Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Nachdem wir uns zuletzt die Bedingungen für die Einwilligungen in Artikel 7 näher angesehen haben, muss nun natürlich geklärt werden, ab welchem Alter sie wirksam erteilt werden kann.
Die einfachste Lösung hätte darin bestanden, diese Frage den Mitgliedstaaten zu überlassen. Dort ist ja geregelt, ab welchem Alter Geschäftsfähigkeit besteht, also zum Beispiel Verträge wirksam abgeschlossen werden können – und umgekehrt, bis zu welchem Alter Kinder vertreten werden. Dies hätte zwar den Nachteil fehlender Vereinheitlichung, aber offenbar wiegt der nicht schwer: Bei Vertragsschlüssen kommt der Europäische Binnenmarkt mit den national verschiedenen Regelungen seit Jahrzehnten gut zurecht. Die DS-GVO denkt komplizierter…
Absatz 1
In Absatz 1 wird das Einwilligungsalter auf 16 Jahre festgesetzt, den Mitgliedstaaten in Satz 3 aber die Erlaubnis eingeräumt, eine niedrigere Altersgrenze bis hinab zum 13. Geburtstag zu regeln. Sinn und Zweck dieses Ansatzes erschließt sich nicht. Eine Liste der aktuellen Altersgrenzen für Datenschutz-Einwilligungen findet sich beispielsweise hier. Es wird sogar noch komplizierter: Art. 8 gilt ja nur bei Diensten der Informationsgesellschaft. Das sind gemäß Art. 4 Nr. 25 DS-GVO Dienstleistungen im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates. So geht das mit der klaren und einfachen Sprache…
Also ein Blick durch´s Fernglas auf die RL 2015/1535. Dort nennt Art. 1 Nr. 1 lit. b) „Dienstleistung der Informationsgesellschaft […] jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung. Im Sinne dieser Definition bezeichnet der Ausdruck
i) „im Fernabsatz erbrachte Dienstleistung“ eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird;
ii) „elektronisch erbrachte Dienstleistung“ eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen wird;
iii) „auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ eine Dienstleistung die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird.
Eine Beispielliste der nicht unter diese Definition fallenden Dienste findet sich in Anhang I.“
Nun müssten wir in Anlage I nachschauen, aber wahrscheinlich schmerzen langsam die Füße – es soll ja ein Spaziergang bleiben. Halten wir also fest und das ist ja erstaunlich genug: Für viele Einwilligungen Minderjähriger gilt Art. 8 DS-GVO gar nicht. Das Foto im Ferienlager fällt zum Beispiel nicht darunter. Was wollte der Gesetzgeber damit erreichen? Haben Sie eine Idee?
Absatz 2
Dieser Absatz verlangt vom Verantwortlichen unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um zu prüfen, ob die Zustimmung von den richtigen Personen erteilt wurde. Dies gilt natürlich genauso bei Einwilligungen Erwachsener und ist inhaltlich nicht hilfreich. Was sind denn angemessene Anstrengungen?
Insoweit gelten bei Minderjährigen genau dieselben Maßstäbe wie bei betreuten Personen und Erwachsenen: Verantwortliche müssen nach Lage des Einzelfalls vernünftigerweise davon ausgehen können, dass die richtige Person eingewilligt hat. Das ist hinsichtlich der Altersgrenze auch in anderen Lebensbereichen nichts Neues: An jeder Supermarktkasse und jedem Tresen muss die Altersfrage schnell und korrekt geklärt werden, wenn zum Beispiel Alkoholisches verkauft wird, meist durch einen Blick, in Zweifelsfällen durch einen Blick auf den Ausweis.
Und wie bekommt man bei Kindern einen wasserdichten Nachweis zum Sorgerecht? Auf Antrag erhalten die Sorgeberechtigten einen schriftlichen Nachweis des zuständigen Jugendamtes: Entweder darüber, dass dort keine Eintragungen bzw. Sorgerechtsübertragungen erfolgt sind oder über die tatsächliche Sorgerechtsübertragung, zum Beispiel auf ein alleinerziehendes Elternteil. Gibt es keine Eintragungen beim zuständigen Jugendamt, liegt die Vertretung für Kinder von Gesetzes wegen bei den Eltern. Es braucht dann also nur noch die Vorlage der Geburtsurkunde und zur Identitätsprüfung natürlich eine Kontrolle der Ausweise des Kindes und der Eltern. Schon geschafft!
