.d. Bussche/Voigt/v. d. Bussche Teil 3 Kap. 3 Rn. 25.
57 Vgl. Auerhammer/Greve, Art. 8 Rn. 9.
58 Vgl. BeckOK-DatenschutzR/Karg Art. 8 Rn. 51, 52.2.
59 So etwa Paal/Pauly/Frenzel Art. 8 Rn. 7; Auerhammer/Greve Art. 8 Rn. 9; Schwartmann/Hilgert, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG2, 2020, Art. 8 Rn. 34.
60 Kühling/Buchner/Buchner/Kühling, Art. 8 Rn. 17.
61 Ebd.
62 Ebd.
63 Taeger/Gabel/Schmidt Art. 1 Rn. 7.
64 Liesching, in: Liesching (Hrsg.), Jugendschutzgesetz2, 2018, Einleitung Rn. 2.
65 BT-Drs. 618/20, S. 73, 35.
66 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 18.
damit der Fernabsatzbereich, der aus Gründen der Geschäftsfähigkeit nur von Erwachsenen sinnvoll genutzt werden kann.67
Für die Nachweisobliegenheit werden i.Ü. nur „angemessene Anstrengungen“ verlangt, sodass Bedenken bzgl. der Verhältnismäßigkeit entgegengehalten werden kann, dass bei Verarbeitungen mit geringem Risiko auch geringere Anstrengungen nötig sind.
3. Altersgrenze
Gem. Art. 8 I 2 ist die Einwilligung des Kindes nur wirksam, wenn das Kind das 16. Lebensjahr vollendet hat oder soweit die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.
Die Spezifizierungsklausel in Art. 8 I UAbs. 2 erlaubt den Mitgliedstaaten die Herabsetzung der Altersgrenze bis auf die Vollendung des 13. Lebensjahres.68 Deutschland hat hiervon keinen Gebrauch gemacht.69 Insoweit gibt es keine EU-weite Harmonisierung bzgl. der 13- bis 16-Jährigen.70 Bei grenzüberschreitenden Angeboten stellt sich somit die Frage, welche nationale Altersgrenze gilt.
a.) Art. 3 (analog)
Dies könnte sich zunächst nach der allgemeinen Kollisionsnorm in Art. 3 richten.71 Art. 3 I regelt die internationale Anwendbarkeit der DSGVO und knüpft primär an einen Sitz oder eine Niederlassung des Verantwortlichen in der EU (Art. 3 I) bzw. subsidiär an das Marktortprinzip (Art. 3 II).72
Während Art. 3 unstreitig eine Gesamtkollision für die DSGVO darstellt, ist fraglich, ob es sich bei der Norm auch um eine Binnenkollisionsnorm für das i.R.d. Art. 8 I UAbs. 2 anwendbare nationale Recht handelt. Dem klaren Wortlaut nach regelt Art. 3 nur den räumlichen Anwendungsbereich der DSGVO, trifft aber keine Aussage zu den Spezifizierungsklauseln, sodass allenfalls eine analoge Anwendung als Binnenkollisionsnorm in Betracht kommt.73 Erforderlich sind eine vergleichbare Interessenlage sowie eine planwidrige Regelungslücke.
Für erstere wird insb. ein Erst-Recht-Schluss angeführt: Wenn sich schon die Anwendbarkeit der DSGVO nach dem Sitzland- bzw. Marktortprinzip richtet, müsse dies a maiore ad minus für das im Rahmen der Spezifizierungsklauseln der DSGVO geltende nationale Recht gelten.74 Art. 3 sei zudem als abschließende Kollisionsnorm der DSGVO zu verstehen, die als lex specialis einen Rückgriff, insb. auf zivilrechtliche Kollisionsnormen, verbiete.75
Selbst wenn man demnach eine vergleichbare Interessenlage annimmt, fehlt es indes an einer planwidrigen Regelungslücke.76 Eine solche würde voraussetzen, dass der Verordnungsgeber die Regelungsbedürftigkeit des Binnenkollisionsrechts der DSGVO übersehen hätte oder es sich beim Wortlaut von Art. 3 um ein Redaktionsversehen handelt.77 Zwar finden sich in den EG 22-24 nur Bemerkungen zum Gesamt-, nicht zum Binnenkollisionsrecht der DSGVO, jedoch enthielten neben der Endfassung auch die Vorentwürfe der DSGVO bereits diverse Spezifizierungsklauseln, wobei Art. 3 in seinem Wortlaut seit dem ersten Kommissionsentwurf nahezu unverändert blieb.78 Die Verordnungshistorie zeigt damit, dass sich der Gesetzgeber bewusst gegen eine Regelung des Binnenkollisionsrechts innerhalb der DSGVO durch Art. 3 entscheiden hat.79
b.) Anwendung der Rom I-VO
Das Binnenkollisionsrecht i.R.d. Spezifizierungsklausel des Art. 8 I UAbs. 2 könnte sich stattdessen nach der Rom I-VO richten. Zwar gilt sie gem. Art. 1 I Rom I-VO nur für vertragliche Schuldverhältnisse. Dieser Begriff ist jedoch weit auszulegen und meint eine privatautonome, freiwillige Selbstbindung, worunter auch die datenschutzrechtliche Einwilligung fällt.80 Damit ist die Rom I-VO anwendbar. Da Kinder i.d.R. nicht in Ausübung ihrer beruflichen/gewerblichen Tätigkeit handeln, sondern als Verbraucher, bestimmt sich das anwendbare Recht grds. gem. Art. 6 I Rom I-VO nach dem gewöhnlichen Aufenthaltsort des Kindes,81 vorausgesetzt der Verantwortliche hat den Dienst in irgendeiner Weise auf den Mitgliedstaat ausgerichtet (vgl. Art. 6 I lit. b Rom I-VO). Hat er dies nicht, kommt die Auffangregel des Art. 4 I lit. b Rom I-VO für Dienstleistungsverträge zur Anwendung.82 Der Dienstleistungsbegriff ist weit auszulegen und erfasst jeden nicht zwingend entgeltlichen Vertrag, der auf die Erbringung einer Tätigkeit gerichtet ist und erfasst die meisten Dienste der Informationsgesellschaft.83 Danach unterliegt die für Art. 8 maßgebliche Altersgrenze dem Recht des Staates, in dem der Dienstleister den gewöhnlichen Aufenthalt hat.
