Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 382

1

Für den Erlaubnistatbestand der Einwilligung aus Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO normiert Art. 7 DSGVO in Verbindung mit Art. 4 Nr. 11 DSGVO allgemeine Anforderungen an eine wirksame Einwilligung. Ergänzend dazu enthält Art. 8 DSGVO spezifische Bedingungen für die Einwilligung eines Kindes in die Verarbeitung seiner Daten durch Dienste der Informationsgesellschaft. Die nunmehr in der Norm genannte feste Altersgrenze, ab der eine Einwilligung von Minderjährigen in die Datenverarbeitung durch Dienste der Informationsgesellschaft wirksam ist, führt zu der unwiderlegbaren Annahme der Einsichtsfähigkeit eines Kindes mit Vollendung des 16. Lebensjahres. Von der Einsichtsfähigkeit von Minderjährigen wird grundsätzlich mit Vollendung des 16. Lebensjahres ausgegangen.1 Bei jüngeren Kindern bedarf es entweder der Einwilligung oder der Zustimmung durch die Träger der elterlichen Verantwortung zu einer vom Kind erklärten Einwilligung. Der verantwortliche Dienstanbieter hat die Einwilligung oder Zustimmung einzuholen und zu dokumentieren. Erfolgt die Verarbeitung personenbezogener Daten eines Kindes nicht durch einen Dienst der Informationsgesellschaft, so ist Art. 8 DSGVO nicht anwendbar und es bedarf weiterhin einer Prüfung der frühestens ab dem 14. Lebensjahr überhaupt denkbaren Einsichtsfähigkeit in die mit der Verarbeitung für das Kind bestehenden Risiken.2 Wird die Erlaubnis in die Verarbeitung nicht auf eine Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO, sondern auf einen anderen Erlaubnistatbestand gestützt, kommen Art. 7 und 8 DSGVO ebenfalls nicht zur Anwendung. Nur dann, wenn die zur Vertragsanbahnung und zum Vertragsschluss – bei dem die Wirksamkeitserfordernisse eines Rechtsgeschäfts mit Minderjährigen zu prüfen sind – vom Diensteanbieter verarbeiteten Daten zu einem anderen Zweck – wie etwa zum Zweck der Werbung – verarbeitet werden sollen, ist für diesen weiteren Zweck eine eigene Erlaubnis festzustellen, für die eine Einwilligung in Betracht kommt, deren Anforderungen sich aus Artt. 4 Nr. 11, 7 und 8 DSGVO ergeben. Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten wie etwa Gesundheitsdaten, sind die höheren Anforderungen an eine Einwilligung aus Art. 9 DSGVO zu beachten; Art. 8 DSGVO und damit die Regelaltersgrenze von 16 Jahren kommen dabei nicht zur Anwendung.3

2

Vorläuferregelungen, die den besonderen Schutz von Minderjährigen bezwecken, die Dienste der Informationsgesellschaft in Anspruch nehmen, gab es weder in der DSRl, noch im nationalen BDSG a.F. oder im TMG a.F. Eine Gesetzesinitiative des Bundesrates, insbesondere Kinder und Jugendliche, die auf Plattformen mit nutzergenerierten Inhalten erheblichen Gefahren für ihre Persönlichkeitsrechte und die Privatsphäre ausgesetzt sind, vor der Preisgabe persönlicher Daten zu schützen, war nicht erfolgreich.4

