Über die Autoren

Stefan Evertz M.Sc.
Geschäftsführer
Online-Marketing Experte
Datenschutzbeauftragter TÜV

Marketing Experte & Geschäftsführer der Frame for Business GmbH

Florian Decker
Fachanwalt für gewerblichen Rechtsschutz
Angestellter Rechtsanwalt
Kanzlei Rechtsanwälte Dr. Schultheiß

„Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.“

Diesen Satz liest man immer häufiger innerhalb von Consent-Tools. Bei Borlabs ist dies sogar mittlerweile in den Standard-Einstellungen vorhanden:

Aber ist das wirklich notwendig und falls ja, ist die Umsetzung korrekt? Das klären wir in dem nachfolgenden Blog-Artikel.

1. Hintergrund: Artikel 8 DSGVO

Hintergrund ist Artikel 8 der DSGVO. Es ist wichtig sich die ersten beiden Absätze der Vorschrift anzusehen, weswegen wir diese nachfolgend mit entsprechenden Anmerkungen unsererseits abgebildet haben:

Art. 8 DSGVO
Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft,
[Artikel 6 Absatz 1 Buchstabe a regelt, dass die Verarbeitung der personenbezogenen Daten einer Person rechtmäßig ist, wenn die betroffene Person ihre Einwilligung hierzu erteilt hat]
das einem Kind direkt [was dieses Wörtchen „direkt“ bedeutet, ist hier ein wesentlicher Knackpunkt] gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.
[Bei der in Folge der DSGVO notwendigen Novellierung des Bundesdatenschutzgesetzes, hat der deutsche Gesetzgeber hierbei keine eigenen nationalen Regelungen getroffen, so dass das Alter bei 16 Jahren liegt. Andere EU-Mitgliedstaaten haben hier anders entschieden und die Grenze bei 13 Jahren, 14 oder 15 Jahren festgesetzt, was zumindest unserem Verständnis nach, dem rechtspolitischen Ziel, welches die DSGVO verfolgt, nämlich ein einheitliches europaweites Datenschutzniveau herbeizuführen, in dem Punkt etwas entgegensteht.]
(2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.

Der Hintergrund dieser Norm ist, dass ein besonderer Schutz von personenbezogenen Daten von Kindern insbesondere dann gewährleistet werden soll, wenn diese für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen verwendet werden sollen.

2. Ist also immer ein Hinweis für Kinder unter 16 Jahren notwendig?

Man wird hier nach unserer Auffassung zunächst drei grundlegende Szenarien unterscheiden müssen, nämlich:

1. Angebote, die sich explizit an Kinder richten;

2. Angebote, die sich auch an Kinder richten können;

3. Angebote, die sich offensichtlich nicht an Kinder richten.

Zumindest für zwei der Szenarien gibt es keine einheitliche Auffassung in Literatur (oder Rechtsprechung), der man sich hier anschließen könnte.

Wir haben uns unsere eigene Meinung gebildet und stellen Ihnen nachfolgend daher (lediglich) unsere Rechtsauffassung dar. Bis eine höchstrichterliche Rechtsprechung vorliegt, wird man hier wohl dahingehend noch eine Zeit lang „im Dunkeln tappen“, ob die eingenommene Rechtsauffassung vor Behörden und Gerichten stand hält.

Wir würden in den drei genannten Szenarien folgende Auffassung vertreten:

