Einwilligungsfähigkeit, Altersverifikation und Jugendschutz bei Internetdiensten und Cookie – Consent
Spätestens mit der Einführung des TTDSGs (Telekommunikationstelemediengesetz) im Dezember 2021, sollten Webseitenbetreiber einen Cookie – Consent – Banner implementiert haben. Denn in § 25 TTDSG ist explizit geregelt, dass eine datenschutzrechtliche Einwilligung der Seitenbesucher:innen erforderlich ist, sobald mehr als nur technisch notwendige Cookies zum Einsatz kommen oder Dienste von Dritten (wie Analyse-, Marketing-, Tracking-, Karten-, Wetter-, Chat-, Video-, Bildoptimierungs-, Push-Nachrichten- und Umfrage-Dienste) auf der Webseite eingebunden werden. Dabei ist die einzige gültige Zustimmung zur Verarbeitung von Nutzerdaten in der EU die explizite Einwilligung. So hat es kürzlich auch der Bundesgerichtshof in seinem Urteil im Mai 2020 entschieden und ist dabei der Einschätzung des EuGHs gefolgt, dass eine aktive und freiwillige Einwilligung der Nutzer unbedingt erforderlich ist und zum Beispiel bereits aktivierte Auswahlkästchen auf dem Cookie-Banner nicht zulässig sind. Nur was ist mit der Altersverifikation und wer ist dafür zuständig?
Wirksamkeitsvoraussetzungen der Einwilligung
Denn nicht nur Erwachsene sind im Internet aktiv und auf Webseiten unterwegs, auf welchen sie mit Cookie – Consent – Bannern konfrontiert werden, sondern auch viele Minderjährige. Dabei stellt sich die Frage, ob und inwieweit eine wirksame Einwilligung im Datenschutzrecht überhaupt von Minderjährigen oder gar Menschen, welche unter Betreuung stehen abgegeben werden kann. Eine Einwilligung ist gemäß Art. 4 Nr. 11 DSGVO eine freiwillige, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung. Mit dieser sollte die betroffene Person zu verstehen geben, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Eine wirksame Einwilligung setzt zudem die Einwilligungsfähigkeit voraus, also die Fähigkeit wirksam Einwilligungen abgeben zu können.
Wir beraten Sie zum datenschutzkonformen Einsatz des Cookie Consent
Kontaktformular WIEMER ARNDT
Einwilligungsfähigkeit von Minderjährigen und Altersverifikation
Seit Einführung der DSGVO enthält der Datenschutz eine ausdrückliche gesetzliche Regelung zur Einwilligung von Minderjährigen in Art. 8 DSGVO. Dort wird für die Einwilligungsfähigkeit nicht auf die Geschäftsfähigkeit abgestellt, vielmehr kommt es auf die Altersgrenze von 16 Jahren an. Art. 8 DSGVO gilt allerdings nur im Zusammenhang mit „Diensten der Informationsgesellschaft“, das heißt Social – Media – Kanälen, Webseiten etc. . In allen anderen Fällen wird, wie noch vor der DSGVO, auf die sogenannte Einsichtsfähigkeit abgestellt. Demnach sind diejenigen Minderjährigen einwilligungsfähig, welche die Bedeutung und Tragweite ihrer Entscheidung vernünftigerweise absehen können.
Personenbezogene Datenverarbeitung von Einwilligungsunfähigen
Das hat zur Folge, dass für die Verarbeitung von personenbezogenen Daten auf Webseiten, welche eine Einwilligung voraussetzen, Personen unter 16 Jahren keine wirksame Einwilligung abgegeben können. Vielmehr müssen laut Art. 8 Abs. 1, S. 2 DSGVO sodann die Träger elterlicher Verantwortung eine Einwilligung für das Kind abgeben oder ihre Zustimmung erteilen. Daher wird teilweise empfohlen in dem Cookie – Consent – Banner auf dieses Erfordernis hinzuweisen, sobald sich die Angebote auf einer Webseite direkt an Kinder und Jugendliche richten.
Unter rechtlicher Betreuung stehende Personen
Hinsichtlich den Personen, welche einer rechtlichen Betreuung unterstehen gibt es keine Regelung in der DSGVO. Daher wird vertreten, dass es für die Wirksamkeit einer Einwilligung in die Datenverarbeitung und daher der Einwilligung bei einem Cookie – Consent – Banner auf die Einsichtsfähigkeit der betreuten Person ankommt. Das heißt, eine wirksame Einwilligung liegt nur dann vor, wenn die betreute Person die Tragweite der Entscheidung vernünftigerweise absehen kann. Ansonsten ist eine Zustimmung seitens des gesetzlichen Betreuers erforderlich. Eine Einwilligung für die Kinder und betreute Personen oder eine Zustimmung sollte zeitlich vor der Erhebung von personenbezogenen Daten erfolgen, da die betroffenen Personen sonst nicht ausreichend geschützt seien.
Unternehmen sind verantwortlich bei der Altersverifikation – Art. 8 Abs. 2 DSGVO
Laut Art. 8 Abs. 2 DSGVO tragen Unternehmen, welche Daten von Minderjährigen verarbeiten, die Verantwortung für den Nachweis, dass eine Einwilligung tatsächlich von den Eltern oder sorgeberechtigten Personen stammt oder die Datenerhebung mit deren Zustimmung erfolgte. Dafür sollen die verantwortlichen Unternehmen unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen unternehmen. Bisher ist jedoch unklar, was darunter zu verstehen ist. Denn so hat sich Gesetzgeber ebenso wie die Datenschutzaufsichtsbehörden hinsichtlich der Umsetzung der Anforderungen an einen solchen Nachweis bislang eher bedeckt gehalten. Rein praktisch wird der Verantwortliche online wohl zunächst das Alter des Minderjährigen abfragen.
Vorgehensweisen zur Überprüfung
Doch wie Webseitenbetreiber das Alter von Kindern und Jugendlichen tatsächlich sicher überprüfen sollen, sowie Erwachsene nachweisen, dass sie tatsächlich die Erziehungsberechtigten sind, bleibt fraglich. Möglich wäre zum Beispiel der Einsatz eines PostIdent-Verfahrens. Für viele Unternehmen dürfte dies aber keine wirtschaftliche und praktikable Lösung darstellen. Oder eine Übersendung einer Kopie oder eines Scans des Personalausweises. Als weitere Möglichkeit, in technisch nicht notwendige Cookies einzuwilligen, wird diskutiert, dass der Verantwortliche eine E-Mail an die E-Mail-Adresse der Eltern schickt, die der Minderjährige angeben muss. So könnten diese die Einwilligung bzw. die Zustimmung erteilen. Und zwar in Form eines Double-Opt-in-Verfahrens. Wird ein Verfahren zur Altersverifikiation seitens der Webseitenbetreiber eingesetzt, ist jedoch § 22 TTDSG zu berücksichtigen. Darin wird festgeschrieben, das Verantwortliche, die im Rahmen der Überprüfung des Alters erhobenen Daten nicht für kommerzielle Zwecke verarbeiten dürfen. Eine absolut sichere, zweifelsfreie Feststellung des Nutzeralters ist jedoch bisher praktisch unmöglich. Denn auch eine Zwei-Stufen-Prüfung kann etwaige Missbrauchsrisiken nicht gänzlich ausschließen.
Verlässliches System zur Altersverifikation
Doch laut JMStV braucht es ein verlässliches Altersverifikationssystem. Jugendschützer:innen fordern dies insbesondere im Zusammenhang mit sogenannten jugendgefährdenden Inhalten zum Beispiel für Pornoseiten. Dabei reiche es nicht aus, wenn lediglich Personalausweisnummer, Adresse oder Bankverbindung verlangt würden. Vielmehr sei eine Passkontrolle per Webcam plus biometrischer Erfassung erforderlich. Bisher belassen es viele Pornoseiten bei einem Klick, der bestätigen soll, dass man nicht minderjährig ist. Dies sorgt für viel Unmut und aktuell zur Forderung nach Gegenmaßnahmen bis hin zu Netzsperren. Doch auch solche Netzsperren lassen sich mit bestimmten Werkzeugen umgehen, etwa durch VPN- Dienste oder den Tor Browser. Eine absolut sichere Lösung gibt es also auch hier nicht.
