Datenschutz-Grundverordnung für Kinder – Langsam wird es lächerlich

Zuletzt aktualisiert: 16.12.2015 – bitte Aktualisierungshinweis am Ende des Textes beachten.

Vor kurzem wurde der vermeintlich letzte Entwurf der EU-Datenschutz-Grundverordnung (DS-GVO) vor der letzten Trilogverhandlung am 15.12.2015 ins Netz gespült.

Es scheint ja wirklich ernst zu werden, wenn wir den Äußerungen von Jan Albrecht als Berichterstatter des Europäischen Parlaments und klarem „Treiber“ der DS-GVO (das ist nicht negativ gemeint) Glauben schenken dürfen. Die DS-GVO soll unter dem Weihnachtsbaum lieben. Nur: Ist es wirklich ein Geschenk?

Neben all den kleinen Widrigkeiten und Inkonsistenzen des aktuellen DS-GVO-Entwurfs habe ich mich mittlerweile wohl oder übel damit abgefunden, dass sie dann wohl kommen wird – die DS-GVO. Sicher: Es gibt auch Verbesserungen im Vergleich zum in Deutschland geltenden Recht. Allerdings überwiegen die Verschlimmbesserungen bei weitem. Dazu später in weiteren Beiträgen ggf. mehr.

Wirklich mit dem Kopf schütteln konnte ich aber, als ich jetzt im letzten Entwurf die im Vergleich zu den vorherigen Entwürfen geänderte Regelung zur Einwilligung von Kindern im Bereich von Informationsdiensten („Internet“) las. Während im Kommissions- und Parlamentsentwurf in Artikel 8 zur Verarbeitung personenbezogener Daten eines Kindes noch angedacht war, dass Kinder grundsätzlich ab einem Alter von 14 Jahren durchaus über ihre informationelle Selbstbestimmung ausüben und Einwilligungen erteilen können, sah schon die Ratsfassung vor, dass die Eltern die Einwilligung erteilen müssen – allerdings auch mit der Öffnung dahingehend, dass dies anders sein könne, wenn die Mitgliedsstaaten hier andere Regelungen vorsehen. Die Ratsfassung war da schon extrem praxisfern.

Jetzt kommt aber der Kompromiss, der im Trilog gefunden wurde, heraus. Kinder sollen erst ab 16 Jahren eine Einwilligung erteilen können. Das, liebe Damen und Herren im Trilog, kann ja nur ein schlechter Witz sein. Wörtlich heißt es dort:

-1. Where Article 6 (1)(a) applies, in relation to the offering of information society services directly to a child, the processing of personal data of a child below the age of 16 years shall only be lawful if and to the extent that such consent is given or authorised by the holder of parental responsibility over the child. 1a. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology.

-1a. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology.

-2. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child.

Diese Regelungen zur Einwilligung beziehen sich nur auf Informationsdienste, die (auch) auf der Basis von Einwilligungen gegenüber den Nutzern erbracht werden. Wenn die Datenverarbeitung z.B. zur Vertragserfüllung erforderlich ist (Art. 6 (1)(b) DS-GVO-E) greift das nicht. Nur: Jeder Webservice wird heute in Teilbereichen zumindest eine Einwilligung des Nutzers brauchen. Also werden diese „Schutzregelungen“ in Art. 8 auch immer zur Anwendung kommen müssen.

Wozu führt das denn jetzt?
Im Ergebnis werden Kinder und Jugendliche jetzt die Einwilligung ihrer Eltern einholen müssen, wenn Sie z.B. Snapchat, Instagram, YouTube oder den jeweils gerade „hippen“ Webservice nutzen wollen. Und der Anbieter des Dienstes muss ernsthafte Anstrengungen vornehmen, um sicherzustellen, dass die Einwilligung wirklich auch von den Eltern erteilt worden ist.

Liebe Politiker im Trilog: Das kann doch nicht euer Ernst sein!!!
Entweder ihr habt keine Kinder oder ihr seid – mit Verlaub – eher Analog-Eltern, die im Internet per se etwas tendenziell Böses sehen. Dass Kinder sich aber gerade auch heute im Internet äußern und ihre Meinungsfreiheit wahrnehmen, das beachtet ihr nicht. Oder mit einem m.E. falschen Verständnis. Zu diesem merkwürdigen Verständnis empfehle ich auch den Vortag von Nico Lumma, in dem er sehr schön darstellt, wie seine Kinder heute mit moderner Technik aufwachsen und was einige Erwachsene daran vielleicht nicht oder falsch verstehen:

Liebe Politiker im Trilog: Ihr glaubt doch nicht, dass die 15-Jährige ernsthaft ihre Eltern um Zustimmung beten werden, wenn Sie sich für einen neuen Webservice anmelden, bei dem sie gerade die Dinge mit ihren Freunden kommunizieren wollen, über die sie nicht mit ihren Eltern sprechen wollen. Als ich 15 Jahre alt war, habe ich Computerspiele auf dem C-64 gecracked und in Assembler programmiert. Meine Eltern haben das, obwohl sie immer modern und technikfreundlich eingestellt waren, nicht in Ansätzen kapieren können, was ich dort tue. Und ich hätte das auch nicht mit meinen Eltern besprechen wollen. Das genau war Teil meiner jugendlichen Entwicklung und im Übrigen der Wegbereiter, für das, was ich heute als Anwalt im Datenschutzrecht tue und damit meinen Lebensunterhalt sehr gut bestreiten kann. Hätten meine Eltern mir eine Einwilligung für all das damals erteilt? Wohl kaum. Werden Eltern ihren Kindern heute eine Einwilligung zur Nutzung eines Webservices erteilen, den sie nicht in Ansätzen „verstehen“, weil sie als Eltern völlig anders kommunizieren als ihre Kinder? Wohl eher nicht.

Die Regelung mit einer Altersgrenze von 16 Jahren ist damit sowohl rechtlich als auch tatsächlich m.E. Unfug.

Natürlich könnt ihr jetzt behaupten, dass das vielleicht auch nach geltendem Recht der Fall sei, dass Eltern einwilligen müssten. Dafür spricht zwar einiges1, aber nicht vieles. Auch die h.M. in der rechtswissenschaftlichen Literatur ist der Ansicht, dass Minderjährige abhängig von ihrer Einsichtsfähigkeit durchaus Einwilligungen erteilen können.2

Eine wunderbare Formulierung findet sich zu dem Thema übrigens in einem alten Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt (Hervorhebungen von mir):

Darüber hinaus ist für die Einwilligung in die Erhebung und Verarbeitung personenbezogener Daten zu beachten, dass auch das minderjährige Kind Grundrechtsträger ist und damit Anspruch auf Achtung seiner Menschenwürde und Entfaltung seiner Persönlichkeit hat. Eine Einschränkung dieser Grundrechtsausübung durch das Elternrecht ist daher nur insoweit zulässig, als dies die Hilfs- und Schutzbedürftigkeit des Minderjährigen erfordert. Das Elternrecht muss seinem Wesen und Zweck nach gegenüber der Grundrechtsausübung des Minderjährigen zurücktreten, wenn der Minderjährige eine genügende Reife zur selbständigen Beurteilung der Lebensverhältnisse und zum eigenverantwortlichen Auftreten im Rechtsverkehr erlangt hat. Maßgeblich ist die individuelle Einsichtsfähigkeit.

Dabei wird dann zu Recht durchaus angenommen, dass eine starre Altersgrenze hier mit der notwendigen Einzelfallentscheidung nicht vereinbar sei. Und genau das Absehen von einer Altersgrenze halte ich für eine sinnvolle Entscheidung. Denn nicht jeder Jugendliche ist gleich.

Und auch die Art. 29 Gruppe hat sich hierzu einmal in der „Stellungnahme 2/2009 zum Schutz der personenbezogenen Daten von Kindern“ (WP 160) differenziert geäußert (Hervorhebungen von mir):

Da das Kind eine noch in der Entwicklung befindliche Person ist, muss sich die Ausübung seiner Rechte – einschließlich seiner Datenschutzrechte – am Stand seiner körperlichen und geistigen Entwicklung orientieren. Kinder durchlaufen nicht nur einen Entwicklungsprozess, sondern haben auch ein Recht auf Entwicklung und Entfaltung. Dieser Prozess wird im Rechtssystem der einzelnen Staaten zwar unterschiedlich gehandhabt, doch die Kinder sollten in jeder Gesellschaft entsprechend ihrem Reifegrad behandelt werden.

Ich betrachte meine Aufgabe als Vater darin, unsere Kinder so zu begleiten, dass sie in der Lage sind, Möglichkeiten und Gefahren bzw. Risiken, die in der Nutzung neuer Medien liegen, zu erkennen. Dazu gehört aber auch, dass Kinder selbst ihre Erfahrungen machen können werden. Und natürlich werde ich bei unseren Kindern ein Auge darauf haben.

Und ja, jetzt kann dagegen vorgebracht werden, dass wir ja nicht nur von den Kindern ausgehen können, bei denen sich die Eltern kümmern. Und ja, das ist richtig. Aber es kann auch nicht sein, dass die Kinder durch gesetzliche Regelungen in ihrer Entwicklung eingeschränkt werden, die sehr wohl eine geistige Reife erlangt haben, um das zu überblicken, was Anbieter im Netz machen. Das wäre eine merkwürdige „Schutzregelung“.

So sehen wir uns doch abschließend einmal an, was wir (oder zumindest ich) uns von einer DS-GVO erhofft haben:

  • Wir wollten rechtliche Regelungen zum Datenschutz, die in ganz Europa einen einheitlichen, modernen Datenschutz einführt, der zu unserer Informationsgesellschaft passt.
  • Wir wollten rechtliche Regelungen, die reell und durchsetzbar sind. Ein Vollzugsdefizit im geltenden Recht kennen wir zur Genüge.

Leider sind beide Punkte in den laufenden Trilog-Verhandlungen nicht erfüllt.

Regelungen zur Einwilligung von Kindern ab 16 Jahren bei Internetdiensten führen dazu, dass die Kids diese Datenschutz-Regelungen nur lächerlich finden werden. „Da haben sich die Alten ja wieder was tolles einfallen lassen…“ wird es heißen.

Modern ist so ein Ansatz nicht. Und vor allem ist er – wie ein paar andere Regelungen der Entwürfe der DS-GVO – eines: Realitätsfremd – und von realitätsfremden Datenschutzrecht haben wir nun seit Jahrzehnten eigentlich die Nase voll.

Nur: Mit der DS-GVO wird das offenbar auch nicht anders – in Teilbereichen sogar leider schlimmer.

Ich bin der festen Überzeugung, dass wir Kinder dazu ermutigen sollten, moderne Medien selbstbewusst zu nutzen. Es ist wieder mal ein Thema der sagenumwobenen Medienkompetenz, die wir als Eltern und auch als Gesellschaft zu vermitteln haben. Das können wir aber nur, wenn wir uns selbst auf neue Medien ernsthaft einlassen und versuchen, diese und deren Dynamik zu verstehen.

Verbote und ein Scheinschutz wie ein Einwilligungsvorbehalt für Eltern von unter 16-Jährigen nutzt hier: GAR NICHTS! Das ist reine Symbolpolitik, die einen modernden Datenschutz ad absurdum führt. Ein Bärendienst für den Datenschutz, ein Bärendienst für die Gesellschaft…

Update (16.12.2015): Der finale Text sieht jetzt vor, dass die Mitgliedsstaaten abweichend von der Vorgabe, dass ein Kind 16 Jahre alt sein muss, um wirksam einwilligen zu können, auch nationale Regelungen vorsehen bzw. behalten können, die ein geringeres Alter vorsehen. Mindestalter muss aber in jedem Fall 13 Jahre sein. Der genaue Text lautet wie folgt:

Where Article 6 (1)(a) applies, in relation to the offering of information society services directly to a child, the processing of personal data of a child below the age of 16 years, or if provided for by Member State law a lower age which shall not be below 13 years, shall only be lawful if and to the extent that such consent is given or authorised by the holder of parental responsibility over the child.


  1. Vgl. dazu umfassend von Zimmermann, Die Einwilligung im Internet, S. 152 ff.; vgl. auch BGH, Urteil vom 22.1.2014, Az.: I ZR 218/12 – allerdings auf Datenverarbeitung für Werbezwecke bezogen. 
  2. Vgl. Kramer, in: Auernhammer, BDSG, 4. Auflage 2014, § 4a BDSG Rdnr. 18; Plath, in: Plath, BDSG, 2013, § 4a Rndr. 8; so – wenn auch mit Zweifeln – Taeger, in: Tager/Gabel, BDSG, 2. Auflage 2013, § 4a Rdnr. 29; Gola/Klug/Körffer, in: Gola/Schomerus, Bundesdatenschutzgesetz, 12. Auflage 2015, § 4a Rdnr. 2a; Kühling, in: Wolff/Brink, Beck’scher Online-Kommentar Datenschutzrecht, Stand: 01.11.2014, § 4a Rdnr. 33 f.