Die DSGVO für Anbieter von Kinderseiten: 5 Praxistipps

Jeder Webseitenbetreiber tut gut daran, sich auf den 25.  Mai 2018 vorzubereiten. Ab diesem Datum gilt nämlich die neue Datenschutzgrundverordnung (DSGVO) – und zwar europaweit. Von den neuen Datenschutzvorschriften sind nicht nur große Unternehmen, sondern auch KMU, Einzelunternehmer, Freiberufler und auch Vereine betroffen. Da die DSGVO auch spezielle Schutzvorschriften für Kinder und Jugendliche enthält, besteht für Angebote, die sich explizit an Kinder richten, ganz besonderer Handlungsbedarf.

ACHTUNG: Die folgenden Ausführungen verstehen sich lediglich als Hinweise, haben keinen Anspruch auf Richtigkeit und/oder Vollständigkeit und ersetzen keine Rechtsberatung. Wenden Sie sich in Zweifelsfällen immer an einen im IT-Recht erfahrenen Rechtsanwalt.

Banner  Datenschutz; (c) Seitenstark e.V.Was ist zu tun?

Zunächst einmal: Durchatmen. Wer sich zum ersten Mal mit der DSGVO beschäftigt, fühlt sich von den vielen juristischen Begrifflichkeiten und den scheinbar unmöglich zu erfüllenden Anforderungen schnell erschlagen. Und ja: Die DSGVO in Gänze zu berücksichtigen, ist eine Aufgabe, die nicht in 5 Minuten erledigt ist. Umso wichtiger, sie so früh wie möglich ernst zu nehmen.

4 erste Schritte für jeden

Unabhängig von der Ausrichtung gibt es Grundanforderungen an jedes Unternehmen, jede/n Einzelunternehmer/in und auch jeden Verein. Daraus lassen sich vier erste Schritte ableiten, die JEDER Anbieter berücksichtigen sollte:

  1. Ermitteln, welche personenbezogenen Daten von wem, wann, wo und wie erfasst, gespeichert und verarbeitet werdenIcon Datenschutz; (c) Seitenstark e.V.
  2. Auftragsverarbeitungsverträge mit Drittunternehmern abschließen
  3. Die Datenschutzerklärung anpassen
  4. Die Website auf HTTPS umstellen

Wenn Sie mehr zu diesen ersten Schritten wissen möchten, empfehle ich Ihnen einen Blick in meinen Artikel „Was bedeutet die DSGVO für Einzelunternehmer und Freelancer?“, in dem sie näher ausgeführt sind. Aber Achtung: Schritt 3 beinhaltet bereits ein Thema, das bei Angeboten für Kinder noch einmal separat zu betrachten ist. Doch dazu gleich mehr.

Kontaktformulare, Kommentarfunktionen & Co.

Icon Einwilligung; (c) Seitenstark e.V.Je nachdem, welche Dienste, Tools oder Funktionen die Website außerdem noch anbietet, können auch noch weitere Schritte nötig werden. Beispielsweise bei Kommentarfunktionen im Blog, Kontaktformularen oder beim Newsletterversand. Auch zu diesen Punkten finden Sie nähere Informationen im oben verlinkten Artikel.

 

Und für Kinderseiten?

Wie schon angedeutet, sind manche dieser Themen für Kinderseiten noch einmal stärker anzupassen. Deshalb werfen wir im Folgenden noch einen Blick auf die näheren Anforderungen für Angebote, die sich (auch) an Kinder richten.

Banner Altersgrenze; (c) Seitenstark e.V.1. Gut verständlich informieren

Einer der entscheidenden Grundsätze der Datenschutzverordnung ist die transparente, verständliche Kommunikation und Information.

Willigen Nutzer beispielsweise in die Verarbeitung ihrer Daten ein, ist diese Einwilligung nur dann wirksam, wenn über die Art der Verarbeitung vorher in verständlicher Form informiert wurde. Das gilt insbesondere für Kinder:

„Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.“
(
Erwägungsgrund 58 zur DSGVO)

Ícon Schutz; (c) Seitenstark e.V.Da die Standard-Vorlagen für Datenschutzerklärungen diese Anforderungen sicherlich nicht erfüllen, steht hier eine Zusatz-Herausforderung für Anbieter von Kinderseiten an: nämlich die häufig eher komplexen Abhandlungen in einfach verständliche, auch von Kindern nachvollziehbare Texte umzuformulieren. Natürlich gilt das auch über die Datenschutzerklärung hinaus – beispielsweise überall dort, wo Daten eingegeben und über die Verwendung dieser Daten informiert wird.

