DSGVO-Vorgaben für minderjährige Personen

DSGVO-Vorgaben für minderjährige Personen

 

Das Internet wird von Kindern und Jugendlichen immer häufiger genutzt. Vor allem die sozialen Medien Facebook, WhatsApp und YouTube sind für diese Altersgruppe besonders attraktiv und werden zum Austausch und zur Kommunikation mit Freunden genutzt. Doch auch kleine Käufe vom Taschengeld werden mittlerweile über Onlineshops abgewickelt.

 

Laut Artikel 8 Datenschutz-Grundverordnung (EU-DSGVO) ist das Lebensalter das relevante Kriterium, wann ein Minderjähriger selbstständig eine Einwilligung für die Nutzung seiner personenbezogenen Daten durch Onlineunternehmen geben darf. In Deutschland liegt die Altersgrenze bei 16 Jahren, doch durch die integrierte „Öffnungsklausel“ können andere europäische Länder das Alter der selbstständigen Einwilligung Minderjähriger abweichend festlegen. In Österreich liegt das Mindestalter für eine selbstständige Einwilligung beispielsweise bei nur 14 Jahren, in Schweden und Dänemark ist eine selbstständige Einwilligung bereits in einem Alter von 13 Jahren möglich. Die Grenze von 13 Jahren darf europaweit nicht unterschritten werden.

 

Kinder und Jugendliche, die in Deutschland leben und jünger als 16 Jahre alt sind, benötigen für die Nutzung ihrer personenbezogenen Daten das Einverständnis bzw. die Zustimmung ihrer Eltern oder eines Erziehungsberechtigten. Liegt dieses Einverständnis nicht vor, ist die Einwilligungserklärung, die Kinder abgeben, unwirksam.

 

 

Besondere Schutzmechanismen für Kinder

 

Anders als im alten Bundesdatenschutzgesetz (BDSG), in dem kein expliziter Schutz der personenbezogenen Daten speziell von Kindern und Jugendlichen enthalten war, sieht die EU-DSGVO für diese Altersgruppe besondere Schutzmaßnahmen vor. Entsprechende Regelungen sind im Artikel 8 der EU-DSGVO formuliert. In diesem Zusammenhang spielt auch der Erwägungsgrund 38 eine Rolle. In ihm wird festgelegt, dass sich Kinder und Jugendliche nicht über die Tragweite der Risiken, Folgen und Garantien der Verarbeitung von personenbezogenen Daten bewusst sind und daher zusätzlichen Schutz benötigen.

 

Die Anwendbarkeit des Artikels 8 bezieht sich ausschließlich auf den „Dienst der Informations­gesellschaft“. Eine klare Definition dieses Begriffes gibt es nicht, zumeist wird die folgende Formulierung eingesetzt: Dienstleistungen oder Verkäufe, die elektronisch und gegen Entgelt sowie auf den individuellen Wunsch des Empfängers erbracht werden. Dabei muss ein Angebot direkt an den Minderjährigen gemacht werden, damit die Nutzung der personenbezogenen Daten rechtmäßig ist.

 

Es stellt sich die Frage, welche Anforderungen an eine gesetzeskonforme Einwilligung gestellt werden müssen. Nach Artikel 7 müssen die folgenden Maßgaben erfüllt sein:

 

  • Freiwillige Abgabe der Einwilligung: die Einwilligung darf in keiner Weise vom Datenverarbeitenden erzwungen werden.
  • Ausreichende Informationserteilung: Personen, dessen Daten verarbeitet werden, müssen über den Zweck der Erhebung und Verarbeitung informiert werden.
  • Unmissverständliche Abgabe: Personen müssen sich darüber bewusst sein, dass die Einwilligung erteilt und aktiv bejaht wurde.
  • Sachbezogene, prozessbezogene Einwilligung: Die Einwilligung erfolgt ausschließlich für einen klar formulierten Zweck und nur für diesen Zweck.

 

Diese Anforderungen an die Einwilligung gelten auch für Minderjährige in Deutschland. Nur wenn alle genannten Kriterien erfüllt sind, gilt eine Einwilligung als rechtskonform erteilt. Minderjährigen erhalten mit Abgabe ihrer Einwilligung das Recht, die Einwilligung jederzeit widerrufen zu können. Ist ein Kind jünger als 16 Jahre, wird es durch Eltern oder Erziehungsberechtigte vertreten. Wenn Internetanbieter erstmalig oder mit geändertem Zweck personenbezogenen Daten von Kindern und Jugendlichen unter 16 Jahren erheben oder verarbeiten, muss die Einwilligung der Eltern oder Erziehungsberechtigten eingeholt werden.

