Kinder und Jugendliche sind heute die sogenannten „digital natives“, kennen also gar nichts anderes als das Zeitalter des Internets und nutzen daher selbstverständlich viele Online-Dienste und andere Angebote.

Für öffentliche und nichtöffentliche Stellen stellt sich dabei regelmäßig die Frage, was zu beachten ist, wenn Daten von Kindern verarbeitet werden sollen. Ein besonders wichtiges Augenmerk sollte hierbei auf die Einwilligung gelegt werden. Denn DSGVO und BDSG tragen dem besonderen Schutzbedürfnis von Kindern und Jugendlichen Rechnung und haben spezielle Regelungen getroffen.

Wir möchten hiermit beleuchten, was bei der Einwilligung in eine Datenverarbeitung durch Kinder zu beachten ist.

Gem. Art. 8 DSGVO gilt grundsätzlich, dass für eine wirksame Einwilligung durch Kinder und Jugendliche eine Altersgrenze von 16 Jahren gilt. Grundsätzlich gilt dies nur deshalb, weil den Mitgliedsstaaten durch eine Öffnungsklausel freigestellt wurde, diese Altersgrenze im Einklang mit ihren bestehenden Kinderschutzgesetzen auf 13 Jahre herabzusenken. Deutschland hat von dieser Möglichkeit keinen Gebrauch gemacht und hat die Grenze bei 16 Jahren belassen.

Wenn Kinder und Jugendliche vorher in eine etwaige Datenverarbeitung einwilligen sollen, ist dafür die Zustimmung der Erziehungsberechtigten notwendig. Diese Zustimmung muss vor der fraglichen Datenverarbeitung vorliegen und kann nicht nachträglich erteilt werden. Darüber wie und in welcher Form die Zustimmung einzuholen ist, gibt es keine Vorgaben.

Unter welchen Voraussetzungen gilt Art. 8 DSGVO?

Damit eine Datenverarbeitung aber überhaupt eine Einwilligung erfordert, definiert Art. 8 Abs. 1 DSGVO einige Voraussetzungen für den Anwendungsbereich der Vorschrift.

Zum einen muss ein Angebot von Diensten der Informationsgesellschaft vorliegen. Der Dienst einer Informationsgesellschaft wird durch die DSGVO nicht definiert, die Definition lässt sich aber in der EU-Richtlinie 2015/1535 finden und beinhaltet, dass der Dienst:

1. In der Regel gegen Entgelt erbracht wird,
2. Im Fernabsatz erbracht wird,
3. Elektronisch erbracht wird,
4. Auf individuellen Abruf erbracht wird.

Stellt die Datenverarbeitung keinen solchen Dienst dar, gilt Art. 8 DSGVO nicht.

Zum anderen muss das Angebot dem Kind bzw. Jugendlichen direkt gemacht werden. D. h. Dienste, welche ausschließlich Erwachsene ansprechen, sind auch von der Einwilligungspflicht ausgeschlossen. Sie kommen in den meisten Fällen aus Jungendschutzgründen aber auch gar nicht erst für Kinder und Jugendlich in Frage. Dienste, die sich wiederum an Jugendliche und Erwachsene wenden, wie z. Bsp. viele soziale Netzwerke (Facebook, Instagram etc.), erfordern die Einwilligung der Erziehungsberechtigten für Jugendliche unter 16 Jahren.

In Deutschland geht man in der Theorie noch davon aus, dass mit einer gewissen Einsichtsfähigkeit in die Tragweite der zu beurteilenden Datenverarbeitung des Jugendlichen im Einzelfall auch eine Einwilligung unter 16 Jahren möglich sein kann. Praktisch lässt sich diese Einsichtsfähigkeit aber wohl kaum rechtssicher überprüfen und ist damit nicht relevant.

Wie kann in der Praxis eine Kontrolle erfolgen?

In der Praxis hat man bisher kein sonderlich geeignetes Konzept gefunden, um die Zustimmung der Erziehungsberechtigten rechtssicher einzuholen. Die sicherste Variante wäre wahrscheinlich durch ein Post-Ident-Verfahren oder ähnliches zu verifizieren, dass die Jugendlichen über 16 Jahre alt sind oder hierdurch die Zustimmung der Eltern einzuholen.

Viele soziale Netzwerke wie beispielsweise TikTok lassen sich aber lediglich per Mausklick versichern, dass eine Zustimmung der Eltern vorliegt. Hieran gibt es berechtigte Kritik, dass diese Lösung nicht förderlich für den Jugendschutzgedanken und auch nicht sonderlich rechtssicher für das Unternehmen an sich ist. Da aber gerade bei solchen Diensten eine junge Klientel die Zielgruppe ist, leben Unternehmen lieber mit dem Risiko von Verstößen als wirksame Einwilligungen einzuholen und tatsächlich das Alter effektiv zu verifizieren.

Zur Wahrheit gehört aber auch, dass bisher auch noch keine wirklich bessere Lösung gefunden wurde als der einfache Verweis auf das Zustimmungserfordernis der Erziehungsberechtigten. Das Positive für Dienstanbieter daran ist, dass in der Realität die Verantwortung auf die Erziehungsberechtigten abgeschoben wird, zu überwachen, was ihre Schutzbefohlenen im Internet tun.