Minderjährige im Datenschutzrecht E-Book

Dissertation

zur Erlangung des akademischen Grades eines Doktors der Rechte durch die Rechtswissenschaftliche Fakultät der Universität Bremen

vorgelegt von Maximilian Schnebbe aus Hamburg

1. Gutachter: Prof. Dr. Benedikt Buchner LL.M. (UCLA)

2. Gutachter: Prof. Dr. Prof. h.c. Jürgen Taeger

Datum des Promotionskolloquiums: 30. November 2022

ISBN 978-3-8005-1858-6

© 2023 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Mainwww.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Danksagung

An erster Stelle danke ich meinem Doktorvater Prof. Dr. Benedikt Buchner, LL.M (UCLA). Sowohl für die hervorragende Betreuung, als auch für die Freiheiten, die er mir während meiner Arbeit am Lehrstuhl einräumte.

Weiterer Dank gilt Prof. Dr. Prof. h.c. Jürgen Taeger für die zügige Erstellung des Zweitgutachtens.

Schließlich bedanke ich mich bei meinen Freunden, meiner Familie und meinen Kollegen für ihre Unterstützung, die für die Fertigstellung dieser Arbeit unerlässlich waren. Besonderer Dank gilt Rechtsanwalt Detlef Grauert für die geführten Diskussionen.