 

Nur in Ausnahmesituationen entfällt die Vertretungspflicht durch die Eltern. Diese Fälle treten eher selten auf, doch können Kindern und Jugendlichen beispielsweise in kritischen Lebenssituationen helfen, ohne Kenntnis derer Eltern. Darunter fällt der elektronische Kontakt zu Präventionsstellen beispielsweise einer Schwangerschaftsberatung oder einer Entzugsberatung.

 

 

Datenschutz für Jugendlicher auf digitalen Plattformen der sozialen Medien

 

Twitter, Facebook, aber auch YouTube und WhatsApp gehören bei den Jugendlichen von heute zum Alltag und stellen einen nicht zu unterschätzenden Anteil zum kommunikativen Austausch dar. Etwa 80% aller Kinder und Jugendlichen tummeln sich auf einer oder sogar mehreren Plattformen. Dort verschicken sie Botschaften und veröffentlichen, „posten“ oder teilen Bilder. Die sozialen Medien leben von diesen personenbezogenen Daten, die dort veröffentlicht werden.

 

Mittlerweile haben alle gängigen „Social Media“-Plattformen mehr oder weniger Anpassungen vorgenommen. WhatsApp beispielsweise, ein Tochterunternehmen von Facebook, hat das Mindestalter zur Nutzung des Dienstes von 13 auf 16 Jahre angehoben. Bei einer Nutzung erfragt WhatsApp lediglich das Alter, allerdings werden die Angaben kaum auf Echtheit überprüft. Facebook selbst hat hingegen als Reaktion der EU-DSGVO für den europäischen Raum ein spezielles Verfahren entwickelt, um das Alter der Nutzer zu ermitteln und gegebenenfalls die Zustimmung der Eltern einzuholen.

 

Eltern sollten offen mit ihren Kindern über die Nutzung der sozialen Medien und des Internets reden. Kinder und Jugendlichen sollten über mögliche Risiken wie über den möglichen Missbrauch ihrer personenbezogenen Daten für Werbung oder zu kriminellen Aktivitäten informiert werden. Außerdem sollten sie erfahren, dass weniger Informationen oft mehr sind und dass sie immer im Hinterkopf behalten sollten – das Internet vergisst Informationen nur sehr schwer.

 

 

Schutz der Persönlichkeitsrechte der Jugendlichen

 

Die EU-DSGVO dient nicht nur ausschließlich dem Schutz der personenbezogenen Daten. Sie stärkt zusätzlich die Persönlichkeitsrechte der Minderjährigen. Im Fokus stehen Fotos der Kinder, da diese Fotos ebenfalls Teil personenbezogener Daten sind.

 

Nach wie vor herrscht allgemeine Verunsicherung darüber, wann ein Foto, auf dem ein kleines Kind abgebildet ist, auf sozialen Medien oder auf Webseiten veröffentlicht werden kann. Dies kann nur dann erfolgen, wenn Eltern oder Erziehungsberechtigte der Nutzung zugestimmt haben. Werden Fotos des eigenen Kindes gemacht, auf dem aber andere Kinder zu sehen sind, kann dies bei einer Veröffentlichung über die sozialen Medien als ein Verstoß der EU-DSGVO gewertet werden, falls keine Genehmigung der Eltern der anderen Kinder vorliegt. Auch hier gibt es nur wenig Ausnahmen, die eine Einwiliigung erübrigen.

 

 

 

 

Konsequenzen für Unternehmen und öffentliche Stellen

 

Unternehmen, die personenbezogene Daten von Minderjährigen verarbeiten wollen, müssen sicherstellen, dass dies EU-DSGVO-konform passiert. Bei Kindern, die jünger als 16 Jahre sind, müssen Verantwortliche der Datenverarbeitung im Unternehmen sicherstellen, dass eine Einverständniserklärung der Erziehungsberechtigten vorhanden ist. Wichtig zu beachten ist, dass diese elterliche Zustimmung vor Beginn der Verarbeitung der personenbezogenen Daten des Kindes vorliegt. Es ist nicht ausreichend, diese Einwilligung erst nachträglich einzuholen.

 

Ist der Jugendliche 16 Jahre alt, kann die Einwilligung zur Erhebung und Verarbeitung personenbezogener Daten eigenständig erteilt werden. Die Beschreibung zur Datenverarbeitung muss in leicht verständlicher Sprache sein. Für Unternehmen ist es derweil schwierig herauszufinden, ob Angaben zum Alter wahrheitsgemäß angegeben werden. Nach der EU-DSGVO ist es für die Unternehmen verpflichtend, angemessene technische Voraussetzungen zu schaffen, um sich zu vergewissern, dass die über 16-jährigen ihre Einwilligung erteilt oder die Sorgeberechtigten einer Nutzung personenbezogener Daten zugestimmt haben.