DSGVO - BDSG - TTDSG

Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.

Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

(2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.

(3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.

Mit der Norm korrespondiert der Erwägungsgrund 38.

Literatur: Backu, Datenschutzrechtliche Relevanz bei Onlinespielen, ZD 2012, 59; Buchner/Kühling, Die Einwilligung in der Datenschutzordnung 2018, DuD 2017, 544; Buchner, Die Einwilligung in Werbung, WRP 2018, 1283; Dammann, Erfolge und Defizite der EU-Datenschutzgrundverordnung, ZD 2016, 307; Erman, BGB, Kommentar, 15. Aufl., Köln 2017; Ernst, Unzulässige Erhebung von Daten Minderjähriger bei Gewinnspielen, jurisPR-WettbR 12/2012 Anm. 4; Ernst, Die Einwilligung nach der Datenschutzgrundverordnung. Anmerkungen zur Definition nach Art. 4 Nr. 11 DSGVO, ZD 2017, 110; Fetzer/Scherer/Graulich, TKG, 3. Aufl., 2020; Gola/Schulz, DS-GVO – Neue Vorgaben für den Datenschutz bei Kindern?, ZD 2013, 475; Hilgert/Sümmermann, Technischer Jugendmedienschutz, MMR-Beil. 2020, 26; Holznagel, Elektronischen Identitätsnachweis nachhaltig fördern!, MMR 2017, 365; Jandt/Roßnagel, Social Networks für Kinder und Jugendliche, MMR 2011, 637; Joachim, Besonders schutzbedürftige Personengruppen, ZD 2017, 414; Kamp/Rost, Kritik an der Einwilligung, Ein Zwischenruf zu einer fiktiven Rechtsgrundlage in asymmetrischen Machtverhältnissen, DuD 2013, 80; Keppler/Schenk-Busch, Das Rechtsstaatsproblem der DSGVO, BRJ 2018, 23; Kessemeier, Corona Apps – Datenschutzrechtliche Herausforderungen bei der Unterbrechung der Infektkette, in: Taeger (Hrsg.), Den Wandel begleiten – IT-rechtliche Herausforderung der Digitalisierung, Edewecht 2020, S. 111; Kühling/Schall, WhatsApp, Skype & Co. – OTT-Kommunikationsdienste im Spiegel des geltenden Telekommunikationsrechts, CR 2015, 641; Kugelmann, Datenfinanzierte Internetangebote – Regelungs- und Schutzmechanismen der DSGVO, DuD 2016, 566; Liedke, Die Einwilligung im Datenschutzrecht, Edewecht 2012; Meyer, Gratisspiele im Internet und ihre minderjährigen Nutzer, NJW 2015, 3686; Martini/Botta, Undurchsichtige Datentransfers – gläserne Studierende?, VerwArch 2019, 235; Möhrke-Sobolewski/Klas, Zur Gestaltung des Minderjährigendatenschutzes in digitalen Informationsdiensten, K&R 2016, 373; Moos, Update Datenschutz, in: Taeger (Hrsg.), Big Data & Co. – Neue Herausforderungen für das Informationsrecht, Edewecht 2014, S. 529; Nolde, Sanktionen nach der EU-Datenschutzgrundverordnung, in: Taeger, Smart World – Smart Law, Edewecht 2016, S. 757; Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, Tübingen 2016; Rauda, Gemeinsamkeiten von US Children Online Privacy Protection Act (COPPA) und DS-GVO, MMR 2017, 15; Roßnagel/Geminn/Jandt/Richter, Datenschutzrecht 2016 – „Smart“ genug für die Zukunft?, Kassel 2016; Schnebbe, Der Minderjährige im Datenschutzrecht (im Erscheinen); Schreiber/Gottwald, Jugendschutz durch Datenschutz, MMR 2021, 467; Schüßler, Facebook und der Wilde Westen – Soziale Netzwerke und Datenschutz, in: Taeger, Digitale Evolution – Herausforderungen für das Informations- und Medienrecht, Edewecht 2010, S. 233; Schwenke, § 90 TKG – Anwendbarkeit des Verbots von „Minispionen“ im Zeitalter smarter Geräte, K&R 2017, 297; Specht, Daten als Gegenleistung – Verlangt die Digitalisierung nach einem neuen Vertragstypus?, JZ 2017, 763; Stürzl, Anmerkung zu LG Bonn, Urt. v. 11.11.2020–29 OWi 1/20, jurisPR-StrafR 1/2021 Anm. 1; Taeger, Einwilligung von Kindern gegenüber Diensten der Informationsgesellschaft, ZD 2021, 505; Taeger/Spittka, LG Bonn reduziert Geldbuße gegen 1&1 massiv – DSK-Bußgeldkonzept hält Praxistest nicht stand, DSB 2020, 292; Telle, Over-The-Top-Anbieter als Telekommunikationsdienste im Lichte des geltenden und zukünftigen Telekommunikationsrechts, in: Taeger/Telle (Hrsg.), Aktuelle Rechtsfragen im Informationsrecht in Rumänien und Deutschland, 2017, S. 39; Vogelgesang/Hessel, Spionagegeräte im Kinderzimmer?, ZD 2017, 269; Weller, Die datenschutzrechtliche Einwilligung Minderjähriger gemäß Art. 8 DS-GVO, AnwZert ITR 3/2017 Anm. 3; Wiebusch, Hello Barbie! We kids dislike you – unknowingly, in: Taeger (Hrsg.), Internet der Dinge – Digitalisierung von Wirtschaft und Gesellschaft, Edewecht 2015, S. 157; Wintermeier, Inanspruchnahme sozialer Netzwerke durch Minderjährige, ZD 2012, 210; von Zimmermann, Die Einwilligung im Internet, Berlin 2014.