Hamburg, März 2023

Maximilian Schnebbe

Inhaltsverzeichnis

Danksagung

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

Einleitung: Minderjährige im Datenschutzrecht

Teil 1: Einwilligungsfähigkeit

A. Spannungsfeld: Informationelle Selbstbestimmung versus Rechtssicherheit

B. Lösungsvorschläge

I. De lege lata

1. Individueller Beurteilungsmaßstab

2. Codes of Conduct

3. Richterliche Rechtsfortbildung

4. Zwischenergebnis

II. De lege ferenda

1. Ausschluss für bestimmte Verarbeitungstätigkeiten

2. Regelvermutung

3. Minderjährigendaten als besondere Kategorien von Daten

4. Altersgrenzen

a. Vergleich zum Medizinrecht

b. Pauschale Altersgrenze

aa. Pauschale Altersgrenzen in anderen Rechtsgebieten

bb. Ausnahmeregelung

c. Altersgrenzen abhängig von der Verarbeitungssituation

aa. Vorbild: Art. 8 DS-GVO

bb. Kategorien der Datenverarbeitung

(1) Waren und Dienstleistungen

(2) Schule

(3) Medizinische Behandlungen

(4) Politische Organisationen und Vereine

cc. Ausnahmeregelung

5. Zwischenergebnis

C. Regelungskompetenz

I. Art. 8 Abs. 3 DS-GVO

II. Öffnungsklausel Art. 9 Abs. 2 lit. a, Abs. 4 DS-GVO

III. Zwischenergebnis

D. Zusammenfassung Teil 1

Teil 2: Nachweispflichten

A. Minderjährigenschutz durch Nachweispflichten

B. Lösungsvorschläge

I. De lege lata

1. Extensive Auslegung der allgemeinen Nachweispflichten

2. Auslegung spezieller Vorschriften zur Nachweispflicht

a. Art. 30 Abs. 1 lit. c DS-GVO

b. Art. 8 Abs. 2 DS-GVO

3. Zwischenergebnis

II. De Lege ferenda

1. Datenschutz-Folgenabschätzung

a. Absatz 3

b. Absatz 7

2. Meldung an Aufsichtsbehörden

3. Benachrichtigung der betroffenen Person

III. Zwischenergebnis

C. Umsetzung einer Altersverifikationspflicht

I. Interessenabwägung

1. Stand der Technik

2. Angemessene Anstrengungen

II. Diskussionsstand zu der technischen Umsetzung

1. Nachweisplicht über Zustimmung der Träger elterliche Verantwortung

2. Altersverifikationspflicht

III. Lösungsvorschlag

1. Spannungsfeld: Altersverifikationspflicht vs. Grundsatz der Datensparsamkeit

2. Umsetzung

D. Zusammenfassung Teil 2

Teil 3: Datenverarbeitung im familiären Kontext

A. Problemaufriss

I. Medien-Monitoring

II. Bilder in Sozialen Netzwerken

B. Die Haushaltsausnahme

I. Bilder in Sozialen Netzwerken

1. EuGH

2. Fortgeltung unter DS-GVO

II. Medien-Monitoring

III. Zwischenergebnis

C. Rechtmäßigkeit der Verarbeitung

I. Bilder in Sozialen Netzwerken

1. Verantwortlichkeit

a. EuGH

b. Gemeinsame Verantwortlichkeit

2. Rechtsgrundlage

a. Einwilligung

aa. Direkt eingewilligt

bb. Vertretungsweise erteilte Einwilligung

b. Berechtigtes Interesse

3. Zwischenergebnis

II. Medien-Monitoring

1. Rechtsgrundlage

a. Einwilligung

b. Erforderlich für die Durchführung eines Vertrages

c. Berechtigtes Interesse

2. Zwischenergebnis

III. Ergebnis

D. Lösungsvorschläge

I. De lege lata

1. Widerrufsrecht

2. Recht auf Löschung

a. Art. 17 Abs. 1 lit. b DS-GVO

b. Art. 17 Abs. 1 lit. f DS-GVO

3. Zwischenergebnis

II. De lege ferenda

1. Eingriff in das Elternrecht

2. Veto-Recht

E. Zusammenfassung Teil 3

Teil 4: Minderjährige als Verantwortliche

A. Verantwortlichkeit

I. Verantwortlichkeitsbegriff

II. Minderjährige als Verantwortliche

III. Konsequenzen der Verantwortlichkeit

B. Minderjährigenschutz bei datenschutzrechtlicher Verantwortlichkeit

I. Datenschutzrechtliche Verantwortlichkeit als Ausdruck informationeller Selbstbestimmung?

II. Regulierung als verfassungsrechtliche Pflicht

III. Lösungsvorschlag

1. Ausschluss der Verantwortlichkeit

2. Einschränkung der Pflichten und Rechtsfolgen

C. Umsetzbarkeit

I. Rechtsfolgenebene

1. Bußgelder

a. Art. 83 Abs. 2 DS-GVO

aa. Ausschluss von Bußgeldern

bb. Anpassung von Bußgeldern

cc. Zwischenergebnis

b. § 12 Abs. 1 OWiG

aa. Systematik

bb. Anwendbarkeit

cc. Zwischenergebnis

2. Schadensersatz

a. Art. 82 Abs. 3 DS-GVO

b. Anwendbarkeit nur bei gemeinsamer Verantwortlichkeit

c. Europäischer oder nationaler Verantwortlichkeitsbegriff

d. Nähe zum Vertrags- oder Deliktsrecht

e. Schutzumfang

f. Einheitlicher Minderjährigenschutz

g. Zwischenergebnis

II. Pflichtenebene

D. Zusammenfassung Teil 4

Teil 5: Abschließende Thesen

Literatur- und Webquellenverzeichnis

Abbildungsverzeichnis

Abbildung 1: Altersverifikationspflicht

Abbildung 2: Ebenen der Verantwortlichkeit

Abkürzungsverzeichnis

a.A.

anderer Ansicht/Auffassung

Abs.

Absatz

a.E.

am Ende

a.F.

alte Fassung

allg.

allgemein

Alt.

Alternative

Anm.

Anmerkung

Art.

Artikel

ausf.

Ausführlich

BDSG a.F.

Bundesdatenschutzgesetz (BDSG) in der Fassung der Bekanntmachung vom 14.1.2003 (BGBl. I S. 66) des BMI zum Bundesdatenschutzgesetz vom 23.11.2016

Beschl.

Beschluss

BfDI

Bundesbeauftragte(r) für den Datenschutz und die Informationsfreiheit

Bsp.

Beispiel

bspw.

beispielsweise

bzw.

beziehungsweise

ca.

circa

DS-GVO-E-Komm

Entwurf der Europäischen Kommission zur Datenschutz-Grundverordnung vom 25.1.2012; KOM(2012) 11 endgültig; 2012/0011 (COD)

DSRL

Datenschutzrichtlinie 95/46/EG

DSRITB

Deutsche Stiftung für Recht und Informatik Tagungsband Herbstakademie

DuD

Datenschutz und Datensicherheit

etc.

et cetera

f., ff.

folgende Seite(n) bzw. Randnummer(n)

Fn.

Fußnote

gem.

gemäß

ggf.

gegebenenfalls

GRCh

EU-Grundrechte-Charta

grdl.

Grundlegend

grds.

grundsätzlich

Hs.

Halbsatz

i.E.

im Ergebnis

i.e.

id est

i.S.v.

im Sinne von

i.V.m

in Verbindung mit

Kap.

Kapitel

K&R

Kommunikation&Recht

lit.

litera

MMR

Multimedia und Recht

m.w.N.

mit weiteren Nachweisen

n.F.

neue Fassung

Rn.

Randnummer

Rspr.

Rechtsprechung

S.

Satz

S.

Seite

s.

siehe

sog.

sogenannt

u.

und

u.a.

unter anderem

UAbs.

Unterabsatz

u.U.

unter Umständen

Urt.

Urteil

v.

vom, von

vgl.

vergleiche

ZD

Zeitschrift für Datenschutz

Einleitung: Minderjährige im Datenschutzrecht

Minderjährige und ihre personenbezogenen Daten sind in besonderem Maße schutzbedürftig. Personenbezogene Daten von Minderjährigen werden schon im frühesten Alter durch verschiedene Stellen verarbeitet. Zugleich sind es aber auch Minderjährige, die bereits in jungen Jahren digitale Technologien selbstständig nutzen. Smartphones, Soziale Medien und sonstige digitale Angebote gehören zunehmend zu ihren alltäglichen Begleitern und die Nutzung gilt als selbstverständlich. Im Jahr 2020 verwendeten 90 Prozent der über 14-jährigen mehrere Stunden am Tag das Internet.1 Dieser selbstverständliche und nahezu intuitive Umgang mit Sozialen Medien und sonstigen digitalen Angeboten geht jedoch nicht zwangsläufig mit einem ausgeprägten Bewusstsein für die mit der Nutzung verbundenen Risiken einher.2 Auch jenseits des digitalen Raums werden personenbezogene Daten von Minderjährigen verarbeitet. In der Schule, beim Arzt, wenn sie einkaufen oder zum Sport gehen.

Die Eltern der Kinder tragen überdies dazu bei, dass personenbezogene Daten von Minderjährigen immer häufiger verarbeitet werden – sei es durch die Veröffentlichung von Bildern ihrer Kinder in Sozialen Netzwerken oder weil sie ihre Kinder bei der Wahrnehmung ihres Erziehungsauftrages mit sog. Tracking Watches oder smartem Spielzeug ausstatten und damit die Datenverarbeitung durch Dritte ermöglichen. Schließlich treten Kinder auch selbst als datenschutzrechtliche Verantwortliche auf, indem sie Daten von Dritten verarbeiten. Beispielsweise über Soziale Medien.

Die strukturelle Gefährdungslage Minderjähriger entsteht insbesondere dadurch, dass Minderjährige die zumeist langfristigen Nachteile, welche mit der Verarbeitung ihrer personenbezogenen Daten einhergehen, nicht ausreichend verstehen.3 Oder sie blenden diese für die meist kurzfristigen positiven Effekte der Nutzung von digitalen Diensten und Medien aus.4 Zudem sind datenschutzrechtliche Verantwortliche sowie Eltern sich oft nicht der Risiken bewusst, welche für Kinder damit einhergehen, dass sie ihre Daten verarbeiten. Dieser strukturellen Gefährdung Minderjähriger im Datenschutzrecht muss der gesetzliche Rahmen gerecht werden. Minderjährige haben ein Recht auf Teilhabe am digitalen Leben und der Ausübung ihrer informationellen Selbstbestimmung. Deshalb dürfen die Vorschriften zum Minderjährigenschutz nicht zu restriktiv ausgestaltet sein. Andererseits besteht jedoch auch die Pflicht des Gesetzgebers, ihre Schutzbedürftigkeit ausreichend zu berücksichtigen und einen entsprechenden gesetzlichen Rahmen zu bieten. Ziel muss darüber hinaus sein, gegenläufige Interessen nicht unberücksichtigt zu lassen. Schutzvorschriften für die Verarbeitung von Minderjährigendaten dürfen nicht um jeden Preis eingeführt werden, sodass Verantwortliche vor unlösbare Aufgaben gestellt werden, welche sie unverhältnismäßig belasten.

