(b) Weitere Möglichkeiten
81
Eine Authentifizierung des Trägers der elterlichen Verantwortung mittels einer Ausweiskopie scheidet hier jedenfalls aus.[99] Ebenfalls nicht ausreichend wäre die bloße Ergänzung der Allgemeinen Geschäftsbedingungen dahingehend, dass bei jüngeren Nutzern zugleich versichert wird, dass die Eltern zugestimmt haben.[100] Strittig ist hingegen, ob bereits eine Checkbox, bei der das Kind ankreuzt, dass es mit Zustimmung der Eltern handelt, ausreicht. Insofern böte auch etwa die Implementierung eines Altersverifikationssystems i.S.v. § 4 Abs. 2 S. 2 JMStV zumindest die Sicherheit, dass der Minderjährige sich nicht selbst anstelle eines Volljährigen erklärt.[101] Allerdings wird der Unionsgesetzgeber ein solches primär nur in Deutschland überhaupt bekanntes Verfahren kaum vor Augen gehabt haben. Vorgeschlagen wird darüber hinaus in Fällen eines hohen Risikos auch eine Banküberweisung von 0,01 EUR mit einer entsprechenden Erklärung als Verwendungszweck.[102] Auch damit kann letztlich aber nur geprüft werden, dass der Erklärende über ein Bankkonto verfügt, ohne dass feststeht, dass es sich auch um den Träger der elterlichen Verantwortung handelt.
82
Die DS-GVO macht hier keine konkreten Vorgaben, sodass letztlich eine Vielzahl weiterer Gestaltungen und künftig auch entsprechender neuartiger Dienstleistungen denkbar ist. Beispielsweise könnte ein Anbieter innerhalb der App einen Fragenkatalog präsentieren, mit dessen Hilfe eine Identifizierung der Eltern mit hoher Wahrscheinlichkeit möglich ist, oder sich an Child Guard Online[103] (Name, Adresse, letzte Ziffern der Ausweisnummer) orientieren.[104] Akzeptabel erscheint auch die Methode „email plus“, wo die Eltern eine E-Mail erhalten, auf die sie antworten müssen, um ihre Einwilligung zu erteilen, und später unter Bezugnahme auf diese erste E-Mail eine zweite E-Mail mit einem Hinweis auf Widerrufsmöglichkeiten versandt wird.[105]
(c) Orientierung an der Praxis zu COPPA
83
Orientiert sich die Regelung an den Vorgaben des Children‚s Online Privacy Protection Act (COPPA), erscheint die Vornahme vorsichtiger Anleihen aus der US-amerikanischen Rechtspraxis möglich.[106] COPPA hält u.a. folgende Methoden für zulässig:
| – | Schriftliche Einwilligung mit Unterschrift per Post, Fax oder E-Mail; |
| – | Durchführung einer verifizierten Zahlung eines Elternteils mittels Kredit- oder Debitkarte oder eines sonstigen Online-Bezahlsystems oder |
| – | Anruf des Elternteils bei einer kostenlosen Hotline, unter der geschultes Personal zu erreichen ist oder Videokonferenz mit geschultem Personal.[107] |
84
Einige dieser Methoden, wie „print and send“, führen in den USA allerdings dazu, dass der Minderjährigenschutz stark umgangen wird, und dienen daher nicht als geeignetes Vorbild für einen zeitgemäßen Datenschutz.[108]
(d) Beispiel der Art.-29-Datenschutzgruppe
85
Die Art.-29-Datenschutzgruppe beschreibt ein mögliches Verfahren an einem Beispiel, in dem eine Plattform für Onlinespiele die Nutzung der Dienste durch Minderjährige von der Zustimmung der Eltern abhängig machen will.[109] Dieses Verfahren verläuft in 3 bzw. 4 Schritten:
