Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 56

4. Öffnungsklausel

31

Die Mitgliedstaaten dürfen aufgrund der Öffnungsklausel des Art. 8 Abs. 1 UAbs. 2 DSGVO das in Art. 8 DSGVO genannte Alter von 16 Jahren herabsetzen. Zu heterogen ist in den Mitgliedstaaten die Rechtslage gewesen, nach der von einer Einsichtsfähigkeit ab einem bestimmten Alter ausgegangen wird,66 sodass es der im Trilog erfolglos einen Kompromiss suchende Verordnungsgeber den Mitgliedstaaten überlassen musste, ggf. von dem im Interesse möglichst weitgehender Harmonisierung vorgegebenen Alter von 16 Jahren durch mitgliedstaatliches Recht „nach unten“ abweichen zu dürfen. Die Mitgliedstaaten dürfen allerdings nicht, wie in Deutschland nach dem BDSG a.F., zu einer Regelung greifen, die flexibel ohne Festlegung einer starren Altersgrenze im Einzelfall die Einsichtsfähigkeit zum Maßstab macht.

32

Die Mitgliedstaaten haben es damit in der Hand, ein anderes Alter festzulegen, nach dem aufgrund ihres Verständnisses eine unwiderlegbare Vermutung dafür spricht, dass ab einem pauschal festgelegten Alter bei allen Diensten der Informationsgesellschaft die Einsichtsfähigkeit zur Beurteilung der Folgen einer Einwilligung vorhanden ist. Unzulässig wäre aber eine mitgliedstaatliche Vorschrift, die ein Alter unterhalb des vollendeten 13. Lebensjahres vorsähe. Damit gelingt der DSGVO in dieser Frage eine Harmonisierung in Bezug auf die Einwilligungsfähigkeit von Kindern nur für das Alter bis zum dreizehnten Lebensjahr, bei denen überall in den Mitgliedstaaten eine Einwilligung bzw. Zustimmung der Eltern erforderlich ist, und für den Zeitraum nach der Vollendung des 16. bis zur Vollendung des 18. Lebensjahres, in dem nicht voll geschäftsfähige Jugendliche allein wirksam entsprechend den Anforderungen von Art. 4 Nr. 11 und Art. 7 DSGVO einwilligen können. Bei Minderjährigen nach Vollendung des 16. Lebensjahres ist von einer Einsichtsfähigkeit grundsätzlich auszugehen.67 Deutschland hat mit dem BDSG keine Abweichung vom 16. Lebensjahr als Altersgrenze vorgesehen.

33

Bei grenzüberschreitenden Diensteangeboten ergeben sich durch diese fehlende Harmonisierung für die Anbieter ein Mehraufwand und Rechtsunsicherheit, weil diese jeweils prüfen müssen, ob nach dem Recht des Wohnsitzes des Kindes abweichende Altersgrenzen normiert wurden.68

III. Nachweisobliegenheiten (Abs. 2)

34

Mit Art. 8 Abs. 2 DSGVO wird der Verantwortliche verpflichtet, unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zu unternehmen, um sich zu vergewissern, dass das Kind das 16. Lebensjahr vollendet hat oder ansonsten die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung vom Kind erteilt wurde. Diese datenschutzrechtlichen Prüfpflichten sind ggf. neben den jugendschutzrechtlichen Schutzvorschriften zu beachten. Die zu unternehmenden Anstrengungen beziehen sich nach dem Wortlaut nur darauf, sich zu vergewissern, dass die Einwilligung auch tatsächlich von dem Träger der elterlichen Verantwortung stammt oder die Einwilligung des Kindes mit dessen Zustimmung erfolgte. Letztlich unterliegt der Verantwortliche eines sich direkt an Kinder wendenden Dienstes der Informationsgesellschaft auch der Nachweispflicht, dass die Einwilligung von einer Person stammt, die das 16. Lebensjahr vollendet hat. Insofern werden auch bei der Prüfung, ob wegen des Alters Art. 8 DSGVO zur Anwendung kommt, mindestens die gleichen Anstrengungen zu erwarten sein.69 Es ist demnach das Alter wirksam und wahrhaftig zu prüfen und bei der Feststellung, dass das 16. Lebensjahr nicht vollendet, auch die Authentifizierung des die Einwilligung bzw. Zustimmung vornehmenden Elternteils durchzuführen. Deshalb werden diese eher technischen Fragen hier zusammen behandelt.

35

Mit Absatz 2 wird keine weitere Anforderung an die Wirksamkeit der Einwilligung hinzugefügt. Vielmehr enthält die Vorschrift eine Obliegenheit, im Rahmen des Angemessenen mit geeigneten technischen Mitteln zu überprüfen, ob die Anforderungen aus dem Abs. 1 eingehalten werden, wenn eine Einwilligung oder Zustimmung der Eltern als Voraussetzung für die Rechtmäßigkeit einer sich auf eine Einwilligung stützende Datenverarbeitung erforderlich ist. Die Ergebnisse der Prüfung sind zu dokumentieren, woraus sich auch Herausforderungen im Rahmen der Rechenschaftspflicht („Accountability“) ergeben.

36

Verlangt wird von dem durch Art. 8 Abs. 1 DSGVO angesprochenen Diensteanbieter (siehe Rn. 13), „angemessene Anstrengungen“ zu unternehmen, um den Nachweis zu erbringen, dass dann, wenn das 16. Lebensjahr nicht vollendet wurde, die Einwilligung bzw. Zustimmung tatsächlich von den Eltern stammt. Dabei hat sich der Verantwortliche dafür verfügbarer Technik zu bedienen. Teilweise wird dadurch die Notwendigkeit abgeleitet, geeignete Altersverifikationssysteme im Rahmen internetbasierter Einwilligungsprozesse und – für den Fall der Notwendigkeit der Einwilligungs- oder Zustimmungserklärung durch Eltern – Authentifizierungssysteme implementieren zu müssen, wobei nur die verfügbare Technik Angemessenheitsentscheidungen erfordert.70

37

Die Angemessenheitsprüfung wird nicht nur den Aufwand und damit die Kosten für die einzusetzende Technik im Verhältnis zu dem für den jeweiligen Diensteanbieter wirtschaftlich Vertretbaren zu berücksichtigen haben, sondern auch die Gefährdung für die Persönlichkeitsrechte des Kindes, die durch die Einwilligung in die Verarbeitung seiner Daten für den vorgesehenen Verarbeitungszweck entsteht.71 Es ist folglich der Verhältnismäßigkeitsgrundsatz zu beachten, wie er auch bei der Entscheidung über die einzusetzenden technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit von Bedeutung ist. Die Weiterentwicklung der Technik und ihrer Verfügbarkeit wird dabei vom Verantwortlichen beobachtet werden müssen, um die Anforderungen an die Prüfpflichten stets bestmöglich angemessen erfüllen zu können.

38

Diese Anforderungen bergen mehrere Schwierigkeiten. Sofern ein Altersverifikationssystem eingesetzt wird, dürfte entsprechend dem Grundsatz der Datenminimierung (Art. 5 DSGVO) technisch nicht (zusätzlich) das Alter erhoben, sondern nur die Feststellung getroffen werden, ob die geforderte Altersgrenze erreicht ist.72 Ein solches technisches Altersverifikationssystem dürfte inzwischen verfügbar sein und auch von Minderjährigen mit Hilfe eigener Chipkarten, eigenem Personalausweis oder eigenem sonstigen Mittel zur Altersverifikation nutzbar sein. Das Anklicken einer Checkbox, mit dem ein Nutzer erklärt, das 16. Lebensjahr vollendet zu haben, genügt den Anforderungen aufgrund der Missbrauchsmöglichkeit nicht.73 Immer noch (personell) aufwändig, aber technisch möglich und wirksam wäre die Altersverifikation durch das Zeigen des Ausweises in eine Videokamera durch das Kind, sodass die Gegenseite, der Verantwortliche, das Gesicht des Kindes im Videobild mit dem Foto auf dem auch das Alter anzeigenden, in die Kamera gehaltenen Ausweises abgleichen kann (Video-Ident-Verfahren). Das Ergebnis müsste vom Verantwortlichen dokumentiert werden, ohne dass es zu einer Verarbeitung des Ausweisbildes oder des Geburtsjahres kommt.

39

Die gleichen Probleme, angemessene und technisch verfügbare Verfahren zu nutzen, zeigen sich bei dem nachfolgenden Prüfschritt dieses „zweistufigen Überprüfungsverfahrens“,74 mit dem sichergestellt werden soll, dass die Einwilligung bzw. Zustimmung tatsächlich von den Eltern erklärt wurde. Auch hier genügt eine Bestätigung des Vorliegens einer Zustimmung oder Einwilligung der Eltern durch das Kind mittels Anklicken einer Checkbox oder Abfragemaske nicht.75

40

Zweifellos ergeben sich hier für die Diensteanbieter Probleme der technischen Umsetzung der Anforderungen aus Art. 8 DSGVO. So wird vorgeschlagen, dass das Kind dem Diensteanbieter die E-Mail-Adresse eines Elternteils angibt, damit dieser mit einem Double-opt-in-Verfahren vom Diensteanbieter um Einwilligung bzw. um Zustimmung zur Einwilligung des Kindes gebeten wird.76 Eine Verifizierung, ob damit tatsächlich rechtssicher der Elternwille abgefragt wird, bietet diese Lösung allerdings nicht; zu einfach ist es auch für Kinder, bei einem Freemail-Anbieter eine E-Mail-Adresse mit dem Namen der Eltern zu generieren, unter der sodann die Kinder Erklärungen empfangen und unter dem Namen der ahnungslosen Eltern absenden können. Dieses Verfahren ist aufgrund der Missbrauchsgefahr untauglich.77 Nicht akzeptabel ist es, wenn angesichts dieses Missbrauchsrisikos unter Hinweis auf Absatz 2 mit seinen unbestimmten Rechtsbegriffen (unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zu unternehmen) lakonisch erklärt wird, dass diese Missbrauchsgefahr hinzunehmen sei. Der von der Verordnung ausweislich des ErwG 38 gewollte Schutz von Kindern gebietet es, die Vorschrift streng auszulegen und von den Anbietern von Diensten der Informationsgesellschaft zu erwarten, dass sie angesichts vorhandener Technik sicherstellen, dass die Einwilligungs- bzw. Zustimmungserklärung tatsächlich von den Eltern stammt. Der Angemessenheitsmaßstab darf sich nicht allein an den Kosten für den Verantwortlichen orientieren, sondern muss bei der Prüfung der Verhältnismäßigkeit dem Schutz der Persönlichkeitsrechte des Kindes einen überragenden Wert zumessen, dem „nicht zumutbare Kosten“ nicht entgegengehalten werden dürfen.

41

Der Vorschlag, Missbrauch durch Verwendung der qualifizierten elektronischen Signatur (§ 126a Abs. 1 BGB) auszuschließen, wird nicht nur daran scheitern, dass die Einwilligung formfrei durch eine Erklärung oder eindeutige Handlung möglich sein muss, sondern vor allem daran, dass sich die qualifizierte elektronische Signatur als Unterschriftssurrogat nicht durchgesetzt hat. Wegen des „erheblichen technischen und (für viele auch intellektuellen) Anwender-Aufwands“ blieb der Anwenderkreis sehr beschränkt und findet ganz überwiegend nur in geschäftlichen Prozessen und zunehmend bei Verwaltungsvorgängen und im Rechtsverkehr Anwendung.78 Andere Verifikationsmöglichkeiten bestehen aber.79 Auch die Möglichkeit des Identitätsnachweises durch eID-Funktion des Personalausweises dürfte bald flächendeckend bestehen.