Die Datenschutz-Grundverordnung5 beinhaltet im Gegensatz zur RL 95/46/EG (EG-Datenschutzrichtlinie)6 konkrete Vorschriften zur Verarbeitung sowie zu dem Umgang mit Minderjährigendaten.7 Die Schutzbedürftigkeit von Minderjährigen findet ausdrückliche Erwähnung in den Erwägungsgründen der Verordnung.8 Obwohl mit der DS-GVO der Minderjährigenschutz erstmalig ausdrücklich durch Vorschriften geregelt wurde, lässt sich gleichwohl keine zureichende Systematik sowie ein vollumfängliches Schutzkonzept für Minderjährige innerhalb der DS-GVO erkennen.9 Vielmehr wurde der Minderjährigenschutz nur punktuell in die Verordnung integriert, anstatt ein einheitliches Schutzkonzept zu entwickeln.10Irland beschreibt in einer vom Rat erbetenen Stellungnahme11 bezüglich der Anwendung der DS-GVO den in der Verordnung normierten Minderjährigenschutz wie folgt:

Damit die Vorschriften zum Minderjährigendatenschutz innerhalb der DS-GVO ein “stimmiges Bild” ergeben, sollen im Rahmen dieser Arbeit Lösungsvorschläge herausgearbeitet werden, die dazu dienen, der besonderen Schutzbedürftigkeit von Minderjährigen gerecht zu werden.

So bedarf es ausdrücklicher Regelungen zur Einwilligung durch Minderjährige in die Verarbeitung ihrer personenbezogenen Daten (Teil 1). Des Weiteren braucht es konkrete Nachweispflichten für die Verantwortlichen, welche verpflichtend von diesen umzusetzen sind, soweit sie personenbezogene Daten von Minderjährigen verarbeiten (Teil 2). Des Weiteren sind Vorschriften zu Datenverarbeitungsvorgängen von Minderjährigen im familiären Kontext notwendig (Teil 3). Schließlich braucht es konkrete Regelungen, sofern Minderjährige selbst als datenschutzrechtliche Verantwortliche auftreten (Teil 4).

1

Taeger

, ZD 2021, 505 (505).

2

Roßnagel

, ZD 2020, 88 (88).

3

Roßnagel,

ZD 2020, 88 (88

); Häring/Nohr,

DANA 2018, 181 (181).

4

Roßnagel,

ZD 2020, 88 (88

); Häring/Nohr,

DANA 2018, 181 (181).

5

VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung von personenbezogenen Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung).

6

RL 95/46/EG des europäischen Parlaments und des Rates v. 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

7

Art. 6, 8, 12, 16, 17, 22, 24, 40 und 57.

8

Erwägungsgründe 38, 58, 65, 71, 75.

9

Roßnagel

, DuD 2020, 287 (290);

ders.

, ZD 2020, 88 (92);

Joachim

, ZD 2017, 414 (417);

Rat

, Preparation of the Council position on the evaluation and review of the GDPR – Comments from Member States, 9.10.2019, ST 12756/1/19, S. 12, im Internet abrufbar unter: https://bit.ly/2SMUB1A (Stand: 21.04.2020).

10

Statt vieler

Roßnagel

, ZD 2020, 88 (92), der einen Katalog mit Änderungsvorschlägen vorlegt.

11

Rat

, Preparation of the Council position on the evaluation and review of the GDPR – Comments from Member States, 9.10.2019, ST 12756/1/19.

12

Vgl. ebd., S. 20.

Teil 1: Einwilligungsfähigkeit

Der Einwilligung wird im Datenschutzrecht eine zentrale Stellung zugeschrieben. Durch eine Einwilligung in die Verarbeitung der personenbezogenen Daten macht die betroffene Person unmittelbar von ihrem Grundrecht auf informationelle Selbstbestimmung Gebrauch.13 Schon deshalb stellt die DS-GVO hohe Anforderungen an die Wirksamkeit der Einwilligung. So muss diese etwa freiwillig und informiert erteilt werden sowie jederzeit widerrufbar sein.

Auch Minderjährige willigen selbstständig in die verschiedensten Verarbeitungsvorgänge ein. Sei es etwa im Internet, auf ihrem Smartphone oder in der analogen Welt.14 Die damit einhergehenden Risiken können sie dabei nicht immer überblicken. Auch nach Einführung der DS-GVO bestehen weiterhin Unsicherheiten bezüglich der datenschutzrechtlichen Einwilligungsfähigkeit von Minderjährigen.15 Zwar wurde das europäische Datenschutzrecht mit Art. 8 DS-GVO erstmals um eine Norm erweitert, die eine verbindliche Altersgrenze festlegt, ab wann Minderjährige einwilligungsfähig sein sollen, jedoch ist diese Grenze nicht allgemeingültig, sondern bezieht sich nur auf den beschränkten Anwendungsbereich der Einwilligung in sog. Dienste der Informationsgesellschaft. Bei einer engen Auslegung könnte man davon ausgehen, dass Minderjährige jenseits des Anwendungsbereiches von Art. 8 DS-GVO bezüglich ihrer Einwilligung in die Datenverarbeitung überhaupt nicht berücksichtigt werden.16 Jedoch wäre ein solcher Ansatz zu kurz gegriffen, denn bei der Verarbeitung von Daten außerhalb direkt angebotener Dienste der Informationsgesellschaft sind immer noch die allgemeinen Regeln der Art. 7, 6 Abs. 1 lit. a u. 4 Nr. 11 DS-GVO zur datenschutzrechtlichen Einwilligung zu beachten.17 Die herrschende Meinung entnimmt diesen Vorschriften, dass für die Bestimmung der Einwilligungsfähigkeit die Einsichtsfähigkeit der einwilligenden Minderjährigen maßgeblich sei,18 welche stets am Einzelfall zu beurteilen sei.19 Insbesondere komme es auch auf den Umfang und Inhalt sowie die Art der Verarbeitung an.20 Sofern die Minderjährigen nicht einsichtsfähig bezüglich des konkreten Verarbeitungsvorganges seien, könnten diese auch nicht wirksam einwilligen.

