Datenschutz bei Kinderangeboten
Niedrigschwellige Informationsangebote über die DSGVO insbesondere für Anbieter von Kinderonlineinhalten gibt es wenige. Vor allem gemeinnützige oder öffentlich geförderte Initiativen sind auf frei zugängliche Informationsmaterialien und Hilfestellungen angewiesen. Die FSM bietet zusammen mit den Partnern fragFINN e.V., Hans-Bredow-Institut für Medienforschung (Dr. Stephan Dreyer) und Seitenstark e.V. eine Publikation mit dem Titel „Kinderseiten und DSGVO: Das geht gut!“ an. Sie richtet sich insbesondere an Anbieter von Onlineinhalten für Kinder wie Websites, Apps und andere digitale Angebote. In einer auch für Laien verständlichen Form werden die neuen Regelungen der EU-Datenschutz-Grundverordnung praxisnah erklärt. Die Pflichten für Anbieter sind in einer Checkliste mit Schritt-für-Schritt-Anleitungen aufgeführt. Die Handlungsanleitungen für die Umsetzung können an den eigenen Angeboten entlang der jeweils enthaltenen Inhalte und Funktionen analysiert und datenschutzgerecht überarbeitet werden. Die Handreichung bündelt auf diese Weise fundierte juristische Informationen in einem medienpädagogischen Kontext für die vielfältigen digitalen Kinderangebote in Deutschland. Das Vorhaben wird gefördert von der Beauftragten der Bundesregierung für Kultur und Medien (BKM). Weiterführende Informationen finden Sie unten.
DSGVO
Seit dem 25. Mai 2018 findet in ganz Europa die Datenschutz-Grundverordnung (DSGVO) Anwendung. Sie soll das Datenschutzrecht über alle Europäischen Mitgliedstaaten hinweg harmonisieren.
Personenbezogene Daten
Die DSGVO findet Anwendung, wenn ein Verantwortlicher personenbezogene Daten verarbeitet. Doch was sind personenbezogene Daten und was bedeutet Datenverarbeitung?
Einwilligung und berechtigte Interessen
Bei Kinderangebote spielt die Einwilligung der Betroffenen eine große Rolle. Welche Anforderungen gelten für die Einwilligung und wann gilt die Einwilligungspflicht der Eltern?
Informations- & Transparenzpflicht
Ist die Verarbeitung personenbezogener Daten beabsichtigt, muss der Verantwortliche die betroffene Person darüber spätestens bei der Erhebung der Daten informieren. Ausnahmen von dieser Informationspflicht gibt es in der DSGVO nicht.
Dokumentationspflicht
Die DSGVO verpflichtet den Verantwortlichen dazu, stets nachweisen zu können, dass die von ihm vorgenommenen Datenverarbeitungen im Einklang mit den Vorschriften erfolgen.
Datenschutzaufsicht/Sanktionen
Welche Aufgaben haben die zuständige Aufsichtsbehörden? Welche Maßnahmen sind bei Datenschutzverstößen zu erwarten?
DSGVO
Seit dem 25. Mai 2018 findet in ganz Europa die Datenschutz-Grundverordnung – oder kurz: DSGVO – Anwendung. Sie soll das Datenschutzrecht über alle Europäischen Mitgliedstaaten hinweg harmonisieren und so den Datenschutz der Bürgerinnen und Bürger vereinheitlichen und verbessern. Zuvor galten in erster Linie nationale Datenschutzgesetze in den einzelnen Ländern, für die die EU in Form von Richtlinien Vorgaben gemacht hat, bei deren Umsetzung in nationales Recht die einzelnen Länder dann aber Konkretisierungsspielräume hatten. So stammt die vorherige Datenschutz-Richtlinie der EU bereits aus dem Jahr 1995. Mit der DSGVO möchte die EU die bisherigen Vorgaben modernisieren und an die aktuellen Herausforderungen anpassen. Bei der Entwicklung der DSGVO wurde ein sehr breiter Ansatz verfolgt: Da jede Form der Verarbeitung von personenbezogenen Daten theoretisch ein Risiko für die betroffene Person darstellen kann, hat die DSGVO einen umfassenden Geltungsanspruch und findet auf fast alle Formen der systematischen Verarbeitung von Daten mit Personenbezug Anwendung.
Als EU-Verordnung gilt sie außerdem unmittelbar. Die Vorgaben gelten in Deutschland wie ein deutsches Gesetz und müssen nicht erst durch ein nationales Parlament verabschiedet werden. Dadurch betreffen die Vorgaben in der Verordnung direkt eine Vielzahl ganz unterschiedlicher Lebensbereiche und -umgebungen, die sich mit dem neuen Rechtsrahmen und seinen Anforderungen vertraut machen müssen. Gleichzeitig zur DSGVO hat der deutsche Gesetzgeber das alte Bundesdatenschutzgesetz aufgehoben und ein neues, komplett novelliertes Bundesdatenschutzgesetz erlassen, das die Vorgaben der DSGVO teils konkretisiert und teils erweitert bzw. beschränkt.
Die DSGVO – und auch das neue BDSG – folgen dabei den Grundsätzen und den wichtigsten Regelungsprinzipien der alten EU-Datenschutzrichtlinie. Anders als teilweise behauptet oder wahrgenommen wird der bisherige Rechtsrahmen im Datenschutz von der Verordnung nicht „umgekrempelt“. Geändert, d.h. erweitert wurden vor allem die Rechte der Betroffenen und die Transparenz- und Dokumentationspflichten derjenigen, die für die Datenverarbeitung verantwortlich sind.
Weil die noch junge DSGVO aber sehr viele unbestimmte Rechtsbegriffe nutzt und viele Anforderungen weiterer Konkretisierung bedürfen, gibt es zurzeit an vielen Stellen des Rechtsrahmens rechtliche Unklarheiten, die von unterschiedlichen Juristinnen und Juristen unterschiedlich interpretiert werden. Hier wird es in den kommenden Jahren Aufgabe der Datenschutzaufsicht und der zuständigen Gerichte sein, mehr Klarheit über derzeit kontrovers diskutierte Begriffe und Anforderungen zu erhalten. Für Anbieter von Online-Kinderangeboten ist dieser Zustand nicht zufriedenstellend, da unklar ist, wie man sich am besten rechtskonform verhält. Die Handreichung nimmt daher einen vorsichtigen Standpunkt ein, der hier und da zu Mehraufwand auf Anbieterseite führen kann, dafür aber weniger Anlässe für Betroffenenbeschwerden oder eine mögliche Beanstandung durch die zuständige Datenschutzaufsicht bietet.
Bedeutung der DSGVO für Kinder-Onlineangebote
Internetseiten und mobile Apps verarbeiten regelmäßig personenbezogene Daten, wie z.B. die IP-Adresse des Nutzenden zur Auslieferung der Inhalte an den Nutzenden. Auch bei der Erhebung von E-Mail-Adressen oder ausgefüllten und abgesendeten Kontaktformularen werden personenbezogene Daten gespeichert. Die DSGVO findet Anwendung auf diese Formen der Datenverarbeitung, sobald ein Personenbezug vorliegt. Dabei kommt es nicht darauf an, ob ein Angebot gegen Entgelt oder kostenfrei, ehrenamtlich oder im Rahmen einer gewerblichen Tätigkeit erfolgt. So fallen etwa auch die Homepages von Vereinen, Freelancern und zivilgesellschaftlichen Initiativen in den Anwendungsbereich des neuen Datenschutzrechtsrahmens. Lediglich rein private Angebote sind aus der Verordnung ausgenommen, d.h. ein Angebot, das sich auch nur an den eignen Bekannten- und Freundeskreis richtet. Außerdem gilt die Verordnung nicht für die Verarbeitung von Daten, die keinen Personenbezug haben. Das ist aber bei Angeboten über IP-basierte Netzwerke wie das Internet praktisch nicht möglich.
Die in der Verordnung aufgestellten Vorschriften gelten für diejenigen, die über den Zweck und die Mittel der Datenverarbeitung entscheiden. Die DSGVO nennt diese Personen und Unternehmen „Verantwortliche“, die Personen, deren personenbezogene Daten verarbeitet werden „Betroffene“. Dadurch sind die Seitenbetreiber und App-Anbieter Verantwortliche im Sinne der DSGVO, die die rechtlichen Vorschriften beachten und bei ihren Angeboten umsetzen müssen. Die wichtigsten DSGVO-Informationen für Verantwortliche von Kinderangeboten
DSGVO-Grundsätze
Angesichts der Vielzahl möglicher Datenverarbeitungsverfahren und -kontexte schreibt die DSGVO für alle Verarbeitungen personenbezogener Daten datenschutzrechtliche Prinzipien vor, nach denen sich alle Verantwortlichen zu richten haben. Gerade weil diese Prinzipien für alle möglichen Verfahren gelten, sind sie recht unbestimmt und müssen jeweils im Umfeld des einzelnen Verarbeitungsverfahrens berücksichtigt werden. Die zentralen DSGVO-Prinzipien sind:
- Rechtmäßigkeit der Datenverarbeitung: Jede Verarbeitung personenbezogener Daten benötigt eine gesetzliche Ermächtigungsgrundlage (Grundsatz des Verbots mit Erlaubnisvorbehalt).
- Verarbeitung nach Treu und Glauben: Billigkeitsgrundsatz, der z.B. widersprüchliches oder rechtsmissbräuchliches Verhalten ausschließt.
- Zweckgebundenheit der Datenverarbeitung: Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Verarbeitung oder Weiterverarbeitung zu anderen Zwecken ist nicht zulässig.
- Transparenz und Nachvollziehbarkeit der Verarbeitung: Die Datenverarbeitung muss dem Betroffenen klar verständlich kommuniziert und nachvollziehbar gemacht werden.
- Datenminimierung und Speicherbegrenzung: Datenverarbeitung soll sich an den Grundsätzen der Datenvermeidung und Datensparsamkeit ausrichten. Insbesondere soll der Umfang der Datenverarbeitung dem jeweiligen Zweck angemessen und auf das notwendige Maß beschränkt sein. Eine Speicherung soll nur so lange wie nötig erfolgen.
- Datenrichtigkeit: Daten sollen auf dem jeweils neusten (richtigen) Stand gehalten werden; falsche Daten sind zu berichtigen oder zu löschen.
- Integrität und Vertraulichkeit: Eine angemessen Datensicherheit ist zu gewährleisten. Dazu zählt auch der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust durch geeignete technische und organisatorische Maßnahmen.
Für die Einhaltung dieser Prinzipien ist der Verantwortliche verantwortlich. Er muss die Umsetzung der Prinzipien im Rahmen seiner Verarbeitungsprozesse nachweisen können („Rechenschaftspflicht“).
Personenbezogene Daten
Die DSGVO findet Anwendung, wenn ein Verantwortlicher personenbezogene Daten verarbeitet. Aber was sind eigentlich personenbezogene Daten, und wann werden sie verarbeitet?
Was sind personenbezogene Daten?
Unter personenbezogenen Daten versteht die DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wenn sich aus der Information direkt oder indirekt ein Rückschluss ziehen lässt, um welche Person es geht, liegt ein Personenbezug vor. Da die DSGVO die Rechte einzelner Personen schützen soll, braucht es diese Form der Beziehbarkeit von Informationen. Welcher Form diese Information ist, ist für den Datenschutz egal: Handschriftliche Notizen, Visitenkarten, Akten, Dateiordner auf dem PC, Server-Logfiles, Fotos und Videos, Gen-Sequenzen oder Fingerabdrücke. Der Personenbezug kann dabei direkt, etwa durch Namen, Adressen, E-Mail-Adressen und Telefonnummern, oder eher indirekt, wie etwa bei Benutzerkennungen, IP-Adressen, Orts- bzw. Standortdaten, Autokennzeichen, Kontonummern oder biometrischen Daten entstehen. Bei einer Information, die keine Rückschlüsse auf eine Einzelperson zulässt, handelt es sich dagegen um anonymisierte Daten, auf die die DSGVO keine Anwendung mehr findet.
Interessant ist, dass der Personenbezug zentral für die Anwendbarkeit der DSGVO ist, die Verordnung aber offen lässt, wer genau den erforderlichen Rückschluss auf eine Person aus der Information ziehen können muss. Reicht es aus, wenn irgendjemand den Betroffenen bzw. die Betroffene anhand einer Information identifizieren kann (absoluter Ansatz), wie z.B. das Einwohnermeldeamt anhand der Personalausweisnummer, oder muss diese Form der Beziehbarkeit auch für den jeweiligen Datenverarbeiter möglich sein (relativer Ansatz)? Die DSGVO lässt diese Frage offen, es gibt aber Anzeichen dafür, dass ein Personenbezug dann vorliegt, wenn der jeweilige Verarbeiter der Information mit verhältnismäßigem Aufwand (also mit nicht allzu großem Zeitaufwand und mit überschaubaren Kosten) und auf rechtlich zulässigem Weg mit der Hilfe Dritter die Zuordnung zu einer Einzelperson herstellen kann.
Das, was hier kompliziert klingt, hat mit Blick auf Online-Angebote wichtige Konsequenzen: Jeder Server- und Webseitenbetreiber kann die IP-Adresse der das Angebot abrufenden Nutzenden einsehen; dies ist technisch bedingt und für die Übertragung eines Angebots zum Abrufenden zwingend notwendig. Aus der IP-Adresse allein kann der Anbieter aber auf keine bestimmte Person rückschließen, für ihn ist es nur eine IP-Adresse. Da aber der Internetzugangsanbieter des Nutzenden die IP-Adresse statisch oder dynamisch (d.h. bei jeder Sitzung neu) an seinen Kunden vergibt, verfügt der Zugangsanbieter über eine Referenzdatei, die eine zu einem bestimmten Zeitpunkt vergebene IP-Adresse einem ganz bestimmten Nutzenden zuordnet. Unter bestimmten Umständen kann der Anbieter auch Einblick in diese Zuordnung erhalten. Die IP-Adresse wird damit zu einem personenbezogenen Datum für die Betreiber von Onlineangeboten.
Was bedeutet Datenverarbeitung?
Das Vorliegen personenbezogener Daten reicht aber für eine Anwendbarkeit der DSGVO nicht aus, der Verantwortliche muss diese Informationen auch verarbeiten. Verarbeitung versteht die Verordnung dabei sehr weit, so dass in der Praxis fast jeder Umgang mit personenbezogenen Daten umfasst ist: So nennt die Vorschrift als Formen des Verarbeitens unter anderem das Erheben, das Ordnen, das Speichern, das Ändern, das Auslesen, die Verwendung, die Übermittlung, die Verknüpfung und das Löschen.
Die Daten müssen dabei entweder automatisiert verarbeitet werden, d.h. regelmäßig im Rahmen der Nutzung elektronischer Endgeräte wie einem PC, einem Smartphone, einer Digitalkamera o.Ä. Die DSGVO findet daneben auch Anwendung auf die nichtautomatisierte Verarbeitung, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Auf eine bestimmte Verkörperungsform der Daten kommt es also nicht an; vor allem muss es sich nicht zwingend um elektronische Daten handeln. Auch Akten, eine Telefonkartei oder ein geordnetes Fotoalbum können in den Anwendungsbereich fallen, solange die Ordnung einer gewissen Logik folgt (z.B. alphabetisch, chronologisch, thematisch etc.).
Eine wichtige Ausnahme vom Anwendungsbereich sieht die DSGVO für die Datenverarbeitung zu ausschließlich persönlichen oder familiären Zwecken vor: Wenn eine Einzelperson sich Karteien anlegt wie z.B. einen Pressespiegel für das eigene Archiv, oder eine Familie ein gemeinsames Telefonregister nutzt, müssen die Vorgaben der Verordnung nicht beachtet werden. Mit Blick auf Angebote für Kinder, die sich an eine unbestimmte Anzahl von Nutzenden richtet, liegt diese sogenannte „Haushaltsausnahme“ allerdings nicht vor. Hier sollen gerade möglichst viele und meist vorher nicht bekannte Interessenten erreicht werden, die weit über den engeren Bekanntenkreis hinausgehen. Eine Ausnahme kann lediglich für Angebote gelten, die etwa mit Hilfe eines Passwortschutzes nur dem engeren Familien- und Bekanntenkreis zugänglich gemacht werden.
Verarbeitung personenbezogener Daten nur mit gesetzlicher Erlaubnis
Ein zentraler Grundsatz, den die DSGVO aufstellt ist, dass jede Form der Verarbeitung personenbezogener Daten verboten ist, es sei denn, die Verordnung erlaubt dies. Jeder Verantwortliche muss sich also bei jeder personenbezogenen Datenverarbeitung auf eine bestimmte Erlaubnisvorschrift berufen können; anderenfalls ist die Verarbeitung unzulässig.
Die DSGVO sieht sechs verschiedene Umstände vor (sog. „Erlaubnistatbestände“), bei deren Vorliegen eine Datenverarbeitung durch den Verantwortlichen rechtlich zulässig. So ist eine Verarbeitung zulässig, wenn
- sie mit der Einwilligung des Betroffenen erfolgt,
- sie für die Erfüllung eines Vertrags mit dem Betroffenen erforderlich ist,
- sie für die Umsetzung einer rechtlichen Verpflichtung notwendig ist,
- damit lebenswichtige Interessen der betroffenen Person oder eines Dritten gesichert werden,
- sie im Rahmen der Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt, oder
- sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist.
Deutlich wird, dass der jeweilige Anlass für eine Datenverarbeitung die Möglichkeit und Art der Erlaubnis bestimmt. Es kann also sein, dass ein Verantwortlicher sich für verschiedene Verarbeitungen auf unterschiedliche Erlaubnisgründe berufen kann und muss.
Wer ist Verantwortlicher und wer Auftragsverarbeiter?
Manchmal möchte nicht der Verantwortliche selbst die Daten verarbeiten, sondern gibt diese Aufgabe an einen von ihm ausgewählten Dienstleister ab. So nutzen z.B. viele Anbieter mit einem großen Abonnentenkreis professionelle Newsletter-Versandanbieter, die sich um die zuverlässige Versendung sowie die An- und Abmeldungen kümmern. In diesen Fällen müssten der Anbieter und der Versender die Einwilligung jedes einzelnen Abonnenten darüber einholen, dass auch der Versender die personenbezogenen Daten verarbeiten darf. Für diese Fälle sieht die DSGVO die einfachere Möglichkeit einer Auftragsverarbeitung vor. Schließt der Verantwortliche mit dem Versender einen Auftragsverarbeitungsvertrag, verarbeitet der Versender die Daten ausschließlich im Auftrag des Anbieters und darf darüber hinaus nichts aus eigenem Interesse mit den Daten anfangen. Auf diese Weise werden die Datenverarbeitungen des Auftragsverarbeiters dem Anbieter zugerechnet – praktisch so, als wäre er eine angestellte Person. Dieses Verfahren erleichtert dem Anbieter das Einholen der Einwilligung, da der Betroffene nur ihm gegenüber eine Einwilligung erteilen muss. Auf den Umstand, dass ein Anbieter sich auch Auftragsverarbeitern bedient, muss dieser allerdings in seiner Datenschutzerklärung hinweisen.
Einwilligung und berechtigte Interessen
Einwilligung und berechtigte Interessen als wichtigste Erlaubnisnormen bei Kinderangeboten
Für Kinderangebote sind regelmäßig die Erlaubnisnormen relevant, die auf die Einwilligung des Betroffenen oder das berechtigte Interesse des Anbieters abstellen. Beim Sonderfall von Online-Shop-Funktionalitäten kann auch eine Erlaubnis wegen der Erfüllung des Vertrags vorliegen. In seltenen Fällen, insbesondere bei Beratungs- und Präventionsangeboten, kann eine Verarbeitung zur Sicherung lebenswichtiger Interessen erfolgen.
Welche Anforderungen gelten für die Einwilligung?
Die Einwilligung ist in der Praxis auch deswegen so relevant, weil die Anwendung der anderen Erlaubnistatbestände teils von weiteren Voraussetzungen und Abwägungen abhängen, die für den Anbieter nicht immer rechtssicher zu bestimmen sind. Im Zweifel kann die Einwilligung also Unsicherheiten hinsichtlich des Vorliegens anderer Erlaubnisnormen kompensieren und überprägen. Der Ansatz der Einwilligung durch die betroffene Person basiert dabei auf dem Grundgedanken, dass es bei Datenschutz vor allem um den Schutz des Rechts auf informationelle Selbstbestimmung geht. In dem Wort Selbstbestimmung steckt bereits der Gedanke, dass Betroffene selbst bestimmen können, wer wann was über sie weiß. Diese Form der Autonomie kann zudem am besten auch die schutzwürdigen Eigeninteressen des Betroffenen berücksichtigen – wer die Datenverarbeitung wünscht, soll nicht durch Gesetze an diesem Wunsch gehindert werden. Daher gilt die Einwilligung als die bestmögliche Umsetzung dieses Rechtsschutzes. (Verhaltensökonomische Forschung hat hier zwar - man ahnte es aus eigener Erfahrung - herausgefunden, dass die Einwilligung oftmals nicht rational und auf informierter Grundlage erfolgt, sondern vielmehr impulsiv und gerne auch uninformiert erteilt wird. An dem Prinzip der Einwilligung als „best practice“ gibt es daher in der Wissenschaft viel Kritik; die DSGVO sieht diese Möglichkeit aber dennoch zentral vor.)
Die Einwilligung muss stets von dem Verantwortlichen bei der betroffenen Person eingeholt werden; dies geschieht durch ein sog. Einwilligungsersuchen. Dabei muss sich das Ersuchen auf einen oder mehrere bestimmte Zwecke beziehen, die der Verantwortliche klar benennt. Es kann keine Generalzustimmungen zu allen möglichen Datenverarbeitungszecken geben. Außerdem muss die Einwilligung freiwillig erteilt werden; Zwang oder Einwilligungen unter Androhung von Nachteilen sind nicht wirksam. Unklar ist dabei, ob aus der Anforderung an die Freiwilligkeit auch ein sog. Kopplungsverbot folgt. Dies würde bedeuten, dass ein Anbieter das Zurverfügungstellen des Angebots nicht von einer datenschutzrechtlichen Einwilligung abhängig machen dürfte. Angesichts der technischen, angebotsspezifischen und teils auch ökonomischen Notwendigkeit der Datenverarbeitung im Gegenzug für ein ansonsten kostenfreies Angebot würde ein Kopplungsverbot aus Sicht vieler Juristinnen und Juristen zu weit gehen. Auch die DSGVO sieht hier Abwägungsmöglichkeiten vor, die das Abhängigmachen der Diensterbringung von der Einwilligung zwar berücksichtigen soll, aber „nur“ in größtmöglichem Umfang. Das klingt so, als wären Ausnahmen von einem Kopplungsverbot möglich.
Die Einwilligung muss zudem informiert und unmissverständlich erteilt werden. Das bedeutet für den Verantwortlichen, dass er den Einwilligenden zuvor ausgiebig und verständlich über den Zweck, das Ausmaß und die ihm zustehenden Nutzerrechte informiert haben muss. Entsprechend treffen den Verantwortlichen umfangreiche Informations- und Transparenzpflichten, auch und vor allem zum Einwilligungsumfang (s. unten -> Informations- und Transparenzpflichten). Die Anforderung an die Unmissverständlichkeit der Einwilligung ist ebenfalls zentral für deren Einholung durch den Verantwortlichen: Sie umschreibt, dass die betroffene Person die Einwilligung eindeutig erteilt haben muss; eine elektronische Einwilligung reicht dafür aus. Die Erklärung muss aber aktiv durch den Betroffenen erfolgen, so dass Stillschweigen, Untätigkeit oder sogenannte Opt-Out-Lösungen, bei denen die Nutzenden ein bereits aktiviertes Einwilligungs-Häkchen nur zusammen mit anderen Absprachen bestätigen musste, nicht den Anforderungen gerecht werden. Die DSGVO sieht hier Verfahren vor, bei denen die betroffene Person selbst einen Haken setzen oder eine Einwilligung ausdrücklich bestätigen muss.
