I. Relevanz für öffentliche Stellen
66
Aufgrund des eingeschränkten materiellen Anwendungsbereichs wird die Norm für öffentliche Stellen kaum Relevanz erlangen. Im Einzelfall ist aber natürlich dennoch denkbar, dass eine öffentliche Stelle einen Dienst der Informationsgesellschaft direkt einem Kind anbietet, insbesondere im Bereich der in ErwG 38 genannten Beratungs- und Präventionsdienste.
1. Allgemein
67
Die im Einzelfall erforderliche Einholung von Einwilligungserklärungen der Träger der elterlichen Verantwortung stellt den Anbieter vor nicht unerhebliche Herausforderungen, da es schwierig sein wird, deren Identität festzustellen und die Authentizität von Einwilligungserklärungen zu überprüfen.[85]
68
Im Vergleich zu der vorherigen Rechtslage haben die Anbieter jedenfalls bei Minderjährigen der Altersgruppe 16 bis 18 Jahren deutlich an Rechtssicherheit gewonnen.[86] Aufgrund der in Art. 8 implementierten unwiderlegbaren Annahme der Einsichtsfähigkeit müssen Anbieter hier nicht mehr befürchten, dass aufgrund mangelnder Einsichtsfähigkeit im Einzelfall eine Einwilligung doch unwirksam gewesen ist.
2. Eingeschränkte Fortgeltung bisher erteilter Einwilligungen
69
Ausweislich ErwG 171 S. 3 sollen bisher erteilte Einwilligungen fortgelten, sofern sie der Art nach den Bedingungen der DS-GVO entsprechen.
70
Nach Ansicht der Datenschutzbehörden erfüllen bisher rechtswirksame Einwilligungen zwar grundsätzlich diese Bedingungen; eine Ausnahme von der Fortgeltung wird jedoch gerade in der Konstellation gesehen, dass die Altersgrenze von 16 Jahren nicht beachtet wurde.[87]
a) Einordnung als „Dienst der Informationsgesellschaft“
71
Aufgrund des stark eingeschränkten materiellen Anwendungsbereichs ist zunächst festzustellen, ob das jeweilige Angebot als ein „Dienst der Informationsgesellschaft“ eingeordnet werden kann. Durch die aufgezeigten Auslegungs- und Abgrenzungsschwierigkeiten im Zusammenhang mit der Bestimmung entsprechender Angebote wird jedoch (jedenfalls derzeit) nicht in allen Fällen eindeutig zu bestimmen sein, ob ein derartiges Angebot vorliegt. Ist letztlich das Vorliegen eines entsprechenden Dienstes zu bejahen, muss der Anbieter Maßnahmen ergreifen, um den Verpflichtungen aus Art. 8 nachzukommen.[88]
aa) Erfordernis und Anforderungen an die Altersabfrage des Nutzers
72
Sieht Art. 8 einen abgestuften Minderjährigenschutz vor, ist es für den Anbieter zukünftig erforderlich, dass er vor der Einholung von datenschutzrechtlichen Einwilligungen zunächst das Alter des Nutzers in Erfahrung bringt.
73
Fraglich ist, welche Anforderungen hier im Einzelnen zu stellen sind. Jedenfalls bei einem geringen Risiko der Verarbeitung reicht eine einfache Abfrage („Wie alt bist du?“) bereits aus. Im Sinne des Gebots der Datensparsamkeit erscheint sogar eine rein binäre Abfrage („Bist du mindestens 16 Jahre alt?“) oder eine Checkbox („Ich bin mindestens 16 Jahre alt“) praktikabel und ausreichend.[89] Bei bejahender Antwort genügt die Einwilligung des Nutzers selbst, weil die Altersgrenze des Unionsrechts (und des nationalen Rechts) erfüllt ist; bei verneinender Antwort ist die elterliche Zustimmung erforderlich. Die richtige Angabe des tatsächlichen Alters bringt darüber hinaus keinen Mehrwert.[90]
74
Dagegen ist es jedenfalls nicht erforderlich, Diensten der Informationsgesellschaft ein komplexes Altersverifikationssystem im Sinne des Jugendmedienschutzrechts (§ 4 Abs. 2 S. 2 JMStV) vorzuschalten.[91] Dies würde aufgrund der jugendschutzrechtlich bedingten Komplexität solcher Systeme die Grenze der Angemessenheit überschreiten, zumal dann die von der DS-GVO erwünschte Einwilligung ohne Medienbruch in Frage stünde. Auch existieren in den anderen Mitgliedstaaten keine vergleichbaren Systeme, sodass mangels Vorgabe konkreter Prüfungsanforderungen durch die DS-GVO nicht davon ausgegangen werden kann, dass der Gesetzgeber unionsweit den strengen deutschen Jugendmedienschutzstandard etablieren wollte.
(1) Minderjährige Nutzer im Alter von 16 bis 18 Jahren
75
Ergibt die Abfrage, dass es sich um einen minderjährigen Nutzer handelt, der das 16. Lebensjahr bereits vollendet hat, ist die Verarbeitung auf Grundlage dessen Einwilligung rechtmäßig, sofern die weiteren Anforderungen des Art. 6 Abs. 1 lit a und Art. 7 eingehalten sind.[92] Aus Art. 8 ergeben sich hier keine gesonderten Anforderungen. Vielmehr wird diese Altersgruppe mit den volljährigen Nutzern rechtlich gleichgestellt.[93]
(2) Minderjährige Nutzer im Alter bis zu 16 Jahren
76
Ergibt die Anfrage, dass es sich um einen Nutzer unter 16 Jahren handelt, muss der Anbieter angemessene Anstrengungen unternehmen, um sich zu vergewissern, dass eine Einwilligung des Trägers der elterlichen Verantwortung vorliegt.
77
Diesbezüglich werden unterschiedliche Ansätze in der Literatur diskutiert. Die Rechtsunsicherheit hinsichtlich der zu ergreifenden Maßnahmen wird derzeit als hoch eingeschätzt.[94]
(a) Double-Opt-in-Verfahren
78
Die bisher wohl h.M. in der Literatur schlägt die Einrichtung eines sog. Double-Opt-in-Verfahrens vor.[95]
79
Hierbei muss der Anbieter zunächst sowohl die E-Mail-Adresse des minderjährigen Nutzers als auch des jeweiligen Trägers der elterlichen Verantwortung abfragen. Abhängig davon, ob eine Einwilligung durch die Träger der elterlichen Verantwortung für den Minderjährigen oder eine Einwilligung des Minderjährigen mit dessen Zustimmung erteilt wird, muss daraufhin entweder an das Kind oder den Träger der elterlichen Verantwortung eine E-Mail mit einem Bestätigungslink versendet werden. Erst nach der Bestätigung durch das Anklicken des entsprechenden Links kommt dann die erforderliche datenschutzrechtliche Einwilligung zustande.[96]
80
Problematisch an diesem Verfahren ist, dass über die Eingabe einer bloßen E-Mail-Adresse nicht gewährleistet werden kann, dass diese tatsächlich eine der Eltern ist bzw. der Minderjährige nicht die E-Mail-Konten seiner Eltern ohne deren Kenntnis nutzt.[97] Solange aber jedenfalls kein