Nutzer handelt, der das 16. Lebensjahr bereits vollendet hat, ist die Verarbeitung auf Grundlage dessen Einwilligung rechtmäßig, sofern die weiteren Anforderungen des Art. 6 Abs. 1 lit a und Art. 7 eingehalten sind.[92] Aus Art. 8 ergeben sich hier keine gesonderten Anforderungen. Vielmehr wird diese Altersgruppe mit den volljährigen Nutzern rechtlich gleichgestellt.[93]
(2) Minderjährige Nutzer im Alter bis zu 16 Jahren
76
Ergibt die Anfrage, dass es sich um einen Nutzer unter 16 Jahren handelt, muss der Anbieter angemessene Anstrengungen unternehmen, um sich zu vergewissern, dass eine Einwilligung des Trägers der elterlichen Verantwortung vorliegt.
77
Diesbezüglich werden unterschiedliche Ansätze in der Literatur diskutiert. Die Rechtsunsicherheit hinsichtlich der zu ergreifenden Maßnahmen wird derzeit als hoch eingeschätzt.[94]
(a) Double-Opt-in-Verfahren
78
Die bisher wohl h.M. in der Literatur schlägt die Einrichtung eines sog. Double-Opt-in-Verfahrens vor.[95]
79
Hierbei muss der Anbieter zunächst sowohl die E-Mail-Adresse des minderjährigen Nutzers als auch des jeweiligen Trägers der elterlichen Verantwortung abfragen. Abhängig davon, ob eine Einwilligung durch die Träger der elterlichen Verantwortung für den Minderjährigen oder eine Einwilligung des Minderjährigen mit dessen Zustimmung erteilt wird, muss daraufhin entweder an das Kind oder den Träger der elterlichen Verantwortung eine E-Mail mit einem Bestätigungslink versendet werden. Erst nach der Bestätigung durch das Anklicken des entsprechenden Links kommt dann die erforderliche datenschutzrechtliche Einwilligung zustande.[96]
80
Problematisch an diesem Verfahren ist, dass über die Eingabe einer bloßen E-Mail-Adresse nicht gewährleistet werden kann, dass diese tatsächlich eine der Eltern ist bzw. der Minderjährige nicht die E-Mail-Konten seiner Eltern ohne deren Kenntnis nutzt.[97] Solange aber jedenfalls kein Anlass zur Annahme einer entsprechend missbräuchlichen Nutzung besteht, wird man solche Missbrauchsmöglichkeiten hinnehmen müssen.[98] Diese ließen sich jedenfalls nach derzeitigem Stand der Technik auch nicht mit angemessenen Mitteln verhindern (vgl. Rn. 55 f. zum Grundsatz der Datenminimierung).
(b) Weitere Möglichkeiten
81
Eine Authentifizierung des Trägers der elterlichen Verantwortung mittels einer Ausweiskopie scheidet hier jedenfalls aus.[99] Ebenfalls nicht ausreichend wäre die bloße Ergänzung der Allgemeinen Geschäftsbedingungen dahingehend, dass bei jüngeren Nutzern zugleich versichert wird, dass die Eltern zugestimmt haben.[100] Strittig ist hingegen, ob bereits eine Checkbox, bei der das Kind ankreuzt, dass es mit Zustimmung der Eltern handelt, ausreicht. Insofern böte auch etwa die Implementierung eines Altersverifikationssystems i.S.v. § 4 Abs. 2 S. 2 JMStV zumindest die Sicherheit, dass der Minderjährige sich nicht selbst anstelle eines Volljährigen erklärt.[101] Allerdings wird der Unionsgesetzgeber ein solches primär nur in Deutschland überhaupt bekanntes Verfahren kaum vor Augen gehabt haben. Vorgeschlagen wird darüber hinaus in Fällen eines hohen Risikos auch eine Banküberweisung von 0,01 EUR mit einer entsprechenden Erklärung als Verwendungszweck.[102] Auch damit kann letztlich aber nur geprüft werden, dass der Erklärende über ein Bankkonto verfügt, ohne dass feststeht, dass es sich auch um den Träger der elterlichen Verantwortung handelt.
82
Die DS-GVO macht hier keine konkreten Vorgaben, sodass letztlich eine Vielzahl weiterer Gestaltungen und künftig auch entsprechender neuartiger Dienstleistungen denkbar ist. Beispielsweise könnte ein Anbieter innerhalb der App einen Fragenkatalog präsentieren, mit dessen Hilfe eine Identifizierung der Eltern mit hoher Wahrscheinlichkeit möglich ist, oder sich an Child Guard Online[103] (Name, Adresse, letzte Ziffern der Ausweisnummer) orientieren.[104] Akzeptabel erscheint auch die Methode „email plus“, wo die Eltern eine E-Mail erhalten, auf die sie antworten müssen, um ihre Einwilligung zu erteilen, und später unter Bezugnahme auf diese erste E-Mail eine zweite E-Mail mit einem Hinweis auf Widerrufsmöglichkeiten versandt wird.[105]
(c) Orientierung an der Praxis zu COPPA
83
Orientiert sich die Regelung an den Vorgaben des Children‚s Online Privacy Protection Act (COPPA), erscheint die Vornahme vorsichtiger Anleihen aus der US-amerikanischen Rechtspraxis möglich.[106] COPPA hält u.a. folgende Methoden für zulässig:
| – | Schriftliche Einwilligung mit Unterschrift per Post, Fax oder E-Mail; |
| – | Durchführung einer verifizierten Zahlung eines Elternteils mittels Kredit- oder Debitkarte oder eines sonstigen Online-Bezahlsystems oder |
| – | Anruf des Elternteils bei einer kostenlosen Hotline, unter der geschultes Personal zu erreichen ist oder Videokonferenz mit geschultem Personal.[107] |
84
Einige dieser Methoden, wie „print and send“, führen in den USA allerdings dazu, dass der Minderjährigenschutz stark umgangen wird, und dienen daher nicht als geeignetes Vorbild für einen zeitgemäßen Datenschutz.[108]
(d) Beispiel der Art.-29-Datenschutzgruppe
85
Die Art.-29-Datenschutzgruppe beschreibt ein mögliches Verfahren an einem Beispiel, in dem eine Plattform für Onlinespiele die Nutzung der Dienste durch Minderjährige von der Zustimmung der Eltern abhängig machen will.[109] Dieses Verfahren verläuft in 3 bzw. 4 Schritten:
| – | Frage an den Benutzer, ob er unter oder über 16 Jahre alt ist (oder alternatives Alter der digitalen Zustimmung). Wenn der Benutzer angibt, dass er das Alter der digitalen Zustimmung nicht erreicht hat, folgt Schritt 2. |
| – | Der Anbieter informiert das Kind, dass ein Elternteil oder Erziehungsberechtigter zustimmen oder die Verarbeitung genehmigen muss, bevor der Dienst zur Verfügung gestellt wird. Der Benutzer wird aufgefordert, die E-Mail-Adresse eines Elternteils oder Erziehungsberechtigten anzugeben. |
| – | Der Dienst kontaktiert den Elternteil oder Erziehungsberechtigten, holt per E-Mail dessen Zustimmung zur Verarbeitung und unternimmt angemessene Schritte, um zu bestätigen, dass der Zustimmende tatsächlich die elterliche Verantwortung hat. |
| – |
Nur im Falle von Beschwerden ergreift die Plattform zusätzliche Schritte, um das Alter des Benutzers zu überprüfen. Hat die Plattform die anderen Einwilligungserfordernisse erfüllt, kann die Plattform die zusätzlichen Kriterien
|