Übersicht

I. Allgemeines
1. Entstehungsgeschichte und Bedeutung der Norm

1

Für den Erlaubnistatbestand der Einwilligung aus Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO normiert Art. 7 DSGVO in Verbindung mit Art. 4 Nr. 11 DSGVO allgemeine Anforderungen an eine wirksame Einwilligung. Ergänzend dazu enthält Art. 8 DSGVO spezifische Bedingungen für die Einwilligung eines Kindes in die Verarbeitung seiner Daten durch Dienste der Informationsgesellschaft. Die nunmehr in der Norm genannte feste Altersgrenze, ab der eine Einwilligung von Minderjährigen in die Datenverarbeitung durch Dienste der Informationsgesellschaft wirksam ist, führt zu der unwiderlegbaren Annahme der Einsichtsfähigkeit eines Kindes mit Vollendung des 16. Lebensjahres. Von der Einsichtsfähigkeit von Minderjährigen wird grundsätzlich mit Vollendung des 16. Lebensjahres ausgegangen.1 Bei jüngeren Kindern bedarf es entweder der Einwilligung oder der Zustimmung durch die Träger der elterlichen Verantwortung zu einer vom Kind erklärten Einwilligung. Der verantwortliche Dienstanbieter hat die Einwilligung oder Zustimmung einzuholen und zu dokumentieren. Erfolgt die Verarbeitung personenbezogener Daten eines Kindes nicht durch einen Dienst der Informationsgesellschaft, so ist Art. 8 DSGVO nicht anwendbar und es bedarf weiterhin einer Prüfung der frühestens ab dem 14. Lebensjahr überhaupt denkbaren Einsichtsfähigkeit in die mit der Verarbeitung für das Kind bestehenden Risiken.2 Wird die Erlaubnis in die Verarbeitung nicht auf eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO, sondern auf einen anderen Erlaubnistatbestand gestützt, kommen Art. 7 und 8 DSGVO ebenfalls nicht zur Anwendung. Nur dann, wenn die zur Vertragsanbahnung und zum Vertragsschluss – bei dem die Wirksamkeitserfordernisse eines Rechtsgeschäfts mit Minderjährigen zu prüfen sind – vom Diensteanbieter verarbeiteten Daten zu einem anderen Zweck – wie etwa zum Zweck der Werbung – verarbeitet werden sollen, ist für diesen weiteren Zweck eine eigene Erlaubnis festzustellen, für die eine Einwilligung in Betracht kommt, deren Anforderungen sich aus Artt. 4 Nr. 11, 7 und 8 DSGVO ergeben. Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten wie etwa Gesundheitsdaten, sind die höheren Anforderungen an eine Einwilligung aus Art. 9 DSGVO zu beachten; Art. 8 DSGVO und damit die Regelaltersgrenze von 16 Jahren kommen dabei nicht zur Anwendung.3

2

Vorläuferregelungen, die den besonderen Schutz von Minderjährigen bezwecken, die Dienste der Informationsgesellschaft in Anspruch nehmen, gab es weder in der DSRl, noch im nationalen BDSG a.F. oder im TMG a.F. Eine Gesetzesinitiative des Bundesrates, insbesondere Kinder und Jugendliche, die auf Plattformen mit nutzergenerierten Inhalten erheblichen Gefahren für ihre Persönlichkeitsrechte und die Privatsphäre ausgesetzt sind, vor der Preisgabe persönlicher Daten zu schützen, war nicht erfolgreich.4

