DSGVO - BDSG - TTDSG. Группа авторов
sind die Sachverhalte, in denen Daten Minderjähriger erhoben werden und zu verschieden die Zwecke, für die die Daten verwendet werden, als dass das Risiko für eine bestimmte Altersklasse pauschal festgelegt werden könnte. Auch die Erfahrungshorizonte der Jugendlichen sind zu unterschiedlich, um pauschal beurteilen zu können, ab welchem fixen Alter die Gefährdungen so gering sind, dass das grundrechtlich durch Art. 8 GrCh verbürgte Selbstbestimmungsrecht eine mit der Zustimmung durch die Träger der elterlichen Verantwortung verbundene Ausgestaltung entbehrlich macht.13
5
Mit der Festlegung einer starren Altersgrenze orientiert sich die Regelung am US-amerikanischen Children’s Online Privacy Protection Act (COPPA)14 von 1998, der sogar davon ausgeht, dass Jugendliche ab einem Alter von 13 Jahren jedenfalls im Online-Handel auch die Folgen für ihre Privatsphäre einschätzen und deshalb mit ihrer Einwilligung in die über die Vertragsabwicklung hinausgehende Verarbeitung ihrer Daten verfügen dürfen. Die Möglichkeit der wirksamen Einwilligung von Kindern, die das 13. Lebensjahr vollendet haben, erscheint mit dieser pauschalen Festlegung aber unangemessen früh.15 Nach Art. 8 DSGVO soll nun bei der Nutzung von Diensten der Informationsgesellschaft die Einwilligung bzw. Zustimmung der Eltern in die Erhebung und Verarbeitung solcher Daten von Kindern bis zur Vollendung des 16. Lebensjahres erforderlich sein, die nicht für die Anbahnung, Durchführung und Beendigung eines Vertragsverhältnisses mit einem Dienst der Informationsgesellschaft benötigt werden. sondern die für einen anderen Zweck verarbeitet werden sollen.
6
Nicht zu verkennen ist das Interesse der Internetwirtschaft, insbesondere der Anbieter sozialer Medien und von Computerspielen, die Einwilligungsfähigkeit16 auch für möglichst junge Menschen anzunehmen.17 Dementsprechend hatten Kommission und Rat das Alter für eine wirksame Einwilligung mit 13 Jahren sehr niedrig ansetzen wollen, entgegen der sich im Rat äußernden Mitgliedstaaten. Schließlich wurde die Vorschrift erst im Trilog ausformuliert. Der Normtext allein zeigt schon, dass eine Harmonisierung nicht zu erreichen war;18 zu unterschiedlich waren die von Kommission, Parlament und Rat bevorzugten Entwürfe.19 Weil sich die Beteiligten über die festzulegende Altersgrenze, die die Kommission und das EU-Parlament bei 13 Jahren sah, nicht einigen konnten, wurde letztlich der vergleichsweise hohe Alterswert auf 16 Jahre festgelegt, allerdings mit der Option für die Mitgliedstaaten, von der Öffnungsklausel des Art. 8 Abs. 1 Satz 3 DSGVO Gebrauch zu machen und die Altersgrenze bis zum 13. Lebensjahr herabzusetzen. Es muss dann eine feste Altersgrenze bis maximal zum 13. Lebensjahr festgesetzt werden, weil eine die Einsichtsfähigkeit zum Kriterium machende Regelung unzulässige wäre. Von dieser Möglichkeit hat der deutsche Gesetzgeber – wie auch die Gesetzgeber von Polen und Ungarn – keinen Gebrauch gemacht. Ein Kind im Sinne des § 8 DSGVO, dessen Daten von einem Anbieter eines Dienstes der Informationsgesellschaft mit Zustimmung des Trägers elterlicher Verantwortung verarbeitet werden dürfen, ist danach, wer das 16. Lebensjahr noch nicht vollendet hat und daher als noch nicht netzmündig20 anzusehen ist. Dagegen nahm etwa Österreich die Öffnungsklausel des Art. 8 Abs. 2 DSGVO in Anspruch und senkte das entsprechende Alter auf 14 Jahre herab (§ 4 Abs. 4 DSG Österreich).21
7
Die Tatsache, dass die Mitgliedstaaten durch nationales Recht die pauschale Altersgrenze für die Wirksamkeit der Einwilligung bei Diensten der Informationsgesellschaft, die sich direkt an Kinder wenden, gesetzlich auf maximal bis zum 13. Lebensjahr absenken dürfen, hat die höchst bedauerliche Folge, dass es in der EU keine einheitliche Altersgrenze geben wird, an der sich Diensteanbieter orientieren können. Die Harmonisierung ist in dieser Hinsicht gescheitert.22
8
In den Fällen, in denen das Kind das 16. Lebensjahr bzw. das nach dem Recht eines Mitgliedstaats festgelegte niedrigere Alter nicht erreicht hat, kann gem. Art. 8 Abs. 1 Satz 2 DSGVO die Einwilligung von den Trägern der elterlichen Verantwortung für das Kind oder vom Kind mit der Zustimmung durch die Träger der elterlichen Verantwortung ausgesprochen werden, um zu einer rechtmäßigen Datenverarbeitung zu kommen. Der Begriff der „Träger der elterlichen Verantwortung“ geht auf den Entwurf des Rates zurück, um zu einem einheitlichen Verständnis des angesprochenen Personenkreises in der EU zu kommen, in der die Sorgeberechtigten unterschiedlich bezeichnet werden. Zuvor waren in den Entwürfen der Kommission und des Parlaments die Begriffe Eltern, Vormund oder Sorgeberechtigten verwendet worden. Im Weiteren werden hier die Eltern als Vertreter der elterlichen Sorge (§§ 1626ff. BGB) genannt, an deren Stelle nach dem nationalen Sorgerecht auch Vormund oder Pfleger treten könnten.
