§ 4 Rechtsgrundlagen der Verarbeitung / bb) Nachweis der Elterneinwilligung bzw. Zustimmung

Rz. 64

Gemäß Art. 8 Abs. 2 DSGVO hat der Verantwortliche "unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen [zu unternehmen], um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde".

Rz. 65

Ob es, wie Plath^[99] ausführt, in diesem Zusammenhang als ausreichend angesehen werden muss, wenn sich der Diensteanbieter über eine Abfragemaske eine Erklärung des einwilligenden Kindes einholt, wonach dieses die Zustimmung seiner gesetzlichen Vertreter bestätigt, ist fraglich, weil damit die Schutzhürde der Eltern – Einwilligung durch das Kind – leicht umgangen werden^[100] und der mit Art. 8 DSGVO normierte Schutz gänzlich leerlaufen kann. Ob die Etablierung eines z.B. von Buchner/Kühling,^[101]Schulz,^[102]Frenzel^[103] und Möhrke-Sobolewski/Klas^[104] aus dem E-Mail-Marketing bekannten Double-Opt-In-Verfahrens hier tatsächlich einen Mehrwert liefert, scheint angesichts des Umstandes, dass nicht verifiziert werden kann, wem die vom Minderjährigen angegebene E-Mail-Adresse "gehört", ebenso fraglich. Insoweit dürfte es ein Leichtes sein, einfach eine weitere E-Mail-Adresse anzulegen und diese als "Eltern-Mail" fungieren zu lassen. Will man den Schutz des Art. 8 Abs. 1 DSGVO ernst nehmen, so wird vom Diensteanbieter mehr gefordert werden müssen. In Betracht käme beispielsweise die Übermittlung eines durch den Träger der elterlichen Sorge unterzeichneten Dokuments oder die Sichtprüfung mittels Videotechnik,^[105] ggf. auch ein Telefonat mit dem Träger der elterlichen Sorge. Möglich erscheint auch die Nutzung der eID-Funktion des neuen Personalausweises, die ohne Offenbarung weiterer Daten genutzt werden kann, weil die Anwendung die Abfrage, ob eine Person ein bestimmtes Alter überschritten hat, lediglich bestätigt oder verneint. "Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person — z.B. durch Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden — einschließen."^[106]

Rz. 66

Kommt es trotz Etablierung derartiger Verifikationssysteme zu einer unzulässigen Einwilligungserteilung, gilt diese zunächst solange fort, bis der Verantwortliche positive Kenntnis über die Fehlerhaftigkeit erlangt.^[107] Ab diesem Zeitpunkt sind jedoch nicht nur weitere Verarbeitungen zu unterlassen, sondern auch bereits erhobene Daten und ihre Verarbeitungsergebnisse zu löschen.

[99] Plath, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2017, Art. 8 DSGVO Rn 12.

[100] Vgl. etwa OLG Düsseldorf, Urt. v. 24.5.2005 – I-20 U 143/04, CR 2005, 657; KG, Beschl. v. 13.9.2004 – 1 Ss 295/04, MMR 2005, 474; OLG Nürnberg, Urt. v. 7.3.2005 – 3 U 4142/04, MMR 2005, 464.

[101] Buchner/Kühling, in: Kühling/Buchner (Hrsg.), DS-GVO, 2017, Art. 8 Rn 24.

[102] Schulz, in: Gola (Hrsg.), DS-GVO, 2017, Art. 8 Rn 21.

[103] Frenzel, in: Paal/Pauly, Datenschutz-Grundverordnung, 2017, Art. 8 Rn 13.

[104] Möhrke-Sobolewski/Klas, KuR 2016, 373, 377.

[105] Vgl. z.B. http://checkident.de/.

[106] Erwägungsgrund 57 DSGVO; in Erwägungsgrund 64 DSGVO heißt es weiter: "Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen."

[107] So auch Plath, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2017, Art. 8 DSGVO Rn 13.