Der Rückgriff auf die Einwilligungsfähigkeit im Einzelfall wird jedoch der besonderen Schutzbedürftigkeit der Minderjährigen nicht gerecht. Die Praxis zeigt, dass eine korrekte Einschätzung der Einwilligungsfähigkeit im Einzelfall seitens der Verantwortlichen im Massengeschäft Datenverarbeitung regelmäßig fehlgeht. Zudem ist das Abstellen auf den Einzelfall mit Rechtsunsicherheit für die betroffene Person und den Verantwortlichen verbunden.

Insofern ist die Altersgrenze des Art. 8 Abs. 1 DS-GVO zu begrüßen. Jenseits des Anwendungsbereiches des Art. 8 DS-GVO bedarf es jedoch weiterführender Vorschriften bezüglich der Einwilligung durch Minderjährige in die Verarbeitung personenbezogener Daten. Eine diesbezügliche Regelung bewegt sich in einem Spannungsfeld zwischen der Wahrung der informationellen Selbstbestimmung und der Schaffung von Rechtssicherheit.

Vorschläge zur Regelung der Einwilligung durch Minderjährige lassen sich wohl durch eine entsprechende Auslegung und Anwendung der DS-GVO erarbeiten, im Ergebnis gelingt eine angemessene Auflösung des Spannungsverhältnisses jedoch ausschließlich durch die Ergänzung des Art. 8 Abs. 1 DS-GVO um Altersgrenzen für weitere Verarbeitungssituationen.

13

Buchner/Petri

in Kühling/Buchner, DS-GVO/BDSG, 3. Aufl., Art. 6 Rn. 16.

14

S. dazu ausführlich Teil 1 B. II. 4. c. bb.

15

Tinnefeld/Conrad

, ZD 2018, 391 (393); vgl.

Rat

, Preparation of the Council position on the evaluation and review of the GDPR – Comments from Member States, 9.10.2019, ST 12756/1/19, S. 12, im Internet abrufbar unter: https://bit.ly/2SMUB1A (Stand: 21.04.2020).

16

Vgl. auch

Gola/Schulz

, ZD 2013, 475 (476).

17

Vgl.

Ernst

, ZD 2017, 110 (111).

18

Arnin/Rothkegel

in Kühling/Buchner, DSGVO/BDSG/TTDSG, 3. Aufl., Art. 4 Rn. 359, Art. 6 Rn. 30f.;

Frenzel

in Paal/Pauly, DS-GVO/BDSG, 3. Aufl., Art. 8 Rn. 10;

Ernst

, ZD 2017, 110 (111);

Joachim

, ZD 2017, 414 (416);

Buchner

, FamRZ 2019, 665 (668); in einem soziologischen Kontext

Schubert/Ebell/Müller,

Datenschutz in der Jugendarbeit, S. 18;

Geminn et al.

, DuD 2020, 600 (601); a.A.

Schild

in BeckOK, Datenschutzrecht, 38. Ed., Art. 4 Rn. 130, welcher auf die Geschäftsfähigkeit des Einwilligenden abstellt;

Simitis

in Simitis, § 4a BDSG a.F. Rn. 20ff.; zurückhaltend

Specht

in Specht/Mantz, § 9 III Rn. 44.

19

Janicki

in Taeger, Die Macht der Daten und der Algorithmen, S. 313;

Steinrötter

, ZD 2020, 336 (339); unter Verweis auf die Freiwilligkeit der Einwilligung

Klement

in NK-DatenschutzR, Art. 7 Rn. 49;

Kienle

, PinG 2020, 208 (210).

20

Roßnagel

in Stapf et al., Aufwachsen in überwachten Umgebungen, S. 173f.

A. Spannungsfeld: Informationelle Selbstbestimmung versus Rechtssicherheit

Eine Regelung der Einwilligung durch Minderjährige bewegt sich in einem Spannungsfeld zwischen der Wahrung der informationellen Selbstbestimmung des Minderjährigen und dem Interesse der Verantwortlichen der Datenverarbeitung an einer rechtssicheren Lösung. Mit der Einwilligung in die Datenverarbeitung üben die Minderjährigen ihr Recht auf informationelle Selbstbestimmung aus und legitimieren zugleich einen Eingriff in ebendiese.21

Bei einer zu restriktiven Regelung der Einwilligungsfähigkeit besteht die Gefahr, die Minderjährigen unverhältnismäßig in ihrem Grundrecht zu beschneiden, denn die informationelle Selbstbestimmung ist nicht nur ein negatives Abwehrrecht mit dem alleinigen Ziel, anderen die Verarbeitung personenbezogener Daten zu untersagen,22 vielmehr besteht das Grundrecht auch aus positiven Elementen, welche es dem Grundrechtsinhaber zusichern, die Verarbeitung der Daten durch Dritte mittels Einwilligung legitimieren zu können.23 Eine zu weit gefasste Regelung hingegen gefährdet sie gleichermaßen in diesem Recht, da sie in Verarbeitungsvorgänge einwilligen könnten, deren Konsequenzen sie möglicherweise nicht vollständig überblicken könnten, um sich so letztlich selbst zu gefährden.24

Allerdings ist bei der Erarbeitung von Lösungsvorschlägen ebenso zu bedenken, dass es nicht die einzige Aufgabe des Datenschutzrechts ist, das Rechtsgut der Privatheit absolut zu schützen.25 Die Einführung weiterer Altersgrenzen ist nicht ausschließlich daran zu messen, dem Grundrecht der Minderjährigen auf informationelle Selbstbestimmung möglichst gerecht zu werden. Aufgabe des Datenschutzrechts ist es auch, für einen angemessenen Interessenausgleich zwischen den Beteiligten zu sorgen,26 mithin bei der Regelung der Einwilligungsfähigkeit auch das Interesse der Verantwortlichen an Rechtssicherheit zu berücksichtigen.

Insofern ist bei der Regelung der Einwilligungsfähigkeit auch das Interesse des datenschutzrechtlich Verantwortlichen an Rechtssicherheit zu berücksichtigen.27 Zu unpräzise Regelungen setzen diese der Gefahr aus, eine im Einzelfall mangels Einwilligungsfähigkeit unwirksame Einwilligung einzuholen und letztlich finanzielle Schäden aufgrund von Bußgeldern oder Schadensersatzforderungen zu erleiden.28 Diese unwirksamen Einwilligungen gehen ebenso zulasten von Minderjährigen, da diese im Schutz ihrer personenbezogenen Daten gefährdet werden. Folglich profitieren auch diese von einer rechtssicheren Regelung.

Neben diesem Spannungsverhältnis ist zudem das Erziehungsrecht der Inhaber elterlicher Verantwortung zu berücksichtigen. Diese haben ein Interesse daran, dass die Regelungen zur Einwilligungsfähigkeit nicht durch zu weitreichende Zugeständnisse an Minderjährige in deren Recht auf Erziehung eingreifen.

21

Tinnefeld/Ehmann/Gerling

, Einführung in das Datenschutzrecht, S. 318; im Allgemeinen

Peifer,

Individualität im Zivilrecht, S. 312.

22

Buchner

, Informationelle Selbstbestimmung im Privatrecht, S. 231.

23

Buchner

, Informationelle Selbstbestimmung im Privatrecht, S. 231.

24

So auch

Taeger

, ZD 2021, 505 (506).

25

Schwichtenberg

, Datenschutz in drei Stufen, S. 45.

26

Schwichtenberg

, Datenschutz in drei Stufen, S. 45.

27

S. auch

Golland

, Datenverarbeitung in Sozialen Netzwerken, S. 258.

28

Auch Ansprüche von Wettbewerbern aufgrund des UWG sind denkbar, s. dazu

Wessels

, DuD 2018, 782 (782).

B. Lösungsvorschläge

Bevor Vorschläge erarbeitet werden, wie konkrete Regelungen zur Einwilligungsfähigkeit von Minderjährigen in die DS-GVO de lege ferenda integriert werden können, ist zunächst zu prüfen, inwieweit die bestehenden Vorschriften der Verordnung die Möglichkeit zur Erhöhung des Minderjährigenschutzes bei der Einwilligung bereithalten. So könnten etwa de lege lata bestehende Vorschriften entsprechend ausgelegt oder angewendet werden.

I. De lege lata

Die DS-GVO enthält mit Ausnahme des Art. 8 DS-GVO keine weiteren Regelungen, welche sich ausdrücklich der Einwilligung durch Minderjährige annehmen. Zwar lässt sich jenseits des Anwendungsbereiches des Art. 8 DS-GVO durch einen Rückgriff auf die Prüfung der Einwilligungsfähigkeit im Einzelfall de lege lata ein gewisser Schutzumfang erreichen, eine praxistaugliche Lösung stellt dieses Vorgehen jedoch nicht dar (s. dazu sogleich unter 1).

Auch durch entsprechende Anwendung und Auslegung der Verordnung lässt sich keine angemessene Regelung zur Einwilligung durch Minderjährige finden. Zwar könnte daran zu denken sein, eine Regelung der Einwilligungsfähigkeit durch die Verabschiedung von Verhaltensregeln gem. Art. 40 Abs. 1 lit. g DS-GVO einzuführen (s.u. 2). Allerdings lässt sich mittels dieser Lösungsvorschläge kein angemessener Ausgleich des Spannungsverhältnisses zwischen informationeller Selbstbestimmung und Rechtssicherheit erreichen. Zudem käme eine Regelung der Einwilligungsfähigkeit durch richterliche Rechtsfortbildung infrage. Ein solcher Vorschlag scheidet jedoch mangels gewollter Regelungslücke aus (s.u. 3).

1.Individueller Beurteilungsmaßstab

Mangels weiterer Altersgrenzen innerhalb der DS-GVO, welche die Einwilligungsfähigkeit von Minderjährigen betreffen, wird de lege lata bezüglich der Feststellung einer solchen Fähigkeit auf die allgemeinen Regeln der Einwilligung der Art. 4 Nr. 11, 6 Abs. 1, S. 1 lit. a, Art. 7 DS-GVO zurückgegriffen. Laut Art. 4 Nr. 11 DS-GVO ist die Einwilligung

So setzt eine wirksame Einwilligung ein Einwilligungsbewusstsein (Art. 4 Nr. 11 DS-GVO, Erwägungsgrund 32) voraus.29 Des Weiteren muss eine Einwilligung bestimmt (Art. 5 Abs. 1 lit. b, Art. 6 Abs. 1 lit. a DS-GVO) und informiert (Art. 4 Nr. 11 DS-GVO) sein.30 Ebenfalls elementar für eine wirksame Einwilligung ist die Freiwilligkeit.31 Vorgaben zur Einwilligungsfähigkeit finden in der Definition hingegen keine Berücksichtigung.

Auf nationaler Ebene entschied der BGH erstmals im Jahr 1958, dass die Einwilligung eines Minderjährigen wirksam ist

Auch für die Beurteilung der Einwilligungsfähigkeit unter Geltung der DS-GVO wird auf die Einsichtsfähigkeit der einwilligenden Person abgestellt33, welche stets am Einzelfall zu beurteilen34 und der Freiwilligkeit immanent ist.35 Insbesondere soll es auch auf den Umfang und Inhalt sowie die Art der Verarbeitung ankommen.36 Diesem Vorgehen ist mit Blick auf die aktuelle Rechtslage grundsätzlich zuzustimmen.

Damit geht jedoch nicht einher, dass ein Abstellen auf die Einsichtsfähigkeit zwangsläufig einen angemessenen Schutz von Minderjährigen bei der Einwilligung bietet. Vielmehr ist eine solche Lösung im bestehenden Gesetzeskonstrukt zur Einwilligung die nahezu einzig vertretbare, um überhaupt einen Schutzrahmen für Kinder bei der Einwilligung zu schaffen, der über den eines Erwachsenen hinausgeht. Diskussionen hinsichtlich der Frage, ob das Abstellen auf die individuelle Einwilligungsfähigkeit tatsächlich dem hohen Schutzbedürfnis der Minderjährigen genügt, bleiben aus.37 Für eine Bewertung ist zwischen Theorie und Praxis zu unterscheiden.

