DSGVO - BDSG - TTDSG. Группа авторов
Verwaltungsvorgängen und im Rechtsverkehr Anwendung.78 Andere Verifikationsmöglichkeiten bestehen aber.79 Auch die Möglichkeit des Identitätsnachweises durch eID-Funktion des Personalausweises dürfte bald flächendeckend bestehen.
42
In der Praxis zeigen sich auch bei der Nutzung von solchen Diensten der Informationsgesellschaft, die als App für Smartphones und Tablets angeboten werden, dogmatische Einordnungsprobleme. Aus Art. 25 Abs. 2 Satz 1 DSGVO (privacy by default) folgt, dass bei der ersten Nutzung des Dienstes die Grundeinstellung gewährleistet, dass nur die für die Anwendung unverzichtbaren Daten verarbeitet werden. Es ist fraglich, ob bei einer Änderung der Einstellung beispielsweise zu dem Zweck, geobasierte Funktionen nutzen zu können, wofür Daten über den Standort übermittelt werden müssen, eine Vertragserweiterung vorgenommen wird, an der die Eltern nicht mitwirken müssen, oder ob aufgrund von Art. 8 DSGVO jeweils eine Zustimmung der Eltern erforderlich ist. Bei einer strengen Auslegung müssten die Eltern zustimmen. Dieses Beispiel dürfte zeigen, dass die Vorschrift der Konkretisierung bedürfte.
43
Anbieter von solchen Apps, die sich direkt an Jugendliche unter 16 Jahren wenden, setzen auf eine Vertragslösung nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO, wenn Jugendlichen die Möglichkeit gegeben wird, öffentlich oder für einen begrenzten Freundeskreis sichtbare Profildaten über sich in einem Social-media-Dienst einzugeben. Begründet wird dies damit, dass die vertraglich angebotenen Funktionalitäten nur dann genutzt werden können, wenn auch Informationen über den Nutzer eingegeben werden. Ausgeschlossen ist es dann aber, dass diese Daten vom Verantwortlichen für andere Zwecke – wie etwa Marketing für sich oder Dritte – ohne gesonderte Einwilligung nach Art. 8 DSGVO verarbeitet werden.
44
Die Rechtsunsicherheit bei der Anwendung des Art. 8 Abs. 1 DSGVO in Verbindung mit den Prüfpflichten aus Absatz 2 DSGVO ist hoch.80 Insgesamt erweist sich die Vorschrift in der Praxis als kaum operabel, sodass trotz der verständlichen Begehrlichkeit, Daten von Kindern auf der Grundlage einer Einwilligung verarbeiten zu dürfen, der datenschutz- und kinderschutzfreundlichste Weg der wäre, auf Verarbeitungen auf der Grundlage von Einwilligungen zu verzichten, wenn Dienste der Informationsgesellschaft genutzt werden, die sich unmittelbar oder auch an Kinder wenden.
45
Wenn die Prüfpflichten in akzeptabler Weise berücksichtigt wurden, sich aber dann herausstellt, dass die Altersangabe falsch war oder die Einwilligung bzw. Zustimmung nicht vorlag, wird man von der Rechtmäßigkeit der Datenverarbeitung bis zu diesem Zeitpunkt ausgehen müssen,81 weil die materiell-rechtlichen Anforderungen aus Art. 8 Abs. 1 DSGVO beachtet wurden, allerdings die Prüfungen zu falschen Ergebnissen führten. Sobald aber positive Kenntnis davon vorliegt, dass die Altersangabe falsch ist oder keine Einwilligung bzw. Zustimmung der Eltern erklärt wurde, sind die Daten unverzüglich zu löschen bzw. nicht mehr für vertragsfremde Zwecke zu nutzen, soweit sich ihre Verarbeitung auf eine vermeintlich wirksame Einwilligung stützt.
IV. Fortgeltung des allgemeinen mitgliedstaatlichen Vertragsrechts (Abs. 3)
46
Art. 8 Abs. 3 DSGVO stellt lediglich klar, dass die mitgliedstaatlichen Regelungen zum allgemeinen Vertragsrecht, in Deutschland insbesondere zum Recht der Minderjährigen gem. §§ 104ff. BGB, durch Art. 8 DSGVO nicht berührt werden. Ein Rechtsgeschäft zwischen einem Kind, das das 16. Lebensjahr nicht vollendet hat, und einem Dienst der Informationsgesellschaft bedarf folglich der Zustimmung zum Vertragsschluss durch die Eltern, was zur Erlaubnis der Verarbeitung von personenbezogenen Daten des Kindes gem. Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO für vertragliche Zwecke einschließt.
