die Zielgruppe der Kinder geschaffene Spiele, sich an Kinder richtende Informations- und Nachrichtenportale, die in den Anwendungsbereich fallen.43 Wenn das gewollt gewesen wäre, hätte der Verordnungsgeber nicht die Formulierung gewählt „das einem Kind direkt gemacht wird“, sondern eher klar zum Ausdruck gebracht, dass der Dienst „ausschließlich“ oder „speziell“ an Kinder gerichtet sein muss.44
17
Wegen der unklaren Bezugnahme auf die sich direkt an Kinder wendenden Dienste dürfte es daher ausreichen und dem Schutzzweck der Norm entsprechen, wenn sich der Dienst auch an Kinder wendet oder auch von diesen genutzt wird.45 Damit werden nicht nur Dienste adressiert, die sich „gezielt“ an Kinder richten,46 sondern auch solche, die sowohl von Erwachsenen als auch von Kindern gleichermaßen genutzt werden („dual use“).47 Es ist nicht erforderlich, dass ein solcher Dienst Kinder ausdrücklich mit anspricht.48 Der Ansicht, dass „direkte“ Angebote an Kinder dann nicht vorliegen, wenn diese von der Werbung oder den Teilnahmebedingungen nicht explizit adressiert werden, sondern das Angebot unterschiedslos alle Altersgruppen anspreche, kann nicht gefolgt werden,49 weil sich dadurch der Diensteanbieter aus der ihm mit Art. 8 DSGVO zugewiesenen Anforderung mit leichter Hand stehlen könnte. Die sozialen Medien wie etwa Instagram, Snapchat und Facebook werden deshalb den von Art. 8 Abs. 1 UAbs. 1 DSGVO adressierten Diensten zuzurechnen sein. Die bestimmungswidrig von Kindern genutzten und ausdrücklich für Ältere angebotenen Dienste sollen nach den vom Europäischen Datenschutzausschuss gebilligten Leitlinien der Art.-29-Datenschutzgruppe von der Anwendung des Art. 8 ausgeschlossen sein. Danach erfordere es keine Altersverifikation, sondern es genüge, dass es der Anbieter eines Dienstes der Informationsgesellschaft „gegenüber möglichen Nutzern deutlich macht, dass er seinen Dienst Personen anbietet, die 18 Jahre oder älter sind“.50 Das dürfte mit dem Telos der Norm nicht vereinbar sein. Auch der Ausschluss von Nutzern unter 16 Jahren durch Allgemeine Geschäftsbedingungen oder die angeklickte Versicherung, man sei über 16 Jahre alt, verhindert nicht die Anwendung des Art. 8 DSGVO, wenn der Dienst bekanntermaßen und faktisch von diesen „Kindern“ genutzt werden kann und auch genutzt wird.51 Ist dem Diensteanbieter bekannt, dass auch Kinder unter 16 sein Angebot nutzen und Daten zur Verfügung stellen, hat er Art. 8 DSGVO selbst dann zu beachten, wenn er durch seine AGB die Nutzung für diejenigen ausschließt, die das 16. Lebensjahr nicht vollendet haben. Will der Diensteanbieter Kinder vor Vollendung des 16. Lebensjahres ausschließen und sich der Einwilligungsbedürftigkeit entziehen, muss er ein Altersverifikationssystem implementieren.52 Soweit nach dem Jugendmedienstaatsvertrag (JMStV) Altersverifikationssysteme erforderlich sind, zeigt die Praxis, dass entsprechende Verfahren zur Verfügung stehen, die „ohne Medienbruch und weitestgehend ohne Zeitverzug“ die Prüfung des Alters vornehmen können.53 Wird eine Altersverfikation durchgeführt, dann darf der Telemedienanbieter (Dienst der Informationsgesellschaft) gemäß § 20 TTDSG die dabei erhobenen Daten von Minderjährigen aus Gründen des Jugendschutzes nicht für kommerzielle Zwecke verarbeiten (§ 20 TTDSG Rn. 1).
18
Fernabsatzportale (eCommerce; Online-Shops), die Waren wie Kleidung oder Spielzeug für Kinder als Teil eines nicht speziell an Kinder gerichteten Sortiments anbieten, sind zwar Dienste der Informationsgesellschaft, wenden sich aber nicht direkt an Kinder, sondern überwiegend an Erwachsene, die Waren für Kinder erwerben, und fallen damit aus dem Anwendungsbereich des Art. 8 DSGVO heraus.54 Anders verhält es sich, wenn ein Onlineshop sich mit dem Angebot direkt an Kinder als Zielgruppe wendet.
