DSGVO - BDSG - TTDSG. Группа авторов
der Eltern erforderlich ist, und für den Zeitraum nach der Vollendung des 16. bis zur Vollendung des 18. Lebensjahres, in dem nicht voll geschäftsfähige Jugendliche allein wirksam entsprechend den Anforderungen von Art. 4 Nr. 11 und Art. 7 DSGVO einwilligen können. Bei Minderjährigen nach Vollendung des 16. Lebensjahres ist von einer Einsichtsfähigkeit grundsätzlich auszugehen.67 Deutschland hat mit dem BDSG keine Abweichung vom 16. Lebensjahr als Altersgrenze vorgesehen.
33
Bei grenzüberschreitenden Diensteangeboten ergeben sich durch diese fehlende Harmonisierung für die Anbieter ein Mehraufwand und Rechtsunsicherheit, weil diese jeweils prüfen müssen, ob nach dem Recht des Wohnsitzes des Kindes abweichende Altersgrenzen normiert wurden.68
III. Nachweisobliegenheiten (Abs. 2)
34
Mit Art. 8 Abs. 2 DSGVO wird der Verantwortliche verpflichtet, unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zu unternehmen, um sich zu vergewissern, dass das Kind das 16. Lebensjahr vollendet hat oder ansonsten die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung vom Kind erteilt wurde. Diese datenschutzrechtlichen Prüfpflichten sind ggf. neben den jugendschutzrechtlichen Schutzvorschriften zu beachten. Die zu unternehmenden Anstrengungen beziehen sich nach dem Wortlaut nur darauf, sich zu vergewissern, dass die Einwilligung auch tatsächlich von dem Träger der elterlichen Verantwortung stammt oder die Einwilligung des Kindes mit dessen Zustimmung erfolgte. Letztlich unterliegt der Verantwortliche eines sich direkt an Kinder wendenden Dienstes der Informationsgesellschaft auch der Nachweispflicht, dass die Einwilligung von einer Person stammt, die das 16. Lebensjahr vollendet hat. Insofern werden auch bei der Prüfung, ob wegen des Alters Art. 8 DSGVO zur Anwendung kommt, mindestens die gleichen Anstrengungen zu erwarten sein.69 Es ist demnach das Alter wirksam und wahrhaftig zu prüfen und bei der Feststellung, dass das 16. Lebensjahr nicht vollendet, auch die Authentifizierung des die Einwilligung bzw. Zustimmung vornehmenden Elternteils durchzuführen. Deshalb werden diese eher technischen Fragen hier zusammen behandelt.
35
Mit Absatz 2 wird keine weitere Anforderung an die Wirksamkeit der Einwilligung hinzugefügt. Vielmehr enthält die Vorschrift eine Obliegenheit, im Rahmen des Angemessenen mit geeigneten technischen Mitteln zu überprüfen, ob die Anforderungen aus dem Abs. 1 eingehalten werden, wenn eine Einwilligung oder Zustimmung der Eltern als Voraussetzung für die Rechtmäßigkeit einer sich auf eine Einwilligung stützende Datenverarbeitung erforderlich ist. Die Ergebnisse der Prüfung sind zu dokumentieren, woraus sich auch Herausforderungen im Rahmen der Rechenschaftspflicht („Accountability“) ergeben.
36
Verlangt wird von dem durch Art. 8 Abs. 1 DSGVO angesprochenen Diensteanbieter (siehe Rn. 13), „angemessene Anstrengungen“ zu unternehmen, um den Nachweis zu erbringen, dass dann, wenn das 16. Lebensjahr nicht vollendet wurde, die Einwilligung bzw. Zustimmung tatsächlich von den Eltern stammt. Dabei hat sich der Verantwortliche dafür verfügbarer Technik zu bedienen. Teilweise wird dadurch die Notwendigkeit abgeleitet, geeignete Altersverifikationssysteme im Rahmen internetbasierter Einwilligungsprozesse und – für den Fall der Notwendigkeit der Einwilligungs- oder Zustimmungserklärung durch Eltern – Authentifizierungssysteme implementieren zu müssen, wobei nur die verfügbare Technik Angemessenheitsentscheidungen erfordert.70
37
Die Angemessenheitsprüfung wird nicht nur den Aufwand und damit die Kosten für die einzusetzende Technik im Verhältnis zu dem für den jeweiligen Diensteanbieter wirtschaftlich Vertretbaren zu berücksichtigen haben, sondern auch die Gefährdung für die Persönlichkeitsrechte des Kindes, die durch die Einwilligung in die Verarbeitung seiner Daten für den vorgesehenen Verarbeitungszweck entsteht.71 Es ist folglich der Verhältnismäßigkeitsgrundsatz zu beachten, wie er auch bei der Entscheidung über die einzusetzenden technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit von Bedeutung ist. Die Weiterentwicklung der Technik und ihrer Verfügbarkeit wird dabei vom Verantwortlichen beobachtet werden müssen, um die Anforderungen an die Prüfpflichten stets bestmöglich angemessen erfüllen zu können.
