Tobias Rothkegel - Praxishandbuch DSGVO

– Information über die vier „großen W-Fragen“ der Betroffenen nicht vergessen: „Wer (?) will Welche Daten (?) Wofür (?) verwenden und kann ich Widerrufen (?)“;

– sich kurzfassen und wenn nötig mehrschichtige Hinweise geben, ohne die Informationen auf zu viele Detailebenen zu verteilen;

– an inhaltliche Teilbarkeit denken: thematisch gesonderte statt verbundener Klauseln;

– Einwilligungsinhalte nicht künstlich mit harmlos anmutenden Verarbeitungsvorgängen anreichern, die keiner Einwilligung bedürfen, und grafisch deutlich von Vertragserklärungen trennen;

– Einwilligungsklauseln auffällig unmittelbar vor dem Feld platzieren, mit dem der Betroffene seine Gesamterklärung abgibt (Unterschrift/Bestellbutton), oder besser noch gesondert unterschreiben/bestätigen lassen;

– Nachweise für die Erteilung der Einwilligung sichern.

296

Die Fähigkeit zur Einwilligung setzt das Bewusstseinder betroffenen Person über die betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten voraus. Das ergibt sich im Umkehrschluss aus Erwägungsgrund 38 S. 1 zur DSGVO, nach dem Kinder infolge möglicher Ermangelung dieses Bewusstsein besonderen Schutz verdienen.

297

Erwägungsgrund 38 S. 2 zur DSGVO fordert besonderen Schutz für Kinder insbesondere bei der Verwendung ihrer personenbezogenen Daten für Werbezweckeoder für die Erstellung von Persönlichkeits- oder Nutzerprofilenund die Erhebung bei der Nutzung von Diensten, die Kindern direkt angebotenwerden. Auf die genannten Verarbeitungsvorgänge beschränken sich auch die besonderen Anforderungen an die Einwilligung von Kindern in § 8 DSGVO, dessen Anwendungsbereich darüber hinaus eingeengt ist auf Einwilligungen bei direkt an Kinder gerichtete Angebote von Diensten der Informationsgesellschaft. Darunter versteht man alle in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachten Dienstleistungen,517 die durch Illustration, Darstellung und Ansprache erkennbar auf Kinder ausgerichtet sind.518 Entscheidend ist damit, dass Kinder unmittelbar adressiertwerden. Es reicht in diesem Sinne aus, wenn sich das Angebot sowohl an Erwachsene als auchan Kinder richtet, d.h. sog. Dual-Use-Serviceswie etwa die gängigen Social-Media-Seiten dürften vom Wortlaut der Norm, der keine Ausschließlichkeit verlangt, erfasst sein. Keine Anwendung findet die Bestimmung dagegen auf Dienste, die nach Seiteninhalt und Marketingkonzept nur Personen angeboten werden, die 18 Jahre oder älter sind.519 Außerdem nicht unter Art. 8 DSGVO fallen Angebote, die sich über die Eltern, also nur indirekt an Kinder wenden und nicht auf die direkte Interaktion mit Kindern selbst ausgerichtet sind. Entsprechende Beispiele sind Online-Shops für Spielwaren oder Kinderkleidung.520

298

Kinder können in Datenverarbeitungen bei direkt an sie adressierten Angeboten von Fernabsatzdiensten nach § 8 Abs. 1 S. 1 DSGVO selbst einwilligen, wenn sie das 16. Lebensjahrvollendet haben.521 Bei vorformulierten Einwilligungen muss die Wortwahl, die Tonalität und der Sprachstil der kindlichen Zielgruppe angepasst werden.522

Beispiel

Ein nützliches Beispiel für kindgerechte Sprache als Alternative zu den juristischen Formulierungen der Originalfassung bietet die kinderfreundliche Version der UN-Kinderrechtskonvention.523

299

Die Überprüfung des Alters sollte nach Auffassung des Europäischen Datenschutzausschusses nicht zu einer übermäßigen Datenverarbeitung führen. So kann es insbesondere in Situationen mit geringem Risikoangemessen sein, von einem neuen Abonnenten eines Dienstes die Angabe seines Geburtsjahres oder das Ausfüllen eines Formulars zu fordern, in dem dieser erklärt, nicht unter 16 Jahre alt zu sein, und nur bei Zweifeln in eine Altersüberprüfung überzugehen.524 Bei Kindern jüngeren Alters bedarf es der Einwilligung durch den gesetzlichen Vertreter(„ Träger der elterlichen Verantwortung “) oder dessen Zustimmung, Art. 8 Abs. 1 S. 2 DSGVO.