Geht man von einer idealen und datenschutzkonformen Verarbeitungssituation aus, ist das Abstellen auf den Individualfall gewiss die Lösung, die dem Minderjährigenschutz am ehesten gerecht wird. Dort prüft der Verantwortliche stets individuell, ob der Minderjährige die entsprechende Einsichtsfähigkeit zur Einwilligung in die konkrete Verarbeitung besitzt. Zudem hat er die fachliche Expertise, diese Einordnung bei jedem Minderjährigen korrekt durchzuführen. Ferner legt der Minderjährige all seine Eigenschaften offen, die der Verantwortliche benötigt, um die Einwilligungsfähigkeit beurteilen zu können.

Der Ansatz, die Einwilligungsfähigkeit im Einzelfall festzustellen, ist aus theoretischer Sicht derjenige, welcher den Minderjährigen am vollumfänglichsten schützt. Jedoch ist nicht immer davon auszugehen, dass in der Anwendung eine korrekte und rechtskonforme Einschätzung erfolgt und dieser theoretische Ansatz auch in der Praxis umgesetzt wird. Vielmehr läuft dieser Ansatz Gefahr, bei einer fehlerhaften Beurteilung der Einwilligungsfähigkeit den Minderjährigen in seinen Rechten zu verletzen.

Regelmäßig sind die für eine ordnungsgemäße Beurteilung der Einwilligungsfähigkeit notwendigen Voraussetzungen nicht gegeben. Zum einen kann die Feststellung der Einwilligungsfähigkeit nicht möglich sein, da nicht zwangsläufig ein direkter Kontakt zum Minderjährigen besteht, wie bei der Einwilligung im Medizinrecht,38 der letztlich eine Beurteilung ermöglicht. Zum anderen könnten die Verantwortlichen auch fachlich nicht in der Lage sein, eine Einschätzung bezüglich der Einwilligungsfähigkeit abzugeben, selbst wenn ihnen alle Informationen, die dafür nötig wären, vorlägen. Häufig wird daher von der Einwilligungsfähigkeit des Minderjährigen ausgegangen, ohne dass der Verantwortliche diese tatsächlich prüft.39 So kommt es vor, dass personenbezogene Daten von Minderjährigen aufgrund einer Einwilligungserklärung verarbeitet werden, die in Anbetracht ihres äußeren Erscheinungsbildes offenkundig von jungen Minderjährigen stammen, die nicht einwilligungsfähig sind.40

Ein bloßes Abstellen auf den Individualfall und die Einwilligungsfähigkeit führt in der Praxis regelmäßig sowohl für den Verantwortlichen als auch für den Minderjährigen zu Problemen und Rechtsunsicherheit.41 Schätzt der Verantwortliche den Einzelfall falsch ein und geht von einer Einwilligungsfähigkeit des Minderjährigen aus, ist die Einwilligung ex lege unwirksam und der Verantwortliche verarbeitet die Daten ohne Rechtsgrundlage. Konsequenzen können von Schadensersatzforderungen der betroffenen Person bis hin zu Bußgeldern, die durch die Aufsichtsbehörde verhängt werden, reichen. Der Nachteil für den Minderjährigen liegt darin, dass sich die Datenverarbeitung nur schwer revidieren lässt und die personenbezogenen Daten möglicherweise nicht vollständig gelöscht werden können.42

Im Übrigen ist zu beachten, dass die Kernaufgabe des Datenschutzrechts nicht darin besteht, das Rechtsgut der Privatheit absolut zu schützen.43 Die DS-GVO beinhaltet zahlreiche Vorschriften, welche die informationelle Selbstbestimmung zugunsten öffentlicher Interessen einschränken können.44 Argumente, dass die Einwilligungsfähigkeit des Minderjährigen deswegen stets im Einzelfall zu prüfen ist, da durch andere Lösungen der Minderjährige in seinem Recht auf informationelle Selbstbestimmung beeinträchtigt wird, greifen daher zu kurz. Die Aufgabe des Datenschutzrechts liegt vielmehr in einem angemessenen Interessenausgleich zwischen den Beteiligten.45 So ist auch in Bezug auf die Regelung der Einwilligung durch Minderjährige eine Interessenabwägung durchzuführen. Die informationelle Selbstbestimmung des Einzelnen ist nur ein Faktor, den es unter Berücksichtigung der Art der Verarbeitung, den damit verbundenen Risiken, der Schutzbedürftigkeit der betroffenen Person sowie den Interessen des Verantwortlichen zu berücksichtigen gilt.46 Insofern ist bei der Regelung der Einwilligungsfähigkeit auch das Interesse des Verantwortlichen an Rechtssicherheit zu berücksichtigen.47

2.Codes of Conduct

Eine weitere Möglichkeit, den Schutz Minderjähriger bei der Einwilligung im Rahmen des bestehenden Gesetzesgefüges zu erweitern, könnte darin liegen Verhaltensregeln i.S.d. Art. 40 DS-GVO einzuführen.48 Dieser Vorschlag liegt vor allem deshalb nahe, da Art. 40 Abs. 2 lit. g DS-GVO den Schutz von Minderjährigen explizit als Beispiel für eine mögliche Verhaltensregel aufzählt.49 Wie genau ein solcher Code of Conduct zum Minderjährigenschutz ausgestaltet sein könnte und wer zur Ausarbeitung solcher Verhaltensregeln berechtigt wäre,50 ist zunächst zweitrangig. Primär geht es darum zu klären, inwieweit Art. 40 DS-GVO überhaupt gestattet, weitere Vorschriften zum Schutz Minderjähriger zu entwickeln.51

Abs. 2 lit. g erlaubt Verbänden und anderen Vereinigungen, die Verantwortliche vertreten, dass diese