Der Verantwortliche muss jede einzelne Einwilligung durch eine betroffene Person sowie die Umstände dieser Einwilligung mit Blick auf die DSGVO-Anforderungen nachweisen können. Ihn trifft also die Beweislast, wenn es um die Frage geht, ob eine vorliegende Einwilligung alle Voraussetzungen der Verordnung erfüllt hat. Dies führt zu entsprechenden Dokumentationspflichten auf der Seite des Anbieters.
Übrigens: Haben vor Wirksamwerden der DSGVO nach alter Rechtslage Einwilligungen von Betroffenen vorgelegen, so bleiben diese auch im Rahmen der DSGVO gültig, wenn die Einholung der Einwilligungen seinerzeit in einer Form erfolgt sind, die den jetzigen Anforderungen entsprochen hat. Hat ein Anbieter also zuvor ein Opt-in-Verfahren für etwaige Einwilligungen vorgesehen, kann die Umstände der Einwilligung dokumentieren und hat die Zwecke und den Umfang der Verarbeitungen auf Grundlage der Einwilligungen hinreichend beschrieben, so benötigt er keine neuen Einwilligungen durch die Betroffenen.
Sonderfall: Was gilt bei Betroffenen unter 16 Jahren zu beachten? - Einwilligungspflicht der Eltern
Spezielle Anforderungen an eine Einwilligung sieht die DSGVO für den Fall vor, das ein Angebot eines „Dienstes der Informationsgesellschaft“ sich an einen Minderjährigen richtet: In diesen Fällen sind nur die Einwilligungen von Betroffenen über 16 Jahren rechtswirksam. Sind die Betroffenen Kinder und Jugendliche unter 16 Jahren, so führt deren Einwilligung nicht zu der Rechtmäßigkeit der Datenverarbeitung auf Grundlage der Einwilligung. In diesen Fällen erfordert die DSGVO eine Einwilligung durch die Eltern oder entsprechend anderer erziehungsberechtigter Personen.
Diese Vorschrift ist deshalb beachtenswert, weil dies die erste datenschutzrechtliche Vorschrift auf EU-Ebene und in Deutschland ist, die die besondere Schutzbedürftigkeit von Minderjährigen bei ihrem Recht auf informationelle Selbstbestimmung anerkennt und entsprechende kinderspezifische Datenschutzvorschriften macht. Aus Sicht der verantwortlichen Anbieter führt diese Vorgabe allerdings zu einem erhöhten Aufwand bei der Einholung einer rechtswirksamen Einwilligung, und betroffen sind naturgemäß vor allem Anbieter, die sich mit ihrem Angebot speziell an Jüngere richten.
Leider ist die Vorschrift nicht besonders geglückt: Die elterliche Einwilligungspflicht gilt danach nur dann, wenn sich ein Angebot eines „Dienstes der Informationsgesellschaft“ direkt an ein Kind richtet. Sie gilt also nicht für Einwilligungen von Betroffenen unter 16 Jahren, wenn es sich bei dem Angebot nicht um einen solchen Dienst handelt, oder wenn sich ein Dienst der Informationsgesellschaft nicht an Kinder richtet.
Was bedeutet Dienst der Informationsgesellschaft?
Das elterliche Einwilligungserfordernis gilt nur für „Dienste der Informationsgesellschaft“. Hier benutzt die Verordnung einen Begriff aus einer EU-Richtlinie von 2015, die besagt, dass eine Dienstleistung ein Dienst der Informationsgesellschaft ist, wenn sie
- in der Regel gegen Entgelt
- elektronisch
- im Fernabsatz und
- auf individuellen Abruf eines Empfängers hin erbracht wird.
Während für klassische Onlineangebote wie Websites und Apps die Kriterien „elektronisch“ (d.h. von einem Endgerät zum anderen elektronisch übermittelt), „im Fernabsatz“ (d.h. unter Abwesenden) und „auf individuellen Abruf“ (d.h. auf Nachfrage des Nutzenden und nicht automatisch und ungefragt wie etwa beim Fernsehen) eigentlich immer vorliegen, ist die Frage, ob der Dienst „regelmäßig gegen Entgelt“ erbracht wird, vor allem mit Blick auf kostenlose, teils gemeinnützige und bzw. oder ehrenamtlich erbrachte Angebote für Kinder schwierig zu beantworten: Regelmäßig gegen Entgelt bedeutet nicht, dass es sich um ein kostenpflichtiges Angebot handeln muss. Auch kostenlose Dienstleistungen können darunter fallen, wenn ansonsten ein Entgelt dafür üblich ist. Das Entgelt muss auch nicht von den Nutzenden selbst geleistet werden, sondern es reicht, wenn der Anbieter dies von einem Dritten erhält. Üblicherweise finanzieren sich kostenfreie Angebote über Werbung; jeder Nutzende des Angebots vergrößert die Reichweite und die möglichen Werbeeinnahmen, so dass eine größere Nutzerschaft zu einem höheren Werbeentgelt führt. Damit fallen werbefinanzierte und werbeteilfinanzierte Angebote stets unter den Begriff des Dienstes der Informationsgesellschaft. Gleiches dürfte nach der jüngsten BGH-Rechtsprechung auch für Angebote gelten, die zwar werbefrei sind, aber über einen Shop verfügen, auf dem Produkte verkauft werden. Hier nimmt der BGH an, dass die informierenden Teile der Website als Umfeld für entgeltliche Shop-Bestellungen dienen. Unklar bleibt, inwieweit auch gemeinnützige, nicht werbefinanzierte oder durch öffentliche Einrichtungen finanzierte Angebote unter die Vorschrift fallen. Schließlich werden andere vergleichbare Dienste, die sich durch Werbung finanzieren wie eben gezeigt „üblicherweise gegen Entgelt“ angeboten. Eine Klärung dieser Frage ist bislang nicht erfolgt; für Anbieter bedeutet dies eine deutliche Rechtsunsicherheit. Wer auf Nummer Sicher gehen will, sollte sich hier im Zweifel als Dienst der Informationsgesellschaft begreifen oder schriftliche Rücksprache mit der zuständigen Datenschutzaufsicht halten.
Wichtig ist, dass der Anbieter selbst dann, wenn ein Angebot sich nicht als Dienst der Informationsgesellschaft qualifiziert und die elterliche Einwilligungspflicht nicht gilt, überlegen muss, ob jede Einwilligung eines Minderjährigen wirksam ist. Für diese Fälle, also die Einwilligung von Minderjährigen außerhalb von Diensten der Informationsgesellschaft, die sich direkt an Kinder richten, sieht die DSGVO keine Vorgaben vor. Dennoch gehen Juristinnen und Juristen davon aus, dass auch dann nicht jeder Minderjährige rechtswirksam datenschutzrechtlich einwilligen kann. Nur wenn der Minderjährige die Konsequenzen seiner Einwilligung für sein Recht auf informationelle Selbstbestimmung absehen kann, soll seine Einwilligung wirksam erteilt sein. Hier wird anders als die DSGVO dies tut nicht an ein spezifisches Alter angeknüpft, sondern an die individuelle Einsichtsfähigkeit des einzelnen Betroffenen. Insoweit müssen auch diese Anbieter Vorkehrungen vorsehen, um zu junge Einwilligende um die Einwilligung bzw. Zustimmung ihrer Eltern zu bitten.
Wann richten sich Online-Angebote direkt an ein Kind?