3

Die Wirksamkeit einer Einwilligung von Kindern und Jugendlichen wurde bislang allein von der Frage abhängig gemacht, ob die Person die für eine Einwilligung erforderliche Einsichtsfähigkeit besitzt. Diese Erwägung war unabhängig von der Einordnung der Rechtsnatur der Einwilligung maßgeblich, sodass die Feststellung der Geschäftsfähigkeit letztlich bedeutungslos war. Starre Altersgrenzen, ab denen die Zustimmung der Eltern nicht mehr eingeholt werden mussten, sondern die Kinder selbst wirksam die Einwilligung erklären konnten, waren dem europäischen und nationalen Datenschutzrecht bislang fremd.5 Weder fanden sich solche in Gesetzen, noch hatte die Rechtsprechung feste Altersgrenzen entwickelt.6 Auch das OLG Hamm nannte in einem Urteil von 2012 keine Altersgrenze, ab der Minderjährige die nötige Reife haben, um die Tragweite der Einwilligungserklärung zur Datenspeicherung und Datenverwendung zu Werbezwecken abzusehen; nach dem OLG Hamm könne nicht davon ausgegangen werden, dass ab dem 15. Lebensjahr diese Einsichtsfähigkeit grundsätzlich vorhanden sei.7 In einer primär wettbewerbsrechtlich argumentierenden – und datenschutzrechtliche Aspekte weitgehend ausblendenden8 – Entscheidung (Ausnutzung geschäftlicher Unerfahrenheit Jugendlicher, § 3 Abs. 2 und 5 UWG) hat auch der BGH9 keine feste Altersgrenze gesehen, sondern nur in Zweifel gezogen, dass Jugendliche zwischen 15 und 17 Jahren die erforderliche Reife besitzen, um die Tragweite einer Einwilligung in die Datenspeicherung und Datenverwendung für Werbezwecke zu erkennen. Die Erhebung der Daten von Kindern sah der BGH als unlautere Wettbewerbshandlung an.10 Ähnlich wie bei Gewinnspielen ist etwa bei Online-Spielen der Teilnahmeanreiz so groß, dass etwaige bei Jugendlichen schon vorhandene Bedenken gegen die Datenübermittlung zurückgestellt und Einwilligungen häufig unreflektiert erteilt werden.11

4

Es bestand allgemein Einigkeit darin, dass die Erfahrungshorizonte Jugendlicher in Bezug auf verschiedene Sachverhalte zu unterschiedlich sind, als dass eine feste Altersgrenze von 14 oder 16 Jahren für eine aufgrund der Einsichtsfähigkeit wirksamen Einwilligung festgelegt werden sollte.12 Zu unterschiedlich sind die Sachverhalte, in denen Daten Minderjähriger erhoben werden und zu verschieden die Zwecke, für die die Daten verwendet werden, als dass das Risiko für eine bestimmte Altersklasse pauschal festgelegt werden könnte. Auch die Erfahrungshorizonte der Jugendlichen sind zu unterschiedlich, um pauschal beurteilen zu können, ab welchem fixen Alter die Gefährdungen so gering sind, dass das grundrechtlich durch Art. 8 GrCh verbürgte Selbstbestimmungsrecht eine mit der Zustimmung durch die Träger der elterlichen Verantwortung verbundene Ausgestaltung entbehrlich macht.13

5

Mit der Festlegung einer starren Altersgrenze orientiert sich die Regelung am US-amerikanischen Children’s Online Privacy Protection Act (COPPA)14 von 1998, der sogar davon ausgeht, dass Jugendliche ab einem Alter von 13 Jahren jedenfalls im Online-Handel auch die Folgen für ihre Privatsphäre einschätzen und deshalb mit ihrer Einwilligung in die über die Vertragsabwicklung hinausgehende Verarbeitung ihrer Daten verfügen dürfen. Die Möglichkeit der wirksamen Einwilligung von Kindern, die das 13. Lebensjahr vollendet haben, erscheint mit dieser pauschalen Festlegung aber unangemessen früh.15 Nach Art. 8 DSGVO soll nun bei der Nutzung von Diensten der Informationsgesellschaft die Einwilligung bzw. Zustimmung der Eltern in die Erhebung und Verarbeitung solcher Daten von Kindern bis zur Vollendung des 16. Lebensjahres erforderlich sein, die nicht für die Anbahnung, Durchführung und Beendigung eines Vertragsverhältnisses mit einem Dienst der Informationsgesellschaft benötigt werden. sondern die für einen anderen Zweck verarbeitet werden sollen.