Online-Angebote, die sich „direkt“ an Kinder richten

Bei Online-Angeboten, die sich „direkt“ an Kinder richten, gibt es nach unserer Recherche tatsächlich sozusagen „keine zwei Meinungen“. Hier lautet das einhellige Urteil dahingehen, dass das Kind (und damit auch der datenschutzrechtlich Verantwortliche) eine entsprechende Einwilligung eines Elternteils bzw. eines Erziehungsberechtigten benötigt. Hiervon erfasst sind Angebote, wenn diese gerade oder ausschließlich das Ziel haben, das kindliche Interesse zu wecken und zur Interaktion mit dem Kind oder je nach Plattform zwischen mehreren Kindern zu animieren und eine Hilfestellung durch Erwachsene nicht zwingend notwendig ist, um den Dienst zu nutzen. Anhaltspunkte können zum Beispiel Formulierungen wie „Nur für Kids“ und/oder eine kindgerechte Darstellung und/oder eine kindgerechte Sprache sowie entsprechende Bilder oder Inhalte sein. Somit kann man z.B. Grundschulsoftware, Suchmaschinen oder Online-Lexika für Kinder oder Websites wie www.kika.de in jedem Fall zu dem Anwendungsbereich der Vorschrift zählen.

Online-Angebote, die sich auch an Kinder richten

Bei Angeboten, die sich auch an Kinder richten, wird es schwieriger. Zunächst ist die Frage, was alles hierunter fällt bzw. fallen könnte und da geht es bereits los…. Wie bereits oben erwähnt, geben wir nachfolgend nur unsere Rechtsauffassung wieder.

Wollte man den Begriff sehr weit auslegen, wäre hiervon fast das gesamte Internet betroffen. Also etwa auch jeder Online-Shop der wenigstens unter anderem auch Waren für Kinder anbietet oder aber auch Berufsnetzwerke, da nicht ausgeschlossen werden kann, dass ein 15-Jähriger/eine 15-Jährige nach einem Ausbildungsplatz sucht. Ebenso zum Beispiel eine Website einer Gemeinde die über ein Jugendzentrum verfügt. Will ein 15-Jähriger/eine 15-Jährige die Website der Gemeinde aufrufen und sich nach den Öffnungszeiten des Jugendzentrums zu erkundigen und setzt die Gemeinde entsprechende Tools auf der Website ein, benötigt das Kind (in dem Fall der Jugendliche) eine entsprechende Einwilligung. Will ein Jugendlicher seinen Eltern etwas zum Geburtstag im Internet bestellen (ja, das ist möglich unter Geltung des sog. „Taschengeldparagraphen“ = § 110 BGB) und der entsprechende Online-Shop setzt Cookies ein, muss er seine Eltern um eine entsprechende Einwilligung bitten.

Sie erkennen, die Norm ist bei sehr weiter Auslegung sehr praxisfremd….

Unsere Einschätzung: Wir vertreten hier klar die Auffassung, dass Angebote, die sich zwar (auch) an Kinder richten können, jedoch aber offensichtlich nicht auf die direkte Interaktion mit Kindern/Jugendlichen ausgerichtet sind, nicht grundsätzlich dem Anwendungsbereich von Art. 8 Abs. 1 DSGVO unterliegen. Würde man dies nicht so auslegen, müsste fast jedes Online-Angebot eine Altersverifikation einrichten (ein Satz im Cookie-Banner oder Consent-Tool reicht nämlich in keinem Fall aus – hierzu mehr unter Ziffer 3), was jedoch mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO kaum zu vereinbaren wäre.

Allerdings sehen wir dennoch die Notwendigkeit einer (sinnvollen) weiten Auslegung….

Wenn man sich auf Angebote beschränkt, die sich ausdrücklich nur an Kinder richten, wäre der Anwendungsbereich erheblich reduziert, was dem Schutzzweck der Norm widersprechen würde. Soll ein Dienst vorwiegend Kinder ansprechen, was insbesondere durch leichte Sprache und graphische kinderfreundliche Gestaltung des Dienstes zum Ausdruck kommen kann, ist von einem direkten Angebot an Kinder auszugehen. Wenn eine Zielgruppe nicht eindeutig definiert werden kann (z.B. bei sozialen Netzwerken) sollte man eine Anwendung aus dem Aspekt des Kinderschutzes heraus bejahen (TikTok zum Beispiel kann bereits ab 13 Jahren genutzt werden), womit der Schutzbedürftigkeit entsprechend nachgekommen wird.