Kinder sind nach deutschem Recht (vgl. § 1 Abs. 1 JuSchG) alle Personen unter 14 Jahren, die DSGVO zielt hier aber abweichend allerdings auf alle Minderjährigen unter 18 Jahren ab. – sonst würde die elterliche Einwilligung für alle Personen unter 16 Jahren an dieser Stelle auch keinen Sinn ergeben. Für Anbieter, die kinderspezifische Online-Angebote vorhalten, d.h. Angebote, die sich an eine oder mehrere Zielgruppen ausschließlich unter 16 Jahren richten, stellt sich hier kaum eine Frage: Kinderseiten und Kinder-Apps sind Angebote, die sich direkt an ein Kind richten. Dagegen sind Angebote, die nur für Erwachsene gedacht sind, nicht von der Vorschrift umfasst.
Schwieriger ist die Beantwortung der Frage für Angebote, die sich auch an ältere Nutzergruppen richten wie z.B. Jugendangebote, die auf 12- bis 20-Jährige abzielen, oder Informationsangebote, die Kategorien für Kinder und für Eltern haben. Hier geht die mittlerweile herrschende Ansicht davon aus, dass auch solche sogenannten „dual use“-Angebote unter die Vorschrift zur elterlichen Einwilligung fallen. Es reicht für die Berücksichtigung der elterlichen Einwilligungspflicht aus, dass Kinder und Jugendliche unter 18 Jahren auch von dem Angebot angesprochen werden. Ist dies vom Anbieter aber nicht gewünscht, so kann ein Indiz für das Rausfallen aus den Anforderungen an die elterliche Einwilligung sein, dass der Anbieter über die Nutzungsbedingungen oder AGB Nutzenden unter 16 Jahren von dem Angebot ausschließt (s. z.B. WhatsApp).
Wie kann das Alter festgestellt werden und die Gewährleistung der elterlichen Einwilligung erfolgen?
Nach der hier beschriebenen, vorsichtigen Ansicht können auch kostenfreie und gemeinnützige Kinderangebote im Internet unter den Begriff des Dienstes der Informationsgesellschaft fallen. Dort, wo der Verantwortliche bei der Verarbeitung personenbezogener Daten auf die Einwilligung des Betroffenen angewiesen ist, muss er also Vorkehrungen treffen, um bei Nutzenden unter 16 Jahren eine elterliche Einwilligung zu erhalten. Dies kann entweder durch eine Einwilligung der Eltern anstelle des Kindes erfolgen oder durch eine Einwilligung des Kindes, der die Eltern zuvor zugestimmt haben. Das stellt den Anbieter gleich vor zwei praktische Herausforderungen. Er muss diejenigen Nutzenden ermitteln, die unter 16 Jahre alt sind, um bei diesen die elterliche Einwilligung einzuholen, und er muss nach der angeblichen Einwilligung bzw. Zustimmung durch die Eltern sicherstellen, dass es sich dabei wirklich um die Eltern bzw. erziehungsberechtigten Personen des jeweiligen Nutzenden handelt.
Mit Blick auf die Altersfeststellung legt die DSGVO keine bestimmten Voraussetzungen fest. Hier hat der Anbieter ein genuines Interesse an der Wirksamkeit der Einwilligung, um die personenbezogenen Daten rechtmäßig verarbeiten zu dürfen. In der Praxis wird die Altersabfrage dabei entweder über die Abfrage eines Geburtsdatums erfolgen, das die Nutzenden selbständig eingeben können und bzw. oder über den vertraglichen Ausschluss von Personen unter 16 Jahren von der Nutzung des Dienstes über die AGB oder Nutzungsbedingungen. Vor allem bei Angeboten, die sich gezielt an Zielgruppen unter 16 Jahren richten, muss der Anbieter sogar davon ausgehen, dass es sich bei den Nutzenden größtenteils um Personen aus diesem Altersbereich handelt. Hier ist eine spezifische Altersüberprüfung ggf. gar nicht mehr nötig und der Anbieter muss bei der datenschutzrechtlichen Einwilligung stets auf die Notwendigkeit der elterlichen Einwilligung hinweisen.
In Bezug auf die Überprüfung, ob die Einwilligung bzw. Zustimmung der Eltern vorliegt, sieht die DSGVO vor, dass der Anbieter dabei angemessene Anstrengungen „unter Berücksichtigung der verfügbaren Technik“ zu unternehmen hat. Der Verantwortliche muss hier das Rad nicht neu erfinden, sondern darf sich an Routinen und Techniken orientieren, die am Markt verfügbar sind und z.B. von ähnlichen Anbietern bereits implementiert sind. Mit welcher Sicherheit diese Verfahren die tatsächliche Elterneinwilligung überprüfen, hängt dabei auch von der Sensibilität der verarbeiteten Daten und dem jeweiligen Verarbeitungszweck ab. Die beabsichtigte Verarbeitung von gesundheitsbezogenen, medizinischen Daten oder generell Daten aus dem Intim- oder Privatbereich von Jüngeren benötigt insoweit eine stärkere Rückversicherung der elterlichen Einwilligung bzw. Zustimmung als lediglich die Verarbeitung des selbst gewählten Benutzernamens und der IP-Adresse.
Dementsprechend sind die von Verantwortlichen nutzbaren Routinen zur elterlichen Einwilligung ganz unterschiedlich. Umstritten ist, ob ein einfach anzuklickendes Häkchen ausreichen kann, mit dem der Minderjährige bestätigt, die Zustimmung der Eltern zu haben. Mit zunehmendem Verarbeitungsumfang und mit wachsender Sensibilität der Daten kommen hier restriktivere Kontrollroutinen in Betracht. So kann ein Ansatz sein, dass der Minderjährige im Rahmen der Einwilligung die E-Mail-Adresse der Eltern angibt, die daraufhin eine E-Mail des Anbieters mit einem Bestätigungslink erhalten, über den sie dann sowohl die Einwilligung erteilen als auch bestätigen können, dass sie die Erziehungsberechtigten des jeweiligen Kindes sind. Bei sehr sensiblen Daten bietet es sich dagegen möglicherweise an, ein Formular zum Download anzubieten, welches die Eltern dann schriftlich ausfüllen und per Post zurückschicken. Aus dem Jugendschutzrecht sind hier aber auch Verfahren zur Altersverifikation und Nutzeridentifikation bekannt, die ein Anbieter im Rahmen der DSGVO-Einwilligung nutzen kann.
Derzeit haben sich hier noch keine bestimmten Verfahren in der Praxis so etabliert, dass man von „best practice“ sprechen könnte. In Zukunft könnten hier über von Anbietern selbst ausgearbeiteten Verhaltensregeln rechtssichere Anforderungen an die Alters- und elterliche Einwilligungsüberprüfung entstehen.
Was sind berechtigte Interessen?
Auch wenn die Einwilligung vom Verordnungsgeber als vermeintlich zentraler Erlaubnistatbestand in die DSGVO geschrieben wurde, gibt es Situationen, in denen sich der Verantwortliche auf einen anderen der beschriebenen Erlaubnistatbestände berufen kann. Dies kann bei Online-Angeboten für Kinder vor allem die Erlaubnis sein, personenbezogene Daten aufgrund berechtigter Interessen des Anbieters oder eines Dritten zu verarbeiten.
Diese berechtigten Interessen ergeben sich daraus, dass der Betroffene zwar sein Grundrecht auf Schutz seiner Daten hat, der Verantwortliche aber ebenfalls Träger von Grundrechten wie z.B. dem Recht auf Berufsausübungsfreiheit oder dem Recht auf Eigentum ist. Es kann also Fälle geben, in denen der Verantwortliche ein legitimes Interesse an der Verarbeitung personenbezogener Daten hat. Dieses Interesse kann aber nur so weit reichen, wie es nicht übermäßig in das Datenschutzrecht des Betroffenen eingreift. Daher muss der Verantwortliche, der seine Datenverarbeitung auf ein legitimes Interesse stützt, stets eine Abwägung zwischen seinem Interesse und dem Datenschutzrecht des Betroffenen vornehmen. Die DSGVO spricht hier davon, dass die berechtigten Interessen des Verantwortlichen nur soweit reichen, wie „nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“. Bei minderjährigen Betroffenen, d.h. allen Personen unter 18 Jahren, verschiebt sich die Abwägung also stets zu Gunsten der Betroffenen. Daher erscheint das Berufen eines Anbieters auf seine berechtigten Interessen insbesondere bei Kindern als Betroffene nur auf sehr spezielle Fälle begrenzt.