38
Diese Anforderungen bergen mehrere Schwierigkeiten. Sofern ein Altersverifikationssystem eingesetzt wird, dürfte entsprechend dem Grundsatz der Datenminimierung (Art. 5 DSGVO) technisch nicht (zusätzlich) das Alter erhoben, sondern nur die Feststellung getroffen werden, ob die geforderte Altersgrenze erreicht ist.72 Ein solches technisches Altersverifikationssystem dürfte inzwischen verfügbar sein und auch von Minderjährigen mit Hilfe eigener Chipkarten, eigenem Personalausweis oder eigenem sonstigen Mittel zur Altersverifikation nutzbar sein. Das Anklicken einer Checkbox, mit dem ein Nutzer erklärt, das 16. Lebensjahr vollendet zu haben, genügt den Anforderungen aufgrund der Missbrauchsmöglichkeit nicht.73 Immer noch (personell) aufwändig, aber technisch möglich und wirksam wäre die Altersverifikation durch das Zeigen des Ausweises in eine Videokamera durch das Kind, sodass die Gegenseite, der Verantwortliche, das Gesicht des Kindes im Videobild mit dem Foto auf dem auch das Alter anzeigenden, in die Kamera gehaltenen Ausweises abgleichen kann (Video-Ident-Verfahren). Das Ergebnis müsste vom Verantwortlichen dokumentiert werden, ohne dass es zu einer Verarbeitung des Ausweisbildes oder des Geburtsjahres kommt.
39
Die gleichen Probleme, angemessene und technisch verfügbare Verfahren zu nutzen, zeigen sich bei dem nachfolgenden Prüfschritt dieses „zweistufigen Überprüfungsverfahrens“,74 mit dem sichergestellt werden soll, dass die Einwilligung bzw. Zustimmung tatsächlich von den Eltern erklärt wurde. Auch hier genügt eine Bestätigung des Vorliegens einer Zustimmung oder Einwilligung der Eltern durch das Kind mittels Anklicken einer Checkbox oder Abfragemaske nicht.75
40
Zweifellos ergeben sich hier für die Diensteanbieter Probleme der technischen Umsetzung der Anforderungen aus Art. 8 DSGVO. So wird vorgeschlagen, dass das Kind dem Diensteanbieter die E-Mail-Adresse eines Elternteils angibt, damit dieser mit einem Double-opt-in-Verfahren vom Diensteanbieter um Einwilligung bzw. um Zustimmung zur Einwilligung des Kindes gebeten wird.76 Eine Verifizierung, ob damit tatsächlich rechtssicher der Elternwille abgefragt wird, bietet diese Lösung allerdings nicht; zu einfach ist es auch für Kinder, bei einem Freemail-Anbieter eine E-Mail-Adresse mit dem Namen der Eltern zu generieren, unter der sodann die Kinder Erklärungen empfangen und unter dem Namen der ahnungslosen Eltern absenden können. Dieses Verfahren ist aufgrund der Missbrauchsgefahr untauglich.77 Nicht akzeptabel ist es, wenn angesichts dieses Missbrauchsrisikos unter Hinweis auf Absatz 2 mit seinen unbestimmten Rechtsbegriffen (unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zu unternehmen) lakonisch erklärt wird, dass diese Missbrauchsgefahr hinzunehmen sei. Der von der Verordnung ausweislich des ErwG 38 gewollte Schutz von Kindern gebietet es, die Vorschrift streng auszulegen und von den Anbietern von Diensten der Informationsgesellschaft zu erwarten, dass sie angesichts vorhandener Technik sicherstellen, dass die Einwilligungs- bzw. Zustimmungserklärung tatsächlich von den Eltern stammt. Der Angemessenheitsmaßstab darf sich nicht allein an den Kosten für den Verantwortlichen orientieren, sondern muss bei der Prüfung der Verhältnismäßigkeit dem Schutz der Persönlichkeitsrechte des Kindes einen überragenden Wert zumessen, dem „nicht zumutbare Kosten“ nicht entgegengehalten werden dürfen.
41
Der Vorschlag, Missbrauch durch Verwendung der qualifizierten elektronischen Signatur (§ 126a Abs. 1 BGB) auszuschließen, wird nicht nur daran scheitern, dass die Einwilligung formfrei durch eine Erklärung oder eindeutige Handlung möglich sein muss, sondern vor allem daran, dass sich die qualifizierte elektronische Signatur als Unterschriftssurrogat nicht durchgesetzt hat. Wegen des „erheblichen technischen und (für viele auch intellektuellen) Anwender-Aufwands“