Einigkeit besteht dahingehend, dass der Schutzumfang der Verhaltensregeln nicht jenen der DS-GVO unterschreiten darf.52 Es stellt sich im Hinblick auf die Regelung der Einwilligungsfähigkeit von Minderjährigen die Frage, inwieweit die Verhaltensregeln das Schutzniveau der DS-GVO übersteigen dürfen. Maßgeblich ist hier, ob „präzisieren“ i.S.v. Art. 40 Abs. 2 DS-GVO so zu verstehen ist, dass die Vorschriften der DS-GVO durch zusätzliche oder abweichende Regelungen in Form von Codes of Conduct erweitert werden können oder ob der Mehrwert des Art. 40 DS-GVO schon in der bereichsspezifischen Präzisierung der gesetzlichen Vorgaben liegt.53 Eine Auslegung dahingehend, dass Art. 40 Abs. 2 lit. g DS-GVO grundsätzlich eine Erweiterung der Verordnung durch zusätzliche Regelung gestattet, dürfte nicht mit der Zielsetzung der Vorschrift vereinbar sein. Hingegen ist eine Auslegung dahingehend möglich, dass konkrete Regelungen zur Einwilligungsfähigkeit von Minderjährigen nicht als Erweiterung des Regelungsgefüges der DS-GVO, sondern als Präzisierung i.S.d. Norm verstanden werden können.

Gegen Art. 40 DS-GVO als Legitimationsgrundlage zur Erweiterung des Rechtsrahmens durch Verbände kann zunächst der Wortlaut der Norm angeführt werden. Nach diesem gestattet Abs. 2 a.E. expressis verbis lediglich eine Präzisierung. Hätte der Gesetzgeber auch Verhaltensregeln, die über den Regelungsgehalt der DS-GVO hinausgehen, zulassen wollen, würde ebenjener dies durch einen entsprechenden Wortlaut verankern. Auch andere Sprachfassungen der DS-GVO gleichen der deutschen Variante in ihrem Wortlaut.54

Mit Augenmerk auf die Vorgängerregelung der DS-GVO spricht wenig dafür, dass der EU-Gesetzgeber die Verbände dazu ermächtigen wollte, die Verordnung um neue, nur für sie geltende Regeln zu erweitern. Art. 27 der Datenschutz-RL beinhaltet eine vergleichbare Vorschrift zu Art. 40 DS-GVO. Diese wurde über § 38a BDSG a.F. in das deutsche Recht inkorporiert. Danach konnten Verbände

Der Wortlaut („Förderung der Durchführung“) ist im Vergleich zu Art. 40 Abs. 2 a.E. DS-GVO weiter gefasst und lässt eher eine Auslegung dahingehend zu, dass mittels Verhaltensregeln auch eine Erweiterung der datenschutzrechtlichen Regelungen zulässig ist. In Anbetracht dessen, dass in der Nachfolgeregelung der DS-GVO der Begriff der Präzisierung verwendet wird, stellt der Gesetzgeber klar, dass den Rechtsrahmen erweiternde Verhaltensregeln ausgeschlossen sind.

Unter systematischen Gesichtspunkten spricht Abs. 1 des Art. 40 DS-GVO ebenfalls dafür, dass eine Erweiterung des Minderjährigenschutzes durch abweichende Verbandsregeln nicht mit der Norm vereinbar ist. Abs. 1 gibt vor, dass die Regeln zur „[...] ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen“. Die Möglichkeit für Verbände zur ordnungsgemäßen Anwendung der DS-GVO durch Codes of Conduct impliziert, dass sich diese im Gesetzesrahmen der Verordnung bewegen und diesen nicht erweitern und so möglicherweise für weitere Unsicherheiten sorgen oder den bestehenden Vorschriften gar entgegenstehen.

Schließlich würde es dem Sinn und Zweck der DS-GVO widersprechen, wenn Art. 40 Abs. 2 DS-GVO die Verbände legitimieren würde, abweichende Regeln von der Verordnung zu treffen. Dies würde dem Ziel der Harmonisierung der Vorschriften zwischen den Mitgliedsstaaten entgegenstehen, da die Verbände in den Mitgliedsstaaten abweichende Verhaltensregeln ausarbeiten können. Selbst wenn der europäische Gesetzgeber insbesondere bei der Einwilligungsfähigkeit von Minderjährigen durch Öffnungsklauseln in Art. 8 Abs. 1 u. 3 DS-GVO Harmonisierung erschwert, kann dies nicht als Gegenargument aufgeführt werden. Denn während die Öffnungsklauseln in Art. 8 DS-GVO nur für einen schmalen Anwendungskorridor gelten,55 wären Codes of Conduct mit weiteren Regelungen von den unzähligen Verbänden in den Mitgliedstaaten deutlich weitläufiger. Dies kann nicht gewollt sein. Selbst innerhalb eines Mitgliedsstaates können Erweiterungen der Verbandsregeln zu einem abweichendem Schutzniveau führen, indem zwei Verbände für gleiche Verarbeitungsvorgänge unterschiedliche Verhaltensregeln ausarbeiten.56

Unter Berücksichtigung dieser Überlegungen ist Art. 40 DS-GVO so zu verstehen, dass die Vorschriften der DS-GVO nicht durch zusätzliche oder abweichende Regelungen in Form von Codes of Conduct erweitert werden können.57

Auch wenn Art. 40 DS-GVO den Verbänden lediglich gestattet, die bestehenden Vorschriften der DS-GVO durch Codes of Coduct zu präzisieren, ist es fraglich, ob in der Ausarbeitung von weiteren Regeln zur Einwilligungsfähigkeit von Minderjährigen überhaupt zwangsläufig von einer – zumindest innerhalb des Verbandes – Erweiterung des bestehenden Rechtsrahmens auszugehen ist. Vielmehr kann in der Schaffung von beispielsweise weiteren Altersgrenzen auch eine Präzisierung zu den Regeln der Einwilligungsfähigkeit gesehen werden. Ausgangspunkt ist, dass nach geltender Rechtslage auf die individuelle Einwilligungsfähigkeit abgestellt wird.58 In Anbetracht dessen, dass den Verbänden und ihren Mitgliedern die Verarbeitungsvorgänge und Abläufe bekannt sind, können diese beurteilen, ab wann bei Minderjährigen für die von ihnen verantworteten Verarbeitungsvorgänge Einwilligungsfähigkeit gegeben ist. So könnte beispielsweise ein Ärzteverband für seine Mitglieder vorgeben, ob und wann Minderjährige einwilligungsfähig bezüglich der Verarbeitung ihrer Gesundheitsdaten sind. Auf diese Weise erlangen auch Verantwortliche, die nicht in der Lage sind, die Einsichtsfähigkeit einzuschätzen, Rechtssicherheit bei der Verarbeitung. Eine Festlegung der Einsichtsfähigkeit durch Altersgrenzen würde demnach den Rechtsrahmen der DS-GVO nicht erweitern. Vielmehr handelt es sich um eine Präzisierung innerhalb der Verordnung.