Genau das meint der DSGVO-Gesetzgeber natürlich in den meisten Fällen nicht (!), wenn er von angemessenen Anstrengungen spricht. Solange das Kind die begleitenden Erwachsenen als Eltern anredet, sich nach dem allgemeinen Eindruck also keine Zweifel an der Elternschaft ergeben, genügt dies. In vielen Konstellationen werden die Verantwortlichen Kind und Eltern gar nicht sehen, also auch nicht gemeinsam erleben. Genügt es dann, wenn das Kind eine Einwilligungsklärung vorlegt, die ein oder zwei unleserliche Unterschriften trägt? Meistens ja. Verantwortliche dürfen zunächst darauf vertrauen, dass auch Kinder sich regelkonform verhalten, die Unterschriften also zum Beispiel nicht gefälscht haben.
Anderes gilt natürlich, wenn im Einzelfall konkrete Umstände einen Verdacht nahelegen. Zum Beispiel: Das Kind verschwindet mit dem Einwilligungsformular und Stift für wenige Sekunden, überreicht dann das unterschriebene Papier. Zu den angemessenen Anstrengungen gehört auch, dass der Verantwortliche direkte Kommunikationskanäle zu den Sorgeberechtigten nutzt, wenn sie vorhanden sind. Zum Beispiel: Bei Organisation eines Ferienlagers sendet der Verantwortliche E-Mails direkt sowohl an die Eltern, wie auch an die Kinder. Die Einwilligungsformulare wären dann den Eltern zu übermitteln, nicht den Kindern zwecks Weiterleitung an die Eltern.
Absatz 3
Absatz 3 regelt dann nur klarstellend, dass selbstverständlich für Vertragsabschlüsse und andere rechtlich relevanten Handlungen von Kindern das nationale Zivilrecht des jeweiligen Mitgliedstaats anwendbar bleibt. Gerade diese Zweiteilung kann zu unnötigen Komplikationen führen. Wenn sich ein 17-jähriger auf Kredit den ersten Porsche kauft, ist dies in Deutschland nur mit Zustimmung der Eltern wirksam. Falls er beim Autohaus vor dem neuen Wagen für ein Werbefoto posiert und dem Verkäufer die Verwendung des Fotos im Internet erlaubt, wäre dies jedoch wirksam. Vielleicht widerruft er die Einwilligung, sobald er enttäuscht hört, dass sich der Autokauf noch um ein Jahr verzögert.
Es wäre einfacher und plausibler, die datenschutzrechtliche Einwilligungsfähigkeit an die Geschäftsfähigkeit zu knüpfen. Die Lösung in Art. 8 bringt weder Einheitlichkeit, noch Klarheit. Und sie gilt zu allem Überfluss nur für bestimmte Einwilligungen.
Am Rande, während wir auf Artikel 9 zuschlendern: Die DS-GVO äußert sich nicht dazu, wie Einwilligungen erteilt werden, wenn Personen – vor allem durch Krankheiten – nicht im Stande sind, ihre Angelegenheiten selbst rechtlich sinnvoll zu regeln. In Deutschland sind dies die Fälle einer vom Amtsgericht angeordneten Betreuung, gegebenenfalls für einzelne Lebensbereiche. Wenn die Betreuung umfassend angeordnet wird, entscheidet auch über die datenschutzrechtliche Einwilligung der jeweilige Betreuer. Und natürlich muss sich der Verantwortliche auch in solchen Fällen in angemessener Weise darüber vergewissern, dass eine Betreuung existiert und der richtige Betreuer entschieden hat.
Als kleine Verbesserung vorzuschlagen wäre deshalb, bei Artikel 8 die Worte in Bezug auf Dienste der Informationsgesellschaft in der Überschrift zu streichen und Abs. 1 Satz 1 zum Beispiel einzuleiten mit „Einwilligungen eines Kindes sind rechtmäßig, wenn das Kind … .“ Noch schöner und einfacher wäre, auf den ganzen Artikel 8 zu verzichten und bei Artikel 7 als Absatz 5 zu ergänzen: „Ob anstelle der Betroffenen andere Personen über die Einwilligung und deren Widerruf entscheiden (z.B. bei Minderjährigen und unter Betreuung Stehenden), regelt sich nach dem allgemeinen Vertragsrecht der Mitgliedstaaten.“ Damit können wir weiterspazieren zu Artikel 9. Achten Sie aber gut auf den Weg – es bleibt arg holprig …
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
