ТОП просматриваемых книг сайта:
DSGVO - BDSG - TTDSG. Группа авторов
Читать онлайн.Название DSGVO - BDSG - TTDSG
Год выпуска 0
isbn 9783800594207
Автор произведения Группа авторов
Серия Kommunikation & Recht
Издательство Bookwire
25
Nur aus dem ErwG 38, nicht aber aus dem Normtext geht hervor, dass diese Anforderung dann nicht gelten soll, wenn sich das Angebot an Kinder richtet, um ihnen eine Beratung durch den Diensteanbieter anzubieten, etwa eine seelsorgerische oder soziale Beratung. Bei der Inanspruchnahme von Präventions- und Beratungsdiensten kann es das Wohl des Kindes erfordern, dass die Eltern keine Kenntnis von der Kontaktaufnahme bekommen und diese dementsprechend auch keine Einwilligung in die zur Erbringung der Beratungsleistung erforderliche Datenverarbeitung, soweit sie nicht schon durch Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO erlaubt ist, erteilen müssen. Es ist davon auszugehen, dass Kinder, die einen solchen Dienst in Anspruch nehmen möchten, auch die erforderliche Einsichtsfähigkeit besitzen und auch ohne eine ausdrückliche Aufnahme des in ErwG 38 enthaltenen Gedankens im Normtext von derartigen Präventions- und Beratungsdiensten mit ihrem Angebot angesprochen werden dürfen. Es sollen durch das Datenschutzrecht keine Hürden aufgebaut werden, um die Dienste beispielsweise von Schwangerschafts-, Sucht- oder Opferschutzberatungsstellen in Anspruch nehmen zu können. Dienste der Informationsgesellschaft, die Beratungsdienste im Sinne des ErwG 38 erbringen, sollen von den Beschränkungen des Art. 8 DSGVO folglich befreit sein, ohne dass der Normtext dieses ausdrücklich zum Ausdruck bringt. Im Übrigen ist schwer nachzuvollziehen, für welchen Zweck diese Beratungsdienste personenbezogene Daten verarbeiten wollen, die nicht für die Durchführung der Beratung – die nach Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO ja erlaubt ist – erforderlich sind und für die dann eine Einwilligung oder Zustimmung notwendig wäre, wenn es diese Bereichsausnahme nicht gäbe.
26
Der Verordnungstext benennt zwei Möglichkeiten, um durch eine Einwilligung zu einer rechtmäßigen Datenverarbeitung zu kommen. Nach der ersten Alternative können die Eltern die Einwilligung in die Verarbeitung durch eine Einwilligungserklärung im Namen des vertretenen Kindes erklären. Nach der zweiten Alternative kann das Kind selbst die Einwilligungserklärung angeben, der die Eltern zustimmen. Die Einwilligung der Eltern muss – wie es auch sonst bei der Einwilligung stets erforderlich ist – vor der Datenverarbeitung erfolgen (siehe Art. 7 Rn. 48). Auch die Zustimmung der Eltern zur schwebend wirksamen Einwilligung des Kindes kann nicht die Unwirksamkeit der Einwilligung des Kindes (Art. 8 Abs. 1 UAbs. 1 Satz 1 DSGVO) nach Erhebung von Daten nachträglich heilen, sondern muss ebenfalls erklärt werden, bevor die Verarbeitung der Daten auf der Grundlage von Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO erfolgt. Die Zustimmung61 kann als vorherige oder nachträgliche Einverständniserklärung erfolgen, bevor oder nachdem das Kind seine Einwilligung erteilt hat. Eine Zustimmung muss ebenfalls vorliegen, bevor die durch eine Einwilligung des Kindes erlaubte Datenverarbeitung erfolgt. Über die Einwilligung durch die Eltern hat der Dienstanbieter das Kind entsprechend (Art. 7 Abs. 3 Satz 3 DSGVO) zu informieren, schon um dem Gedanken der Selbstbestimmung folgend nach Vollendung des 16. Lebensjahres und damit nach Eintritt der Einwilligungsfähigkeit von seinem Widerrufsrecht Gebrauch machen zu können, was ihm bei fehlender Kenntnis einer erfolgten Einwilligung faktisch nicht in den Sinn käme.
27
Die Zustimmung der Eltern kann nicht pauschal für alle in der Zukunft liegenden Einwilligungen des Kindes erteilt werden. Sie muss vielmehr für jede einzelne Einwilligungserklärung erneut gegeben werden, weil die Risiken der jeweiligen Datenverarbeitung, in die eingewilligt werden soll, unterschiedlich zu beurteilen sind und daher eine Einzelfallentscheidung erfordern.