3

Die Wirksamkeit einer Einwilligung von Kindern und Jugendlichen wurde bislang allein von der Frage abhängig gemacht, ob die Person die für eine Einwilligung erforderliche Einsichtsfähigkeit besitzt. Diese Erwägung war unabhängig von der Einordnung der Rechtsnatur der Einwilligung maßgeblich, sodass die Feststellung der Geschäftsfähigkeit letztlich bedeutungslos war. Starre Altersgrenzen, ab denen die Zustimmung der Eltern nicht mehr eingeholt werden mussten, sondern die Kinder selbst wirksam die Einwilligung erklären konnten, waren dem europäischen und nationalen Datenschutzrecht bislang fremd.5 Weder fanden sich solche in Gesetzen, noch hatte die Rechtsprechung feste Altersgrenzen entwickelt.6 Auch das OLG Hamm nannte in einem Urteil von 2012 keine Altersgrenze, ab der Minderjährige die nötige Reife haben, um die Tragweite der Einwilligungserklärung zur Datenspeicherung und Datenverwendung zu Werbezwecken abzusehen; nach dem OLG Hamm könne nicht davon ausgegangen werden, dass ab dem 15. Lebensjahr diese Einsichtsfähigkeit grundsätzlich vorhanden sei.7 In einer primär wettbewerbsrechtlich argumentierenden – und datenschutzrechtliche Aspekte weitgehend ausblendenden8 – Entscheidung (Ausnutzung geschäftlicher Unerfahrenheit Jugendlicher, § 3 Abs. 2 und 5 UWG) hat auch der BGH9 keine feste Altersgrenze gesehen, sondern nur in Zweifel gezogen, dass Jugendliche zwischen 15 und 17 Jahren die erforderliche Reife besitzen, um die Tragweite einer Einwilligung in die Datenspeicherung und Datenverwendung für Werbezwecke zu erkennen. Die Erhebung der Daten von Kindern sah der BGH als unlautere Wettbewerbshandlung an.10 Ähnlich wie bei Gewinnspielen ist etwa bei Online-Spielen der Teilnahmeanreiz so groß, dass etwaige bei Jugendlichen schon vorhandene Bedenken gegen die Datenübermittlung zurückgestellt und Einwilligungen häufig unreflektiert erteilt werden.11

4

Es bestand allgemein Einigkeit darin, dass die Erfahrungshorizonte Jugendlicher in Bezug auf verschiedene Sachverhalte zu unterschiedlich sind, als dass eine feste Altersgrenze von 14 oder 16 Jahren für eine aufgrund der Einsichtsfähigkeit wirksamen Einwilligung festgelegt werden sollte.12 Zu unterschiedlich sind die Sachverhalte, in denen Daten Minderjähriger erhoben werden und zu verschieden die Zwecke, für die die Daten verwendet werden, als dass das Risiko für eine bestimmte Altersklasse pauschal festgelegt werden könnte. Auch die Erfahrungshorizonte der Jugendlichen sind zu unterschiedlich, um pauschal beurteilen zu können, ab welchem fixen Alter die Gefährdungen so gering sind, dass das grundrechtlich durch Art. 8 GrCh verbürgte Selbstbestimmungsrecht eine mit der Zustimmung durch die Träger der elterlichen Verantwortung verbundene Ausgestaltung entbehrlich macht.13

5

Mit der Festlegung einer starren Altersgrenze orientiert sich die Regelung am US-amerikanischen Children’s Online Privacy Protection Act (COPPA)14 von 1998, der sogar davon ausgeht, dass Jugendliche ab einem Alter von 13 Jahren jedenfalls im Online-Handel auch die Folgen für ihre Privatsphäre einschätzen und deshalb mit ihrer Einwilligung in die über die Vertragsabwicklung hinausgehende Verarbeitung ihrer Daten verfügen dürfen. Die Möglichkeit der wirksamen Einwilligung von Kindern, die das 13. Lebensjahr vollendet haben, erscheint mit dieser pauschalen Festlegung aber unangemessen früh.15 Nach Art. 8 DSGVO soll nun bei der Nutzung von Diensten der Informationsgesellschaft die Einwilligung bzw. Zustimmung der Eltern in die Erhebung und Verarbeitung solcher Daten von Kindern bis zur Vollendung des 16. Lebensjahres erforderlich sein, die nicht für die Anbahnung, Durchführung und Beendigung eines Vertragsverhältnisses mit einem Dienst der Informationsgesellschaft benötigt werden. sondern die für einen anderen Zweck verarbeitet werden sollen.

