DS-GVO/BDSG. David Klein

Protection Act (COPPA) und DS-GVO, MMR 2017, 15; Rogosch Die Einwilligung im Datenschutzrecht, 2013; Roßnagel Handbuch Datenschutzrecht, 2003; Roßnagel/Richter/Nebel Besserer Internetdatenschutz für Europa, ZD 2013, 104; Schneider/Härting Wird der Datenschutz nun endlich internettauglich?, ZD 2012, 199; Szoka/Thierer COPPA 2.0: The new Battle over Privacy, Age Verification, Online Safety & Free Speech, Progress & Freedom Foundation Progress on Point Paper No 16.11; dies. Social Networking and Age Verification: Many Hard Questions; No Easy Solutions, Progress & Freedom Foundation Progress on Point Paper No 14.5; Wagner Der Entwurf einer Datenschutz-Grundverordnung der Europäischen Kommission, DuD 2012, 676; Walter Einwilligung von Minderjährigen im Internet, DSB 2013, 140.

A. Einordnung und Hintergrund

I. Erwägungsgründe

      1

      Ausweislich des ErwG 38 sind nach Ansicht des europäischen Gesetzgebers Kinder (die DS-GVO meint damit alle Minderjährigen, siehe unten Rn. 25) hinsichtlich der Preisgabe ihrer personenbezogenen Daten besonders schutzwürdig, da diese sich insbesondere über die mit der Verarbeitung personenbezogener Daten verbundenen Risiken und Folgen weniger bewusst sein werden. Gefahren werden dabei vor allem bei der Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen gesehen und bei der Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden.

      2

      Um dem besonderen Schutz von Kindern zu entsprechen, wurde mit Art. 8 eine Vorschrift in die DS-GVO eingefügt, welche die Anforderungen an die datenschutzrechtliche Einwilligung für und von Minderjährigen in einem Teilbereich, nämlich bei Diensten der Informationsgesellschaft, gesondert regelt.

      3

Die im ErwG 38 erwähnte Ausnahme für Präventions- und Beratungsdienste ist unter dem Gesichtspunkt des Schutzes der Privatsphäre von Kindern einleuchtend, hat aber keinen Niederschlag im Verordnungstext gefunden. Auch ohne die rechtliche Verankerung innerhalb des Art. 8 kann dem ErwG nach bei solchen Diensten die Einwilligung eines Kindes wirksam sein. Stets erforderlich dürfte insoweit aber die Einsichtsfähigkeit des Kindes sein. Die elterliche Einwilligung in die Inanspruchnahme der besagten Dienste ist ausdrücklich „nicht erforderlich“. Diese Möglichkeit gründet wohl auf der Annahme, dass Probleme mit den Eltern einen Grund für die Inanspruchnahme der Hilfe darstellen können.[1]

II. BDSG n.F.

      4

Zwar eröffnet Art. 8 Abs. 1 UAbs. 2 die Möglichkeit, durch nationale Regelungen auch eine niedrigere Altersgrenze oberhalb des vollendeten 13. Lebensjahrs anzusetzen. Jüngere Kinder sind nach dieser Regelung gar nicht erst in der Lage, in die Verarbeitung ihrer personenbezogenen Daten einzuwilligen.[2] Der deutsche Gesetzgeber lässt diese Öffnungsklausel jedoch ungenutzt und weitet die Regelung nicht durch eine niedrigere Altersgrenze aus.

      5

      Auch soweit die DS-GVO keine Regelung zur Einwilligungsfähigkeit von Kindern trifft, füllt das BDSG die entstehende Lücke nicht ausdrücklich. Insoweit dürfte es bei der – umstrittenen – Rechtslage nach dem alten BDSG bleiben (siehe Kommentierung zu Art. 7 und unten Rn. 11).

III. Normgenese und -umfeld

      6

Weder die DSRL noch das BDSG enthielten bislang eine mit Art. 8 vergleichbare, eigenständige Regelung zu den Bedingungen der Einwilligung von Kindern. Unter welchen Voraussetzungen Minderjährige in die Verarbeitung ihrer personenbezogenen Daten einwilligen konnten, war unter Geltung des BDSG in seiner bisherigen Fassung auch deshalb strittig.[3] Art. 8 Abs. 1 legt nun aus Sicht des deutschen Rechts erstmals – zumindest in einem Teilbereich – eine präzise Altersgrenze für die Einwilligungsfähigkeit von Minderjährigen fest.

      7

Die Fassung des Art. 8 war dabei Gegenstand von sich zum Teil deutlich unterscheidenden Entwürfen von Seiten der Kommission und des Europäischen Rates, wobei insbesondere der Grad der Harmonisierung zwischen den etablierten Institutionen umstritten war.[4] Gelöst wurde dieser Konflikt insbesondere durch die Implementierung einer spezifischen Öffnungsklausel (Art. 8 Abs. 1 UAbs. 2). Diese ermöglicht sektorale Teilregelungen in diesem einzelnen Regelungsfeld, das nur den sehr beschränkten Bereich der Einwilligung von Personen zwischen 13 und 16 Jahren bei der Nutzung von Diensten der Informationsgesellschaft betrifft.[5]

      8

Unionsweit wird in der Konsequenz der spezifischen Öffnungsklausel eine variable Altersgrenze zwischen 13 und 16 Jahren für die Einwilligungsfähigkeit gelten (siehe auch unten Rn. 46 f.). Dieser Umstand steht der mit der DS-GVO verfolgten Vereinheitlichung des Datenschutzrechts entgegen.[6]

      9

Neben Art. 8 tragen auch weitere Vorschriften der DS-GVO (v.a. Art. 6 Abs. 1 lit. f; Art. 12 Abs. 1) dem besonderen Schutzbedarf von Kindern im Bereich des Datenschutzes Rechnung.[7] Zwingend für die wirksame Einwilligung von Minderjährigen bleibt, dass neben Art. 8 auch die übrigen Anforderungen des Art. 6 Abs. 1 lit. a i.V.m. Art. 7 erfüllt sind.

B. Kommentierung

I. Allgemein

      10

Art. 8 sieht bei Diensten der Informationsgesellschaft, die einem Kind direkt angeboten werden, ergänzende Regelungen zu Art. 7 für die datenschutzrechtliche Einwilligung vor. Die Regelung des Art. 8 besitzt jedoch nur einen eingeschränkten Anwendungsbereich. Es handelt sich somit nicht um generelle Vorgaben für die Einwilligungsfähigkeit von Minderjährigen.[8] Für die Einwilligungsfähigkeit von Kindern in allen anderen Konstellationen enthält die DS-GVO keine Regelung.[9]

      11

In Abwesenheit unionsrechtlicher Vorgaben für die nicht von Art. 8 geregelten Konstellationen gilt folglich weiterhin das nationale Recht. Ob eine Einwilligung eines Minderjährigen wirksam sein kann, hängt im deutschen Recht von der Einsichtsfähigkeit