Die Digitalisierung verändert die Welt. Die Auswirkungen sind tiefgreifend und vergleichbar mit jenen, die durch die Einführung der industriellen Nutzung der Newcomenschen Dampfmaschine ausgelöst wurden.
Das Internet der Dinge, Industrie 4.0: Das sind vor allem wirtschaftliche Aspekte der Digitalisierung. Doch auch auf die Gesellschaft hat das Zeitalter der Digitalisierung massive Auswirkungen. Vor allem auf die Jüngeren unserer Gesellschaft. In Hinblick auf den Datenschutz stellt sich die Frage: wie können Minderjährige ihre Einwilligung geben, wenn ihre Daten verarbeitet werden?
Online-Befragung von Minderjährigen
Gemäß §2 BGB tritt mit Vollendung des 18. Lebensjahres die Volljährigkeit ein. Davor gilt man als minderjährig. Minderjährige haben eingeschränkte Rechte und Pflichten und stehen unter einem besonderen gesetzlichen Schutz, der viele Formen und Ausgestaltungen hat. Als Konsumenten mit einem, im Vergleich zu Vorgenerationen, sehr ausgeprägten Markenbewusstsein und als Beteiligte an der Entscheidungsfindung ihrer Eltern, sind Minderjährige aber eine sehr gefragte Zielgruppe für Markt- und Sozialforschung, vor allem in Form Befragungen auf digitalem Wege.
Ob gut oder schlecht, das sei dahingestellt: Schon diese Jüngsten unserer Gesellschaft wischen auf Tablets und Smartphones und sind auf etlichen Social-Media-Kanälen vertreten. Die digitale Infrastruktur für eine Online Befragung ist also sehr ausgeprägt. Wie sich der Dualismus zwischen dem Schutz Minderjähriger aus datenschutzrechtlicher Perspektive in Bezug auf diese Online-Befragungen gestaltet und welche Probleme sich dabei ergeben soll im Folgenden erörtert werden.
Verarbeitung Personenbezogener Daten nach der DSGVO
Bei der Befragung eines Minderjährigen kann es zur Erhebung und Verarbeitung personenbezogener Daten kommen. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Unabhängig vom Inhalt der Befragung kann bereits die IP-Adresse als Personenbezogenes Datum ausreichen. Unter einer Verarbeitung versteht man gemäß Art. 4 Nr. 1 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Eine solche Verarbeitung dürfte bei Online Befragungen die Regel darstellen.
Die Rechtmäßigkeit der Verarbeitung Personenbezogener Daten ist in Art. 5 Abs. 1 lit. a DSGVO geregelt. Konkretisiert wird diese in Art. 6 DSGVO. Die Verarbeitung von personenbezogenen Daten ist demnach insbesondere rechtmäßig, wenn eine Rechtsgrundlage für die Datenverarbeitung vorliegt. In Frage kommen hierfür insbesondere eine Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a i.V.m. Art. 7 DSGVO oder eine Rechtsgrundlage nach Art. 6 Abs. 1 lit. b bis f DSGVO. Vorliegend soll vom nicht Vorliegen der Art. 6 Abs. 1 lit. b bis f DSGVO ausgegangen werden.
Somit kommt es auf das Vorliegen einer Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO an, der Generalklausel der datenschutzrechtlichen Einwilligung. Einwilligung, Art. 6 Abs. 1 lit. a DSGVO Eine Definition der Einwilligung findet sich in Art. 4 Nr. 11 DSVO.
Demnach ist eine Einwilligung jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Weitere Bedingungen an die Einwilligung finden sich in Art. 7 DSGVO. Voraussetzung für Erteilung solch einer Einwilligung ist die Einwilligungsfähigkeit. Die Einwilligungsfähigkeit ist die Fähigkeit des Betroffenen, in die Verletzung eines ihm zuzurechnenden Rechtsguts einzuwilligen. Diese Fähigkeit hat der Betroffene, wenn er in der Lage ist, Bedeutung und Tragweite seiner Erklärung zu ermessen.
Nach dem BGH ist hierfür regelmäßig keine Geschäftsfähigkeit im Sinne des BGB notwendig, stattdessen kommt es auf die natürliche Einsichtsfähigkeit an. Es stellt sich die Frage, wann eine solche gegeben ist.
Eine Altersvorgabe fehlt.
Bei der Beurteilung der Einwilligungsfähigkeit kommt es zunächst sowohl auf den jeweiligen Entwicklungsstand als auch auf Art, Umfang, Zweck und Verwendungszusammenhang der personenbezogenen Daten, um die es geht. Eine weitere Orientierung findet sich in verschiedenen Gesetzgebungen: Beispielweise beginnt die Strafmündigkeit mit Vollendung des 14. Lebensjahres (§19 StGB, §§1 Abs. II, 3 JGG). Ab diesem Alter kann das Kind auch Entscheidungen bezüglich seines religiösen Bekenntnisses treffen (§5 S. 1 KErZG). Somit geht der Gesetzgeber davon aus, dass das Kind mit Vollendung des 14. Lebensjahres in der Lage ist einen entsprechenden Willen bilden zu können und somit einsichtsfähig ist.
In den Altersstufen von 14 bis 17 kann die Einsichtsfähigkeit also grundsätzlich unterstellt werden. Bei jüngeren Altersgruppen greift diese Vermutung nicht. Dann liegt es in der Verantwortung des Fragenden die Einsichtsfähigkeit positiv festzustellen.
In Anbetracht der im Regelfall hohen Anzahl an Befragungen und der mangelnden körperlichen Präsenz bei Onlinebefragungen, ist eine einzelfallbezogene Feststellungen der Einsichtsfähigkeit kaum möglich. Für den Fall der Befragung von unter 14-Jährigen, muss wohl in Regel auf die Einwilligung der gesetzlichen Vertreter zurückgegriffen werden. In der Regel sind das die Eltern, §1629 BGB.
Risikobehafteter Online-Bereich, Art. 8 DSGVO
Das europäische bzw. deutsche Datenschutzrecht sah ursprünglich keinen expliziten Schutz der Persönlichkeitsrechte von Kindern vor. Initiativen innerhalb Deutschlands an diesem Zustand etwas zu verändern, scheiterten. Erst mit Inkrafttreten der DSGVO erkannte der europäische Gesetzgeber den besonderen Schutz von Kindern auch im Hinblick auf deren Persönlichkeitsrechten an. Art. 8 DSGVO ergänzt insoweit die Anforderungen an die Wirksamkeit einer Einwilligung gemäß Art. 6 Abs. 1 lit. a in Verbindung mit Art. 7 DSGVO.
Gemäß Art. 8 Abs. 1 S. 1 DSGVO ist die Verarbeitung personenbezogener Daten eines Kindes basierend auf der Rechtsgrundlage der Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO des Minderjährigen, bei einem Angebot von Diensten einer Informationsgesellschaft, das dem Kind direkt gemacht wird, rechtmäßig, wenn das Kind das 16. Lebensjahr vollendet hat.
Die Einwilligungsfähigkeit des Minderjährigen wird somit nicht einzelfallabhängig anhand der Fähigkeit zu selbstständigem und verantwortungsbewusstem Handeln beurteilt, sondern anhand der Altersgrenze von 16 Jahren.
Ein Wichtiger Unterschied.
Hat das Kind noch nicht das 16. Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.
Es stellt sich die Frage, was unter einem „Dienst einer Informationsgesellschaft“ zu verstehen ist.
Eine Legaldefinition in der DSGVO findet sich nicht. Jedoch verweist Art. 4 Nr. 25 DSGVO auf die EU-Richtlinie 2015/1535, in der sich eine Definition findet. Danach ist ein Dienst einer Informationsgesellschaft jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.
Damit wird der Anwendungsbereich von Art. 8 Abs. 1 DSGVO ausschließlich auf Dienstleistungen begrenzt, die über das Internet erbracht werden. Dazu gehören etwa soziale Netzwerke, Streamingdienste oder den Online-Verkauf von Waren.
Eine Online-Befragung ist wohl nicht unter solch einer Dienstleistung zu subsumieren. In Anbetracht der Präsenz Minderjähriger auf zahlreichen Netzwerken (Instagram, TikTok, etc.) und Streamingdiensten (Twitch, YouTube, Spotify, etc.) spielt Art. 8 DSGVO aber eine herausragende Rolle bezüglich der Einwilligung Minderjähriger.
Anonymisierungs-, Pseudonymisierungs- und Verschlüsselungstechniken: Die DSGVO umgehen?
Anonymisierungs-, Pseudonymisierungs- und Verschlüsselungstechniken sind eine Möglichkeit die komplizierten Regelungen der DSGVO zu umgehen. Abhängig vom Sinn, Zweck und Anspruch an die Online-Befragung eignet sich eine Möglichkeit mehr bzw. weniger oder gar nicht. Dies muss der Befrager selbst entscheiden.
Anonymisierung
Das Prinzip der Anonymisierung besteht in der Veränderung der Daten in so einer Art und Weise, dass verhindert wird, dass sich Daten bestimmten Personen zuordnen lassen. Das hat zur Folge, dass sich die Informationen nicht auf eine identifizierte bzw. identifizierbare Person beziehen und somit keine personenbezogenen Daten gemäß Art. 4 Nr. 1 DSGVO vorliegen. Somit findet auch Art. 5, 6 DSGVO keine Anwendung.
Pseudonymisierung
Gemäß Art. 4 Nr. 5 DSGVO ist die Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Bei der Pseudonymisierung wird das Identifikationsmerkmal durch ein Pseudonym ersetzt, um die Feststellung der Identität des Betroffenen auszuschließen oder wesentlich zu erschweren. Im Gegensatz zur Anonymisierung bleiben bei der Pseudonymisierung Bezüge verschiedener Datensätze, die auf dieselbe Art pseudonymisiert wurden, erhalten. Die Pseudonymisierung ermöglicht somit durch einen Schlüssel die Zuordnung von Daten zu einer Person, was ohne diesen Schlüssel nicht oder nur schwer möglich ist, da Daten und Identifikationsmerkmale getrennt sind. Entscheidend ist also, dass eine Zusammenführung von Person und Daten noch möglich ist.
Verschlüsselung
Unter Verschlüsselung ist die Umwandlung von Klartext genannten Daten in einen Schlüsseltext. Diese ist von einem Schlüssel abhängig. Der Klartext aus dem Geheimtext kann in Folge daraus nur unter Verwendung eines geheimen Schlüssels wiedergewonnen werden.
Sanktionen
Der Minderjährigenschutz ist für sich allein ein sensibles und überragend wichtiges Thema. Die Kombination aus kompliziertem Datenschutzrecht und Minderjährigenschutz hievt den Themenkomplex auf eine neue Stufe. Deshalb soll am Ende noch auf die drohenden Sanktionen verwiesen werden. Gemäß Art. 83 Abs. 5 lit. a DSGVO können Verstöße gegen die Art. 5, 6 DSGVO zu einer Geldbuße von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, führen. Verstöße gegen Art. 8 DSGVO können nach Art. 83 Abs. 4 lit. a DSGVO mit einer Zahlung von bis zu 10 000 000 EUR oder zwei Prozent des weltweiten Vorjahresumsatzes geahndet werden.