DSGVO - BDSG - TTDSG. Группа авторов
(Art. 6 Abs. 1 UAbs. 1 lit. a und lit. b DSGVO) je nach Zweck der Datenverarbeitung durch den Diensteanbieter nebeneinander vor.
53
Handelt es sich um solche personenbezogenen Daten des Kindes, die für die Erbringung der vertraglich geschuldeten Leistung nicht erforderlich sind und die nur auf der Grundlage einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO in gesetzlich zulässiger Weise verarbeitet werden dürfen, so ist bei erfolgter Einwilligung des Kindes noch die Zustimmung der Eltern in die Einwilligung des Kindes erforderlich.
54
Die Einwilligung bzw. Zustimmung nach Art. 8 DSGVO muss deshalb eingeholt werden, weil für die Verarbeitung der für einen Vertragsschluss erhobenen Daten zu einem anderen Zweck als zu dem Zweck der Erbringung der vertraglich geschuldeten Leistung durch den Anbieter eines Dienstes der Informationsgesellschaft eine Erlaubnis vorliegen muss. Das gilt auch, wenn weitere Daten erhoben und verarbeitet werden sollen, die für die vertragliche Leistungserbringung nicht benötigt werden. Wenn man mit der Positionsbestimmung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 26.4.2018 zu dem Ergebnis kam, dass die DSGVO Anwendungsvorrang vor den §§ 12ff. TMG a.F. insgesamt hatte, bedürfte es nach Nr. 9 der Positionsbestimmung „einer vorherigen Einwilligung beim Einsatz von Tracking-Mechanismen, die das Verhalten von betroffenen Personen im Internet nachvollziehbar machen und bei der Erstellung von Nutzerprofilen“. Konsequenterweise muss dann auch eine Einwilligung nach § 22 TTDSG von den Eltern eingeholt werden, wenn ein Anbieter von sich direkt an Kinder wendenden Diensten der Informationsgesellschaft Cookies setzt, um die Nutzer zu tracken und Nutzungsprofile zu erstellen.
V. Rechtsfolgen
55
Diensteanbieter, die Daten von Kindern verarbeiten, ohne nach Art. 8 Abs. 1 DSGVO eine Einwilligung oder Zustimmung der Eltern eingeholt zu haben, können aufgrund dieses Verstoßes gegen die Anforderungen an die Einwilligung von Kindern in die Datenverarbeitung von Diensten der Informationsgesellschaft, die sich direkt an Kinder wenden, gem. Art. 83 Abs. 4 lit. a DSGVO mit einem Bußgeld in Höhe von bis zu 10 Mio. EUR oder mit bis zu 2 % des Jahresumsatzes als Obergrenze sanktioniert werden.85 Damit bleibt die Sanktion hinter der Androhung von Bußgeldern zurück, die bei einem Verstoß gegen die sich aus Art. 7 DSGVO ergebenden Anforderungen verhängt werden können und nach Art. 83 Abs. 5 lit. a DSGVO mit maximal 20 Mio. EUR oder 4 % des Jahresumsatzes bewehrt sind.86 Zu beachten ist aber, dass diese hier genannten Beträge den Bußgeldrahmen nur nach oben beschränken. Bei der Bemessung der Geldbuße ist zwar zu berücksichtigen, dass die Buße wirksam, verhältnismäßig und abschreckend ist (Art. 83 Abs. 1 DSGVO). Entgegen dem Berechnungsmodell der deutschen Aufsichtsbehörden sind allerdings zumessungserhebliche Umstände des Einzelfalls zu berücksichtigen.87
56
Fraglich ist aber, ob auch ein Verstoß gegen Art. 8 Abs. 2 DSGVO mit einem Bußgeld geahndet werden kann. Wegen der in Abs. 2 enthaltenen Ermessensentscheidung hinsichtlich der Anstrengungen und des angemessenen Einsatzes verfügbarer Technik sowie der zahlreichen unbestimmten Rechtsbegriffe ist die Beachtung des Bestimmtheitsgebotes mehr als fraglich.88
57
Werden die an eine Einwilligung nach Art. 8 DSGVO zu beachtenden Anforderungen nicht beachtet und wenn keine Einwilligung oder eine unwirksame vorliegt, so sind die Daten des Kindes zu löschen (siehe Art. 17 Rn. 58ff.). Unter Umständen ist auch ein Schadensersatzanspruch nach Art. 82 DSGVO in Betracht zu ziehen (siehe Art. 82 Rn. 13ff.).