Angeboten, die sich offensichtlich nicht an Kinder richten

Angeboten, die sich offensichtlich nicht an Kinder richten, fallen indes nach unserer Überzeugung nicht in den Anwendungsbereich von Artikel 8 DSGVO. Das wäre nach hiesiger Auffassung zum Beispiel beim Internetauftritt eines Immobilienmaklers oder einer Steuerberatungsgesellschaft der Fall. Zwar ist es hier auch grds. denkbar, dass ein ein 15-Jähriger/eine 15-Jährige sich veranlasst sieht, einen Steuerberater zu suchen, um sich wegen der Frage zu unterrichten, ob das beim Austragen von Zeitungen verdiente Geld zu versteuern ist (oder Ähnlich). Allerdings werden hier Inhalt und Darstellung der Webseiten in 99,9% der Fälle nicht als an Kinder gerichtet verstanden werden können und man wird auch nicht erwarten, dass die hier angebotenen Leistungen ohne elterliche Unterstützung wahrgenommen werden (können). Daher muss man bei vernünftiger Auslegung des sehr weiten Gesetzeswortlautes, solche Fälle ausnehmen.

3. Aufnahme eines Hinweises für Kinder unter 16 Jahren ausreichend?

AUF KEINEN FALL!

Eine Aufnahme des eingangs zitierten Satzes „Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.“ bringt Ihnen gar nichts! Im Gegenteil, wir sind der Auffassung er kann sogar schaden!

Wenn Sie nach Kategorisierung Ihres Onlineauftrittes zu dem Schluss kommen, dass eine entsprechende Einwilligung eines Elternteils oder eines Erziehungsberechtigten notwendig ist, damit ein Kind/Jugendlicher unter 16 Jahren die Website betreten darf, so ist die Aufnahme eines Satzes (den sowieso niemand liest) in ein Consent-Tool, das man einfach wegklicken kann, natürlich nicht ausreichend!

Der Websitebetreiber hat angemessene (!) Anstrengungen zu unternehmen, unter Berücksichtigung der verfügbaren Technik.

Da uns keine konkretisierenden Vorgaben seitens der Aufsichtsbehörden bekannt sind, muss man selbständig angemessene Verfahren implementieren, die eine entsprechende Altersverifikation bzw. eine Einwilligung ermöglichen.

Zunächst sollte geklärt werden, wie alt der Nutzer ist und nein, es reicht nicht aus, das Geburtsdatum abzufragen oder eine Checkbox einzusetzen. Es muss sich um ein effektives Verfahren handeln.

Unsere Auffassung hierzu:

Als ineffektiv kann nach unserer Auflassung grds. all das angesehen werden, was es es dem unter 16-Jährigen/der unter 16-Jährigen ohne Probleme ermöglicht, das Verfahren zu umgehen. Es gibt unter Juristen auch die Meinung, dass hierfür eine einfache „Wie alt bist Du?“-Abfrage ausreichend sei, aber ganz ehrlich, dann kann man es auch gleich sein lassen. Als ob ein unter 16-Jähriger/eine unter 16-Jährige nicht in der Lage wäre oder irgendwelche Bedenken hätte, anzugeben, dass er/sie bereits 16 Jahre alt ist (es mag auch Ausnahmen geben, aber effektiv kann dies niemals sein).

Die Feststellung der Volljährigkeit anhand der Personalausweisnummer (in Deutschland kann man frühestens mit 16 Jahren einen Personalausweis erhalten) sollte jedenfalls ausreichend sein. Die Variante des Uploads des Nachweises (also des Personalausweises) ist im Prinzip eine funktionale Lösung, um die Anforderungen zu erfüllen, jedoch bestehen hierbei gewisse datenschutzrechtliche Bedenken, sodass auch diese Lösung nicht ohne Weiteres zu empfehlen ist (Auch wenn ein solcher Upload wohl auf Grund des am 29.07.2017 in Kraft getretenen, überarbeitete Personalausweisgesetz, dort in § 20 Abs. 2 i.V.m. Abs. 1 PAuswG, gestattet ist, da dort der Upload zum Zwecke der Identifikation und Legitimation, was eine Altersverifikation miteinschließt, zugelassen wird).