6

Nicht zu verkennen ist das Interesse der Internetwirtschaft, insbesondere der Anbieter sozialer Medien und von Computerspielen, die Einwilligungsfähigkeit16 auch für möglichst junge Menschen anzunehmen.17 Dementsprechend hatten Kommission und Rat das Alter für eine wirksame Einwilligung mit 13 Jahren sehr niedrig ansetzen wollen, entgegen der sich im Rat äußernden Mitgliedstaaten. Schließlich wurde die Vorschrift erst im Trilog ausformuliert. Der Normtext allein zeigt schon, dass eine Harmonisierung nicht zu erreichen war;18 zu unterschiedlich waren die von Kommission, Parlament und Rat bevorzugten Entwürfe.19 Weil sich die Beteiligten über die festzulegende Altersgrenze, die die Kommission und das EU-Parlament bei 13 Jahren sah, nicht einigen konnten, wurde letztlich der vergleichsweise hohe Alterswert auf 16 Jahre festgelegt, allerdings mit der Option für die Mitgliedstaaten, von der Öffnungsklausel des Art. 8 Abs. 1 Satz 3 DSGVO Gebrauch zu machen und die Altersgrenze bis zum 13. Lebensjahr herabzusetzen. Es muss dann eine feste Altersgrenze bis maximal zum 13. Lebensjahr festgesetzt werden, weil eine die Einsichtsfähigkeit zum Kriterium machende Regelung unzulässige wäre. Von dieser Möglichkeit hat der deutsche Gesetzgeber – wie auch die Gesetzgeber von Polen und Ungarn – keinen Gebrauch gemacht. Ein Kind im Sinne des § 8 DSGVO, dessen Daten von einem Anbieter eines Dienstes der Informationsgesellschaft mit Zustimmung des Trägers elterlicher Verantwortung verarbeitet werden dürfen, ist danach, wer das 16. Lebensjahr noch nicht vollendet hat und daher als noch nicht netzmündig20 anzusehen ist. Dagegen nahm etwa Österreich die Öffnungsklausel des Art. 8 Abs. 2 DSGVO in Anspruch und senkte das entsprechende Alter auf 14 Jahre herab (§ 4 Abs. 4 DSG Österreich).21

7

Die Tatsache, dass die Mitgliedstaaten durch nationales Recht die pauschale Altersgrenze für die Wirksamkeit der Einwilligung bei Diensten der Informationsgesellschaft, die sich direkt an Kinder wenden, gesetzlich auf maximal bis zum 13. Lebensjahr absenken dürfen, hat die höchst bedauerliche Folge, dass es in der EU keine einheitliche Altersgrenze geben wird, an der sich Diensteanbieter orientieren können. Die Harmonisierung ist in dieser Hinsicht gescheitert.22

8

In den Fällen, in denen das Kind das 16. Lebensjahr bzw. das nach dem Recht eines Mitgliedstaats festgelegte niedrigere Alter nicht erreicht hat, kann gem. Art. 8 Abs. 1 Satz 2 DSGVO die Einwilligung von den Trägern der elterlichen Verantwortung für das Kind oder vom Kind mit der Zustimmung durch die Träger der elterlichen Verantwortung ausgesprochen werden, um zu einer rechtmäßigen Datenverarbeitung zu kommen. Der Begriff der „Träger der elterlichen Verantwortung“ geht auf den Entwurf des Rates zurück, um zu einem einheitlichen Verständnis des angesprochenen Personenkreises in der EU zu kommen, in der die Sorgeberechtigten unterschiedlich bezeichnet werden. Zuvor waren in den Entwürfen der Kommission und des Parlaments die Begriffe Eltern, Vormund oder Sorgeberechtigten verwendet worden. Im Weiteren werden hier die Eltern als Vertreter der elterlichen Sorge (§§ 1626ff. BGB) genannt, an deren Stelle nach dem nationalen Sorgerecht auch Vormund oder Pfleger treten könnten.

