Iubenda logo
Generator starten

Anleitungen

INHALTSÜBERSICHT

Minderjährige und die DSGVO

Sie müssen in Ihrem Unternehmen personenbezogene Daten verarbeiten, die sich auf Minderjährige beziehen. – Welche Aspekte sollten Sie berücksichtigen?

Einige Anforderungen der DSGVO enthalten konkrete Regelungen für die Datenverarbeitung personenbezogener Daten Minderjähriger, insbesondere Artikel 8 Absatz 1 der DSGVO:

Im Falle der Anwendung von Artikel 6 Absatz 1 Buchstabe a in Bezug auf das Angebot von Diensten der Informationsgesellschaft, das sich unmittelbar an ein Kind richtet, ist die Verarbeitung der personenbezogenen Daten eines Kindes rechtmäßig. Ist das Kind noch nicht 16 Jahre alt, so ist die Verarbeitung nur rechtmäßig, wenn und soweit der Träger der elterlichen Verantwortung für das Kind seine Einwilligung erteilt oder diese genehmigt hat.

Schauen wir uns diese Klausel einmal genauer an:

  1. Zunächst einmal gilt diese Bestimmung, im Gegensatz (auf Englisch) zur übrigen DSGVO, nur für Dienstleistungen, die online angeboten werden („Dienste der Informationsgesellschaft“)
  2. Vor allem gilt dies nur, wenn das Angebot an Diensten der Informationsgesellschaft ausdrücklich, ausschließlich oder hauptsächlich für Kinder bestimmt ist. Dies ist dann der Fall, wenn Kinder ausdrücklich angesprochen werden, z. B. in einer informellen, kindlichen Sprache. Wenn also die angebotenen Waren, Dienstleistungen oder Inhalte speziell für Kinder bestimmt sind (z. B. Kinderliteratur, Spiele, schulbezogene Ressourcen usw.) oder wenn das Angebot ausdrücklich auf Kinder beschränkt ist („nur für Kinder“). Ausreichend ist es hingegen nicht, dass Sie Waren, Dienstleistungen oder Inhalte anbieten oder verkaufen, die für Kinder geeignet sein können oder kinderfreundliche Artikel enthalten. Wenn Sie Spielzeug online verkaufen, bedeutet dies daher nicht unbedingt, dass Ihr Online-Shop „konkret für Kinder angeboten“ wird.
  3. Es gilt nur dann, wenn die rechtlichen Anforderungen für die Verarbeitung personenbezogener Daten eine Einwilligung ist. Wenn Sie also Klingeltöne an Jugendliche für ihre Smartphones verkaufen, werden personenbezogene Daten, die beim Abschluss des Kaufs erhoben werden (Name, Nachname, E-Mail-Adresse, Zahlungsdaten), typischerweise „für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich“ sein und somit von der vertraglichen Rechtsgrundlage (Art. 6 Abs. 1 lit. b) abgedeckt. Wenn Sie die E-Mail-Adresse der betroffenen Person jedoch auch für den Versand von Newslettern über Ihre Klingeltöne verwenden möchten, müssen Sie die Einwilligung der betroffenen Person einholen, da die Verarbeitung personenbezogener Daten zu Marketingzwecken nicht unter den vertraglichen Geltungsbereich fällt. An dieser Stelle wird Art. 8 relevant: Wenn die betroffene Person jünger als 16 Jahre alt ist, müssen Sie auch die Einwilligung der Eltern einholen.
  4. „Minderjährige“ für die Zwecke des Art. 8 DSGVO sind Kinder unter 16 Jahren. Die DSGVO erlaubt den Mitgliedsstaaten jedoch, dieses Mindestalter auf 13 Jahre zu senken. Beispielsweise hat Österreich das Mindestalter auf 14 Jahre gesenkt.

Wenn Sie der Meinung sind, dass in Ihrem Fall all diese Bedingungen erfüllt sind, sollten Sie unbedingt einen zusätzlichen Schritt in Ihr Online-Angebot einbauen, mit dem Sie das Alter Ihrer Nutzer überprüfen können. Dazu genügt ein Pop-up-Fenster mit einer Frage („Wie alt sind Sie?“ oder „In welchem Jahr sind Sie geboren?“).

Wie holen Sie die Einwilligung der Eltern ein oder lassen Sie die Zustimmung durch ihr Kind einholen?

Art. 8 gibt Ihnen zwei Möglichkeiten: Entweder Sie holen die Einwilligung direkt von den Eltern der betroffenen Person ein, oder Sie lassen die Eltern die Einwilligung der betroffenen Person „autorisieren“. Eine Bearbeitung von Personendaten darf erst dann erfolgen, wenn eine dieser beiden Möglichkeiten durchgespielt worden ist.

Die Frage ist: Woher wissen Sie, wer die Eltern sind und dass diese tatsächlich ihre Einwilligung geben? Es gibt keine klare Antwort auf diese Frage. Kommentatoren haben auf verschiedene Methoden hingewiesen, um die Identität zu überprüfen und Einwilligungen einzuholen, darunter:

  • die Bereitstellung einer Pass- oder Ausweiskopie per E-Mail;
  • die Bereitstellung einer Einwilligung oder eines Autorisierungsschreibens, das von den Eltern per E-Mail unterzeichnet wird;
  • die Bearbeitung von Online-Bestellungen über die Kreditkarte der Eltern;
  • die Einwilligung oder Ermächtigung der Eltern erfolgt telefonisch.

Sämtliche dieser Methoden stellen für alle Beteiligten eine schwere Belastung dar. Deshalb haben einige Kommentatoren darauf hingewiesen, dass die bekannte Double-Opt-In-Methode auch zu diesem Zweck dienen könnte.

Beispiel

Eine 14-jährige betroffene Person möchte einen Newsletter abonnieren. Nachdem diese Person erklärt hat, dass sie 14 Jahre alt ist, muss sie a) eine eigene E-Mail-Adresse, an die die Newsletter schließlich versandt werden, und b) die E-Mail-Adresse seiner Eltern vorlegen. Nach der Anmeldung erhalten sowohl die betroffene Person als auch die Eltern eine automatisierte E-Mail, in der sie gebeten werden, die Anmeldung zu bestätigen und zu beglaubigen, dass die Eltern mit einer solchen Verarbeitung der personenbezogenen Daten ihres Sohnes einverstanden sind.

Natürlich könnte man behaupten, dass ein intelligenter Teenager weniger als eine Minute braucht, um gefälschte E-Mail-Konten für seine Eltern zu eröffnen. Aber in gewisser Weise gilt die gleiche Argumentation auch für jedes andere Authentifizierungsverfahren: Letztlich liegt es in der Verantwortung der Eltern, einen solchen Missbrauch durch ihre Kinder zu verhindern.

Als goldene Regel gilt, dass man die Authentifizierungsmethode immer nach dem Risiko wählen sollte, das sich aus der Verarbeitung von Personendaten ergeben kann. Im Newsletter-Beispiel, bei dem das Risiko erheblich gering ist, könnte das Double-Opt-In-Verfahren als ausreichend angesehen werden.

Wenn Sie hingegen die Einwilligung der betroffenen Person einholen und bestimmte personenbezogene Daten im Internet öffentlich zugänglich zu machen, könnte dies mit beträchtlich hohen Risiken verbunden sein: In diesem Fall sollten Sie lieber eine komplexere, aber sicherere Authentifizierungsmethode wählen, wie z.B. die Anforderung der Vorlage von Pässen oder Ausweisen.

Sehen Sie auch