Probleme entstehen, wenn ein Anbieter aus einem EU-Drittstaat seinen Dienst nur auf Kinder innerhalb eines bestimmten Mitgliedstaates ausrichtet, der Dienst aber auch von Kindern aus anderen Mitgliedstaaten genutzt wird. Gem. Art. 3 II lit. a wäre die DSGVO an sich anwendbar, nicht jedoch die Spezifizierungsklausel in Art. 8 I UAbs. 2, die ausweislich des Wortlauts nur für Mitgliedstaaten gilt. Es
67 Gola/Schulz Art. 8 Rn. 16.
68 Eine Altersgrenze von 13 Jahren entspräche den Regelungen im kalifornischen Children’s Online Privacy Protection Act of 1998, 15 U. S. C. § 6501(1).
69 Lauber-Rönsberg, in: Specht/Mantz (Hrsg.)1, Handbuch Europäisches und deutsches Datenschutzrecht, 2019, § 4 Rn. 80.
70 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 22.
71 So BeckOK-DatenschutzR/Karg Art. 8 Rn. 21; Jotzo, in: Jotzo, Der Schutz personenbezogener Daten in der Cloud2, 2020, Teil 5 Rn. 242-247.
72 Vgl. BeckOK-DatenschutzR/Hanloser Art. 3 Rn. 2 f.
73 Ehmann/Selmayr/Zerdick Art. 3 Rn. 7; Gola/Piltz Art. 3 Rn. 5; Kühling/Buchner/Klar Art. 3 Rn. 107.
74 Vgl. BeckOK-DatenschutzR/Karg Art. 8 Rn. 21.
75 BeckOK-DatenschutzR/Karg Art. 8 Rn. 24; vgl. Jotzo/Jotzo, Teil 5 Rn. 242, 247.
76 Laue, ZD 2016, 463 (464).
77 Ebd.
78 Ebd.
79 Ebd.
80 Ebd.
81 So Auerhammer/Greve Art. 8 Rn. 22; Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 23; Schantz/Wolff/Wolff Rn. 482; Laue, ZD 2016, 463 (466).
82 Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 23.
83 Vgl. Laue, ZD 2016, 463 (466).
kommt also nicht gem. Art. 8I UAbs. 2 i.V.m. Art. 4 I lit. b Rom I-VO das Recht des Drittstaaten zur Anwendung, sondern die Altersgrenze von 16-Jahren gem. Art. 8 I UAbs. 1.84
c.) Ergebnis
Damit ist die Einwilligung eines Kindes gem. Art. 8 I ohne Mitwirkung der Träger der elterlichen Verantwortung nur rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet, oder die niedrigere gem. Art. 8 I UAbs. 2 i.V.m der Rom I-VO maßgebliche Altersgrenze von mind. 13 Jahren erreicht hat.
4. Einsichtsfähigkeit?
Ist dies der Fall, ist fraglich, ob zusätzlich individuelle Einwilligungsfähigkeit vorliegen muss. Dies wäre nicht der Fall, wenn Art. 8 die Einwilligungsfähigkeit fingiert.
Hiergegen ließe sich einwenden, dass Art. 8 die Einwilligungsfähigkeit ergänzt, nicht ersetzt.85 Allerdings ist das Internet von system-inhärenter Anonymität geprägt, sodass die konkrete Einsichtsfähigkeit kaum festzustellen ist.86 Zugunsten der Rechtssicherheit und des gesellschaftlichen Interesses am internetbasierten Informationsaustausch ist daher anzunehmen, dass Art. 8 anstelle der Prüfung der Einsichtsfähigkeit tritt.87 Es handelt sich um eine Fiktion oder unwiderlegliche Vermutung der Einsichtsfähigkeit.88
5. Einwilligung oder Zustimmung durch die Träger der elterlichen Verantwortung
Hat das Kind die Altersgrenze nicht erreicht, ist gem. Art. 8 I UAbs. 1 S. 2 eine Einwilligung durch den Träger der elterlichen Verantwortung oder mit dessen Zustimmung erforderlich.
Träger der elterlichen Verantwortung sind entsprechend den nationalen für Rechtsgeschäfte geltenden Vorschriften89 i.d.R. die Eltern (§§ 1626, 1629 BGB), die das Kind gem. § 1629 I 2 BGB gemeinschaftlich vertreten, wobei auch ein Elternteil durch das andere zur Vertretung des gemeinsamen Kinds ermächtigt werden kann.90
Wenn der Träger elterlicher Verantwortung gem. Art. 8 I UAbs. 1 S. 2 Alt. 1 für das Kind einwilligt, liegt darin wg. der Höchstpersönlichkeit des Rechtsguts und dem Gewährleistungsgehalt des Art. 8 GRCh keine freie Verfügungsbefugnis über die Daten des Kindes; die Einwilligung darf nur im Interesse des Kindes erfolgen.91 Verantwortliche können dies kaum prüfen, sodass die Pflicht aus Verkehrsschutzgründen nur im Innenverhältnis besteht, ein Mangel also nicht zur Unwirksamkeit führt.92
Die Voraussetzung der Zustimmung gem. Art. 8 I UAbs. 1 S. 2 Alt. 2 sind nicht geregelt. Entgegen der deutschen Terminologie, nachdem die vorherige und die nachträgliche Zustimmung, §§ 183 S. 1, 184 I BGB, umfasst wären, ist hier die vorherige Zustimmung maßgeblich.93 Da der Verantwortliche diese nach Abs. 2 prüfen muss, hat diese im Außenverhältnis zu erfolgen.94 Auch wenn keine Formvorgaben bestehen,95 dürfte entspr. EG 32 S. 1 eine eindeutige bestätigende Handlung für den konkreten Fall in informierter und unmissverständlicher Weise nötig sein.
