Artikel 8 EU-DSGVO: Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

  1. Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.

  2. Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.

  3. Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.

Kommentar zu Artikel 8 EU-DSGVO:

Was sagt Art. 8 DSGVO aus?
 

In Art. 8 DSGVO geht es in drei Absätzen um die Einwilligung eines Kindes zur Verarbeitung von personenbezogenen Daten.

  • Absatz 1 bestimmt, dass bei angebotenen Diensten der Informationsgesellschaft, die sich direkt an ein Kind richten, die Verarbeitung personenbezogener Daten nur bei Kindern rechtmäßig ist, die das 16. Lebensjahr vollendet haben. Ist das Kind jünger, muss die Einwilligung durch die Eltern erteilt worden sein.

  • Absatz 2 verpflichtet den Verantwortlichen, entsprechende technische Anstrengungen zu übernehmen, um die von den Eltern erteilte Einwilligung sicherzustellen. Gleichzeitig enthält Absatz 2 eine sogenannte Öffnungsklausel, nach der die einzelnen Staaten durch nationale Regelungen die Altersgrenze von 16 Jahre auf maximal 13 Jahre absenken dürfen. (Deutschland hat davon bisher nicht Gebrauch gemacht.)

  • Absatz 3 stellt klar, das Art. 8 DSGVO die Vorschriften der einzelnen Mitgliedstaaten zu dem Zustandekommen von Verträgen und der Wirksamkeit von Willenserklärungen durch Kinder unberührt lässt.

Wie ist Art. 8 DSGVO zu verstehen?
 

Das bisher geltende Bundesdatenschutzgesetz (BDSG-alt) kannte keine Norm, die sich mit der ausdrücklichen Einwilligung von Kindern in die Verarbeitung personenbezogener Daten befasst hat. In Zweifelsfällen wurde bisher vielmehr auf die individuell entwickelte Einsichtsfähigkeit des betroffenen Kindes abgestellt. Die EU-Datenschutzgrundverordnung möchte den Schutz von Kindern verstärken und hat deshalb explizit eine Altersgrenze festgelegt. Es handelt sich bei dieser Vorschrift also um einen der durch die DSGVO explizit und bewusst neu-gefassten Bereiche. Ebenfalls neu ist deshalb die Anforderung an die Unternehmen, entsprechende technische Vorrichtungen zu schaffen, um die Einwilligung durch die Eltern sicherzustellen, was ungeschrieben beinhalten dürfte, das Alter des Kindes zu verifizieren. Die auf den ersten Blick relativ eindeutig erscheinende Regelung kann in praktischer Hinsicht große Probleme aufwerfen.

Das beginnt bei dem unbestimmten Rechtsbegriff "Dienst der Informationsgesellschaft", der von der DSGVO nicht eindeutig definiert wird. Die Bedeutung dieses Rechtsbegriffes lässt sich deshalb nur über den Verweis in Art. 4 Nr. 25 DSGVO auf die EU-Richtlinie 2015/1535 bestimmen. Danach handelt es sich dabei um

  •  eine entgeltlich im Fernabsatz

  • elektronische

  • und auf individuellen Abruf des Empfängers

erbrachte Dienstleistung.

Auch die eingefügte Öffnungsklausel macht die rechtliche Sachlage für Unternehmen nicht einfacher. Beispielsweise hat Österreich von ihr Gebrauch gemacht, Deutschland nicht. Unternehmen müssen sich deshalb an der Maximalforderung von 16 Jahren orientieren, da im Regelfall Internetdienste nicht nur in einem Land angeboten werden. Man kann sich in diesem Zusammenhang fragen, ob die Klausel nicht insgesamt ins Leere läuft, wenn das Unternehmen nicht im Einzelfall feststellt, wo sich der angesprochene Kunde auffällt. Damit würde sich bereits ein mehrstufiges Abfrage-Verfahren gegenüber dem Kunden ergeben, dass zunächst das Alter den Standort und gegebenenfalls eine vorliegende elterliche Einwilligung abfragt.

Es ist für die meisten Unternehmen unklar, wie die Anforderungen der Vorschrift technisch umgesetzt werden können. Ist es ausreichend, das Alter der angesprochenen Kunden im Einzelfall abzufragen? Reichen die Angaben des Users am PC aus, um sein Alter zu verifizieren? Wenn es um die elterliche Einwilligung geht, wird eine nachträgliche Einwilligung nicht ausreichen. Wie aber kann sichergestellt werden, dass die Einwilligung zum richtigen Zeitpunkt vorliegt?

Welche Folgen ergeben sich aus Art. 8 DSGVO?
 

Unternehmen müssen hier sowohl in inhaltlicher als auch technischer Hinsicht ihre Konzepte für das Online-Angebot an Kinder und Jugendliche überdenken. Die Einhaltung der Vorschrift ist ohne eine technische Umstellung nicht möglich. Lassen Sie sich dabei von Datenschutzexperte.de kompetent begleiten und unterstützen. Nehmen Sie zum Beispiel eine Datenschutzberatung in Anspruch.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr