Twitter ist ein beliebter Kurznachrichtendienst, der besonders auch von jungen Menschen häufig genutzt wird, um zu diskutieren, sich zu informieren und auszutauschen. Nun bekommt die App allerdings Konkurrenz: Meta, ehemals Facebook, bringt einen eigenen Kurznachrichtendienst heraus und möchte Twitter seine Nutzer : innen streitig machen.

Aus diesem aktuellen Anlass und besonders auch vor dem Hintergrund des oftmals jungen Alters der Zielgruppe dieser App und weiterer sozialer Medien, möchten wir eine Empfehlung geben, wie man die Daten Minderjähriger bei der Nutzung von Diensten wie Twitter und Co. schützen kann und stellen einen Lösungsweg vor, wie eine datenschutzkonforme Anmeldung und Nutzung möglich wäre.

Insbesondere für Jugendhilfeeinrichtungen ist eine umfassende Aufklärung von Bedeutung, da auch dort häufig eine Kommunikation über Messenger (z. B. WhatsApp oder Telegram) stattfindet. Die Einrichtungen müssen sich über die Risiken hierbei im Klaren sein und die Daten ihrer Klient : innen bestmöglich schützen.

Gemäß Art. 8 DSGVO ist für die Wirksamkeit von Einwilligungen (Minderjähriger in die Verarbeitung ihrer personenbezogenen Daten) die Altersgrenze 16 Jahre. Hat der / die Betroffene das 16. Lebensjahr noch nicht vollendet, ist die Verarbeitung nur dann rechtmäßig, wenn die „Einwilligung durch den Träger der elterlichen Verantwortung für das Kind […] erteilt wird“.

Die „gesteigerten“ Anforderungen sind also bei der Anmeldung zu sozialen Medien wie Facebook, Twitter oder Instagram zu beachten. Bislang gibt es hierzu noch keine etablierten Lösungsansätze, da Art. 8 DSGVO anders als die §§ 104 ff. BGB nicht allein vor den Gefahren eines rechtlichen Nachteils, sondern auch die Rechte und Freiheiten als natürliche Person schützt.

Als vermeintliche Lösungen kommen daher derzeit das sog. PostIdent / VideoIdent-Verfahren oder ein modifiziertes Double-Opt-In Verfahren in Betracht.
Das PostIdent-Verfahren und das VideoIdent-Verfahren sind zwei Methoden, die zur Identitätsprüfung bei verschiedenen Online-Diensten und Transaktionen verwendet werden. Das PostIdent-Verfahren wurde traditionell für die Identitätsprüfung bei Kontoeröffnungen, Vertragsabschlüssen und anderen Transaktionen verwendet, während das VideoIdent-Verfahren eine modernere Variante ist, die online per Videochat durchgeführt wird.

PostIdent-Verfahren

Beim PostIdent-Verfahren müssen Kund : innen persönlich zu einer Postfiliale gehen und sich dort mit ihrem Ausweis identifizieren. Ein : e Postmitarbeiter : in prüft die Identität des / der Kund : in anhand des Ausweisdokuments und bestätigt diese. Der / Die Kund : in erhält dann eine Bestätigung, die dem / der Dienstleister : in vorgelegt werden kann, um die Identität zu verifizieren.

VideoIdent-Verfahren

Beim VideoIdent-Verfahren hingegen findet die Identitätsprüfung online statt. Der / Die Kund : in führt einen Videoanruf mit einem / einer Mitarbeiter : in des / der Dienstleister : in durch und zeigt seinen / ihren Ausweis über die Kamera. Ein : e Mitarbeiter : in prüft die Identität des / der Kund : in anhand des Ausweisdokuments und vergleicht die Informationen mit den Angaben des / der Kund : in. Nach erfolgreicher Überprüfung wird die Identität bestätigt.

Double-Opt-In-Verfahren

Das Double-Opt-In-Verfahren hingegen wird hauptsächlich im E-Mail-Marketing verwendet, um sicherzustellen, dass eine Person bewusst und explizit ihre Zustimmung zur Erhaltung von E-Mails gegeben hat. Es ist ein zweistufiger Prozess, bei dem ein : e Benutzer : in zunächst seine / ihre E-Mail-Adresse in ein Anmeldeformular eingibt und dann eine Bestätigungs-E-Mail erhält. In dieser E-Mail wird ein Bestätigungslink bereitgestellt, den der / die Benutzer : in anklicken muss, um seine Zustimmung zu bestätigen.

Denkbar wäre, dass Anstelle des PostIdent / VideoIdent-Verfahrens eine zulässige Datenverarbeitung bei Minderjährigen im Rahmen der App-Nutzung auch nach erfolgreicher Durchführung eines modifiziertes Double-Opt-In Verfahren möglich sein dürfte.

Das modifizierte Verfahren

Dieses Verfahren müsste aus drei Schritten bestehen:

  1. Ermittlung des Alters des / der Minderjährigen
  2.  Einholung der Einwilligungserklärung des / der Träger : in der elterlichen Sorge
  3.  Bestätigung der E-Mail-Adresse des / der Minderjährigen.

Denkbare Umsetzung

  1. Die Anmeldung zu einem Dienst bzw. die Einwilligungserklärung in die Datenverarbeitung darf sich nicht auf die Angabe der E-Mail-Adresse beschränken, sondern es muss auch das Alter abgefragt werden. Liegt das angegebene Alter unter 16 Jahren, so muss das modifizierte DOI-Verfahren durchlaufen werden.
  2. Hier hat ein : e Minderjährige : r nun zunächst weitere Angaben zu seiner / ihrer Person vorzunehmen, d.h. zusätzlich zur E-Mail-Adresse sind der vollständige Name und die Anschrift anzugeben, sowie die E-Mail-Adresse eines / einer Träger : in der elterlichen Sorge.
  3. Der / Die Träger : in der elterlichen Sorge erhält nun eine E-Mail, die den / die Sorgeberechtigte : n über die Anfrage zur Anmeldung des / der Minderjährigen zur Nutzung der jeweiligen Anwendung informiert. Es lässt sich aus dieser E-Mail-Adresse transparent die App, der / die Betreiber : in der App und der Umfang der Datenverarbeitung sowie die E-Mail-Adresse und der Namen des / der Minderjährigen entnehmen. Nach Klick auf einen Link, muss der / die Sorgeberechtigte noch seinen / ihren vollständigen Namen, seine / ihre Telefonnummer sowie seine / ihre Anschrift eingeben und kann anschließend in die Datenverarbeitung des / der Minderjährigen einwilligen.
  4. Stimmen die Adressen von Minderjährigen und Sorgeberechtigten überein, erhält zum Abschluss des DOI-Verfahrens der / die Minderjährige noch eine E-Mail zur Sicherstellung, dass er / sie die E-Mail-Adresse auch verwenden durfte. Bestätigt er / sie mittels Klick dies, so ist er / sie zur Nutzung der App zugelassen.

Fazit

Das modifizierte Double-Opt-In ist leider nicht ohne Risiko, da insbesondere nicht sichergestellt werden kann, dass die von dem / der Minderjährigen angegebene E-Mail-Adresse des / der Sorgeberechtigten auch tatsächlich die des / der Sorgeberechtigten ist. Gleichwohl scheint das modifizierte Double-Opt-In derzeit das einzige Verfahren zu sein, das im Verhältnis zu den Kosten realisierbar ist und eine Einwilligung des / der Sorgeberechtigten berücksichtigt.

Es ist zu bedenken, dass der Nachweis hinsichtlich der Erfüllung der Anforderungen des Art. 8 DSGVO vom Werbetreibenden bzw. von dem / der Verantwortlichen für die Datenverarbeitung erbracht werden muss und diese : r ggf. bei Verstößen haftet.

Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: