DSGVO - BDSG - TTDSG. Группа авторов
gegen den Children’s Online Privacy Protection Act (COPPA) zahlen musste, weil Telefonnummern der Nutzer, ihre Standortdaten und sogar biometrische Informationen aus der Gesichtserkennung ohne Kenntnis der Betroffenen und ohne Einwilligung der Eltern erhoben wurden.24 In Italien ordnete die Datenschutzaufsichtsbehörde im Januar 2021 an, dass TikTok solange keine Daten europäischer Nutzer mehr verarbeiten darf, solange „deren Alter nicht mit voller Sicherheit festgestellt werden“.25 Weil der Dienst seine Datenschutzhinweise nur in englischer Sprache veröffentlichte, verhängte die niederländische Datenschutzaufsicht am 22.7.2021 ein Bußgeld über 750.000 € und leitete ihre Erkenntnisse über die Verletzung des Jugendschutzes an die bekanntermaßen ineffizient arbeitende irische Datenschutzaufsicht weiter; diese war ausschließlich zuständig geworden, weil TikTok zwischenzeitlich eine europäische Niederlassung in Dublin errichtet hatte.26
12
Art. 12 Abs. 1 Satz 1 Hs. 2 DSGVO verlangt, dass die gem. Art. 12 und 13 DSGVO zu gebenden Informationen insbesondere dann, wenn sie sich speziell an Kinder richten, in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache abgefasst sein müssen.
II. Anforderungen an die Einwilligung eines Kindes (Abs. 1)
1. Dienste der Informationsgesellschaft
13
Art. 8 Abs. 1 Satz 1 DSGVO knüpft zunächst daran an, dass bei einem Angebot eines Dienstes der Informationsgesellschaft (Diensteanbieter), das einem Kind gegenüber gemacht wird, personenbezogene Daten (auch) auf der Grundlage einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO verarbeitet werden. In diesem Fall soll die Verarbeitung nur dann rechtmäßig sein, wenn das Kind zum Zeitpunkt seiner Einwilligung das 16. Lebensjahr vollendet hat. Aus dieser Formulierung folgt, dass der Verordnungsgeber unter einem „Kind“ zunächst alle nicht volljährigen Personen ansieht. Soweit diese Personen das 16. Lebensjahr vollendet haben, geht der Verordnungsgeber von deren Einsichtsfähigkeit aus, sodass sie selbst wirksam in die Verarbeitung durch den Anbieter eines Dienstes der Informationsgesellschaft einwilligen können, soweit auch die Anforderungen aus Artt. 4 Nr. 11, 7 DSGVO beachtet wurden. Letztlich reguliert Art. 8 also die Anforderungen an die Rechtmäßigkeit der Verarbeitung von Daten derjenigen Personen, die bei Nutzung eines Dienstes der Informationsgesellschaft das 16. Lebensjahr nicht vollendet haben und einen Dienst der Informationsgesellschaft nutzen;27 diese Anforderungen ergänzen kumulativ diejenigen, die sich aus den allgemeinen Anforderungen an eine Einwilligung aus Art. 4 Nr. 11 und Art. 7 DSGVO ergeben.
14
Die Anforderung ist nur dann beachtlich, wenn eine Einwilligung von einem Verantwortlichen im Rahmen des Angebots eines Dienstes der Informationsgesellschaft eingeholt wird. Nach der Legaldefinition des Art. 4 Nr. 25 DSGVO handelt es sich dabei um „eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates“.28 Dort findet sich dann die Konkretisierung dahingehend, dass „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ als Dienst der Informationsgesellschaft zu verstehen ist.29 Demnach müssen die folgenden Voraussetzungen erfüllt sein: Es muss sich um einen Dienst handeln, der regelmäßig gegen Entgelt, elektronisch, im Fernabsatz und auf individuellen Abruf eines Empfängers erbracht wird. Die Definition ist bewusst offen und neutral definiert, um künftige neue elektronische, über das Internet angebotene Dienste einbeziehen zu können. Hilfreich ist der Katalog von Beispielen im Anhang 1 der vorgenannten Richtlinie, der Dienste auflistet, die nicht als Dienste der Informationsgesellschaft anzusehen sind. Das sind etwa solche, die nicht individuell oder die nicht online erbracht werden oder als Rundfunk oder Telekommunikationsdienste einzuordnen sind.30 Zu beachten ist aber, dass etwa der GMail-Dienst nach einer Entscheidung des EuGH kein Telekommunikationsdienst nach § 6 TKG ist, sondern ein Over-the-top-Kommunikationsdienst (OTT-Dienst), der damit doch ein Dienst der Informationsgesellschaft ist, ebenso wie etwa auch Threema oder WhatsApp.31 Problematisch ist das Kriterium „regelmäßig gegen Entgelt“, weil damit nicht nur diejenigen Dienste erfasst