19
Auffällig ist, dass einige dieser Dienste, die vor dem Wirksamwerden der DSGVO in ihren Nutzungsbedingungen als Zielgruppe, die die Dienste zu nutzen berechtigt sei, die über 13-Jährigen ausgaben, nun mit dem Wirksamwerden der DSGVO ihre ausschließlich für Nutzer innerhalb der EU zugrunde gelegten Nutzungsbedingungen dahingehend änderten, dass nun nur über 16 Jahre alte Personen die Dienste nutzen dürfen.55 Diese Anpassung wäre wohl nicht vorgenommen worden, wenn die Verantwortlichen davon ausgehen würden, dass ihre Angebote sich nicht (auch) „direkt an Kinder“ wenden würden und der Art. 8 DSGVO auf ihre Dienste nicht anzuwenden sei. Mit der Anpassung der Nutzungsbedingungen sollen offenbar Kollisionen mit Art. 8 DSGVO ausgeschlossen werden, wenn über die Dienste auch Einwilligungen eingeholt werden. Dieser Umgehungsversuch ist ebenso untauglich, wie der Hinweis, dass die Einwilligung nur von Personen über 16 Jahren eingeholt würden,56 weil die Anbieter in Kenntnis der Tatsache, dass auch Kinder unter 16 Jahren Dienste der Informationsgesellschaft trotz der in den Nutzungsbedingungen vorgesehenen Einschränkungen nutzen, den Art. 8 DSGVO zu beachten haben (siehe Rn. 17).57 Unklar ist allerdings, wie sie dieses mangels Altersverifikation gewährleisten wollen (siehe dazu Rn. 36, 38).
20
Es steht die Frage im Raum, ob mit diesen Änderungen der Nutzungsbedingungen alle Personen, die das 16. Lebensjahr nicht vollendet haben, vom Diensteanbieter in der Lebenswirklichkeit tatsächlich ausgeschlossen werden. Weil diesem Anbieter das Alter der Nutzer regelmäßig nicht bekannt ist und ein Altersverifikationsverfahren nicht existiert, zeigt dies die begrenzte Wirkung der Norm. Weiterhin werden Kinder unter 16 Jahren derartige Messaging-Dienste entgegen den Nutzungsbedingungen faktisch auch nutzen. Willigen sie in die Verarbeitung ihrer personenbezogenen Daten für Zwecke ein, die nicht einer Vertragserfüllung dienen, ist die Einwilligung gem. Art. 8 DSGVO unwirksam und die Verarbeitung dieser Daten rechtswidrig. Die Vorschrift dürfte damit ohne ein gleichzeitiges Altersverifikationssystem bei Dual-use-Diensten, das im Interesse der Datenminimierung lediglich feststellen dürfte, ob die Nutzer das 16. Lebensjahr vollendet haben, und nicht etwa auch das genaue Alter erheben, keinen Nutzen bringen. In der Tat wäre aber die Anforderung an Diensteanbieter, bei typischerweise auch von Kindern genutzten Diensten – wozu etwa spiegel-online, gartenfreunde.de oder seniorenreise.de nicht gehören, aber etwa kicker.de und Instagram – eine Altersverifikation vor Einholung einer Einwilligung vorzunehmen, nach verbreiteter Ansicht unverhältnismäßig, was unterstreicht, wie wenig gelungen diese Vorschrift ist.
21
Handelt es sich um einen Dual-use-Dienst, dann ist eine den Anforderungen des Art. 7 DSGVO genügende Einwilligung in die Verarbeitung personenbezogener Daten, die nicht für die Erbringung des Dienstes, sondern für andere Zwecke verarbeitet werden sollen, ohne Einwilligung oder Zustimmung unzureichend und damit auch ihre Verarbeitung unrechtmäßig.58
22
Der Telos der Norm ist – auch angesichts des ErwG 38 – nachvollziehbar. Der praktische Nutzen dürfte aber gering sein und bei den Anbietern der auch von Kindern genutzten Dienste erhebliche Rechtsunsicherheit hervorrufen, wenn sie überhaupt beabsichtigen, Daten über den Vertragszweck hinaus auf der Grundlage einer Einwilligung zu verarbeiten.
23
Geht es in einem Sachverhalt nicht um einen Dienst der Informationsgesellschaft, der direkt einem Kind gegenüber gemacht wird, kommt Art. 8 DSGVO folglich nicht zur Anwendung. Das hat zur Folge, dass bei Minderjährigen die Zustimmung der Eltern erforderlich ist oder – wie gehabt – die Einsichtsfähigkeit des Kindes bzw. des Jugendlichen im Einzelfall festzustellen ist.
3. Einwilligung oder Zustimmung der Träger der elterlichen Verantwortung
24
Hat das Kind das 16. Lebensjahr noch nicht vollendet, bedarf es bei einer Einwilligung einer Beteiligung der „Träger der elterlichen Verantwortung“, üblicherweise nach §§ 1626, 1629 BGB der Eltern. Anstatt der gemeinschaftlichen Vertretung der Eltern (§ 1629 Abs. 1 Satz 2 BGB) dürfte in diesen Fällen der erforderlichen Einwilligung, einem Geschäft des täglichen Lebens, die Einwilligung eines Elternteils genügen. Nach einer Entscheidung des OLG Düsseldorf59 ist vor einer Verbreitung von Fotos eines Kindes in digitalen sozialen Medien gem. § 22 KunstUrhG und für die Verarbeitung die Einwilligung beider sorgeberechtigter Elternteile erforderlich, weil diese Angelegenheit der elterlichen Sorge von erheblicher Bedeutung für das Kind ist (§ 1628 BGB). Kritisch an der Entscheidung ist, dass es trotz der BGH-Rechtsprechung (Art. 6 Fn.