6

Nicht zu verkennen ist das Interesse der Internetwirtschaft, insbesondere der Anbieter sozialer Medien und von Computerspielen, die Einwilligungsfähigkeit16 auch für möglichst junge Menschen anzunehmen.17 Dementsprechend hatten Kommission und Rat das Alter für eine wirksame Einwilligung mit 13 Jahren sehr niedrig ansetzen wollen, entgegen der sich im Rat äußernden Mitgliedstaaten. Schließlich wurde die Vorschrift erst im Trilog ausformuliert. Der Normtext allein zeigt schon, dass eine Harmonisierung nicht zu erreichen war;18 zu unterschiedlich waren die von Kommission, Parlament und Rat bevorzugten Entwürfe.19 Weil sich die Beteiligten über die festzulegende Altersgrenze, die die Kommission und das EU-Parlament bei 13 Jahren sah, nicht einigen konnten, wurde letztlich der vergleichsweise hohe Alterswert auf 16 Jahre festgelegt, allerdings mit der Option für die Mitgliedstaaten, von der Öffnungsklausel des Art. 8 Abs. 1 Satz 3 DSGVO Gebrauch zu machen und die Altersgrenze bis zum 13. Lebensjahr herabzusetzen. Es muss dann eine feste Altersgrenze bis maximal zum 13. Lebensjahr festgesetzt werden, weil eine die Einsichtsfähigkeit zum Kriterium machende Regelung unzulässige wäre. Von dieser Möglichkeit hat der deutsche Gesetzgeber – wie auch die Gesetzgeber von Polen und Ungarn – keinen Gebrauch gemacht. Ein Kind im Sinne des § 8 DSGVO, dessen Daten von einem Anbieter eines Dienstes der Informationsgesellschaft mit Zustimmung des Trägers elterlicher Verantwortung verarbeitet werden dürfen, ist danach, wer das 16. Lebensjahr noch nicht vollendet hat und daher als noch nicht netzmündig20 anzusehen ist. Dagegen nahm etwa Österreich die Öffnungsklausel des Art. 8 Abs. 2 DSGVO in Anspruch und senkte das entsprechende Alter auf 14 Jahre herab (§ 4 Abs. 4 DSG Österreich).21

7

Die Tatsache, dass die Mitgliedstaaten durch nationales Recht die pauschale Altersgrenze für die Wirksamkeit der Einwilligung bei Diensten der Informationsgesellschaft, die sich direkt an Kinder wenden, gesetzlich auf maximal bis zum 13. Lebensjahr absenken dürfen, hat die höchst bedauerliche Folge, dass es in der EU keine einheitliche Altersgrenze geben wird, an der sich Diensteanbieter orientieren können. Die Harmonisierung ist in dieser Hinsicht gescheitert.22

8

In den Fällen, in denen das Kind das 16. Lebensjahr bzw. das nach dem Recht eines Mitgliedstaats festgelegte niedrigere Alter nicht erreicht hat, kann gem. Art. 8 Abs. 1 Satz 2 DSGVO die Einwilligung von den Trägern der elterlichen Verantwortung für das Kind oder vom Kind mit der Zustimmung durch die Träger der elterlichen Verantwortung ausgesprochen werden, um zu einer rechtmäßigen Datenverarbeitung zu kommen. Der Begriff der „Träger der elterlichen Verantwortung“ geht auf den Entwurf des Rates zurück, um zu einem einheitlichen Verständnis des angesprochenen Personenkreises in der EU zu kommen, in der die Sorgeberechtigten unterschiedlich bezeichnet werden. Zuvor waren in den Entwürfen der Kommission und des Parlaments die Begriffe Eltern, Vormund oder Sorgeberechtigten verwendet worden. Im Weiteren werden hier die Eltern als Vertreter der elterlichen Sorge (§§ 1626ff. BGB) genannt, an deren Stelle nach dem nationalen Sorgerecht auch Vormund oder Pfleger treten könnten.