Als Beispiele für berechtigte Interessen nennt die DSGVO an unterschiedlichen Stellen unter anderem eine feste Kundenbeziehung oder ein Dienstleistungsverhältnis, die Verhinderung von Betrug, die Verarbeitung zum Zweck der Direktwerbung, die konzerninterne Weitergabe von Kundendaten sowie die Verhinderung von Hacking-Angriffen oder zur Abwehr von gezielten Serverattacken. In der Praxis ist bereits oft zu sehen, wie Verantwortliche weitere berechtigte Interessen benennen, auf deren Grundlage sie personenbezogen Daten verarbeiten: Dort wird beispielsweise darauf verwiesen,
- dass für die ordentliche Darstellung von Websites Skripte, Grafiken und Schriften von Dritten nachgeladen werden,
- dass für die Optimierung des Onlineangebots Nutzungsanalysen durchgeführt werden,
- dass für die Besucherauswertung Nutzende beim Besuch des Angebots getrackt werden,
- dass für eine bessere Nutzererfahrung und die Funktionsfähigkeit interaktiver Angebotselemente Inhalte von Dritten (z.B. YouTube-Videos, Twitter-Nachrichten, Facebook-Beiträge) eingebettet werden,
- dass für ortsbezogene Informationen die Nutzung von Online-Landkarten Dritter (z.B. Google Maps) erfolgt, oder
- dass für den werbefinanzierten wirtschaftlichen Betrieb das Setzen von Tracking-Cookies Dritter erfolgt.
Inwieweit dies im Einzelnen rechtlich zulässig ist, hängt von der Abwägung der berechtigten Interessen mit dem Eingriff in das informationelle Selbstbestimmungsrecht der Betroffenen ab. Verantwortliche müssen hier jeweils die oben angesprochene Abwägung vornehmen. Die drei Prüfungsschritte sind dabei jeweils (a) die Feststellung eines berechtigten Interesses des Verantwortlichen oder eines Dritten, (b) die Feststellung, dass die Datenverarbeitung zur Wahrung genau dieses berechtigten Interesse notwendig ist und (c) die Überprüfung, ob durch die Datenverarbeitung nicht die Grundrechte des Betroffenen überwiegen – insbesondere, wenn es sich dabei um einen Minderjährigen handelt.
Die Anforderungen, die die DSGVO an diese Abwägung stellt, können den Verantwortlichen dabei helfen, Indizien und Kriterien für das Ausschlagen in die eine oder in die andere Richtung zu finden und anzulegen. Ein zentraler Maßstab soll dabei die vernünftige Nutzererwartung sein. Das, was ein vernünftiger Nutzender an Datenverarbeitung erwarten kann, hängt dabei nicht nur von den üblichen Erwartungen ab, sondern auch von der transparenten Information des Nutzenden im Rahmen der Datenschutzerklärung (s. -> Informations- und Transparenzpflichten). Eine besonders transparente und einsehbare Erklärung kann hier die Nutzererwartung zugunsten des berechtigten Interesses des Verantwortlichen verschieben – aber das natürlich mit Blick auf die zu wahrenden Grundrechte nicht unbegrenzt. In den Beispielen oben ist vor allem der letzte Spiegelstrich ein rechtlich zweifelhaftes legitimes Interesse, da hier ausschließlich aus wirtschaftlichen Interessen in die Datenschutzrechte der Betroffenen eingegriffen wird. Ist das Geschäftsmodell eines Anbieters aber auf Eingriffe in den Datenschutz angewiesen, erscheint das gesamte Angebot als prototypisches Beispiel für eine erforderliche Einwilligung.
Wann findet eine Vertragserfüllung Anwendung?
Ein weiterer Erlaubnistatbestand ist die Datenverarbeitung zur Erfüllung eines Vertrags. Für typische kinderspezifische Online-Angebote wird diese Voraussetzung nur selten vorliegen. Die Benutzung eines Online-Angebots erfolgt in der Regel nicht auf Grundlage eines Nutzungsvertrags – und selbst dann wäre die Verarbeitung von personenbezogenen Daten in der Regel nicht Vertragszweck. Etwas anderes kann lediglich dort gelten, wo ein Vertrag zwischen Anbieter und Nutzendem geschlossen wird, etwa im Rahmen der Registrierung für ein Forum oder ein soziales Netzwerk. Hier zielt ein Teil des Vertragszwecks darauf ab, dass der Anbieter personenbezogene Daten für den Betroffenen verarbeitet, etwa um seine Beiträge auch seinem Nutzerprofil zuzuordnen und entsprechend als seine Beiträge anzuzeigen. Die Erlaubnis, Daten zu Vertragszwecken zu verarbeiten endet allerdings dort, wo die Verarbeitung unmittelbar keinem Vertragszweck mehr dient. Der Vertragszweck wird zwar von den beiden Parteien bestimmt und kann daher auch Verarbeitungen umfassen, die nicht zentraler Hauptbestandteil des Vertrags sind, wo aber die Datenverarbeitung krass von dem eigentlichen Zweck des Vertrages abweicht, kann eine zivilrechtliche AGB-Kontrolle dazu führen, dass solche Vertragsbestimmungen unwirksam sind.
Informations- & Transparenzpflicht
Ist die Verarbeitung personenbezogener Daten beabsichtigt, muss der Verantwortliche die betroffene Person darüber spätestens bei der Erhebung der Daten informieren. Ganz unabhängig davon, auf welche Rechtsgrundlage sich der Verantwortliche bei der Verarbeitung stützt (z.B. Einwilligung oder berechtigtes Interesse) und unabhängig von der Sensibilität der verarbeiteten Daten, hat er den Betroffenen darüber aufzuklären, welche Daten er zu welchem Zweck und in welchem Umfang verarbeitet. Ausnahmen von dieser Informationspflicht gibt es in der DSGVO nicht. Denn nur, wenn die Nutzenden eines Online-Angebots wissen, was mit ihren Daten passiert, können sie selbstbestimmt entscheiden, ob sie das Angebot nutzen wollen und ob sie eine ggf. notwendige Einwilligung auch abgeben wollen. Den Transparenzvorschriften der DSGVO kommt aus Sicht des informationellen Selbstbestimmungsrechts zentrale Bedeutung zu. In der Praxis finden diese Pflichten ihre Umsetzung in Form von Datenschutzerklärungen, die im Gesamtangebot des Verantwortlichen stets gut erreichbar vorgehalten werden.
Die besondere Relevanz der Datenschutzerklärungen macht sich in den von der Verordnung vorgesehenen umfangreichen Informationspflichten bemerkbar, die deutlich über die bisherigen datenschutzrechtlichen Vorgaben hinausgehen. Die Datenschutzerklärungen haben unter anderem folgende Informationen vorzuhalten:
- Den Namen und die Kontaktdaten des Verantwortlichen;
- die Kontaktdaten des Datenschutzbeauftragten, wenn der Verantwortliche einen benannt hat;
- die Verarbeitungszwecke sowie deren Rechtsgrundlage;
- die berechtigten Interessen des Verantwortlichen, wenn die Verarbeitung auf diesen berechtigten Interessen beruht;
- ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten.
