12
Kern der Regelung ist Art. 8 Abs. 1, der ein abgestuftes Schutzkonzept für Minderjährige bezüglich der von ihnen abgegebenen Einwilligung implementiert.[14] So soll ein Minderjähriger (vorbehaltlich abweichender nationaler Regelungen, siehe Rn. 45) erst ab einem Alter von 16 Jahren wirksam in die Verarbeitung seiner personenbezogenen Daten einwilligen können. Unter dieser Altersgrenze ist die Zustimmung des sog. Trägers der elterlichen Verantwortung zu der zuvor artikulierten Einwilligung des Kindes erforderlich, oder die Einwilligung wird allein vom Träger der elterlichen Verantwortung erteilt.[15]
13
Die Regelung beinhaltet ihrem Wortlaut nach („nur rechtmäßig“) absolute Altersgrenzen.[16] Auf die früher nach deutschem Recht nach h.M. für die Einwilligungsfähigkeit maßgebliche Einsichtsfähigkeit (vgl. Rn. 11) kommt es im Anwendungsbereich des Art. 8 nicht mehr an. Vielmehr stellt Art. 8 hier eine unwiderlegbare Vermutung der Einsichtsfähigkeit auf.[17] Die Bestimmung nimmt die Wertung vor, dass mit Vollendung des 16. Lebensjahrs von einer hinreichenden Einsichts- und Urteilsfähigkeit auszugehen ist.[18] Allerdings kommt eine Unwirksamkeit der Einwilligung nach allgemeinen Grundsätzen in Betracht (siehe Kommentierung zu Art. 6 und Art. 4), was u.U. auch bei einer ganz untypisch verzögerten Entwicklung der Fall sein mag.
1. Begrenzter Anwendungsbereich (Abs. 1 UAbs. 1 S. 1)
14
Der Anwendungsbereich der Vorschrift ist stark begrenzt. Er erfasst gem. Art. 8 Abs. 1 UAbs. 1 S. 1 zum einen nur Konstellationen des Art. 6 Abs. 1 lit. a (einwilligungsbasierte Datenverarbeitungen), zum anderen nur das Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird.
15
Für „offline“-Sachverhalte besteht aufgrund der fehlenden Anwendbarkeit des Art. 8 eine Regelungslücke, die jedoch nicht als planwidrig zu beurteilen ist.[19] In der Konsequenz werden Minderjährige deswegen aber nicht schutzlos bleiben. Die speziellen Regelungen des deutschen Minderjährigenschutzes fangen die Gefährdungen aus nicht online angebotenen Diensten in funktionierender Weise auf.[20]
a) Einwilligungsbasierte Datenverarbeitung i.S.v. Art. 6 Abs. 1 lit. a
16
Die Vorschrift ist missverständlich formuliert, denn Art. 6 Abs. 1 lit. a „gilt“ immer. Die einschränkende Eingangsformulierung verweist auf solche Verarbeitungsvorgänge, deren Rechtfertigung ausschließlich auf die Einwilligung der betroffenen Personen gestützt wird. Nur für diesen Fall sieht Art. 8 ergänzende Vorschriften vor, wenn die betroffene Person ein Kind ist. Die Voraussetzungen der Art. 8 und Art. 7 gelten für diesen Fall kumulativ.[21]
17
Im Umkehrschluss gilt: Für die übrigen Erlaubnistatbestände des Art. 6 findet Art. 8 keine Anwendung. Dies bedeutet jedoch nicht, dass die Verarbeitung von personenbezogenen Daten von Kindern nicht auf diese Tatbestände gestützt werden kann.[22] Die Verarbeitung personenbezogener Daten von Kindern ist nicht schon deswegen ausgeschlossen, weil eine Einwilligung nicht vorliegt. Dies ergibt sich schon aus der Vorschrift des Art. 6 Abs. 1 lit. f, wonach das Alter der betroffenen Person bei der Interessenabwägung zu berücksichtigen ist.[23] Die Verarbeitung ist insbesondere auch insoweit zulässig, wie sie zur Erfüllung eines wirksamen Vertrages mit einem Minderjährigen (auch unterhalb der Altersgrenze von 16 Jahren) erforderlich ist (Art. 6 Abs. 1 lit. b).[24]
aa) Begriffsbestimmung durch Rechtsvorschriften
18
Zunächst sind nur sog. „Dienste der Informationsgesellschaft“ erfasst. Gemäß Art. 4 Nr. 25 ist für die begriffliche Konkretisierung die Legaldefinition des Art. 1 Nr. 1 lit. b RL (EU) 2015/1535[25] heranzuziehen.[26] Der Anwendungsbereich umfasst somit jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Es ist damit eine Dienstleistung erforderlich, die
| – | ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird („im Fernabsatz erbrachte Dienstleistung“), |
| – | mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die vollständig über Draht, Funk, auf optischem oder anderem elektromagnetischem Weg gesendet, weitergeleitet und empfangen wird („elektronisch erbrachte Dienstleistung“) und |
| – | durch die Übertragung von Daten auf individuelle Anforderung erbracht wird.[27] |
19
Neben dieser Legaldefinition lassen sich in den unterschiedlichen EU-Vorschriften auch Dienste finden, welche den Diensten der Informationsgesellschaft ausdrücklich zugeordnet bzw. hiervon ausgenommen werden. So enthält Anhang I der RL (EU) 2015/1535 eine Beispielliste von Diensten (z.B. Buchung einer Reise im Reisebüro), die gerade nicht unter den Begriff gefasst werden sollen. ErwG 18 der E-Commerce-Richtlinie[28] hingegen benennt exemplarisch Dienste der Informationsgesellschaft (z.B. E-Mail-Services).
bb) Nähere Konkretisierung
20
Der Begriff der „Dienste der Informationsgesellschaft“ erfasst grundsätzlich nur Onlineangebote. Vor dem Hintergrund des Regelungszwecks von