– Auf klare Überschriften achten: „Einwilligung“ statt „Datenschutz“;
– keinen Raum für Missverständnisse geben: Opt-in statt Opt-out;
– Einwilligungen wenn möglich nicht an die Vertragserfüllung koppeln: Gewissheit statt Zweifel in Bezug auf die Wahlfreiheit des Betroffenen;
– Raum für Einwilligungen in verschiedene Verarbeitungsvorgänge geben: gesonderte statt General-Zustimmung;
– einfache Sätze ohne Fremdwörter bilden: Klartext statt „Fachchinesisch“;
– eindeutige Formulierungen verwenden: „Ich bin einverstanden“ statt „Mir ist bekannt“;
– Information über die vier „großen W-Fragen“ der Betroffenen nicht vergessen: „Wer (?) will Welche Daten (?) Wofür (?) verwenden und kann ich Widerrufen (?)“;
– sich kurzfassen und wenn nötig mehrschichtige Hinweise geben, ohne die Informationen auf zu viele Detailebenen zu verteilen;
– an inhaltliche Teilbarkeit denken: thematisch gesonderte statt verbundener Klauseln;
– Einwilligungsinhalte nicht künstlich mit harmlos anmutenden Verarbeitungsvorgängen anreichern, die keiner Einwilligung bedürfen, und grafisch deutlich von Vertragserklärungen trennen;
– Einwilligungsklauseln auffällig unmittelbar vor dem Feld platzieren, mit dem der Betroffene seine Gesamterklärung abgibt (Unterschrift/Bestellbutton), oder besser noch gesondert unterschreiben/bestätigen lassen;
– Nachweise für die Erteilung der Einwilligung sichern.
3. Einwilligung von Kindern
296
Die Fähigkeit zur Einwilligung setzt das Bewusstsein der betroffenen Person über die betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten voraus. Das ergibt sich im Umkehrschluss aus Erwägungsgrund 38 S. 1 zur DSGVO, nach dem Kinder infolge möglicher Ermangelung dieses Bewusstsein besonderen Schutz verdienen.
a) Voraussetzungen bei direkten Angeboten von Fernabsatzdiensten
297
Erwägungsgrund 38 S. 2 zur DSGVO fordert besonderen Schutz für Kinder insbesondere bei der Verwendung ihrer personenbezogenen Daten für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung bei der Nutzung von Diensten, die Kindern direkt angeboten werden. Auf die genannten Verarbeitungsvorgänge beschränken sich auch die besonderen Anforderungen an die Einwilligung von Kindern in § 8 DSGVO, dessen Anwendungsbereich darüber hinaus eingeengt ist auf Einwilligungen bei direkt an Kinder gerichtete Angebote von Diensten der Informationsgesellschaft. Darunter versteht man alle in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachten Dienstleistungen,517 die durch Illustration, Darstellung und Ansprache erkennbar auf Kinder ausgerichtet sind.518 Entscheidend ist damit, dass Kinder unmittelbar adressiert werden. Es reicht in diesem Sinne aus, wenn sich das Angebot sowohl an Erwachsene als auch an Kinder richtet, d.h. sog. Dual-Use-Services wie etwa die gängigen Social-Media-Seiten dürften vom Wortlaut der Norm, der keine Ausschließlichkeit verlangt, erfasst sein. Keine Anwendung findet die Bestimmung dagegen auf Dienste, die nach Seiteninhalt und Marketingkonzept nur Personen angeboten werden, die 18 Jahre oder älter sind.519 Außerdem nicht unter Art. 8 DSGVO fallen Angebote, die sich über die Eltern, also nur indirekt an Kinder wenden und nicht auf die direkte Interaktion mit Kindern selbst ausgerichtet sind. Entsprechende Beispiele sind Online-Shops für Spielwaren oder Kinderkleidung.520
298
