Die Datenschutz-Grundverordnung fordert – zusätzlich zu den allgemeinen Datenschutzvorschriften, die für jedermann gelten – besondere Schutzmechanismen für Kinder. [...]
Das Internet bietet für Groß und Klein unzählige Möglichkeiten: Facebook, YouTube, WhatsApp und viele mehr laden zur Erforschung ein. Informationen können dabei nicht nur bequem auf Knopfdruck abgerufen, sondern ebenso einfach der ganzen Welt offengelegt werden. Bilder, Videos und Texte können beliebig ge- und verteilt werden. Auch der Einsamste kann neue – oftmals unechte – Freunde finden. Die damit einhergehenden Gefahren sind aber gerade für die Jüngsten unserer Gesellschaft keinesfalls absehbar. Die Preisgabe von persönlichen Daten in jungen Jahren kann sich unter Umständen zu einem späteren Zeitpunkt (wie zum Beispiel im Rahmen einer Bewerbung) als schwerer Fehler herausstellen, denn das Internet vergisst bekanntlich nicht.
Kinder benötigen besonderen Schutz
Dieses Problem versucht die Datenschutz-Grundverordnung (DSGVO) ab 25. Mai 2018 für alle Betroffenen in der gesamten Europäischen Union zu lösen. Sie normiert – zusätzlich zu den allgemeinen Datenschutzvorschriften, die für jedermann gelten – besondere Schutzmechanismen für Kinder. Der Europäische Gesetzgeber erkennt damit an, dass Kinder hinsichtlich ihrer personenbezogenen Daten besonderen Schutz benötigen, weil sie sich der damit zusammenhängenden Risiken und Gefahren naturgemäß nicht bewusst sind. Diese neuen Vorgaben sind von Unternehmen dann zu berücksichtigen, wenn sie personenbezogene Daten von Kindern etwa für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen verwenden.
Bislang war man sich nicht darüber einig, ob und unter welchen Umständen die von Minderjährigen abgegebene Einwilligung in eine Verarbeitung ihrer personenbezogenen Daten überhaupt rechtswirksam war. Das neue Datenschutzrecht stellt nunmehr zumindest in Bezug auf Onlinedienste, die einem Kind direkt angeboten werden, folgendes klar: Ein Kind kann in die Verarbeitung seiner Daten ab einem bestimmten Alter auch ohne die Zustimmung der Erziehungsberechtigten einwilligen.
Altersgrenze von 14 Jahren in Österreich
Leider regelt die DSGVO die Altersvorgabe aber nicht abschließend, sodass weiterhin eine gewisse Rechtsunsicherheit besteht. Obwohl die DSGVO festlegt, dass das „Kind“ mindestens 16 Jahre alt sein muss, damit es selbst eine rechtmäßige Einwilligung erteilen kann, können die einzelnen EU-Mitgliedstaaten diese Grenze auf bis zu 13 Jahre senken.
Auch der österreichische Gesetzgeber hat von dieser Gestaltungsmöglichkeit Gebrauch gemacht und eine Altersgrenze von 14 Jahren vorgesehen. Dadurch wird in gewisser Weise eine Anpassung an das österreichische Zivilrecht vorgenommen, das vorsieht, dass gewisse Verpflichtungen ebenfalls ab 14 Jahren selbständig eingegangen werden können. Will ein Unternehmen mit internationaler Ausrichtung das Risiko der Unwirksamkeit von Einwilligungen bestmöglich reduzieren, so wäre unternehmensintern zu überlegen eine Altersgrenze von 16 Jahren vorzusehen.
Kann das Kind nicht selbst wirksam einwilligen, muss sich der Verantwortliche vergewissern, dass die Einwilligung durch den Erziehungsberechtigen oder mit dessen Zustimmung erteilt wurde. Hinsichtlich der konkreten technischen Umsetzung gibt die DSGVO keine Vorgaben. Denkbar wäre hier etwa, dass der (als solcher verifizierte) Erziehungsberechtigte die Einwilligung des Kindes über sein eigenes Profil/Konto beim jeweiligen Anbieter bestätigt.
Auf Verständlichkeit achten
Außerdem muss der Verantwortliche gegenüber Kindern besonders auf Verständlichkeit achten: Mitteilungen datenschutzrechtlich relevanter Informationen haben in einer solchen „klaren und einfachen Sprache“ zu erfolgen, „dass ein Kind sie verstehen kann“. Dadurch wird der Katalog an zu erfüllenden Informationspflichten erneut erweitert und der Verantwortliche vor eine gestalterische Hürde gestellt.
Um einen noch effektiveren Schutz für Kinder im Internet durchzusetzen, sieht die DSGVO weiter vor, dass Verantwortliche die Daten von Kindern grundsätzlich unverzüglich löschen müssen, wenn dies verlangt wird. Dieser Anspruch auf sofortige Löschung besteht auch dann noch, wenn das Kind in der Zwischenzeit volljährig geworden ist. Somit können auch Erwachsene die Löschung ihrer Daten verlangen, die sie als Kind online gestellt haben. Unbedacht im Kindesalter abgegebene Einwilligungserklärungen und ihre Folgen können so zumindest auf diesem Wege „saniert“ werden.
Unternehmen, die (wenn auch nur teilweise) Minderjährige zu ihren Kunden zählen, sollten daher zeitnah Rat dazu einholen, ob ihre Datenverarbeitung auch im Sinne der DSGVO „kindgerecht“ ist. Ist dem nicht so, drohen Ihnen nämlich sowohl drakonische Geldbußen in Höhe von bis zu 20 Mio. Euro bzw. 4 Prozent des weltweiten Vorjahresumsatzes als auch Schadenersatzklagen der betroffenen Personen. Zusätzlich können unter Umständen schmerzhafte, wenn nicht sogar existenzbedrohende Imageverluste die Folge sein.
* Helmut Liebel ist Rechtsanwalt und Partner bei Eisenberger & Herzog in Wien.
Be the first to comment