2. Möglichst wenige personenbezogene Daten erheben

Einer der Grundsätze der DSGVO ist die Datenminimierung. Das ist im Prinzip nichts Neues, hat nur einen neuen Namen (hieß früher „Datensparsamkeit“). Und es empfiehlt sich gerade bei Angeboten für Kinder, die eigenen Prozesse im Hinblick auf diese Anforderung noch einmal zu überprüfen. Braucht man für das Anlegen eines Benutzerkontos tatsächlich einen Namen? Tun es nicht auch die Initialen? Oder ein Nickname?

Um die jungen Nutzer möglichst früh für einen eigenverantwortlichen, zurückhaltenden Umgang mit ihren eigenen Daten zu sensibilisieren, kann es ohnehin empfehlenswert sein, sie überall dort, wo keine Klarnamen benötigt werden, bewusst zum Eingeben von Fantasienamen aufzufordern.

Banner Datenschutz; (c) Seitenstark e.V.3. Rechtliche Grundlage für die Erhebung von Daten ermitteln

Liest man Texte zur DSGVO, erhält man manchmal den Eindruck, dass man jetzt als Anbieter gar keine Daten mehr erheben dürfte. Das ist – zum Glück – nicht richtig. Die Rechtmäßigkeit der Verarbeitung von Daten (Art. 6 DSGVO) wird allerdings ab Mai stärker reguliert.

Erlaubt ist die Verarbeitung von Daten auch ohne explizite Einwilligung beispielsweise dann, wenn die Daten für die Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung erforderlich sind, wenn sie benötigt werden, um lebenswichtige Interessen zu schützen oder wenn sie zur „Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten“ erforderlich sind.

Dieses letzte Argument mit seiner gewohnt schwammigen Formulierung – was sind „berechtigte Interessen“? – ist vor allem dann, wenn es um Kinder geht, mit Vorsicht zu betrachten. Denn die Interessen des Anbieters sind nur dann „berechtigt“, wenn dies nicht den Interessen oder Grundrechten des Nutzers zuwiderläuft. Und das gilt ganz besonders dann, wenn es sich bei dabei um ein Kind handelt.

Hier gilt also: Genau hinschauen und im Zweifel doch einen Rechtsanwalt befragen. Denn die Formulierung lässt natürlich jede Menge Freiraum für Interpretationen.

Banner AGB; (c) Seitenstark e.V.4. Status klären:  Handelt es sich um einen „Dienst der Informationsgesellschaft“?

Wenn keine andere rechtliche Grundlage gegeben ist, braucht man für jede Verarbeitung von personenbezogenen Daten eine Einwilligung des Nutzers. Und dieser Punkt ist zweifelsohne der, der Anbietern von Kinderseiten die meisten Bauchschmerzen bereiten wird, denn für die Einwilligung von Kindern hat der Gesetzgeber nun in Art. 8 DSGVO sehr strenge, neue Regeln erlassen, von denen noch überhaupt nicht klar ist, wie sie in der Praxis umsetzbar sind.

Deshalb kann es sich lohnen, zunächst einmal festzustellen, ob das eigene Angebot von den dazugehörigen Vorschriften überhaupt betroffen ist. Achtung: Jetzt wird es ein wenig juristisch, aber für die genaue Einordnung ist der Blick in die Original-Gesetzestexte sicherlich der hilfreichste Weg.

Wörtlich beziehen sich die Bedingungen des Art. 8 auf jedes „Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird.“

Dass sich die angebotenen Dienste direkt an Kinder richten, können wir bei Kinderseiten wohl als gegeben voraussetzen. Was aber sind „Dienste der Informationsgesellschaft“?