Ein reiner Abgleich mit den Daten des Ausweises, stellt aus unserer Sicht die beste Variante dar. Viele Tools bieten hier auch Möglichkeiten ausländische Pässe zu verwenden, sodass der Nutzerkreis nicht auf Menschen, mit einem deutschen Personalausweis beschränkt werden muss. Allerdings ist hier immer das jeweilige Tool auch aus datenschutzrechtlicher Sicht zu prüfen, weswegen keine allgemeine Empfehlung erfolgen kann. Leider sind viele der Tools rechtlich unzureichend und stellen somit ein akutes Abmahnrisiko dar.

Daneben gibt es auch einige Lösungen, die zwar rechtlich in Ordnung sind, aber viele potenzielle Nutzer durch Komplexität und schlechte Usability abschrecken dürften. Wir haben mittlerweile eine ganze Reihe Tools und Plugins zur Altersverifikation getestet und können Ihnen hier gerne eine Einschätzung geben, welche Lösungen in Ihrem konkreten Fall rechtlich sowie betriebswirtschaftlich sinnvoll wären.

Handelt es sich um einen minderjährigen Nutzer/eine minderjährige Nutzerin unterhalb der Schwelle von 16 Jahren muss eine entsprechende Einwilligung eines Elternteils /eines Erziehungsberechtigten eingeholt werden. Auch hier stellt ein reiner Abgleich mit den Daten des Ausweises aus unserer Sicht die beste Variante dar.

Ein Double-Opt-In-Verfahren, bei dem das Kind/der Jugendliche die E-Mail-Adresse der Eltern angeben muss (die er natürlich nicht schnell vorher bei gmx.de oder web.de anlegen kann) scheint unserer Ansicht nach, aus offensichtlichen Gründen, als nicht ausreichend. Natürlich kann es auch bei dem oben vorgestellten System, dem Abgleich mit den Ausweisdaten, zu Täuschungen kommen, allerdings geht es ja darum dies so weit wie möglich zu verhindern und gleichzeitig die Website nicht unbrauchbar zu machen. Nur wenige Nutzer wären wahrscheinlich bereit, einen Videocall mit einem Elternteil zu veranstalten immer, wenn ein unter 16-Jähriger / eine unter 16-Jährige die Website besuchen möchte.

Wie bereits oben angesprochen, raten wir davon ab einen entsprechenden Hinweis in das Consent-Tool nach dem Motto „besser als nix“ aufzunehmen. Dies könnte man nämlich dahingehend auslegen, dass Sie sich bewusst sind, dass Sie sich (auch) an Kinder/Jugendliche mit Ihrem Online-Angebot richten.

ABER ACHTUNG: Je nach Content der Webseite kann eine weitergehende Altersverifikation gefordert sein, etwa aus Gründen des Jugendschutzes, wegen jugendgefährdenden Contents. Dann können weitergehende Maßnahme aus diesem Grunde notwendig werden.

4. Verstöße können teuer werden!

Verstöße gegen die Vorgaben in Art. 8 DSGVO können ein Bußgeld in Höhe von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zur Folge haben sowie ein Recht auf Schadenersatz sowohl für das Kind / den Jugendlichen als auch für den Erziehungsberechtigten begründen.

Fragen?

Gerne unterstützen wir Sie dabei,  dass Ihre Website abmahnsicher wird.

Senden Sie uns Ihre Fragen einfach über das Kontaktformular oder per E-Mail an info@frame-for-business.de. Wir freuen uns auf Ihre Nachricht.

Datenschutzrechtlicher Hinweis* (Pflichtfeld)