„Auf Kinder finden dieselben Anforderungen bezüglich Transparenz und Klarheit der Informationen über die Verarbeitung ihrer Daten Anwendung wie auf Erwachsene.“
Grundlegende Artikel in der Datenschutz-Grundverordnung (DSGVO) sind der Transparenzgrundsatz nach Art. 12 sowie Art. 13 und 14 DSGVO. Im neuen Schweizer Datenschutzgesetz (anwendbar ab 1. September 2023) finden sich diese Grundsätze in den Artikeln 6 und 19.
Wie grundsätzlich für die Informationsgrundsätze vorgesehen, gilt, dass die Information bezüglich Datenverarbeitung klar, einfach verständlich und zugänglich sein und das betreffende Datensubjekt in die Lage versetzen sollte, auf Basis der Informationen Entscheidungen zu treffen – beispielsweise eine Einwilligung oder Ablehnung der Cookies zu erteilen oder entsprechende technische Einstellungen bezüglich Privatsphäre vorzunehmen. Dies gilt einmal mehr in Bezug auf Kinder, da sich diese über die Risiken der Datenverarbeitung möglicherweise weniger bewusst sind. Insofern müssen die Vorgänge der Datenverarbeitung, die Auswirkung der Weitergabe von Daten und die Reichweite einer Einwilligung hier so erläutert werden, dass Kinder sie (je nach Einsichtsfähigkeit) selbst verstehen, oder mit Hilfe ihrer Eltern informierte und angemessene Maßnahmen ergreifen können.
Zur Einwilligung von Kindern und Jugendlichen enthält die DSGVO in Art. 8 eine ausdrückliche gesetzliche Regelung in Bezug auf die Einwilligung von Kindern und Jugendlichen: so ist «die Verarbeitung der personenbezogenen Daten des Kindes rechtmässig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmässig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.»
Wie jedoch in den Transparenz-Leitlinien der Artikel-29-Datenschutzgruppe klargestellt wurde, verlieren Kinder nicht ihr Recht auf Transparenz, nur weil ein Träger der elterlichen Verantwortung seine Zustimmung gegeben hat. In der Praxis bedeutet dies, dass sowohl dem Träger der elterlichen Verantwortung als auch dem Kind klare und zugängliche Informationen zum Datenschutz gegeben werden müssen. Hierzu können verschiedene Versionen für diese unterschiedlichen Zielgruppen oder eine kinderfreundliche Version, die auch von den Eltern verstanden werden kann, erstellt werden. Werden die Angebote von sehr kleinen Kindern genutzt, so sollten sie so ausgestaltet sein, dass sie von Kindern abgerufen werden können, sobald sie das erforderliche Verständnis dafür haben, also weit vor dem 16. Lebensjahr.
Bis dato gibt es bezüglich der Ausgestaltung der Informationen für Kinder jedoch keine detaillierteren Anleitungen. So lautet Erwägungsgrund 38 der DSGVO: «Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.» Spezifische Vorgaben hierzu sind jedoch noch nicht ergangen, sind aber wohl seitens des EDPB vorgesehen. [Fussnote: EDPB Guildeines Guidelines 01/2022on data subject rights – Right of access Version 1.0 Adopted on 18 January 2022, Ziffer 3.4.1 mit dem Hinweis in Fussnote 34: “Wie im Arbeitsprogramm des EDPB vorgesehen, ist es seine Absicht, Leitlinien zu folgenden Themen zu erstellen Daten von Kindern zu erstellen. Ein solches Dokument soll mehr Hinweise zu den Bedingungen geben, unter denen ein Kind sein eigenes Auskunftsrecht ausüben kann und der Träger der elterlichen Verantwortung das Auskunftsrecht im Namen des Kindes ausüben kann» Siehe auch: EDPB Minutes of Meeting, Request for Mandate gemäss 56th Plenary meeting des EDPB am 13 October 2021, S.2
Wie erstellt man nun eine kindegerechte Datenschutzerklärung? Zunächst gilt es zu ermitteln, in welchen Altersstufen sich die meisten NutzerInnen bewegen. Sodann schlagen wir vor, auf lange Texte zu verzichten und entweder mit Videos oder Bildern zu arbeiten.
Ein Beispiel geben wir Ihnen hier mit:
Den Comic können Sie auch über diesen Link anschauen: Cookies
Quellen:
- https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf
- https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/children-and-the-uk-gdpr/how-does-the-right-to-be-informed-apply-to-children/