Die wiederum definiert die Richtlinie 2000/31/EG (Erwägungsgrund 17) als „alle Dienstleistungen, die in der Regel gegen Entgelt im Fernabsatz mittels Geräten für die elektronische Verarbeitung (…) und Speicherung von Daten auf individuellen Abruf eines Empfängers erbracht werden“.

Die gute Nachricht: Für kostenlose AngIcon Empfehlen; (c) Seitenstark e.V.ebote sind die Vorschriften des Art. 8 DSGVO also offenbar nicht gültig. (Achtung: Diese Schlussfolgerung gilt nur für die Vorschriften dieses speziellen Artikels, nicht für die gesamte DSGVO!)

 

Und eine gewisse Vorsicht bleibt dennoch angebracht, denn: Die Formulierung „in der Regel“ bringt erneut Interpretationsspielraum mit sich. Und da immer mehr Geschäftsmodelle ja dazu übergehen, ihre Dienste kostenlos anzubieten und die Kunden stattdessen mit ihren Daten zahlen zu lassen, ist wohl zu erwarten, dass die konkrete Rechtsprechung auch solche Dienste hier mit einbeziehen wird, die nur augenscheinlich kostenlos sind.

5. Einwilligung der Eltern einholen

Wenn für die Verarbeitung der Daten eine Einwilligung nötig ist und es sich um ein gewerbliches, also kostenpflichtiges (oder nur augenscheinlich kostenloses) Online-Angebot handelt, reicht bei der Erfassung personenbezogener Daten von Kindern – verständliche Erklärung hin oder her – eine Einwilligung des Kindes selbst aber nicht aus. Zusätzlich müssen auch die Eltern der Datenverarbeitung zustimmen.

Icon Personen; (c) Seitenstark e.V.Das ist an sich auch gar nicht so neu – die Einwilligung musste man sich auch bislang vor allem bei jüngeren Kindern schon bestätigen lassen. Bislang gab es allerdings keine festgelegte Altersgrenze, entscheidend war die „Einsichtsfähigkeit“ des Kindes. Das ändert sich mit der DSGVO: Einwilligungen der Eltern – und zwar von Anfang an, eine nachträgliche Zustimmung genügt nicht – sind jetzt für alle Kinder unter 16 Jahren verpflichtend.

Die EU-Verordnung macht die konkrete Altersgrenze zur Ländersache: Den Ländern ist es freigestellt, die Altersgrenze von 16 bis auf maximal 13 Jahre herunterzusetzen. Österreich hat davon beispielsweise Gebrauch gemacht und die Grenze auf 14 Jahre festgelegt. In Deutschland bleibt es allerdings bei der recht hohen Altersgrenze von 16 Jahren.

„Angemessene Anstrengungen“

Was sich vor allem aber ändert: Der Anbieter muss „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“ unternehmen, um sicherzustellen, dass die Einwilligung auch tatsächlich vom „Träger der elterlichen Verantwortung“, also den Erziehungsberechtigten, gegeben wurde.

Banner Interaktion; (c) Seitenstark e.V.Und wie soll das in der Praxis aussehen?

Die große Frage besteht aktuell also darin, wie sich Anbieter vergewissern können, dass die erteilte Zustimmung tatsächlich von den Eltern gemacht wurde. Ob ein Erwachsener oder ein Kind die Checkbox anklickt, kann man leider aus der Ferne nicht erkennen. Und ob der Erwachsene auch noch der Erziehungsberechtigte ist, erst recht nicht.

Die schlechte Nachricht ist: Diese Frage lässt sich derzeit leider schlicht und ergreifend noch nicht beantworten. Denn mit der Praxis befasst sich der Gesetzgeber nicht – und die Formulierungen lassen jede Menge Interpretationsspielraum, beispielsweise zu der Frage, wann eine Anstrengung „angemessen“ ist. Zu diesem Ergebnis kommt unter anderem auch das Bayerische Landesamt für Datenschutzaufsicht, das sich ausführlicher mit dieser Frage befasst hat und resümiert, dass sich „in der Praxis noch viele Fragen stellen werden.“ Und auch eine Rechtsanwaltskanzlei, die das Thema mit Blick auf Kinderapps beleuchtet hat, zieht das Fazit: „Gewisse Risiken können daher nicht ausgeschlossen werden.“

Das Pikante an der Sache: Wer tatsächlich sicherstellen möchte, dass die Einwilligung tatsächlich von den Erziehungsberechtigten kommt, wird im Zweifel nicht umhinkommen, deutlich mehr Daten zu erheben als er für den ursprünglichen Nutzen eigentlich brauchte, wie dieser Vorschlag für die DSGVO-konforme Einholung einer Newsletter-Einwilligung von Kindern und Jugendlichen zeigt.