| – | Frage an den Benutzer, ob er unter oder über 16 Jahre alt ist (oder alternatives Alter der digitalen Zustimmung). Wenn der Benutzer angibt, dass er das Alter der digitalen Zustimmung nicht erreicht hat, folgt Schritt 2. |
| – | Der Anbieter informiert das Kind, dass ein Elternteil oder Erziehungsberechtigter zustimmen oder die Verarbeitung genehmigen muss, bevor der Dienst zur Verfügung gestellt wird. Der Benutzer wird aufgefordert, die E-Mail-Adresse eines Elternteils oder Erziehungsberechtigten anzugeben. |
| – | Der Dienst kontaktiert den Elternteil oder Erziehungsberechtigten, holt per E-Mail dessen Zustimmung zur Verarbeitung und unternimmt angemessene Schritte, um zu bestätigen, dass der Zustimmende tatsächlich die elterliche Verantwortung hat. |
| – | Nur im Falle von Beschwerden ergreift die Plattform zusätzliche Schritte, um das Alter des Benutzers zu überprüfen. Hat die Plattform die anderen Einwilligungserfordernisse erfüllt, kann die Plattform die zusätzlichen Kriterien von Art. 8 erfüllen, indem sie diese Schritte einleitet. |
4. Anbieter von grenzüberschreitenden Diensten
86
Insbesondere die divergierenden Altersgrenzen in den Mitgliedstaaten führen bei grenzüberschreitenden Sachverhalten zu Rechtsunsicherheit[110] und nehmen international agierenden Anbietern die Möglichkeit, sich an einem unionsweit geltenden Regime zu orientieren.[111] Aufgrund der uneinheitlichen Altersgrenzen müssen entsprechende Anbieter daher zunächst prüfen, ob und wie im jeweiligen Mitgliedstaat von der Möglichkeit der Reduzierung der Altersgrenze von 16 Jahren Gebrauch gemacht wurde. Nach der Evaluierung der jeweils geltenden Altersgrenzen müssen sie ihr Angebot entsprechend anpassen.[112] Bei Minderjährigen, die noch nicht das 13. Lebensjahr vollendet haben, ist jedenfalls aufgrund der von der Öffnungsklausel vorgegebenen Untergrenze stets eine Zustimmung des Trägers der elterlichen Verantwortung erforderlich.[113]
87
Ebenfalls geprüft werden sollte, wer genau im Einzelnen „Träger der elterlichen Verantwortung“ sein kann. Dies bestimmt sich im Einzelnen nach den Regelungen des kindlichen Sorgerechts in den jeweiligen nationalen Vorschriften der Mitgliedstaaten.[114]
III. Relevanz für betroffene Personen
88
Soweit Minderjährige aufgrund des Art. 8 wirksam in die Verarbeitung von Daten einwilligen können, liegt es nahe, dass auch der Widerruf der Einwilligung dann ohne Zustimmung des Trägers der elterlichen Verantwortung wirksam möglich ist. Dies gilt entsprechend, wenn ein Betroffener unterhalb der Altersgrenze zuvor mit Zustimmung der Eltern eingewilligt hat, oder wenn die Eltern für ihn eingewilligt haben, und er die Einwilligung nach Überschreiten der Altersgrenze widerrufen möchte.[115]
89
Im Hinblick auf die Wertungen der DS-GVO ist zudem denkbar, dass Minderjährige oberhalb der jeweiligen nationalen Altersgrenze auch sonstige Betroffenenrechte wie Auskunft, Berichtigung und Löschung ohne Mitwirkung der Träger der elterlichen Verantwortung geltend machen können. Dies ist aber mangels konkreter Regelungen noch ungeklärt.
IV. Relevanz für Aufsichtsbehörden
90
Im Hinblick auf praxistaugliche und zugleich rechtssichere Ansätze zur Prüfung des Alters der Nutzer und der Einwilligung des Trägers der elterlichen Verantwortung ist ein enger Dialog von Aufsicht und Verantwortlichen