Datenschutz vs. Jugendschutz
Dem absoluten Jugendschutz stehen zudem die Datenschutzinteresse der betroffenen Erwachsenen gegenüber, welche der Altersverifikation ausgesetzt sind. Der Grundsatz der Datenminimierung lässt sich schwer umsetzen, wenn deren hochsensible Daten, die bei der biometrischen Erfassung gesammelt werden auf Datenbanken festgehalten werden und möglichem Missbrauch ausgesetzt sind. Es wird daher gefordert, den Jugendschutz in diesen Zusammenhang nicht allein den Webseitenbetreibern aufzulegen, sondern auch die Eltern bzw. Sorgeberechtigten in die Verantwortung zu nehmen. Indem diese dazu motiviert würden die elektronischen Geräte entsprechend einzurichten, dass Minderjährige keine Webseiten für Erwachsene aufrufen können. Also ähnlich einer Netzsperre, nur auf dem Endgerät.
Erhebung personenbezogener Daten und Digital Markets Act
Auch im Zusammenhang mit dem Einsatz von Cookies auf Webseiten, welche sich an unter Sechzehnjährige richten könnten Eltern mehr in die Verantwortung gezogen werden. Also die Endgeräte so einzurichten, dass die unter Sechzehnjährigen nur auf bestimmte Webseiten Zugriff haben und für diese sodann eine Zustimmung erteilt wurde bevor die Kinder darauf zugreifen und die dortigen Angebote nutzen können. Eine Überlegung ist auch, wie im Digital Marekts Act angedacht, dass personenbezogenen Daten von Minderjährigen generell nicht für zielgerichtete Marketingzwecke eingesetzt werden dürfen. Ein Cookie – Consent – Banner wäre dann erst gar nicht erforderlich auf Webseiten, da ohnehin keine Cookies zur personalisierten Werbung erhoben werden dürften.
Einwilligungsfähigkeit unabhängig von Vertragsrecht
Vom Thema der Einwilligungsfähigkeit ist das Vertragsrecht aus dem Bürgerlichen Gesetzbuch (BGB) zu unterscheiden. Nach Art. 8 Abs. 3 DSGVO richtet sich die Möglichkeit einen Vertrag abzuschließen weiterhin nach dem BGB. Art. 8 Abs. 3 DSGVO stellt klar, dass die Einwilligungsfähigkeit keine Auswirkungen auf das Vertragsrecht der Mitgliedstaaten hat. Das heißt, dass weiterhin nach dem BGB zu prüfen ist, ob der Minderjährige einen Vertrag abschließen kann oder nicht.
Fazit zur Altersverifikation beim Cookie Consent:
Ein Verantwortlicher, welcher direkt Online – Angebote an unter Sechzehnjährige richtet und deren Daten auf Grundlage einer Einwilligung oder Zustimmung verarbeitet, hat nachzuweisen, dass diese tatsächlich von den Eltern stammt. Eine irgendwie geartete Kontaktaufnahme und Rückmeldung ihm Rahmen der verfügbaren Technik, sowie ein Verfahren zur Überprüfung der Authentizität, ist daher erforderlich. Zudem sollte die Datenschutzerklärung in kindgerechter, einfacher Sprache verfasst sein, um den Informationspflichten nachzukommen. Das wird die Verantwortlichen vor praktische Schwierigkeiten stellen und den einen oder anderen Anbieter davon abhalten, Kindern den Bezug von Newslettern anzubieten oder Persönlichkeitsprofile zu erstellen. Eine ausgereifte Methode, welche den Interessen der Verantwortlichen und denen der Minderjährigen gerecht wird, wurde bisher leider noch nicht gefunden. Solange bleibt der einfachste Weg für die Anbieter von Online – Angeboten für Minderjährige, falls möglich, ganz auf Cookies und Diensten von Drittanbietern zu verzichten.