Es wird deshalb tatsächlich spannend zu beobachten sein, wie die Gerichte mit konkreten Fragen zur Rechtmäßigkeit bzw. Angemessenheit praktischer Umsetzungsmodelle umgehen werden. Unter einem ganz anderen Blickwinkel übrigens auch im Hinblick auf die Frage, wie sich diese mit dem Recht des Kindes auf Privatsphäre und Entfaltung einer eigenen Identität in Einklang bringen lassen.

So lange gilt wohl leider, dass es für gewerbliche Anbieter von Kinderseiten, Kinderapps oder anderen an Kinder und Jugendliche gerichteten Online-Diensten in dieser Frage kaum Rechtssicherheit geben wird.

Ausnahme bei vertraulichen Angeboten

Achtung: Eine Ausnahme gilt laut DSGVO (Erwägungsgrund 38) für Präventions- oder Beratungsdienste, die „unmittelbar einem Kind angeboten werden“. Damit Kinder solche Angebote vertraulich wahrnehmen können, muss für solche Dienste keine Einwilligung der Eltern eingeholt werden.

Fazit

Auch wenn das Thema DSGVO keines ist, bei dem man in Panik verfallen sollte, bleibt insbesondere für Betreiber von Kinderseiten einiges zu tun. Da gerade im Hinblick auf die Frage der elterlichen Einwilligung noch viele Fragen offenbleiben, die sich wohl erst im Zuge konkreter Rechtsprechung beantworten lassen werden, ist wohl die beste Möglichkeit, sich auf die Grundsätze der Transparenz und der Datenminimierung zu fokussieren, möglichst wenige personenbezogene Daten zu erheben und dabei besonders transparent und gut verständlich zu informieren. Und natürlich die Entwicklungen zum Thema aufmerksam im Auge zu behalten.

Welche Punkte Sie über die spezifische Kinder- und Jugendthematik hinaus als Webseitenbetreiber ohnehin anfassen sollten, fasst mein oben bereits erwähnter Artikel zum Thema DSGVO für Freelancer und Einzelunternehmer zusammen. Vielleicht eignen sich die dortigen Anregungen ja dafür, praktisch ins Thema einzusteigen und auch schon mal die ersten allgemeinen Anforderungen von der ToDo-Liste zu streichen.

 

Weitere Links zum Thema

DSGVO: Informationspflicht & Interessenabwägung bei Daten von Kindern (Datenschutzbeauftragter INFO, 01.08.2017)

Anforderungen an die Einwilligung von Kindern nach der DSGVO (Datenschutzbeauftragter INFO, 25.07.2017)

Kommentare

01

Datenschutzgrundverordnung

Liebe Seitenstarke,

Nachdem ich mich jetzt Stundenlang über die neue Datenschutzgrundverordnung (DSGVO) erfolglos aufgeregt habe und ebenso lange nach einer vernünftigen und Kind gerechten Lösung für meine www.stopkids.de Seite gesucht und letztendlich auch gefunden habe, muss ich mir jetzt mal Luft machen.
Eins vorweg, natürlich ist der Datenschutz wichtig. Auch notwendig! Doch so? Von oben herab und schwammiger Formuliert als Spongebob es jemals sein könnte, einfach eine Zumutung.
Da lese ich gut gemeinte Ratschläge, wie Kind gerechte Formulierung, Reduzierung auf das Notwendigste und so weiter. Besser man hätte den ganzen Inhalt der DSGVO erst mal so Formuliert, das ein durchschnittlicher Bürger es auch inhaltlich verstehen kann.
Und wenn ich in den Blogbeitrag gleich zu Beginn den Hinweis lese ...Zitat: „Wenden Sie sich in Zweifelsfällen immer an einen im IT-Recht erfahrenen Rechtsanwalt“..., kommt mir als Privater Kinderseitenanbieter grade zu die Galle hoch. (Bitte nicht persönlich nehmen.)
Für so etwas habe ich kein Geld. Ich spare mir die laufenden Kosten für die stopkids Seite geradezu vom Mund ab!
Meine vorläufige persönliche Lösung für die stopkids Seite, die nicht auf ihr Gästebuch und Kontaktformular verzichten wird, wie folgt aus: https://stopkidsmagazin.de/LINKS/Datenschutz/datenschutz.html
Ich bilde mir jetzt mal ein, das dies, speziell für stopkids.de reichen dürfte. Wenn dem nicht so ist, wäre ich über entsprechende Tipps Dankbar.