Außerdem muss die Datenschutzerklärung Informationen über die Nutzerrechte und die Möglichkeiten deren Ausübung enthalten, soweit die jeweilige Verarbeitung dies notwendig macht, darunter folgende Informationen:
- Die Dauer, für die die personenbezogenen Daten gespeichert werden;
- das Bestehen eines Auskunftsrechts des Betroffenen über seine personenbezogenen Daten;
- das Bestehen von Berichtigung- oder Löschungsansprüchen;
- das Bestehen des Rechts auf Datenübertragbarkeit;
- das Bestehen des Rechts auf den Widerruf einer einmal erteilten Einwilligung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- den Umstand, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, wo derartige Verfahren eingesetzt werden.
Werden personenbezogene Daten im Rahmen unterschiedlicher Verarbeitungsverfahren, -kontexte und zu unterschiedlichen Zwecken verarbeitet, muss der Verantwortliche dies jeweils einzeln erklären; Generalerklärungen ohne Hinweis auf die spezifische Verarbeitung erfüllen die Informationspflichten nicht.
Alle diese Informationen hat der Verantwortliche dem Betroffenen in präziser, verständlicher und leicht zugänglicher Form zu übermitteln. Die DSGVO verpflichtet die Verantwortlichen dabei zu einer klaren und einfachen Sprache. Insbesondere bei der Information gegenüber Kindern – also im Sinne der DSGVO allen Personen unter 18 Jahren – muss der Anbieter besondere Sorgfalt bei der Verständlichkeit und Zugänglichkeit an den Tag legen. In der Praxis wird daraus die Pflicht auf eine altersangemessene Sprache für die bestehenden Informationspflichten gelesen.
Rechte der von der Datenverarbeitung Betroffenen
Die DSGVO sieht für Betroffene eine ganze Reihe an Rechten vor, die diese ausüben können. Zu den Rechten gehören vor allem die folgenden:
- Auskunftsrecht: Der Betroffene kann vom Verantwortlichen Auskunft darüber verlangen, ob dieser personenbezogene Daten von ihm verarbeitet. In diesem Fall kann er vom Verantwortlichen verlangen, ihn über die ihn betreffenden Daten zu informieren. Außerdem kann er Auskunft verlangen über die Verarbeitungszwecke, Datenkategorien, etwaige Empfänger dieser Daten, die geplante Dauer der Speicherung, das Bestehen von Berichtigungs- und Löschungsrechten, die Möglichkeit der Beschwerde bei einer Aufsichtsbehörde und das Bestehen einer automatisierten Entscheidungsfindung.
- Berichtigungsanspruch: Im Falle unrichtiger Daten hat der Betroffene das Recht, die unrichtigen Daten berichtigen zu lassen.
- Löschungsanspruch: Betroffene Personen haben das Recht, die sie betreffenden Daten löschen zu lassen, unter anderem wenn eine weitere Verarbeitung für den ursprünglichen Zweck nicht mehr nötig ist, die Person ihre Einwilligung widerrufen hat, der Verarbeitung widersprochen hat oder die Daten zu Unrecht verarbeitet wurden.
- Widerspruchsrecht: Betroffene können im Fall der Datenverarbeitung auf Basis einer öffentlichen Aufgabe oder aufgrund berechtigter Interessen – also ohne eine Einwilligung – der Verarbeitung unter bestimmten Umständen widersprechen. Dafür müssen aber besonders schwerwiegende, besondere Umstände auf Seiten des Betroffenen vorliegen.
- Recht auf den Widerruf einer einmal erteilten Einwilligung: Hat der Betroffene in die Datenverarbeitung eingewilligt, so steht ihm jederzeit das Recht zu, die Einwilligung zu widerrufen. Ab dem Widerruf ist die weitere Verarbeitung mangels Einwilligung dann unzulässig. Der Widerruf muss für den Betroffenen genauso einfach sein wie die Erteilung der Einwilligung.
- Recht auf Datenübertragbarkeit: Betroffene Personen haben das Recht, die gegenüber einem Verantwortlichen zur Verfügung gestellten Daten in einem maschinenlesbaren Format bereitgestellt zu bekommen, um damit z.B. zu einem anderen Anbieter zu wechseln.
- Beschwerderecht bei einer Aufsichtsbehörde: Ist eine betroffene Person der Ansicht, dass eine Datenverarbeitung gegen die Vorgaben der DSGVO verstößt, kann sie sich jederzeit mit einer Beschwerde an die Datenschutzaufsicht wenden.
- Rechte bei einer automatisierten Entscheidungsfindung: In dem besonderen Fall, dass ein Anbieter vollständig automatisierte Systeme nutzt, die auf Grundlage personenbezogener Daten rechtlich relevante oder andere erhebliche Entscheidungen gegenüber dem Betroffenen treffen, hat dieser das Recht auf Informationen über die involvierte Logik. Außerdem kann er die Hinzuziehung einer menschlichen Person verlangen.
Der Verantwortliche muss die Betroffenen im Rahmen der Datenschutzerklärung nicht nur über diese Rechte aufklären, er muss auch Verfahren in der Praxis vorsehen, die dem Betroffenen die Ausübung dieser Rechte ermöglichen. Verantwortliche müssen den Betroffenen nach der Geltendmachung eines Anspruchs unverzüglich, spätestens aber innerhalb von vier Wochen über die erfolgten Maßnahmen informieren. Bei entsprechender Begründung kann er die Beantwortungsfrist um weitere zwei Monate verlängern.
Dokumentationspflicht
Dokumentationspflichten sowie technische und organisatorische Maßnahmen auf Verantwortlichenseite
Die DSGVO verpflichtet den Verantwortlichen dazu, stets nachweisen zu können, dass die von ihm vorgenommenen Datenverarbeitungen im Einklang mit den Vorschriften erfolgen. Dazu sieht der Rechtsrahmen verschiedene anbieterbezogene Vorschriften für die technische Implementation von Verarbeitungssystemen, aber auch organisatorische Maßnahmen vor. So sollen Verantwortliche z.B. bereits bei der Planung ihrer Verarbeitungsvorgänge die DSGVO-Prinzipien berücksichtigen (data protection by design).
Was beinhaltet ein Verarbeitungsverzeichnis?
Eine für die Praxis wichtige Vorgabe ist die Pflicht zum Führen eines sogenannten Verarbeitungsverzeichnisses. In dem Verarbeitungsverzeichnis dokumentiert der Verantwortliche alle Vorgänge, die personenbezogene Daten verarbeiten. Die DSGVO gibt hier konkret vor, welche Informationen das Verarbeitungsverzeichnis für jeden Verarbeitungstyp zu enthalten hat, darunter z.B.:
- Den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten;
- die Zwecke der Verarbeitung;
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
- ggf. die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder werden;
- die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
- eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen auf Verantwortlichenseite; dazu gehören unter anderem Maßnahmen zur Pseudonymisierung und Verschlüsselung der Daten, zur Gewährleistung der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der IT-Systeme, Backup-Lösungen und vorgehaltene Verfahren zur Evaluation der eigenen Verfahren.
Für das Anlegen von Verarbeitungsverzeichnissen stellen viele Verbände und Anbieter (kommentierte) Vorlagen im Netz zur Verfügung, die Anbieter als Grundlage für ihr eigenes Verzeichnis nutzen können. Wichtig ist, dass das Verarbeitungsverzeichnis die unterschiedlichen Verarbeitungsverfahren jeweils konkret beschreibt. Auf Verlangen der Datenschutzaufsicht muss ein Verantwortlicher das Verarbeitungsverzeichnis vorlegen können. Das Führen eines solchen Verzeichnisses erlegt die DSGVO grundsätzlich nur Unternehmen mit über 250 Angestellten auf, eine Ausnahme gilt dabei aber dann, wenn die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt. Was die Anforderungen an eine nur gelegentliche Verarbeitung sind, lässt die DSGVO leider offen. Da aber im Rahmen von Online-Angeboten schon technisch bedingt ständig personenbezogene Daten in Form von IP-Adressen verarbeitet werden, wird davon ausgegangen, dass jedenfalls Anbieter von Homepages und Apps von der Pflicht zur Führung eines Verarbeitungsverzeichnisses betroffen sind.