28
Offen ist, in welcher Form die Einwilligung der Eltern bzw. die Zustimmung der Eltern in die Einwilligung des Kindes erfolgt. Hat das Kind das 16. Lebensjahr noch nicht vollendet, muss der Diensteanbieter erkennen können, dass die Einwilligung tatsächlich seitens der Eltern erfolgte bzw. dass dann, wenn das Kind seine Einwilligung gab, die Zustimmung wirklich von den Eltern vorliegt. Eine Checkbox (Abfragemaske), die das Kind zur Bestätigung anklickt, dass seine Eltern zustimmen oder zugestimmt hätten, ist dafür gänzlich unzureichend.62 Die Umgehungsmöglichkeiten durch Beschaffung einer fingierten Erklärung über eine von Kindern bei einem Freemailer selbst beschafften, auf den Namen eines Elternteils lautenden und dann aber allein von den Kindern selbst ohne Kenntnis eines Elternteils genutzten E-Mail-Adresse sind Kindern häufig bekannt (siehe dazu noch Rn. 36f.).
29
Auch die Einwilligung im Sinne der vorherigen Zustimmung der Eltern muss „in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“, erfolgen (siehe Art. 7 Rn. 14, 30ff.).
30
Die Vorschrift behandelt nicht die Frage, ob eine Einwilligung der Eltern auch gegen den Willen des Kindes erfolgen darf, das zwar noch nicht das 16. Lebensjahr vollendet hat, aber möglicherweise bereits über die erforderliche Einsichtsfähigkeit verfügt, um negative Auswirkungen einer Einwilligung befürchten zu können und deshalb eine Einwilligung ablehnt. Immerhin beinhaltet die Erziehungsberechtigung der Eltern (Art. 6 Abs. 2 GG) auch die Pflicht, das Kindeswohl zu fördern (§ 1 Abs. 1 SGB VIII: Jeder junge Mensch hat ein Recht auf Förderung seiner Entwicklung und auf Erziehung zu einer eigenverantwortlichen und gemeinschaftsfähigen Persönlichkeit.). Daraus folgt, dass eine Einwilligung der Eltern aus der Perspektive des Diensteanbieters zwar wirksam erteilt wurde,63 aber aus der Sicht des Kindes nicht gegen dessen Willen hätte erfolgen dürfen.64 Liegt dem Diensteanbieter eine von den Eltern erteilte Einwilligung vor, wäre die Datenverarbeitung damit rechtmäßig, bis von dem Kind ein Widerruf der Einwilligung erfolgt. Weil Art. 8 DSGVO den actus contrarius zur Einwilligung nicht regelt, ist davon auszugehen, dass auch einsichtsfähige Kinder, die das 16. Lebensjahr nicht vollendet haben, und die die Einwilligung in die Datenverarbeitung nicht wünschen, eine von den Eltern erteilte Einwilligung widerrufen können.65 Daraufhin sind die Daten vom Diensteanbieter unverzüglich zu löschen bzw. Daten aus dem Vertragsverhältnis nicht mehr für einen anderen Zweck nutzbar; die sich auf die Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO stützende Datenverarbeitung wird mit dem Widerruf der Einwilligung, der sowohl von den Eltern als auch von dem Kind allein ausgesprochen werden kann, rechtswidrig.
4. Öffnungsklausel
31
Die Mitgliedstaaten dürfen aufgrund der Öffnungsklausel des Art. 8 Abs. 1 UAbs. 2 DSGVO das in Art. 8 DSGVO genannte Alter von 16 Jahren herabsetzen. Zu heterogen ist in den Mitgliedstaaten die Rechtslage gewesen, nach der von einer Einsichtsfähigkeit ab einem bestimmten Alter ausgegangen wird,66 sodass es der im Trilog erfolglos einen Kompromiss suchende Verordnungsgeber den Mitgliedstaaten überlassen musste, ggf. von dem im Interesse möglichst weitgehender Harmonisierung vorgegebenen Alter von 16 Jahren durch mitgliedstaatliches Recht „nach unten“ abweichen zu dürfen. Die Mitgliedstaaten dürfen allerdings nicht, wie in Deutschland nach dem BDSG a.F., zu einer Regelung greifen, die flexibel ohne Festlegung einer starren Altersgrenze im Einzelfall die Einsichtsfähigkeit zum Maßstab macht.
32
Die Mitgliedstaaten haben es damit in der Hand, ein anderes Alter festzulegen, nach dem aufgrund ihres Verständnisses eine unwiderlegbare Vermutung dafür spricht, dass ab einem pauschal festgelegten Alter bei allen Diensten der Informationsgesellschaft die Einsichtsfähigkeit zur Beurteilung der Folgen einer Einwilligung vorhanden ist. Unzulässig wäre aber eine mitgliedstaatliche Vorschrift, die ein Alter unterhalb des vollendeten 13. Lebensjahres vorsähe. Damit gelingt der DSGVO in dieser Frage eine Harmonisierung in Bezug auf die Einwilligungsfähigkeit von