Moritz W. Haus

02

Spongebob-Gesetze

Lieber Herr Haus,

dass die DSGVO-Vorgaben des Gesetzgebers an einzelnen Stellen noch enorm "schwammig" und in der konkreten Umsetzung schwierig greifbar sind, ist ein bekanntes Problem und eine Ausgangssituation, mit der wir momentan alle zu kämpfen haben.

Genau aus diesem Grund ist es ja wichtig, sich einen Überblick darüber zu verschaffen, an welchen Stellen potenziell Probleme entstehen können. Dazu gibt es im Netz und auch offline eine ganze Reihe von Checklisten, Problem-Auflistungen und Ratgebern, in ganz unterschiedlicher Qualität und Detaillierung.

Wir haben uns an dieser Stelle für einen möglichst praktischen Ansatz entschieden, der aber natürlich dadurch erschwert wird, dass einige Aspekte vom Gesetzgeber schlicht nicht konkret definiert wurden und sich deshalb (noch) gar nicht in der Praxis beurteilen lassen. Dass dabei außerdem in diesem Rahmen keine eigentliche Rechtsberatung stattfinden darf und auch gar nicht kann, liegt in der Natur der Sache.

Scheinbar haben Sie für sich und Ihr Angebot ja eine Lösung, bzw. einen Umgang mit den gesetzlichen Anforderungen gefunden. Und als nicht-kommerzielles Angebot bleibt Ihnen ja wohl zumindest eines der schwierigsten DSGVO-Themen im Bereich Kinder und Jugendliche, nämlich die Einholung der Eltern-Einwilligung, erspart.

Herzliche Grüße
Katja Flinzner

03

Kinderseiten

Danke für den informativen Beitrag - und auch danke für den kritischen Kommentar an Stopkids, der sich ja vornehmlich an die DSGVO selbst richtet. Ich glaube, wir alle sind nicht sonderlich glücklich darüber, dass wir neben unserer regulären, aufwändigen Arbeit an der eigenen Kinderseite nun auch noch zu juristischen Experten werden sollen. ;-) Kinderseiten, die es wirklich ernst und gut mit Kindern meinen, nehmen in vielerlei Hinsicht eine Sonderstellung ein, das war schon immer so. Ich glaube, hier ist es an uns allen, gemeinsam an der besten Lösung, vielleicht auch an einem Mustertext oder einer Checkliste zu arbeiten, damit uns allen die Umsetzung der DSGVO erleichtert wird. Dieser Blogbeitrag ist ein sehr guter Ansatzpunkt und wir sollten weiter im Austausch bleiben! Ich selbst habe noch keine Zeit gehabt, näher in das Thema einzutauchen. Von daher erst einmal "Hut ab" vor den Stopkids, dass hier schon begonnen wurde.
Ich nehme mir die ersten Worte des Blogbeitrags noch mal als Motivation, um möglichst gelassen an die Sache heranzugehen: "Was ist zu tun? Zunächst einmal: Durchatmen." Wir bleiben dran!

04

Neuen Kommentar schreiben

Mit einem Sternchen (*) versehene Felder sind Pflichtfelder und müssen ausgefüllt werden.

Sollten Sie einen Beitrag löschen oder korrigieren wollen, melden Sie sich bitte unter der im Impressum angegebenen E-Mail-Adresse.
U
8
6
d
B
N
Die Zeichenfolge ohne Leerstellen eingeben.