300

Den Verantwortlichen trifft nach Art. 8 Abs. 2 DSGVO die Pflicht, „ unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen “ zu unternehmen, um sich zu vergewissern, dass die erteilte Einwilligung tatsächlich vom gesetzlichen Vertreter des Kindes stammt oder mit seiner Zustimmung erfolgte. Auch insofern gilt, dass die Anforderungen umso höher sind, je größer das Risiko der Datenverarbeitung ist, und umgekehrt, so dass in Fällen mit geringem Risiko die Überprüfung der elterlichen Verantwortung per E-Mail ausreichen kann.525 In diesem Rahmen dürfte auf der einen Seite eine bloße Bestätigung des Nutzers über das Einverständnis des Erziehungsberechtigten in den AGB oder über eine Checkbox grundsätzlich nicht ausreichen,526 während auf der anderen Seite ein Medienbruch, etwa in Gestalt einer unterschriebenen Einwilligung, unangemessenerscheint.527 Verstöße gegen Art. 8 DSGVO können mit Bußgeldern von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens geahndet werden.528 Der Europäische Datenschutzausschuss erkennt die Schwierigkeit der Verifikation des Alters bzw. der Zustimmung der Erziehungsberechtigten ausdrücklich an und billigt entsprechende Berücksichtigung im Rahmen der Bestimmung der angemessenen Anstrengungen zu, ohne die Verantwortlichen allerdings aus ihrer Pflicht zu entlassen, ihre Prozesse und die verfügbare Technologie ständig zu überprüfen.529 In der Praxis empfiehlt sich nach derzeitigem Stand der Technik die Einhaltung mindestens folgender Prüfschritte:

– einfache Altersabfrage im ersten Schritt;530

– bei unter 16-jährigen im zweiten Schritt Vergewisserung über die Einwilligung/Zustimmung des Trägers der elterlichen Verantwortung;

– Einsatz praktikabler Vergewisserungsmethoden:– Double-Opt-in-Verfahren531 über die E-Mail-Adresse des Erziehungsberechtigten;532– verifizierte Kredit-/Debitkartenzahlung des Erziehungsberechtigten bei kostenpflichtigen Diensten;533– Web-Ident-Verfahren durch Videotelefonat mit Erziehungsberechtigtem.

301

Gemäß Art. 17 Abs. 1f DSGVO kann die betroffene Person vom Verantwortlichen die Löschungder auf der Grundlage der Einwilligung nach Art. 8 Abs. 1 DSGVO gespeicherten personenbezogenen Daten verlangen.

302

Weiterhin nach nationalem Recht beurteilen sich die Gültigkeit, das Zustandekommen und die Rechtsfolgen eines Vertragesin Bezug auf Kinder, Art. 8 Abs. 3 DSGVO. Entsprechendes dürfte in Abwesenheit weiterer DSGVO-Regelungen auch für Konstellationen gelten, in denen Einwilligungen von Kindern jenseits von Diensten der Informationsgesellschaft eingeholt werden. Wer aber angesichts immer komplexer werdender Datenverarbeitungsvorgänge nicht auf die Einsichtsfähigkeit von 14-jährigen vertraut, wendet im Zweifel auch in diesem Umfeld mindestens die Altersgrenze des Art. 8 Abs. 1 DSGVO an.534

303

Eine Einwilligung kann wie schon nach der Datenschutzrichtlinie535 als Rechtsgrundlage für die Verarbeitung besonderer Kategorienpersonenbezogener Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) dienen, Art. 9 Abs. 2a DSGVO.536 Über die allgemeinen Anforderungen der Art. 4 Nr. 11 und Art. 7 DSGVO hinaus muss die Einwilligung ausdrücklich537 erfolgen. Die betroffene Person muss demnach per Opt-inder Verarbeitung der jeweils konkret zu nennenden besonderen Datenkategorie zustimmen. Von der Rechtsprechung zu klären ist die Frage, ob aufgrund der im Vergleich zur Datenschutzrichtlinie höheren Anforderungen an die allgemeine Einwilligung in der DSGVO538 womöglich zusätzliche Anstrengungenfür den Erhalt einer ausdrücklichen Einwilligung vom Verantwortlichen unternommen werden müssen, etwa im Sinne eines „ Confirmed Opt-ins“, d.h. einer nochmaligen Bestätigung einer aktiv bereits gegebenen Zustimmung.539