Die Mitwirkung der Eltern ist wg. einer teleologischen Reduktion des Art. 8, deren Notwendigkeit sich aus EG 38 S. 3 ergibt, bei Präventions- oder Beratungsdiensten, die unmittelbar dem Kind angeboten werden, nicht erforderlich.96
III. Nachweisobliegenheit (Abs. 2)
Nach Art. 8 II muss der Verantwortliche unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen unternehmen, um zu prüfen, dass die Einwilligung durch die Eltern für das Kind oder mit dessen Zustimmung erteilt wurde. Dabei handelt es sich zwar nicht um eine Wirksamkeitsvoraussetzung der Einwilligung97, aber um eine nach Art 83 IV lit. a bußgeldbewährte Obliegenheit. Die praktische Umsetzung dieser Vorgabe stellt Verantwortliche vor enorme Herausforderungen, da sie keine eindeutige Regel trifft und kein gängiger Standard zur Altersverifikation im Internet existiert.98
Der Wortlaut angemessene Anstrengungen stellt klar, dass die Maßnahme nicht abstrakt-generell zu beurteilen ist, sondern sich die Anforderungen im Einzelfall aus der Abwägung von Art, Umfang, Bedeutung und Risiko der Datenverarbeitung mit dem finanziellem und organisatorischem Aufwand des Verantwortlichen ergeben.99 Seitens des Verantwortlichen sind insb. die Grundrechte aus Art. 15-17 GRCh zu beachten.100 Es handelt sich um einen Ausdruck des Verhältnismäßigkeitsgrundsatzes, der den Verantwortlichen vor wirtschaftlich unzumutbaren Maßnahmen schützt.101
84 Ebd.; Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 23.
85 Steinrötter, in: BeckOK-IT-Recht1, 2020, Art. 8 Rn. 1; Joachim, ZD 2017, 414 (415).
86 Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 5.
87 Roßnagel, ZD 2020, 88 (89); Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 5; Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 19; Paal/Pauly/Frenzel Art. 8 Rn. 9.
88 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 19; Ehmann/Selmayr/Heckmann/Paschke Art. 8 Rn. 4; aA: BeckOK-DatenschutzR/Karg Art. 8 Rn. 40, der eine widerlegbare Regelvermutung annimmt.
89 Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 25.
90 Jauernig/Budzikiewicz, § 1629 Rn. 2.
91 Ehmann/Selmayr/Heckmann/Paschke Art. 8 Rn. 28;
Schwartmann/Hilgert, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 20202, Art. 8 Rn. 37.
92 Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 27.
93 Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Hilgert Art. 8 Rn. 38.
94 aA: Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 26.
95 Plath, in: Plath (Hrsg.), DSGVO/BDSG3, 2018 Art. 8 Rn. 9;
aA: Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 26.
96 Vgl. Kress/Nagel, CRi 2017, 6 (8);
aA: Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 14.
97 Ehmann/Selmayr/Heckmann/Paschke Art. 8 Rn. 36.
98 Vgl. Wilmer, in: Jandt/Steidle, Datenschutz im Internet1, 2018, B. II. Rn. 100.
99 Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Hilgert Art. 8 Rn. 54.
100 Auerhammer/Greve Art. 8 Rn. 19.
101 Ebd.; Taeger/Gabel/Taeger Art. 8 Rn. 37.
Zu dem Spannungsverhältnis zwischen Verkehrsschutz und Minderjährigenschutz tritt der Grundsatz der Datenminimierung aus Art. 5 I lit. c hinzu, wonach die Verarbeitung auf das für den Verarbeitungszweck notwendige Maß beschränkt sein muss.102
Diesen Maßstab zugrunde gelegt werden nachfolgend die wichtigsten Maßnahmen dargestellt und evaluiert, in welchen Konstellationen sie den Anforderungen des Abs. 2 entsprechen könnten.
1. Übertragung von Jugendschutzrechtsvorgaben
In Betracht kommt zunächst eine Übertragung jugendschutzrechtlicher Vorgaben für pornographische Angebotsinhalte gem. § 4 II 2 JMStV. Diese sind nur zulässig, wenn der auf erwachsene Nutzer beschränkte Zugang sichergestellt ist. Die Sicherstellung der geschlossenen Benutzergruppe erfolgt durch Altersverifikationssysteme („AVS“). Der BGH stellt strenge Anforderungen und spricht von einer „effektiven Barriere“, die vorliegt, wenn einfache, naheliegende und offensichtliche Umgehungsmöglichkeiten ausgeschlossen sind.103 Dies ist etwa bei der Angabe einer Personalausweis-/Reisepassnummer und des Ausstellungsorts des Dokuments sowie der Angabe von Name, Adresse und einer Kreditkartennummer/Bankverbindung für eine Überweisung nicht der Fall, da Kinder die Ausweisdokumente anderer nutzen könnten und teils eigene Konten besitzen.104 Erforderlich ist vielmehr ein zweistufiges System, wonach erst eine persönliche Identifizierung, etwa via Post-Ident durch einen Postzusteller, stattfindet und sodann auf der zweiten Stufe eine erneute Authentifizierung bei jedem Abruf erfolgt, z.B. mit einem USB-Stick als Hardware-Schlüssel in Kombination mit einer persönlichen PIN.105
Auch § 24a II Nr. 4 JuSchG regelt eine technische Altersverifikation im Hinblick auf audiovisuelle Inhalte ab 18 Jahren. Die Norm korrespondiere dem deutschen Gesetzgeber zufolge mit der Pflicht aus Art. 8 II derart, dass keine Mehrkosten anfielen, sodass man annehmen könnte, dass § 24a II Nr. 4 JuSchG keine strengeren Vorgaben als Art. 8 II statuiert.106 Da der Begriff Altersverifikation im deutschen Recht hauptsächlich im Kontext der AVS iSd § 4 II 2 JMStV genutzt wird107, ließe sich annehmen, dass sich die Pflichten aus § 4 II 2 JMStV auf § 24a JuSchG und nach Ansicht des Gesetzgebers auf Art. 8 II übertragen ließen. Allerdings setzt § 24a JuSchG die AVMD-RL um, aus welcher der deutsche Gesetzgeber den Begriff Altersverifikation übernommen hat, ohne die Verwechslungsgefahr mit der gebräuchlichen deutschen Terminologie zu § 4 II 2 JMStV zu bedenken.108 Es handelt sich um ein Versehen des Gesetzgebers,109 sodass die Argumentation verfehlt ist.