Kinder können in Datenverarbeitungen bei direkt an sie adressierten Angeboten von Fernabsatzdiensten nach § 8 Abs. 1 S. 1 DSGVO selbst einwilligen, wenn sie das 16. Lebensjahr vollendet haben.521 Bei vorformulierten Einwilligungen muss die Wortwahl, die Tonalität und der Sprachstil der kindlichen Zielgruppe angepasst werden.522
Beispiel
Ein nützliches Beispiel für kindgerechte Sprache als Alternative zu den juristischen Formulierungen der Originalfassung bietet die kinderfreundliche Version der UN-Kinderrechtskonvention.523
299
Die Überprüfung des Alters sollte nach Auffassung des Europäischen Datenschutzausschusses nicht zu einer übermäßigen Datenverarbeitung führen. So kann es insbesondere in Situationen mit geringem Risiko angemessen sein, von einem neuen Abonnenten eines Dienstes die Angabe seines Geburtsjahres oder das Ausfüllen eines Formulars zu fordern, in dem dieser erklärt, nicht unter 16 Jahre alt zu sein, und nur bei Zweifeln in eine Altersüberprüfung überzugehen.524 Bei Kindern jüngeren Alters bedarf es der Einwilligung durch den gesetzlichen Vertreter („Träger der elterlichen Verantwortung“) oder dessen Zustimmung, Art. 8 Abs. 1 S. 2 DSGVO.
b) Vergewisserungspflicht des Verantwortlichen
300
Den Verantwortlichen trifft nach Art. 8 Abs. 2 DSGVO die Pflicht, „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“ zu unternehmen, um sich zu vergewissern, dass die erteilte Einwilligung tatsächlich vom gesetzlichen Vertreter des Kindes stammt oder mit seiner Zustimmung erfolgte. Auch insofern gilt, dass die Anforderungen umso höher sind, je größer das Risiko der Datenverarbeitung ist, und umgekehrt, so dass in Fällen mit geringem Risiko die Überprüfung der elterlichen Verantwortung per E-Mail ausreichen kann.525 In diesem Rahmen dürfte auf der einen Seite eine bloße Bestätigung des Nutzers über das Einverständnis des Erziehungsberechtigten in den AGB oder über eine Checkbox grundsätzlich nicht ausreichen,526 während auf der anderen Seite ein Medienbruch, etwa in Gestalt einer unterschriebenen Einwilligung, unangemessen erscheint.527 Verstöße gegen Art. 8 DSGVO können mit Bußgeldern von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des Unternehmens geahndet werden.528 Der Europäische Datenschutzausschuss erkennt die Schwierigkeit der Verifikation des Alters bzw. der Zustimmung der Erziehungsberechtigten ausdrücklich an und billigt entsprechende Berücksichtigung im Rahmen der Bestimmung der angemessenen Anstrengungen zu, ohne die Verantwortlichen allerdings aus ihrer Pflicht zu entlassen, ihre Prozesse und die verfügbare Technologie ständig zu überprüfen.529 In der Praxis empfiehlt sich nach derzeitigem Stand der Technik die Einhaltung mindestens folgender Prüfschritte:
– einfache Altersabfrage im ersten Schritt;530
– bei unter 16-jährigen im zweiten Schritt Vergewisserung über die Einwilligung/Zustimmung des Trägers der elterlichen Verantwortung;
– Einsatz praktikabler Vergewisserungsmethoden:– Double-Opt-in-Verfahren531 über die E-Mail-Adresse des Erziehungsberechtigten;532– verifizierte Kredit-/Debitkartenzahlung des Erziehungsberechtigten bei kostenpflichtigen Diensten;533– Web-Ident-Verfahren durch Videotelefonat mit Erziehungsberechtigtem.
301
Gemäß Art. 17 Abs. 1f DSGVO kann die betroffene Person vom Verantwortlichen die Löschung der auf der Grundlage der Einwilligung nach Art. 8 Abs. 1 DSGVO gespeicherten personenbezogenen Daten verlangen.
302
Weiterhin nach nationalem Recht beurteilen sich die Gültigkeit, das Zustandekommen und die Rechtsfolgen eines Vertrages in Bezug auf Kinder, Art. 8 Abs.