47
Umstritten ist, ob in den Fällen, in denen die Eltern dem Rechtsgeschäft des Minderjährigen, der das 16. Lebensjahr nicht vollendet hat, zustimmen, zusätzlich eine Einwilligung in die für das Rechtsgeschäft erforderliche Verarbeitung der Daten des Kindes erteilt werden muss. Zuzustimmen ist der Ansicht, dass die Einwilligung der Träger der elterlichen Verantwortung nur dann erforderlich ist, wenn die vom Dienst der Informationsgesellschaft verfolgte Datenverarbeitung über das hinausgeht, was durch Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erlaubt ist, also wenn eine für den Zweck der Vertragserfüllung hinausgehende Verarbeitung beabsichtigt ist oder weitere Daten auf der Grundlage einer Einwilligung gem. Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO verarbeitet werden sollen.82 Ist das nicht der Fall, dann korreliert der wirksame Vertragsschluss (des beschränkt Geschäftsfähigen) mit der Erlaubnis zur Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO, und eine zusätzlich Einwilligung wäre nicht erforderlich.
48
Richtig ist auch, dass es einer datenschutzrechtlichen Einwilligung der Eltern dann nicht bedarf, wenn der beschränkt Geschäftsfähige das Rechtsgeschäft ohne Zustimmung der Eltern wirksam abschließen kann (§§ 110, 112, 113 BGB) und in diesem Fall für Zwecke der Vertragsdurchführung die Erlaubnis zur Datenverarbeitung ebenfalls mit dem Vertragsschluss aus Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erfolgt.83
49
Wenn ein Rechtsgeschäft eines nicht voll geschäftsfähigen Minderjährigen wirksam ist, weil er beispielsweise die vertraglich geschuldete Leistung mit Mitteln bewirkt, die ihm zu diesem Zweck oder zur freien Verfügung gestellt wurden (§ 110 BGB), bedarf es für die Verarbeitung seiner personenbezogenen Daten der Zustimmung der Eltern für Zwecke des Vertragsverhältnisses nicht. Der Anbieter kann damit davon ausgehen, dass dann, wenn das Rechtsgeschäft mit dem Kind wirksam ist, eine Einwilligung in die Verarbeitung der Daten des Kindes für Zwecke des Vertragsverhältnisses nicht erforderlich ist, weil die Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erlaubt ist.
50
Die Einwilligung bzw. die Zustimmung der Eltern ist aber dann noch einzuholen, wenn das Kind, das das 16. Lebensjahr noch nicht vollendet hat, nach §§ 112 Abs. 1, 113 Abs. 1 BGB wirksam rechtsgeschäftliche Erklärungen abgibt und in diesem Zusammenhang personenbezogene Daten verarbeitet werden sollen, die nicht der Erfüllung des Vertragszwecks dienen. Wegen des Trennungsprinzips wäre dann eine Einwilligung bzw. die Zustimmung der Eltern in die über den Vertragszweck hinaus verarbeiteten Daten erforderlich. Aus dem Umstand, dass derartige Rechtsgeschäfte wirksam abgeschlossen werden, kann nicht gefolgert werden, dass auch die Einwilligungsfähig vorhanden ist. Es bleibt bei der konsequenten Anwendung des § 8 DSGVO, der diese Einwilligungsfähig erst mit Vollendung des 16. Lebensjahres als gegeben ansieht.
51
Abzulehnen ist also die Ansicht, dass die datenschutzrechtlich erforderliche Einwilligung bzw. Zustimmung neben der nach allgemeinem Zivilrecht erforderlichen Zustimmung zum Vertragsschluss und auch bei einer zivilrechtlich zum Vertragsschluss führenden Willenserklärung des Kindes (z.B. aufgrund der Privilegierung nach § 110 BGB) zu erteilen ist, damit das Rechtsgeschäft wirksam ist (Trennungsprinzip). Neben der Zustimmung zum Vertragsschluss bei fehlender Rechtsgeschäftsfähigkeit des Kindes muss danach die Einwilligung in die Datenverarbeitung stets nur für andere als die Vertragszwecke erforderlich sein.84 Eine solche ist nach alledem also nur dann erforderlich, wenn die Daten nicht nur zur Erfüllung des Vertragszwecks gem. Art. 6 Abs. 1 UAbs. 1 lit b DSGVO, sondern auch für andere Zwecke bestimmt sind, was dann einer Einwilligung oder Zustimmung bedürfte. Kommt andererseits das Rechtsgeschäft etwa wegen der fehlenden Erlaubnis der Eltern nicht zustande, sind die in der Anbahnungsphase beim Kind ohne Zustimmung der Eltern erhobenen Daten unverzüglich zu löschen.
52
Für den Verantwortlichen des Dienstes der Informationsgesellschaft muss schon zur Dokumentation der Einhaltung der bußgeldbewehrten Anforderung des Art. 8 Abs. 1 DSGVO klar erkennbar sein, ob die Eltern eine Einwilligung in die Datenverarbeitung gegeben haben. Die „Zustimmung der Träger der elterlichen Verantwortung“ in die Einwilligung des Kindes, nach der die für den Vertragszweck erforderlichen Daten auch zu anderen Zwecken verarbeitet oder weitere Daten verarbeitet werden dürfen, führt