Eine pauschale Übertragung der Vorgaben aus dem JMStV verbietet sich auch aus anderen Gründen. Erstens sind mit den zweistufigen AVS hohe Kosten verbunden, die bei dem weiten Anwendungsbereich des Art. 8 i.d.R. eine unverhältnismäßige Belastung darstellen.110 Zweitens sollte die Angemessenheit der Maßnahme im Kontext des Mediums zu sehen sein, das gerade davon charakterisiert wird, dass Inhalte ortsunabhängig verfügbar gemacht werden können.111 Die Zustimmung sollte von überall aus und ohne Medienbruch möglich sein.112
2. Weitere Maßnahmen
Es gibt jedoch zahlreiche andere Optionen, zur Erfüllung der Nachweisobliegenheit.
a.) Erklärung des Kindes und Double-Opt-In
Auch wenn die bloße Erklärung des Kindes, dass die Eltern zugestimmt hätten, aus Datensparsamkeitsgründen z.T. als ausreichend erachtet wird,113 ist hiervon abzuraten. Das bloße Häkchen-Setzen wäre identisch mit der ohnehin nötigen Erklärung des Vorliegens einer solchen Einwilligung und kann daher keine zusätzliche „Anstrengung“ konstituieren, zumal ein immenses Umgehungsrisiko besteht.114
Aus diesem Grund wird in der Literatur vielfach ein Double-Opt-In-Verfahren (DOI), angelehnt an die Parallelvorschrift zu Art. 8 im US-amerikanischen COPPA, befürwortet.115 Dort normiert § 312.5 (b) (2) (vi), dass eine Einwilligung per E-Mail, verknüpft mit zusätzlichen Schritten, wie einer Bestätigungsmail, einem -brief oder -anruf der Eltern, möglich ist. Ähnlich hierzu wird iRd Art. 8 II vorgeschlagen, ein DOI zu implementieren, wonach das Kind auf der ersten Stufe nach dem Alter und bei Unterschreiten der Altersgrenze zur alleinigen Einwilligung auf einer zweiten Stufe nach der E-Mail der Eltern gefragt wird, denen sodann eine E-Mail mit einem Bestätigungslink übermittelt wird, auf den diese zur Autorisierung der Datenverarbeitung aktiv klicken müssen.116 Folgt man der hier vertretenen Rechtsauffassung, dass sich das anwendbare nationale Recht im Hinblick auf die Öffnungsklausel in Abs. 1 UAbs. 2 nach der Rom I-VO richtet, ist im Rahmen der ersten Stufe zudem in Erfahrung zu bringen, wo das Kind seinen gewöhnlichen Aufenthalt hat, um die einschlägige Altersgrenze zu ermitteln.117
Der Vorteil des DOI besteht darin, dass eine Einwilligung unkompliziert, ohne Medienbruch und auch von unterwegs erteilt werden kann und keine Unannehmlichkeiten für die Eltern und das Kind entstehen. Zugleich hält sich der Aufwand für die Verantwortlichen in Grenzen. Allerdings
102 Auerhammer/Greve Art. 8 Rn. 19.
103 BGH Urt. v. 18.10.2007 – I ZR 102/05, ZUM 2008, 511 (513f.).
104 Ebd.
105 Ebd.
106 BT-Drs. 618/20 S. 35, 73.
107 Hilgert/Sümmermann, MMR 2020, 301 (304).
108 Ebd.
109 Ebd.
110 Vgl. Auer-Reinsdorff/Conrad/Conrad/Hausen § 36 Rn. 207.
111 Rauda, MMR 2017, 15 (19).
112 Ebd.
113 Plath/Plath Art. 8 Rn. 11; differenzierend: Auerhammer/Greve Art. 8 Rn. 19.
114 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 23; Rücker/Kugler/Dienst Rn. 468; Taeger, ZD 2021, 505 (505); Ehmann/Selmayr/Heckmann/Paschke Art. 8 Rn. 37.
115 Ehmann/Selmayr/Heckmann/Paschke Art. 8 Rn. 37; Gola/Schulz Art. 8 Rn. 20 f.; Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 24.