1 Wie hier Buchner/Kühling, in: Kühling/Buchner, DS-GVO BDSG, Art. 8 Rn. 19; Buchner/Kühling, DuD 2017, 544, 547; Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 8 Rn. 5, 7, 13, unklar Rn. 12 am Ende; Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO, Art. 8 Rn. 9; Kampert, in: Sydow, EU-Datenschutzverordnung, Art. 8 Rn. 1; a.A. Schulz, in: Gola, DS-GVO, Art. 8 Rn. 1; Karg, in: Wolff/Brink, BeckOK DatenschutzR, Art. 8 DSGVO Rn. 35. 2 Zur Gefährdung Minderjähriger im Internet Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 8 Rn. 4; Gola/Schulz, ZD 2013, 475. Grundlegend auch Schnebbe, Minderjährige im Datenschutzrecht (im Erscheinen). 3 Ausführlich Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 8 Rn. 17: „Soweit Art. 9 Abs. 2 lit. a zur Anwendung kommt, ist die Einwilligungsfähigkeit mithin im Einzelfall zu ermitteln (Art. 4 Nr. 11).“ 4 Gesetzesentwurf des Bundesrats v. 3.8.2011 zur Änderung des TMG, BT-Drs. 17/6765. 5 Klass, in: Erman, BGB, 16. Aufl. 2020, Anhang zu § 12, Das Allgemeine Persönlichkeitsrecht, Rn. 234, geht unter Hinweis auf LG Bielefeld, Urt. v. 18.9.2007 – 6 O 360/07, ZUM 2008, 528, davon aus, dass in der Regel „ab Vollendung des 14. Lebensjahres von einer Einsichtsfähigkeit ausgegangen werden könne“; gleichwohl stellt er fest: „Ein Minderjähriger kann im Grundsatz nicht wirksam über sein APR disponieren – vielmehr bedarf er hierzu der Einwilligung des gesetzlichen Vertreters, d.h. trotz des höchstpersönlichen Rechtsguts bleibt es grundsätzlich bei der nach §§ 107ff. vorgesehenen Entscheidungsbefugnis der gesetzlichen Vertreter.“, ebenda. 6 Siehe dazu Jandt/Roßnagel, MMR 2011, 637; Greve, in: Auernhammer, DSGVO BDSG, Art. 8 Rn. 3. 7 OLG Hamm, Urt. v. 20.9.2012 – 4 U 85/12, ZD 2013, 29 = DuD 2013, 106 = K&R 2013, 53 mit kritischer Anm. von Schröder. Das besondere Problem bei dem zu entscheidenden Sachverhalt lag darin, dass in die Teilnahme an einem Gewinnspiel eingewilligt wurde, das der Kundengewinnung durch eine Krankenkasse dient und nach dem Normzweck des § 176 Abs. 1 Satz 3 SGB V Minderjährige ab einem Alter von 15 Jahren ihre Krankenkasse frei wählen können. Die Einwilligung wurde zutreffend nur nach datenschutzrechtlichen Kriterien bewertet, weil der Vorgang einem höchst vagen Vertragsschluss mit der Krankenkasse weit vorgelagert war. Von einer die Einsichtsfähigkeit ausschließenden geschäftlichen Unerfahrenheit geht auch Ernst, jurisPR-WettbR 12/2012 Anm. 4, aus. 8 Siehe die deshalb kritischen Anmerkungen von Moos, Update Datenschutz, in: Taeger, Big Data & Co., S. 529, 538. 9 BGH, Urt. v. 22.1.2014 – I ZR 218/12, WRP 2014, 835. 10 BGH, Urt. v. 22.1.2014 – I ZR 218/12, WRP 2014, 835. 11 Siehe zur Einsichtsfähigkeit minderjähriger Online-Spieler Backu, ZD 2012, 59; Ernst, jurisPR-WettbR 12/2012 Anm. 4; LG Saarbrücken, Urt. v. 27.1.2012 – 10 S 80/11, MMR 2012, 261, und minderjähriger Teilnehmer an sozialen Netzwerken Wintermeier, ZD 2012, 210. 12 Ebenso Liedke, Die Einwilligung im Datenschutzrecht, S. 14f. mit Hinweisen zum Meinungsstand; Schüßler, in: Taeger, Digitale Evolution, 2010, S. 233, 249. Kritisch auch Spindler, Gutachten zum 69. DJT, 2012, F 51. Vgl. auch von Zimmermann, Die Einwilligung im Internet, S. 152ff. 13 Ausführlich dazu Radlanski, Das Konzept der Einwilligung, S. 102ff., der deshalb nach objektiv messbaren Indikatoren sucht. Zur Ausgestaltung des Grundrechts aus Art. 8 GrCh durch Art. 8 DSGVO Klement, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 8 Rn. 6, 9. 14 15 U.S.C. § 6501–6506 (Publ.L. 105–277 Stat. 2581-728 v. 21.10.1998). 15 Die Kommission hatte diese frühe Altersgrenze bereits in den Safer Social Networking Principles for the EU, (IP/09/232) festgelegt, die sie 2009 mit führenden Anbietern von Webseiten zur Verbesserung der Sicherheit von Minderjährigen vereinbart hatte. Vgl. zum Ganzen Schüßler, in: Taeger, Digitale Evolution, S. 233, 247ff. 16