Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 389

34

Mit Art. 8 Abs. 2 DSGVO wird der Verantwortliche verpflichtet, unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zu unternehmen, um sich zu vergewissern, dass das Kind das 16. Lebensjahr vollendet hat oder ansonsten die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung vom Kind erteilt wurde. Diese datenschutzrechtlichen Prüfpflichten sind ggf. neben den jugendschutzrechtlichen Schutzvorschriften zu beachten. Die zu unternehmenden Anstrengungen beziehen sich nach dem Wortlaut nur darauf, sich zu vergewissern, dass die Einwilligung auch tatsächlich von dem Träger der elterlichen Verantwortung stammt oder die Einwilligung des Kindes mit dessen Zustimmung erfolgte. Letztlich unterliegt der Verantwortliche eines sich direkt an Kinder wendenden Dienstes der Informationsgesellschaft auch der Nachweispflicht, dass die Einwilligung von einer Person stammt, die das 16. Lebensjahr vollendet hat. Insofern werden auch bei der Prüfung, ob wegen des Alters Art. 8 DSGVO zur Anwendung kommt, mindestens die gleichen Anstrengungen zu erwarten sein.69 Es ist demnach das Alter wirksam und wahrhaftig zu prüfen und bei der Feststellung, dass das 16. Lebensjahr nicht vollendet, auch die Authentifizierung des die Einwilligung bzw. Zustimmung vornehmenden Elternteils durchzuführen. Deshalb werden diese eher technischen Fragen hier zusammen behandelt.

35

Mit Absatz 2 wird keine weitere Anforderung an die Wirksamkeit der Einwilligung hinzugefügt. Vielmehr enthält die Vorschrift eine Obliegenheit, im Rahmen des Angemessenen mit geeigneten technischen Mitteln zu überprüfen, ob die Anforderungen aus dem Abs. 1 eingehalten werden, wenn eine Einwilligung oder Zustimmung der Eltern als Voraussetzung für die Rechtmäßigkeit einer sich auf eine Einwilligung stützende Datenverarbeitung erforderlich ist. Die Ergebnisse der Prüfung sind zu dokumentieren, woraus sich auch Herausforderungen im Rahmen der Rechenschaftspflicht („Accountability“) ergeben.

36

Verlangt wird von dem durch Art. 8 Abs. 1 DSGVO angesprochenen Diensteanbieter (siehe Rn. 13), „angemessene Anstrengungen“ zu unternehmen, um den Nachweis zu erbringen, dass dann, wenn das 16. Lebensjahr nicht vollendet wurde, die Einwilligung bzw. Zustimmung tatsächlich von den Eltern stammt. Dabei hat sich der Verantwortliche dafür verfügbarer Technik zu bedienen. Teilweise wird dadurch die Notwendigkeit abgeleitet, geeignete Altersverifikationssysteme im Rahmen internetbasierter Einwilligungsprozesse und – für den Fall der Notwendigkeit der Einwilligungs- oder Zustimmungserklärung durch Eltern – Authentifizierungssysteme implementieren zu müssen, wobei nur die verfügbare Technik Angemessenheitsentscheidungen erfordert.70

37

Die Angemessenheitsprüfung wird nicht nur den Aufwand und damit die Kosten für die einzusetzende Technik im Verhältnis zu dem für den jeweiligen Diensteanbieter wirtschaftlich Vertretbaren zu berücksichtigen haben, sondern auch die Gefährdung für die Persönlichkeitsrechte des Kindes, die durch die Einwilligung in die Verarbeitung seiner Daten für den vorgesehenen Verarbeitungszweck entsteht.71 Es ist folglich der Verhältnismäßigkeitsgrundsatz zu beachten, wie er auch bei der Entscheidung über die einzusetzenden technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit von Bedeutung ist. Die Weiterentwicklung der Technik und ihrer Verfügbarkeit wird dabei vom Verantwortlichen beobachtet werden müssen, um die Anforderungen an die Prüfpflichten stets bestmöglich angemessen erfüllen zu können.

38

Diese Anforderungen bergen mehrere Schwierigkeiten. Sofern ein Altersverifikationssystem eingesetzt wird, dürfte entsprechend dem Grundsatz der Datenminimierung (Art. 5 DSGVO) technisch nicht (zusätzlich) das Alter erhoben, sondern nur die Feststellung getroffen werden, ob die geforderte Altersgrenze erreicht ist.72 Ein solches technisches Altersverifikationssystem dürfte inzwischen verfügbar sein und auch von Minderjährigen mit Hilfe eigener Chipkarten, eigenem Personalausweis oder eigenem sonstigen Mittel zur Altersverifikation nutzbar sein. Das Anklicken einer Checkbox, mit dem ein Nutzer erklärt, das 16. Lebensjahr vollendet zu haben, genügt den Anforderungen aufgrund der Missbrauchsmöglichkeit nicht.73 Immer noch (personell) aufwändig, aber technisch möglich und wirksam wäre die Altersverifikation durch das Zeigen des Ausweises in eine Videokamera durch das Kind, sodass die Gegenseite, der Verantwortliche, das Gesicht des Kindes im Videobild mit dem Foto auf dem auch das Alter anzeigenden, in die Kamera gehaltenen Ausweises abgleichen kann (Video-Ident-Verfahren). Das Ergebnis müsste vom Verantwortlichen dokumentiert werden, ohne dass es zu einer Verarbeitung des Ausweisbildes oder des Geburtsjahres kommt.

39

Die gleichen Probleme, angemessene und technisch verfügbare Verfahren zu nutzen, zeigen sich bei dem nachfolgenden Prüfschritt dieses „zweistufigen Überprüfungsverfahrens“,74 mit dem sichergestellt werden soll, dass die Einwilligung bzw. Zustimmung tatsächlich von den Eltern erklärt wurde. Auch hier genügt eine Bestätigung des Vorliegens einer Zustimmung oder Einwilligung der Eltern durch das Kind mittels Anklicken einer Checkbox oder Abfragemaske nicht.75

40

Zweifellos ergeben sich hier für die Diensteanbieter Probleme der technischen Umsetzung der Anforderungen aus Art. 8 DSGVO. So wird vorgeschlagen, dass das Kind dem Diensteanbieter die E-Mail-Adresse eines Elternteils angibt, damit dieser mit einem Double-opt-in-Verfahren vom Diensteanbieter um Einwilligung bzw. um Zustimmung zur Einwilligung des Kindes gebeten wird.76 Eine Verifizierung, ob damit tatsächlich rechtssicher der Elternwille abgefragt wird, bietet diese Lösung allerdings nicht; zu einfach ist es auch für Kinder, bei einem Freemail-Anbieter eine E-Mail-Adresse mit dem Namen der Eltern zu generieren, unter der sodann die Kinder Erklärungen empfangen und unter dem Namen der ahnungslosen Eltern absenden können. Dieses Verfahren ist aufgrund der Missbrauchsgefahr untauglich.77 Nicht akzeptabel ist es, wenn angesichts dieses Missbrauchsrisikos unter Hinweis auf Absatz 2 mit seinen unbestimmten Rechtsbegriffen (unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen zu unternehmen) lakonisch erklärt wird, dass diese Missbrauchsgefahr hinzunehmen sei. Der von der Verordnung ausweislich des ErwG 38 gewollte Schutz von Kindern gebietet es, die Vorschrift streng auszulegen und von den Anbietern von Diensten der Informationsgesellschaft zu erwarten, dass sie angesichts vorhandener Technik sicherstellen, dass die Einwilligungs- bzw. Zustimmungserklärung tatsächlich von den Eltern stammt. Der Angemessenheitsmaßstab darf sich nicht allein an den Kosten für den Verantwortlichen orientieren, sondern muss bei der Prüfung der Verhältnismäßigkeit dem Schutz der Persönlichkeitsrechte des Kindes einen überragenden Wert zumessen, dem „nicht zumutbare Kosten“ nicht entgegengehalten werden dürfen.