116 Gola/Schulz Art. 8 Rn. 22.
117 Vgl. Rücker/Kugler/Dienst Rn. 466.
eröffnet auch das DOI Umgehungspotential, da Kinder ein vorgebliches E-Mail-Konto der Eltern anlegen und den Prozess so umgehen könnten.118
Ein gewisses Umgehungsrisiko ist jedoch bei dem kooperativen Szenario des Art. 8 unumgänglich und unter Betonung der Erziehungsverantwortung der Eltern und des Verhältnismäßigkeitsgrundsatzes hinzunehmen.119 Strengere Maßnahmen wie Post-Ident oder Video-Ident sind mit immensem Kosten- und z.T. Personalaufwand verbunden, der für kleine und mittlere Unternehmen unzumutbar ist, soweit mit der Verarbeitung kein besonderes Risiko für das Kind verbunden ist.120 Zwar ließe sich entgegenhalten, dass dem Schutz der Persönlichkeitsrechte des Kindes wegen EG 38 i.R.d. Verhältnismäßigkeit überragende Bedeutung zukäme und das Missbrauchspotential beim DOI somit nicht durch unzumutbare Kosten zu rechtfertigen sei.121 Dabei wird aber übersehen, dass die DSGVO ebenfalls den freien Verkehr personenbezogener Daten und den wirtschaftlichen Fortschritt in besonderen Fokus nimmt, sodass sich teleologisch kein überragender Abwägungsvorrang des Minderjährigenschutzes ergibt.122 Ferner gehören Dienste der Informationsgesellschaft zu einem fundamentalen Teil des Alltags der Kinder. Diese tauschen sich dort aus, werden gemeinsam in Online-Games kreativ aktiv und entfalten Teile ihrer Persönlichkeit. Das Recht der Kinder auf freie Entfaltung ihrer Persönlichkeit gebietet es daher, die Anforderungen des Art. 8 II nicht so zu überdehnen, dass Eltern bereits aufgrund der Komplexität der Verifikationsprozesse davon abgeschreckt werden, dem Kind die Einwilligung/Zustimmung zu erteilen oder sich ernsthaft damit zu beschäftigen. Zu strenge Anforderungen könnten zudem dazu führen, dass gerade kleine Unternehmen davon absehen, Dienste zu entwickeln, die sich an den Bedürfnissen von Kindern orientieren.
Durch Abfrage des Geburtsdatums zu Beginn und Ende des Registrierungsprozesses kann die Umgehungsgefahr zudem reduziert werden.123 Kinder, die den Prozess manipulieren wollen, werden sich ein Falsches oft nicht merken. In dem Fall kann die IP-Adresse von weiteren Anmeldeversuchen blockiert, oder entsprechende Altersnachweise gefordert werden.124 Die Angabe des Geburtsdatums wäre zur Vermeidung von Manipulation erforderlich, sodass Art. 5 I lit. c dem nicht entgegenstünde.
Jedenfalls, wenn insgesamt und im konkreten Fall kein Grund zur Annahme einer missbräuchlichen Nutzung besteht und keine sensiblen Daten verarbeitet werden, dürfte das DOI den Anforderungen des Art. 8 genügen.125
b.) Post-Ident, Video-Ident, Ausweis, Kreditkarte
Genau wie AVS i.S.d. § 4 II 2 JMStV wird eine Altersverifikation mittels Post- oder Video-Ident oder über einen Anruf bei den Eltern durch geschultes Personal aufgrund der hohen finanziellen Belastung des Verantwortlichen grds. nicht verlangt werden können.126 Zwar sind beide Verfahren sehr missbrauchsarm,127 doch während Post-Ident aufgrund des Medienbruchs und der Langwierigkeit des Prozesses Eltern keine Zustimmung von Unterwegs ermöglicht128, mithin als unpraktikabel und anachronistisch ausscheidet, bestehen bei den übrigen Verfahren zumindest Bedenken aus Gründen der Datensparsamkeit.129 Aus Verhältnismäßigkeitserwägungen und wegen des Datensparsamkeitsgrundsatzes eignen sich diese Verfahren nur, wenn ein hohes Risiko für das Kind besteht, insb. bei Verarbeitung sensibler Daten, und die Eliminierung des Missbrauchspotentials die Erhebung der Daten rechtfertigt.130
Das Hochladen eines Ausweisfotos (auch wenn gem. § 20 II PAuswG möglich) oder die Angabe einer Ausweis- oder Kreditkartennummer stellt i.Ü. nie eine angemessene Anstrengung dar. Neben dem i.R.d. § 4 II 2 JMStV thematisierten Umgehungsrisiko würden dabei nicht erforderliche Daten – beim Ausweis z.B. Wohnort, oder ggf. sensible Daten wie die Religionszugehörigkeit – erhoben, was gegen den Datensparsamkeitsgrundsatz verstößt.131 Inwieweit aus der Ausweitung der Anwendungsmöglichkeiten der eID-Funktion des Personalausweises (§ 12 eID-Karte-Gesetz) neue Lösungsmöglichkeiten folgen, bleibt abzuwarten.132
c.) Biometrie & Profiling
Andenken könnte man zudem eine Identifikation bzw. Altersschätzung anhand biometrischer Merkmale oder mittels Profiling.
Zur biometrischen Altersschätzung eignet sich die Analyse von Gesichtsmerkmalen (facial analysis).133 Hier kommt ein Algorithmus zum Einsatz, der die Gesichtsmerkmale des Kindes mit denen eines Vergleichsdatensatzes abgleicht.134 Ein Praxisbeispiel ist das an Kinder gerichtete soziale Netzwerk GoBubble, wo facial analysis zur anonymen Altersschätzung eingesetzt wird.135 Bei dem eingesetzten Tool von Yoti macht der Nutzer ein Selfie, dass sodann verschlüsselt auf die Yoti-Server übertragen wird, wo das Tool die Altersschätzung vornimmt und das Bild sodann löscht.136 Dies ist aus Nutzer- und Anbieterperspektive unkompliziert, zieht aber viele Probleme nach sich. Es bestehen Ungenauigkeiten – der mittlere absolute Fehler
118 Auerhammer/Greve Art. 8 Rn. 19.
119 Ebd.; Gola/Schulz Art. 8 Rn. 22; aA: Taeger, ZD 2021, 505 (508); Rücker/Kugler/Dienst Rn. 468.
120 Auerhammer/Greve Art. 8 Rn. 19.
121 Taeger/Gabel/Taeger Art. 8 Rn. 39f.
122 S. C.I.3.
123 5Rights Foundation, But how do they know it is a child?, 2020, am 30.1.2022, shorturl.at/wH278, S. 27 (zit. 5Rights).
124 Ebd.
125 Statt vieler: Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 24; aA: Taeger, ZD 2021, 505 (508).
126 Auerhammer/Greve Art. 8 Rn. 19.
127 Taeger/Gabel/Taeger Art. 8 Rn. 38.
128 Rauda, MMR 2017, 15 (19).
129 Vgl. Spindler/Schuster/Spindler/Dalby Art. 8 Rn. 13.
130 Auerhammer/Greve Art. 8 Rn. 19; Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 26.
131 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 26.