werden, für deren Nutzung eine einmalige oder – wie bei Streamingdiensten – wiederkehrende Zahlung gefordert wird. Die Einschränkung „in der Regel“ unterstreicht die Offenheit der Definition der „Dienste der Informationsgesellschaft“ auch insofern, als ErwG 38 auch Präventions- und Beratungsdienste nennt, die typischerweise kein Entgelt – in welcher Form auch immer – erheben, keine Werbung enthalten und auch nicht die Daten der Nutzer für ihre eigenen Zwecke verwenden.32 Derartige Dienste werden demnach auch von Art. 8 DSGVO erfasst. Ansonsten ist anerkannt, dass eine entgeltliche Leistung auch dann vorliegt, wenn der Dienst wirtschaftlich betrieben wird, etwa dadurch, dass der eine Leistung beanspruchende Nutzer mit seiner Aufmerksamkeit für die präsentierte Werbung33 oder mit seinen „Daten“34 bezahlt. Auch die Richtlinie über Verträge über digitale Inhalte und Dienstleistungen (siehe Art. 6 Rn. 62f.) geht davon aus, dass eine Gegenleistung auch in Form der Überlassung personenbezogener Daten erfolgen kann.35 Ausgeschlossen sind damit nur die Dienste, die ohne Zahlung und ohne Verwertung der Daten des Nutzers angeboten werden. Dazu gehört beispielsweise die Contact Tracing App (Corona-Warn-App), die unentgeltlich anonym genutzt wird. Nutzen Personen, die das 16. Lebensjahr noch nicht vollendet haben, diese App, so findet Art. 8 DSGVO keine Anwendung.36 Handelt es sich – aus welchem Grund auch immer – nicht um einen Dienst der Informationsgesellschaft, findet Art. 8 DSGVO ebenfalls mit der Folge keine Anwendung, dass die allgemeinen Regelungen über die Einwilligung anzuwenden sind, wobei die das 16. Lebensjahr nicht vollendete Person dann die notwendige Einsichtsfähigkeit haben muss.37 Aus dem Normgehalt des Art. 8 DSGVO erschließt sich, dass die von Art. 7 geforderte Einsichtsfähigkeit bei Personen über 16 Jahren anzunehmen ist.38 Bei jüngeren Kindern wird die Einsichtsfähigkeit im Einzelfall unter Berücksichtigung des Entwicklungsstadiums des Kindes und der Art des Dienstes zu prüfen sein. Tendenziell kann die Einsichtsfähigkeit bei Kindern ab dem 14. Lebensjahr eher angenommen werden; bei noch jüngeren Kindern wird sie vorbehaltlich einer Prüfung im Einzelfall eher abzulehnen sein.39
15
Nutzt also ein Kind einen dieser Dienste der Informationsgesellschaft im Internet und wird dabei um eine Einwilligung in die Verarbeitung von Daten für Zwecke, die nicht mit dem Vertragszweck zusammenhängen, gebeten, ist diese Einwilligung erst wirksam, wenn es das 16. Lebensjahr vollendet hat, es sei denn, eine nationale Regelung hat diese Altersgrenze nach unten abgeändert, was nach deutschem Recht nicht der Fall ist. Bei Einwilligungen durch Personen, die älter sind, muss der Diensteanbieter den Art. 8 DSGVO folglich nicht beachten, sondern nur Art. 7 i.V.m. Art. 4 Nr. 11 DSGVO. Er ist aber mit dem Problem konfrontiert, wissen zu müssen, ob die Altersgrenze überschritten ist, was mangels Altersverifikation zweifelsfrei nicht möglich sein dürfte. Es bleibt für ihn ein Risiko, dass trotz entsprechender Hinweise des Anbieters auf die Anforderungen des Art. 8 DSGVO oder trotz des Ausschlusses von Kindern unter 16 durch die Nutzungsbedingungen unwirksame Einwilligungen erteilt werden, was die Verarbeitung rechtswidrig machen würde. Welche Obliegenheiten den Verantwortlichen treffen, um seiner Nachweispflicht hinsichtlich der Einwilligung oder der Zustimmung der Eltern zur Einwilligung des Kindes nachzukommen, wird in Art. 8 Abs. 2 DSGVO geregelt (siehe Rn. 34).
2. Direkt an Kinder gerichtete Diensteangebote
16
Eine weitere Voraussetzung für die Anwendbarkeit der Regelung über die Altersgrenze ist, dass dieses Angebot auch „direkt“ gegenüber dem Kind – hier im Sinne einer bis zu 16 Jahren alten Person – gemacht wird. Die Auslegung dieses Tatbestandsmerkmals führt zu schwierigen, schwer zu lösenden Abgrenzungsproblemen.40 Fraglich ist, ob es sich um einen Dienst handeln muss, der als Zielgruppe (nur) Kinder anspricht, also von den Inhalten, der Sprache und der Aufmachung erkennbar ein Dienst ist, der sich nur oder wenigstens primär an die Altersgruppe der Minderjährigen wendet, auf Kinder ausgerichtet ist und darauf abzielt, gerade deren Interesse zu wecken.41 Dazu gehören auch sendefähige vernetzte