Wann braucht es eine Datenschutzbeauftragte/einen Datenschutzbeauftragten?
Die DSGVO sieht die Pflicht zur Benennung eines Datenschutzbeauftragten durch einen Verantwortlichen in ganz bestimmten Fällen vor, etwa wenn dessen Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die besondere interne Überwachungs- und Kontrollmaßnahmen erforderlich machen oder die Kerntätigkeit in der umfangreichen Verarbeitung besonders sensibler Daten liegt. Der interne Datenschutzbeauftragte wirkt dann als Selbstkontrollinstanz auf die Rechtskonformität der implementierten Verfahren hin, fungiert aber auch als interner und externer Ansprechpartner und sorgt für die Aufmerksamkeit für datenschutzrechtliche Problematiken.
Für Anbieter von Kinder-Onlineangeboten ergibt sich aus der DSGVO regelmäßig nicht die Pflicht zur Bestellung eines Datenschutzbeauftragten. Etwas anders kann für Verantwortliche mit mehreren (auch ehrenamtlichen) Mitarbeiterinnen und Mitarbeitern gelten: Der deutsche Gesetzgeber hat die Pflicht zur Bestellung eines Datenschutzbeauftragten nämlich verschärft. Nach dem neuen BDSG ist auch von solchen Verantwortlichen ein Datenschutzbeauftragter zu bestellen, bei denen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Redakteure zählen grundsätzlich nicht dazu, aber z.B. Sachbearbeiter oder Miterbeiterinnen und Mitarbeiter in Bereichen wie einem Shop, Beratungs- und Unterstützungsangeboten oder dem Kundensupport.
Datenschutzaufsicht/Sanktionen
Welche Aufgaben haben die zuständige Aufsichtsbehörden?
Die DSGVO verpflichtet die Mitgliedstaaten, zuständige Aufsichtsbehörden zu benennen, die die Umsetzung der Verordnungsvorgaben beaufsichtigen und Verstöße sanktionieren. In Deutschland sind dies die Landesbeauftragten für Datenschutz sowie – für öffentliche Stellen des Bundes – die Bundesbeauftragte für den Datenschutz.
Die Aufgaben der Datenschutzaufsicht haben sich mit der DSGVO deutlich erweitert. Die Verordnung teilt ihnen unter anderem die Aufgabe zu,
- die Anwendung der DSGVO zu überwachen und durchzusetzen;
- die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung zu sensibilisieren und sie darüber aufzuklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder;
- nationale Parlamente, die Regierung und andere Einrichtungen und Gremien zu beraten;
- die Verantwortlichen und die Auftragsverarbeiter für die DSGVO-Pflichten zu sensibilisieren;
- betroffene Personen über die Ausübung ihrer Rechte zu informieren;
- Beschwerden nachzugehen;
- mit anderen Aufsichtsbehörden zusammenarbeiten;
- maßgebliche relevante Entwicklungen im Datenschutz zu verfolgen, und - die Ausarbeitung von wirtschaftlichen Verhaltensregeln begleiten.
Die Aufsicht wird so nicht nur zum Vollzieher der DSGVO, sondern auch allgemeiner Ansprechpartner, Unterstützer und Beobachter bei allen datenschutzrechtlichen Entwicklungen und Fragen.
Welche Maßnahmen sind bei Datenschutzverstößen zu erwarten?
Vermutet die zuständige Datenschutzaufsicht, dass ein Verantwortlicher unrechtmäßig personenbezogene Daten verarbeitet, stehen ihr eine ganze Reihe an behördlichen Befugnissen zu, um diesen möglichen Verstoß zu untersuchen und – bei einem tatsächlichem Verstoß – abzustellen, z.B.:
- Sie hat umfassende Auskunftsansprüche und Zugangsrechte gegenüber dem Verantwortlichen.
- Sie kann bei dem Verantwortlichen Datenschutzüberprüfungen durchführen.
- Sie kann den Verantwortlichen auf einen vermeintlichen Verstoß hinweisen, ihn warnen und verwarnen.
- Sie kann den Verantwortlichen anweisen, Betroffenenanträgen zu entsprechen und im Falle einer Datenschutzverletzung die Betroffenen darüber zu unterrichten.
- Sie kann den Verantwortlichen bei Verstößen zur Abhilfe auffordern, oder die vorübergehende oder endgültige Beschränkung der Verarbeitung verhängen.
- Sie kann zusätzlich eine Geldbuße verhängen.
Die Bußgelder waren Teil vielfältiger Berichterstattung. Die DSGVO sieht vor, dass Geldbußen bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes von Unternehmen möglich sind. Das klingt viel, aber auch bei der Verhängung von DSGVO-Bußgeldern gilt, dass die verhängten Bußgelder mit Blick auf die Art, Dauer und Schwere der Verletzung angemessen und verhältnismäßig sein müssen. Die angedrohten Höchststrafen werden insoweit in der Praxis die absolute Ausnahme sein.
Angst vor wettbewerbsrechtlichen Abmahnungen bei Datenschutzverstößen
Für viele Ängste vor möglichen Folgen von DSGVO-Verstößen sorgen Beiträge, die auf die Möglichkeit und Wahrscheinlichkeit wettbewerbsrechtlicher Abmahnungen hinweisen. Ähnlich wie im Urheberrecht sehen Besorgte die Möglichkeit einer datenschutzrechtlichen Abmahnindustrie, die vor allem kleine Anbieter treffen könnte.
Dabei sind bis zum jetzigen Zeitpunkt (Ende Juni 2018) nur wenige Fälle datenschutzmotivierter Wettbewerbsabmahnungen bekannt geworden. Die veröffentlichten Fälle beziehen sich vor allem auf Online-Anbieter, die keinerlei Datenschutzerklärung anbieten, was einen nachvollziehbaren DSGVO-Verstoß nahelegt. Ob derartige Verstöße aber überhaupt wettbewerbsrechtlich relevant und abmahnbar sind, ist unter Juristinnen und Juristen umstritten. Im Rahmen des Gesetzes gegen unlauteren Wettbewerb (UWG) können nämlich nur Verstöße gegen sogenannte Marktverhaltensregelungen abgemahnt werden. Ob und inwieweit einzelne Vorschriften der DSGVO marktverhaltensregelnden Charakter haben, ist bislang gerichtlich nicht festgestellt worden. Es gibt Ansichten, die von einer abschließenden Regelung von DSGVO-Verstößen innerhalb der DSGVO ausgehen; in diesem Fall bliebe kein Platz außerhalb der Maßnahmen und Verfahren der Datenschutzaufsicht für die Ahndung von Datenschutzverstößen. Es gibt aber auch Meinungen, die jedenfalls bestimmte DSGVO-Vorgaben als Marktverhaltensregelungen verstehen, unter anderem die Pflicht zum Vorhalten einer rechtskonformen Datenschutzerklärung. Diese Pflicht gab es auch nach dem alten Rechtsrahmen, so dass sich durch die DSGVO auf den ersten Blick nicht viel für die Anbieter ändert. Eine Beschäftigung mit der Aktualität der eigenen Datenschutzerklärung ist deswegen wichtig.
Daneben können klagebefugte Einrichtungen (wie z.B. Verbraucherschutzverbände und Wettbewerbsvereine) auch nach dem Unterlassungsklagegesetz (UKlaG) gegen Anbieter vorgehen, die gegen Datenschutzvorgaben verstoßen, „wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden“. Daraus folgt eine Einschränkung der Abmahnbarkeit auf Betreiber von Angeboten, die die Datenverarbeitung vor allem für eigene kommerzielle Zwecke vornehmen. Kinderspezifische Angebote fallen regelmäßig nicht darunter, Vorsicht sollte man aber bei werbefinanzierten Angeboten walten lassen, die Werbeplätze anbieten, die von Werbeplattformen bespielt werden (GoogleAds, Facebook Ads etc.). Diese Angebote kommen bei nicht rechtskonformer Umsetzung der DGVO-Vorgaben ggf. in den Anwendungsbereich des UKlaG.