132 Auerhammer/Greve Art. 8 Rn. 19; Taeger, ZD 2021, 505 (507).
133 5Rights S. 30.
134 Ebd.
135 Yoti, Developing our anonymous age estimation technology, am 30.01.2022 https://t1p.de/nemw.
136 Yoti, Age Scan White Paper – YT147 v2.8 PUBLIC, am 30.04.2021, https://t1p.de/0o06, 30.1.2021.
bei der Yoti-AI beträgt 2,35 Jahre137 – und Nutzer können ältere Freunde zur Aufnahme des Selfies bitten. Insofern ist das System nur bedingt missbrauchsärmer als ein DOI. Aufgrund der Erhebung und Analyse der Bilddaten ist die Zulässigkeit von facial analysis zur Erfüllung der Obliegenheit aus Art. 8 II in Ansehung von Art. 5 I lit. c zweifelhaft.
Der Einsatz von Profiling zur Altersschätzung scheidet aus, weil dabei umfassende Daten138 über das Kind verarbeitet werden, um dieses anhand seines Nutzungsverhaltens einer Altersgruppe zuzuordnen. Das steht im Widerspruch zur Datensparsamkeit und EG 38 S. 2, der Kinder gerade vor Profilbildung schützen will.
3. Praxisvorschlag und Ausblick
Die verbleibenden Optionen können als Teil eines abgestuften Maßnahmenkonzepts praktische Anhaltspunkte bieten, welche Anstrengung für einen konkreten Dienst der Informationsgesellschaft angemessen ist.
Sofern ein geringes Risiko für das Kind bei der Datenverarbeitung besteht, ermöglicht das DOI, unkompliziert, finanziell zumutbar und datensparsam mit hinreichender Wahrscheinlichkeit das Vorliegen der elterlichen Zustimmung zu gewährleisten.
Bei einem mittleren Risiko sollte die Umgehungsgefahr mind. über das Erfordernis der Angabe des Alters zu Beginn und am Ende des Registrierungsprozesses unter Ausschluss nochmaliger Anmeldeversuche reduziert werden. Beim kumulativen Einsatz von facial analysis ist genau zu eruieren, ob der Einsatz des jeweiligen Tools mit Art. 5 I lit. c vereinbar ist.
Bei hohem Risiko oder bei Verarbeitung sensibler Daten empfiehlt sich der Einsatz von Video-Ident oder ein Anruf bei den Eltern durch geschultes Personal. Der Verantwortliche sollte nur das Ergebnis dokumentieren, ohne die Ausweis-/Geburtsdaten zu speichern und weiterzuverarbeiten.139
Trotz guter Gründe für dieses Maßnahmenkonzept kann es mangels etablierter Standards oder existierender Rechtsprechung und Behördenpraxis allenfalls als Anhaltspunkt dienen und vermag die bestehende Rechtsunsicherheit nicht zu senken. Aufgrund des Konflikts zwischen Minderjährigenschutz und Verkehrsschutz ist zu befürchten, dass sich langfristig eine komplexe Kasuistik entwickelt.140 Daher ist eine umfassende und genau zu dokumentierende Einzelfallprüfung sowie eine wg. der Weiterentwicklung des Stands der Technik regelmäßige Reevaluierung der getroffenen Anstrengungen zu empfehlen.141
Der Verordnungsgeber hat die Gefahr der Rechtsunsicherheit erkannt und sieht in Art 40 II lit. g Abhilfe vor. Hiernach können Verbände und andere Vereinigungen Verhaltensregeln zur Präzisierung der Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist, ausarbeiten und so die Rechtsunsicherheit minimieren.142 Genehmigte Verhaltensregeln führen zur Selbstbindung der Aufsichtsbehörde, die ein der Verhaltensregel entsprechendes Verfahren nicht sanktionieren darf.143 An die Selbstbindung sind viele Vorteile geknüpft, sodass ein Anreiz zur Selbstverpflichtung besteht.144 Es ist anzunehmen, dass Verhaltensregeln eine zentrale Rolle bei der Auslegung von Art. 8 II spielen werden.145
IV. Verhältnis zum nationalen Vertragsrecht (Abs. 3)
Neben der Nachweisobliegenheit wirft die Klarstellung des Abs. 3, dass das nationale Vertragsrecht, insb. §§ 104 ff. BGB, unberührt bleibt, Fragen auf.
Abs. 3 ließe sich so deuten, dass eine Datenverarbeitung nicht den Erfordernissen des Art. 8 I genügen muss, wenn das Kind das zugrundeliegende Rechtsgeschäft ohne Zustimmung der Eltern wirksam schließen konnte und die Datenverarbeitung zur Vertragserfüllung erforderlich ist.146 Dies beträfe beschränkt Geschäftsfähige (§ 106 BGB) iRd §§ 107 aE, 110, 112, 113 BGB, sofern diese Dienste der Informationsgesellschaft nutzen, die einem Kind direkt angeboten werden.147 Soweit die Verarbeitung zur Vertragserfüllung erforderlich ist, wäre die Rechtsgrundlage keine Einwilligung, sondern die Vertragserfüllung, § 6 I 1 lit. b.148 Nur, wenn die Datenverarbeitung über den Zweck der Vertragserfüllung hinausgehe, wäre die Verarbeitung nicht durch Art. 6 I 1 lit. b gedeckt, sodass eine Einwilligung erforderlich wäre.149 Relevant wäre dies z.B. i.R.d. Trackings.150
Folgt man dem würde der durch Art. 8 bezweckte Minderjährigenschutz weitestgehend zur mitgliedstaatlichen Disposition gestellt, was den Anwendungsvorrang des EU-Rechts in Frage stellen würde151 und in Ansehung des Loyalitätsgebots aus Art. 4 III EUV und des Gedankens des effet utiles abzulehnen ist. Daher ist auch iRd §§ 107 aE, 110, 112 f. BGB eine datenschutzrechtliche Einwilligung erforderlich (Trennungsprinzip).152 Andernfalls käme es zu einem erheblichen Rechtsverlust, da die Kinder ihr Recht auf Widerruf der Einwilligung (Art. 7 III) mit Konsequenz der Löschpflicht nach Art. 17 I lit. b verlieren würden und das Kopplungsverbot nach Art. 7 IV und das Verbot
137 Ebd. S. 10.
138 5Rights S. 32.