2. Regelungszweck
9
Art. 8 DSGVO verfolgt das Ziel, Kinder davor zu schützen, dass sie mit ihrer Einwilligung die Verarbeitung von solchen Informationen über sich, die nicht für den Zweck der Vertragsdurchführung erforderlich sind, mit möglicherweise nachteiligen Folgen legalisieren. Die Vorschrift sieht vor, dass Kinder erst dann, wenn sie das 16. Lebensjahr vollendet haben, eine Einwilligung gegenüber Diensten der Informationsgesellschaft, zu denen Soziale Medien und Gaming-Plattformen im Internet gehören, wirksam abgeben können. Bis zu diesem Alter müssen sie die Zustimmung der Sorgeberechtigten einholen. Für das Verständnis der Vorschrift ist wesentlich, dass es nicht um die Frage der Erlaubnis geht, Daten des Kindes zu verarbeiten, die bei der Anbahnung, Durchführung und Beendigung des Vertrags zwischen einem Dienst der Informationsgesellschaft und einem Kind verarbeitet werden. Hierfür gibt es neben der für die Wirksamkeit des Rechtsgeschäfts erforderlichen Erlaubnis der Eltern des beschränkt Geschäftsfähigen aus datenschutzrechtlicher Perspektive eine Erlaubnis aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO. Ob der Vertrag, aus dem auch die datenschutzrechtliche Erlaubnis zur Datenverarbeitung folgt, mit einem nicht voll geschäftsfähigen Kind zustande kommt, ist eine von der Vorschrift nicht behandelte, nach Absatz 3 sogar ausdrücklich ausgeklammerte Frage (dazu näher Rn. 46ff.). Art. 8 DSGVO befasst sich nur mit der Zulässigkeit der Verarbeitung von für den Vertragszweck erhobenen, aber dann zweckändernd verarbeiteten Daten sowie darüber hinaus von weiteren Daten, die der Dienst der Informationsgesellschaft von dem Kind für die Verfolgung anderer Zwecke noch begehrt und wofür eine Einwilligung erforderlich ist.
10
Die Annahme, dass ab einem Alter von 16 Jahren die Befähigung vorhanden ist, die Folgen der Einwilligung für die Wahrung der Persönlichkeitsrechte abschätzen zu können, soll allerdings in der Sache auf Dienste der Informationsgesellschaft beschränkt bleiben. Auf andere, nicht mit Diensten der Informationsgesellschaft im Zusammenhang stehende Sachverhalte ist Art. 8 DSGVO nicht anzuwenden.
3. Weitere Vorschriften
11
Der Schutz von Kindern in der Informationsgesellschaft ist der DSGVO erkennbar ein besonderes Anliegen. ErwG 38 bringt dies besonders zum Ausdruck. Danach verdienen Kinder „bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind“.23 Weiter heißt es hier, dass „ein solcher besonderer Schutz ... insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen“ sollte. § 1 JMStV bezweckt u.a. den „Schutz der Kinder und Jugendlichen vor Angeboten in elektronischen Informations- und Kommunikationsmedien, die deren Entwicklung oder Erziehung beeinträchtigen oder gefährden“. § 10a JuSchG enthält die Schutzzielbestimmung, Kinder und Jugendliche vor entwicklungsbeeinträchtigenden und jugendgefährdenden Medien zu schützen. Die Bundesländer wollen sich laut einer Protokollerklärung zum Medienstaatsvertrag (MStV) für ein sicheres Heranwachsen von Kindern und Jugendlichen in der Mediengesellschaft einsetzen. Dass ein solcher Schutz geboten ist, zeigt die Praxis des Anbieters des auch in Deutschland bei Kindern sehr beliebten, in vielen Ländern aber gesperrten