42

In der Praxis zeigen sich auch bei der Nutzung von solchen Diensten der Informationsgesellschaft, die als App für Smartphones und Tablets angeboten werden, dogmatische Einordnungsprobleme. Aus Art. 25 Abs. 2 Satz 1 DSGVO (privacy by default) folgt, dass bei der ersten Nutzung des Dienstes die Grundeinstellung gewährleistet, dass nur die für die Anwendung unverzichtbaren Daten verarbeitet werden. Es ist fraglich, ob bei einer Änderung der Einstellung beispielsweise zu dem Zweck, geobasierte Funktionen nutzen zu können, wofür Daten über den Standort übermittelt werden müssen, eine Vertragserweiterung vorgenommen wird, an der die Eltern nicht mitwirken müssen, oder ob aufgrund von Art. 8 DSGVO jeweils eine Zustimmung der Eltern erforderlich ist. Bei einer strengen Auslegung müssten die Eltern zustimmen. Dieses Beispiel dürfte zeigen, dass die Vorschrift der Konkretisierung bedürfte.

43

Anbieter von solchen Apps, die sich direkt an Jugendliche unter 16 Jahren wenden, setzen auf eine Vertragslösung nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO, wenn Jugendlichen die Möglichkeit gegeben wird, öffentlich oder für einen begrenzten Freundeskreis sichtbare Profildaten über sich in einem Social-media-Dienst einzugeben. Begründet wird dies damit, dass die vertraglich angebotenen Funktionalitäten nur dann genutzt werden können, wenn auch Informationen über den Nutzer eingegeben werden. Ausgeschlossen ist es dann aber, dass diese Daten vom Verantwortlichen für andere Zwecke – wie etwa Marketing für sich oder Dritte – ohne gesonderte Einwilligung nach Art. 8 DSGVO verarbeitet werden.

44

Die Rechtsunsicherheit bei der Anwendung des Art. 8 Abs. 1 DSGVO in Verbindung mit den Prüfpflichten aus Absatz 2 DSGVO ist hoch.80 Insgesamt erweist sich die Vorschrift in der Praxis als kaum operabel, sodass trotz der verständlichen Begehrlichkeit, Daten von Kindern auf der Grundlage einer Einwilligung verarbeiten zu dürfen, der datenschutz- und kinderschutzfreundlichste Weg der wäre, auf Verarbeitungen auf der Grundlage von Einwilligungen zu verzichten, wenn Dienste der Informationsgesellschaft genutzt werden, die sich unmittelbar oder auch an Kinder wenden.

45

Wenn die Prüfpflichten in akzeptabler Weise berücksichtigt wurden, sich aber dann herausstellt, dass die Altersangabe falsch war oder die Einwilligung bzw. Zustimmung nicht vorlag, wird man von der Rechtmäßigkeit der Datenverarbeitung bis zu diesem Zeitpunkt ausgehen müssen,81 weil die materiell-rechtlichen Anforderungen aus Art. 8 Abs. 1 DSGVO beachtet wurden, allerdings die Prüfungen zu falschen Ergebnissen führten. Sobald aber positive Kenntnis davon vorliegt, dass die Altersangabe falsch ist oder keine Einwilligung bzw. Zustimmung der Eltern erklärt wurde, sind die Daten unverzüglich zu löschen bzw. nicht mehr für vertragsfremde Zwecke zu nutzen, soweit sich ihre Verarbeitung auf eine vermeintlich wirksame Einwilligung stützt.