139 Taeger/Gabel/Taeger Art. 8 Rn. 38.
140 Vgl. Schwartmann/Jaspers/Thüsing/Kugelmann/Schwartmann/Hilgert Art. 8 Rn. 56.
141 Ebd. Rn. 55.
142 Joachim, ZD 2017, 414 (417).
143 Vertiefend Taeger/Gabel/Kinast Art. 40 Rn. 53-55.
144 Vgl. Heckmann/Scheurer, in: jurisPK-Internetrecht7, 2021, Kap. 9 Rn. 515.
145 Ebd.
146 Vgl. Gola/Schulz Art. 8 Rn. 23.
147 Vertiefend Taeger/Gabel/Taeger Art. 8 Rn. 48-50.
148 Ebd.
149 Ebd. Rn. 47, 52-54.
150 Ebd. Rn. 54.
151 Vgl. Simitis/Hornung/Spiecker/Klement Art. 8 Rn. 32.
152 Spindler/Schuster/Spindler/Dalby Art. 8 Rn. 14 f.; Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 29; um zu verhindern, dass der Schutz des Art. 8 durch eine Vertragserklärung anstelle der Einwilligung umgangen wird, wird z.T. eine teleologische Reduktion der Art. 6 I 1 lit. b und f vorgeschlagen, wenn die Datenverarbeitung Entgeltfunktion hat, Wendehorst/Graf v. Westphalen, NJW 2016, 3745 (3747).
der Zweckänderung nach Art. 6 IV sowie die Anforderungen des Art. 8 nicht greifen würden.153 Ohnehin ist das Vorliegen der §§ 107, 110, 112 f. BGB im Internet kaum prüfbar, sodass fraglich ist, ob die Rechenschaftspflicht des Verantwortlichen nach Art. 5 I lit. a erfüllbar wäre.
Damit ist Art. 8 III so zu verstehen, dass Verpflichtungsgeschäft und datenschutzrechtliche Einwilligung unabhängig voneinander zu beurteilen sind und ein wirksamer Vertrag mit einem Kind nicht vom Einwilligungserfordernis entbindet.
V. Sanktionen
Bei Verstößen gegen Art. 8 drohen gem. Art 83 IV lit. a Geldbußen von bis zu 10.000.000 € bzw. 2 % des weltweiten Vorjahresumsatzes und bei Verstößen gegen andere Einwilligungsvorschriften gem. Art. 83 von bis zu 20.000.000 € bzw. 4 % des weltweiten Vorjahresumsatzes. Auch besteht ein Schadenersatzrisiko nach Art. 82.
D. Kritik
Die dargelegten Regelungen der Einwilligung Minderjähriger nach Art. 8 sollen kritisch evaluiert werden.
I. Generelle Eignung von Einwilligungslösungen
Ob eine Einwilligungslösung den bezweckten Schutz erreichen kann, ist fraglich. Als Ausdruck der Privatautonomie und informationellen Selbstbestimmung setzt eine Einwilligung die Kenntnis der Tragweite derselben voraus sowie eine echte Wahlmöglichkeit. In der Realität besteht bei der Anmeldung zu Online-Diensten oft keine Möglichkeit als die Datenschutzbestimmungen wie vorgegeben zu akzeptieren, oder den Dienst nicht zu nutzen, zumal Betroffene selten lesen, worein sie einwilligen.154 Oft sind Datenschutzerklärungen auch so intransparent und vage, dass eine aufmerksame Lektüre entgegen dem Idealbild des Art. 5 I lit. a, EG 58 nicht zur Nachvollziehbarkeit der Verarbeitung führen würde.155 Gerade, weil ein wichtiger Teil des Alltags der jungen Generation online stattfindet, ist auch nicht davon auszugehen, dass eine Nichtnutzung der Dienste ernsthaft für sie in Betracht kommt.
Ungeachtet der Defizite von Einwilligungslösungen im Internet ist indes begrüßenswert, dass der Verordnungsgeber das Bedürfnis nach Minderjährigenschutz ernst genommen und entsprechende Maßnahmen ergriffen hat. Auch wenn das Idealbild der informierten Einwilligung wg. der Komplexität vieler digitaler Verarbeitungsvorgänge illusorisch bleiben wird, ist die Regelung in Art. 8 ein guter Ansatz. Gerade in Kombination mit datenschutzfreundlicher Technikgestaltung sowie datenschutzfreundlichen Voreinstellungen, kann der Minderjährigenschutz im Internet so spürbar verbessert werden.156
II. Spezifizierungsklausel
Zu kritisieren ist zudem die fehlende Harmonisierung i.R.d. Abs. 1 UAbs. 2. Aus der Zielbestimmung des
III. Art. 1 I Alt. 2
und EG 3 zur Gewährleistung des freien Datenverkehrs folgt, dass der DSGVO die Annahme zugrunde liegt, dass divergierende mitgliedstaatliche Schutzniveaus den freien Datenverkehr einschränken.157 Dieser Gedanke findet sich auch in EG 9, der zudem die infolge unterschiedlicher Schutzstandards entstehende Rechtsunsicherheit unterstreicht. Die DSGVO ist wegen Art. 1 I Alt. 2 konzeptionell so zu verstehen, dass erst die bezweckte datenschutzrechtliche Vollharmonisierung158 die Voraussetzungen für den freien Datenverkehr schafft und Rechtssicherheit gewährleistet.159 Dieser Gedanke spiegelt sich auch in den EG 3, 7, 9, 10, 11, 13 wider.