2. Regelungszweck

9

Art. 8 DSGVO verfolgt das Ziel, Kinder davor zu schützen, dass sie mit ihrer Einwilligung die Verarbeitung von solchen Informationen über sich, die nicht für den Zweck der Vertragsdurchführung erforderlich sind, mit möglicherweise nachteiligen Folgen legalisieren. Die Vorschrift sieht vor, dass Kinder erst dann, wenn sie das 16. Lebensjahr vollendet haben, eine Einwilligung gegenüber Diensten der Informationsgesellschaft, zu denen Soziale Medien und Gaming-Plattformen im Internet gehören, wirksam abgeben können. Bis zu diesem Alter müssen sie die Zustimmung der Sorgeberechtigten einholen. Für das Verständnis der Vorschrift ist wesentlich, dass es nicht um die Frage der Erlaubnis geht, Daten des Kindes zu verarbeiten, die bei der Anbahnung, Durchführung und Beendigung des Vertrags zwischen einem Dienst der Informationsgesellschaft und einem Kind verarbeitet werden. Hierfür gibt es neben der für die Wirksamkeit des Rechtsgeschäfts erforderlichen Erlaubnis der Eltern des beschränkt Geschäftsfähigen aus datenschutzrechtlicher Perspektive eine Erlaubnis aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO. Ob der Vertrag, aus dem auch die datenschutzrechtliche Erlaubnis zur Datenverarbeitung folgt, mit einem nicht voll geschäftsfähigen Kind zustande kommt, ist eine von der Vorschrift nicht behandelte, nach Absatz 3 sogar ausdrücklich ausgeklammerte Frage (dazu näher Rn. 46ff.). Art. 8 DSGVO befasst sich nur mit der Zulässigkeit der Verarbeitung von für den Vertragszweck erhobenen, aber dann zweckändernd verarbeiteten Daten sowie darüber hinaus von weiteren Daten, die der Dienst der Informationsgesellschaft von dem Kind für die Verfolgung anderer Zwecke noch begehrt und wofür eine Einwilligung erforderlich ist.

10

Die Annahme, dass ab einem Alter von 16 Jahren die Befähigung vorhanden ist, die Folgen der Einwilligung für die Wahrung der Persönlichkeitsrechte abschätzen zu können, soll allerdings in der Sache auf Dienste der Informationsgesellschaft beschränkt bleiben. Auf andere, nicht mit Diensten der Informationsgesellschaft im Zusammenhang stehende Sachverhalte ist Art. 8 DSGVO nicht anzuwenden.

3. Weitere Vorschriften

11

Der Schutz von Kindern in der Informationsgesellschaft ist der DSGVO erkennbar ein besonderes Anliegen. ErwG 38 bringt dies besonders zum Ausdruck. Danach verdienen Kinder „bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind“.23 Weiter heißt es hier, dass „ein solcher besonderer Schutz ... insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen“ sollte. § 1 JMStV bezweckt u.a. den „Schutz der Kinder und Jugendlichen vor Angeboten in elektronischen Informations- und Kommunikationsmedien, die deren Entwicklung oder Erziehung beeinträchtigen oder gefährden“. § 10a JuSchG enthält die Schutzzielbestimmung, Kinder und Jugendliche vor entwicklungsbeeinträchtigenden und jugendgefährdenden Medien zu schützen. Die Bundesländer wollen sich laut einer Protokollerklärung zum Medienstaatsvertrag (MStV) für ein sicheres Heranwachsen von Kindern und Jugendlichen in der Mediengesellschaft einsetzen. Dass ein solcher Schutz geboten ist, zeigt die Praxis des Anbieters des auch in Deutschland bei Kindern sehr beliebten, in vielen Ländern aber gesperrten Videoportals TikTok, das im Jahr 2019 eine Strafe in Höhe von 5,7 Mio. US-Dollar an die Federal Trade Commission (FTC) wegen Verstoßes gegen den Children’s Online Privacy Protection Act (COPPA) zahlen musste, weil Telefonnummern der Nutzer, ihre Standortdaten und sogar biometrische Informationen aus der Gesichtserkennung ohne Kenntnis der Betroffenen und ohne Einwilligung der Eltern erhoben wurden.24 In Italien ordnete die Datenschutzaufsichtsbehörde im Januar 2021 an, dass TikTok solange keine Daten europäischer Nutzer mehr verarbeiten darf, solange „deren Alter nicht mit voller Sicherheit festgestellt werden“.25 Weil der Dienst seine Datenschutzhinweise nur in englischer Sprache veröffentlichte, verhängte die niederländische Datenschutzaufsicht am 22.7.2021 ein Bußgeld über 750.000 € und leitete ihre Erkenntnisse über die Verletzung des Jugendschutzes an die bekanntermaßen ineffizient arbeitende irische Datenschutzaufsicht weiter; diese war ausschließlich zuständig geworden, weil TikTok zwischenzeitlich eine europäische Niederlassung in Dublin errichtet hatte.26

12

Art. 12 Abs. 1 Satz 1 Hs. 2 DSGVO verlangt, dass die gem. Art. 12 und 13 DSGVO zu gebenden Informationen insbesondere dann, wenn sie sich speziell an Kinder richten, in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache abgefasst sein müssen.