IV. Fortgeltung des allgemeinen mitgliedstaatlichen Vertragsrechts (Abs. 3)

46

Art. 8 Abs. 3 DSGVO stellt lediglich klar, dass die mitgliedstaatlichen Regelungen zum allgemeinen Vertragsrecht, in Deutschland insbesondere zum Recht der Minderjährigen gem. §§ 104ff. BGB, durch Art. 8 DSGVO nicht berührt werden. Ein Rechtsgeschäft zwischen einem Kind, das das 16. Lebensjahr nicht vollendet hat, und einem Dienst der Informationsgesellschaft bedarf folglich der Zustimmung zum Vertragsschluss durch die Eltern, was zur Erlaubnis der Verarbeitung von personenbezogenen Daten des Kindes gem. Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO für vertragliche Zwecke einschließt.

47

Umstritten ist, ob in den Fällen, in denen die Eltern dem Rechtsgeschäft des Minderjährigen, der das 16. Lebensjahr nicht vollendet hat, zustimmen, zusätzlich eine Einwilligung in die für das Rechtsgeschäft erforderliche Verarbeitung der Daten des Kindes erteilt werden muss. Zuzustimmen ist der Ansicht, dass die Einwilligung der Träger der elterlichen Verantwortung nur dann erforderlich ist, wenn die vom Dienst der Informationsgesellschaft verfolgte Datenverarbeitung über das hinausgeht, was durch Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erlaubt ist, also wenn eine für den Zweck der Vertragserfüllung hinausgehende Verarbeitung beabsichtigt ist oder weitere Daten auf der Grundlage einer Einwilligung gem. Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO verarbeitet werden sollen.82 Ist das nicht der Fall, dann korreliert der wirksame Vertragsschluss (des beschränkt Geschäftsfähigen) mit der Erlaubnis zur Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO, und eine zusätzlich Einwilligung wäre nicht erforderlich.

48

Richtig ist auch, dass es einer datenschutzrechtlichen Einwilligung der Eltern dann nicht bedarf, wenn der beschränkt Geschäftsfähige das Rechtsgeschäft ohne Zustimmung der Eltern wirksam abschließen kann (§§ 110, 112, 113 BGB) und in diesem Fall für Zwecke der Vertragsdurchführung die Erlaubnis zur Datenverarbeitung ebenfalls mit dem Vertragsschluss aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erfolgt.83

49

Wenn ein Rechtsgeschäft eines nicht voll geschäftsfähigen Minderjährigen wirksam ist, weil er beispielsweise die vertraglich geschuldete Leistung mit Mitteln bewirkt, die ihm zu diesem Zweck oder zur freien Verfügung gestellt wurden (§ 110 BGB), bedarf es für die Verarbeitung seiner personenbezogenen Daten der Zustimmung der Eltern für Zwecke des Vertragsverhältnisses nicht. Der Anbieter kann damit davon ausgehen, dass dann, wenn das Rechtsgeschäft mit dem Kind wirksam ist, eine Einwilligung in die Verarbeitung der Daten des Kindes für Zwecke des Vertragsverhältnisses nicht erforderlich ist, weil die Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erlaubt ist.

50

Die Einwilligung bzw. die Zustimmung der Eltern ist aber dann noch einzuholen, wenn das Kind, das das 16. Lebensjahr noch nicht vollendet hat, nach §§ 112 Abs. 1, 113 Abs. 1 BGB wirksam rechtsgeschäftliche Erklärungen abgibt und in diesem Zusammenhang personenbezogene Daten verarbeitet werden sollen, die nicht der Erfüllung des Vertragszwecks dienen. Wegen des Trennungsprinzips wäre dann eine Einwilligung bzw. die Zustimmung der Eltern in die über den Vertragszweck hinaus verarbeiteten Daten erforderlich. Aus dem Umstand, dass derartige Rechtsgeschäfte wirksam abgeschlossen werden, kann nicht gefolgert werden, dass auch die Einwilligungsfähig vorhanden ist. Es bleibt bei der konsequenten Anwendung des § 8 DSGVO, der diese Einwilligungsfähig erst mit Vollendung des 16. Lebensjahres als gegeben ansieht.