Vor dem Hintergrund ist fragwürdig, warum mit Art. 8 Abs. 1 UAbs. 2 eine partielle Zersplitterung des unionsweiten Datenschutzniveaus in Kauf genommen wird. Dadurch werden der Harmonisierungseffekt und der freie Datenverkehr gehemmt160 und Mehraufwand und Rechtsunsicherheit auf Anbieterseite verursacht, da diese bei grenzüberschreitenden Angeboten im Einzelfall prüfen müssen, ob wg. des gewöhnlichen Aufenthaltsortes des Kindes divergierende Altersgrenzen gelten.161 Teils wird diese Rechtsunsicherheit sogar als gravierender angesehen als die Rechtsunsicherheit für Kinder und Eltern.162 Dies ist nicht verwunderlich, da von der Öffnungsklausel in den Mitgliedstaaten zahlreich und heterogen Gebrauch gemacht wird.163
Bereits 2019 zeichnete sich eine enorme Fragmentierung des Mindesteinwilligungsalters ab.164 Dies führt schlimmstenfalls dazu, dass grenzüberschreitend agierende Unternehmen Kinder bis zur Vollendung des 16. Lebensjahres auch in den Ländern von der Nutzung ihrer Angebote ausschließen, in denen sie aufgrund der Öffnungsklausel eigenständig in die Datenverarbeitung einwilligen könnten, um Prüfaufwand zu minimieren. Dann könnten Kinder von ihren Rechten keinen Gebrauch machen und die Spezifizierungsklausel liefe leer.
Auch wenn die Spezifizierungsklausel z.T. unter Verweis auf die unterschiedlichen Regelungen über die Geschäftsfähigkeit legitimiert wird,165 ist sie ihrer Entstehungsgeschichte nach vielmehr Ausfluss erfolgloser Kompromisssuche des Verordnungsgebers im Trilog.166
Deshalb hat die EU-Kommission in ihrem ersten Bericht über die Überprüfung und Bewertung der DSGVO die Gefahr der „Fragmentierung […] aufgrund der umfangreichen Anwendung fakultativer Spezifikationsklauseln“167
153 Wendehorst/Graf v. Westphalen, NJW 2016, 3745 (3747).
154 Van der Hof/Lievens, The Importance of Privacy by Design and Data Protection Impact Assessments in Strengthening Protection of Children’s Personal Data Under the GDPR, https://ssrn.com/abstract=3107660, S. 4 f.
155 Ebd.
156 Ebd., S. 6 ff.
157 Taeger/Gabel/Schmidt Art. 1 Rn. 9.
158 Spindler/Schuster/Spindler/Dalby Art. 1 Rn. 1.
159 Taeger/Gabel/Schmidt Art. 1 Rn. 9.
160 Spindler/Schuster/Spindler/Dalby Art. 8 Rn. 11.
161 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 22.
162 Paal/Pauly/Frenzel Art. 8 Rn. 12.
163 Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 22.
164 Übersicht (Stand 2019): Milkaite/Lievens, Better Internet for Kids – Status quo regarding the child’s article 8 GDPR age of consent for data processing across the EU, am 18.04.2021, https://t1p.de/xuyv.
165 Vgl. Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 22.
166 Taeger/Gabel/Taeger Art. 8 Rn. 31.
167 Europäische Kommission, Mitteilung an das Europäische Parlament und den Rat, COM(2020) 264 final (SWD (2020) 115 final) v. 24.6.2020, S. 8 (zit. „COM”).
betont. Die Kommission hat in den Fokus gerückt, dass die unterschiedlichen Altersgrenzen Unsicherheit bei Kindern und Eltern in Bezug auf die Frage, wie ihre Datenschutzrechte im Binnenmarkt angewendet werden, hervorrufen, während die unterschiedlichen Regelungen zugleich Hürden für grenzüberschreitende Wirtschaftstätigkeiten, Innovation, die Entwicklung neuer Technologien sowie für Cybersicherheitslösungen darstellten.168 Die Kommission mahnt die Mitgliedstaaten an, die Öffnungsklauseln nicht zu überstrapazieren und fordert eine Einschränkung ihrer Nutzung.169 Schließlich will sie prüfen, ob eine Harmonisierung angebracht wäre.170 Dies ist zur Schaffung von Rechtssicherheit begrüßenswert.
IV. Unbestimmtheit des Abs. 2
Rechtsunsicherheit besteht auch wegen der hochgradig unbestimmten Regelung zur Nachweisobliegenheit in Abs. 2. Es ist unklar, wann welche Anstrengungen angemessen sind und wie der Verantwortliche technisch gewährleisten soll, dass die richtige Altersgrenze und die richtigen mitgliedstaatlichen Regelungen zu den Trägern elterlicher Verantwortlichkeit berücksichtigt werden. Die bestehende Unklarheit geht so weit, dass teils an der Existenz missbrauchsrobuster, praxistauglicher und datenschutzfreundlicher Systeme gezweifelt wird.171 Die vielen unbestimmten Rechtsbegriffe und die Ermessensentscheidung der Aufsichtsbehörde über die Angemessenheit der getroffenen Maßnahmen lassen zudem daran zweifeln, ob die Bußgeldbewährtheit des Abs. 2 nach Art. 83 IV lit. a dem Bestimmtheitsgebot standhält.172 Diese Unklarheiten lassen sich nur durch offizielle aufsichtsbehördliche Leitlinien oder Verhaltensregeln nach Art. 40 II lit. g oder durch den EuGH reduzieren.173
168 Ebd.
169 COM S. 18.
170 COM S. 19.
171 BeckOK-DatenschutzR/Karg Art. 8 Rn. 57; Rücker/Kugler/Dienst Rn. 469.
172 BeckOK-DatenschutzR/Karg Art. 8 Rn. 32.
173 Vgl. Kühling/Buchner/Buchner/Kühling Art. 8 Rn. 27.