41

Der Vorschlag, Missbrauch durch Verwendung der qualifizierten elektronischen Signatur (§ 126a Abs. 1 BGB) auszuschließen, wird nicht nur daran scheitern, dass die Einwilligung formfrei durch eine Erklärung oder eindeutige Handlung möglich sein muss, sondern vor allem daran, dass sich die qualifizierte elektronische Signatur als Unterschriftssurrogat nicht durchgesetzt hat. Wegen des „erheblichen technischen und (für viele auch intellektuellen) Anwender-Aufwands“ blieb der Anwenderkreis sehr beschränkt und findet ganz überwiegend nur in geschäftlichen Prozessen und zunehmend bei Verwaltungsvorgängen und im Rechtsverkehr Anwendung.78 Andere Verifikationsmöglichkeiten bestehen aber.79 Auch die Möglichkeit des Identitätsnachweises durch eID-Funktion des Personalausweises dürfte bald flächendeckend bestehen.

42

In der Praxis zeigen sich auch bei der Nutzung von solchen Diensten der Informationsgesellschaft, die als App für Smartphones und Tablets angeboten werden, dogmatische Einordnungsprobleme. Aus Art. 25 Abs. 2 Satz 1 DSGVO (privacy by default) folgt, dass bei der ersten Nutzung des Dienstes die Grundeinstellung gewährleistet, dass nur die für die Anwendung unverzichtbaren Daten verarbeitet werden. Es ist fraglich, ob bei einer Änderung der Einstellung beispielsweise zu dem Zweck, geobasierte Funktionen nutzen zu können, wofür Daten über den Standort übermittelt werden müssen, eine Vertragserweiterung vorgenommen wird, an der die Eltern nicht mitwirken müssen, oder ob aufgrund von Art. 8 DSGVO jeweils eine Zustimmung der Eltern erforderlich ist. Bei einer strengen Auslegung müssten die Eltern zustimmen. Dieses Beispiel dürfte zeigen, dass die Vorschrift der Konkretisierung bedürfte.

43

Anbieter von solchen Apps, die sich direkt an Jugendliche unter 16 Jahren wenden, setzen auf eine Vertragslösung nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO, wenn Jugendlichen die Möglichkeit gegeben wird, öffentlich oder für einen begrenzten Freundeskreis sichtbare Profildaten über sich in einem Social-media-Dienst einzugeben. Begründet wird dies damit, dass die vertraglich angebotenen Funktionalitäten nur dann genutzt werden können, wenn auch Informationen über den Nutzer eingegeben werden. Ausgeschlossen ist es dann aber, dass diese Daten vom Verantwortlichen für andere Zwecke – wie etwa Marketing für sich oder Dritte – ohne gesonderte Einwilligung nach Art. 8 DSGVO verarbeitet werden.

44

Die Rechtsunsicherheit bei der Anwendung des Art. 8 Abs. 1 DSGVO in Verbindung mit den Prüfpflichten aus Absatz 2 DSGVO ist hoch.80 Insgesamt erweist sich die Vorschrift in der Praxis als kaum operabel, sodass trotz der verständlichen Begehrlichkeit, Daten von Kindern auf der Grundlage einer Einwilligung verarbeiten zu dürfen, der datenschutz- und kinderschutzfreundlichste Weg der wäre, auf Verarbeitungen auf der Grundlage von Einwilligungen zu verzichten, wenn Dienste der Informationsgesellschaft genutzt werden, die sich unmittelbar oder auch an Kinder wenden.

45

Wenn die Prüfpflichten in akzeptabler Weise berücksichtigt wurden, sich aber dann herausstellt, dass die Altersangabe falsch war oder die Einwilligung bzw. Zustimmung nicht vorlag, wird man von der Rechtmäßigkeit der Datenverarbeitung bis zu diesem Zeitpunkt ausgehen müssen,81 weil die materiell-rechtlichen Anforderungen aus Art. 8 Abs. 1 DSGVO beachtet wurden, allerdings die Prüfungen zu falschen Ergebnissen führten. Sobald aber positive Kenntnis davon vorliegt, dass die Altersangabe falsch ist oder keine Einwilligung bzw. Zustimmung der Eltern erklärt wurde, sind die Daten unverzüglich zu löschen bzw. nicht mehr für vertragsfremde Zwecke zu nutzen, soweit sich ihre Verarbeitung auf eine vermeintlich wirksame Einwilligung stützt.