51

Abzulehnen ist also die Ansicht, dass die datenschutzrechtlich erforderliche Einwilligung bzw. Zustimmung neben der nach allgemeinem Zivilrecht erforderlichen Zustimmung zum Vertragsschluss und auch bei einer zivilrechtlich zum Vertragsschluss führenden Willenserklärung des Kindes (z.B. aufgrund der Privilegierung nach § 110 BGB) zu erteilen ist, damit das Rechtsgeschäft wirksam ist (Trennungsprinzip). Neben der Zustimmung zum Vertragsschluss bei fehlender Rechtsgeschäftsfähigkeit des Kindes muss danach die Einwilligung in die Datenverarbeitung stets nur für andere als die Vertragszwecke erforderlich sein.84 Eine solche ist nach alledem also nur dann erforderlich, wenn die Daten nicht nur zur Erfüllung des Vertragszwecks gem. Art. 6 Abs. 1 UAbs. 1 lit b DSGVO, sondern auch für andere Zwecke bestimmt sind, was dann einer Einwilligung oder Zustimmung bedürfte. Kommt andererseits das Rechtsgeschäft etwa wegen der fehlenden Erlaubnis der Eltern nicht zustande, sind die in der Anbahnungsphase beim Kind ohne Zustimmung der Eltern erhobenen Daten unverzüglich zu löschen.

52

Für den Verantwortlichen des Dienstes der Informationsgesellschaft muss schon zur Dokumentation der Einhaltung der bußgeldbewehrten Anforderung des Art. 8 Abs. 1 DSGVO klar erkennbar sein, ob die Eltern eine Einwilligung in die Datenverarbeitung gegeben haben. Die „Zustimmung der Träger der elterlichen Verantwortung“ in die Einwilligung des Kindes, nach der die für den Vertragszweck erforderlichen Daten auch zu anderen Zwecken verarbeitet oder weitere Daten verarbeitet werden dürfen, führt zur Erlaubnis der Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO. Unter Umständen liegen beide Erlaubnistatbestände (Art. 6 Abs. 1 UAbs. 1 lit. a und lit. b DSGVO) je nach Zweck der Datenverarbeitung durch den Diensteanbieter nebeneinander vor.

53

Handelt es sich um solche personenbezogenen Daten des Kindes, die für die Erbringung der vertraglich geschuldeten Leistung nicht erforderlich sind und die nur auf der Grundlage einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO in gesetzlich zulässiger Weise verarbeitet werden dürfen, so ist bei erfolgter Einwilligung des Kindes noch die Zustimmung der Eltern in die Einwilligung des Kindes erforderlich.

54

Die Einwilligung bzw. Zustimmung nach Art. 8 DSGVO muss deshalb eingeholt werden, weil für die Verarbeitung der für einen Vertragsschluss erhobenen Daten zu einem anderen Zweck als zu dem Zweck der Erbringung der vertraglich geschuldeten Leistung durch den Anbieter eines Dienstes der Informationsgesellschaft eine Erlaubnis vorliegen muss. Das gilt auch, wenn weitere Daten erhoben und verarbeitet werden sollen, die für die vertragliche Leistungserbringung nicht benötigt werden. Wenn man mit der Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26.4.2018 zu dem Ergebnis kam, dass die DSGVO Anwendungsvorrang vor den §§ 12ff. TMG a.F. insgesamt hatte, bedürfte es nach Nr. 9 der Positionsbestimmung „einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen“. Konsequenterweise muss dann auch eine Einwilligung nach § 22 TTDSG von den Eltern eingeholt werden, wenn ein Anbieter von sich direkt an Kinder wendenden Diensten der Informationsgesellschaft Cookies setzt, um die Nutzer zu tracken und Nutzungsprofile zu erstellen.