Voraussetzung ist jedoch, dass Verbände überhaupt entsprechende Verhaltensregeln ausarbeiten wollen. Art. 40 DS-GVO verpflichtet die Verbände nicht zur Ausarbeitung, sondern eröffnet nur die Möglichkeit dazu. Indem Altersgrenzen hinsichtlich der Einwilligungsfähigkeit gesetzt werden, könnten Verbände die Möglichkeit zur (kommerziellen) Verarbeitung von Minderjährigendaten selbst ausschließen, da diese unter die Altersgrenze fallen.59 Allerdings könnten sie die Altersgrenze bewusst niedrig setzen, um die Zielgruppe zu erweitern und folglich mehr Minderjährigendaten mit dem Ziel verarbeiten zu können, diese kommerziell zu verwerten.60 So steht zu befürchten, dass Verbände bei der Ausarbeitung von Verhaltensregeln unter Berufung auf den Datenschutz andere und eigennützige Aspekte verfolgen. Auch würden Verhaltensregeln zur Einwilligungsfähigkeit von Minderjährigen nur dann ein probates Mittel darstellen, wenn möglichst viele Verbände entsprechende Regeln etablieren würden. Andernfalls würde es zu einem unterschiedlichen Schutzniveau kommen. Zwar würde der Minderjährigenschutz für die Verantwortungsbereiche von Verbänden, die eine Altersgrenze einführen, angehoben werden, in der Gesamtschau bliebe der Minderjährigendatenschutz so immer noch nur punktuell geregelt.

Schon aus diesen Gründen kann die Regelung der Einwilligungsfähigkeit von Minderjährigen nicht allein den Verbänden überantwortet werden. Im Ergebnis ist die Regelung der Einwilligungsfähigkeit durch Verbandsregeln i.S.d. Art. 40 Abs. 2 lit. g DS-GVO abzulehnen.

3.Richterliche Rechtsfortbildung

Die Einwilligungsfähigkeit von Minderjährigen könnte über das bestehende Gesetzesgefüge hinaus im Rahmen richterlicher Rechtsfortbildung geregelt werden. Das sogenannte Richterrecht wird sowohl durch den EuGH, aber auch auf nationaler Ebene allgemein anerkannt.61 Sinn und Zweck der Rechtsfortbildung liegen darin, dass Gerichte in unerwünschte Rechtsentwicklungen korrigierend eingreifen können.62 Gleichwohl darf richterliche Rechtsfortbildung nicht dazu führen, dass Gerichte ihre materielle Gerechtigkeitsvorstellung durch die des Gesetzgebers ersetzen.63

Dass der EuGH im Rahmen der Anwendung einer Verordnung rechtsfortbildend tätig wird, ist grundsätzlich möglich.64 Allerdings sind dem Gericht dabei Grenzen gesetzt: Es darf keine Rechtsfortbildung contra legem oder gesetzeskorrigierend stattfinden,65 insbesondere dann nicht, wenn Lücken vom Gesetzgeber willentlich offengelassen wurden.66 Damit der EuGH die Einwilligungsfähigkeit durch richterliche Rechtsfortbildung präzisieren könnte, müsste Fortbildung sich innerhalb dieser Grenzen halten. Dies ist mit der Frage verbunden, ob die nur punktuell geregelte Einwilligungsfähigkeit von Minderjährigen eine gewollte Regelungslücke innerhalb der DS-GVO darstellen soll.

In Anbetracht, dass der Gesetzgeber bereits mit Art. 8 DS-GVO erstmalig eine Norm eingeführt hat, welche speziell die Einwilligungsfähigkeit von Minderjährigen regelt, zeigt sich, dass zumindest für Dienste der Informationsgesellschaft Regelungsbedarf gesehen wurde. Gleichwohl wurde für andere Lebensbereiche, in denen Minderjährigendaten verarbeitet werden, keine vergleichbare Reglung zu Art. 8 DS-GVO geschaffen. Sollten diese anderen Bereiche absichtlich nicht weitergehend geregelt worden sein,67 würde es sich um eine gewollte Lücke handeln, sodass eine richterliche Rechtsfortbildung nicht gestattet wäre. Den Erwägungsgründen und dem Gesetzgebungsprozess der DS-GVO lässt sich keine Begründung entnehmen, weshalb lediglich die Einwilligung in Dienste der Informationsgesellschaft speziell geregelt wurde. Auch im Rat der Europäischen Union kamen Fragen dahingehend auf, wieso der Anwendungsbereich des Art. 8 DS-GVO nur auf Dienste der Informationsgesellschaft beschränkt ist.68

Die Beschränkung des Anwendungsbereiches der DS-GVO lässt sich sachlich mit der besonderen Gefährdungslage, die mit der Datenverarbeitung durch Dienste der Informationsgesellschaft einhergeht, begründen.69 Gerade in Sozialen Netzwerken geht mit dort preisgegebenen Daten ein faktischer Kontrollverlust einher.70 Zusätzlich weisen Minderjährige in Hinblick auf die mit der Verarbeitung verbundenen Gefahren durch Dienste der Informationsgesellschaft ein deutlich geringeres Risikobewusstsein auf.71 Aufgrund der umfänglichen Kommunikation im Netz, der Anonymität sowie der hohen Frequenz der Nutzung entziehen sich in Sozialen Netzwerken die Tätigkeiten der Minderjährigen häufig einer sozialen elterlichen Kontrolle.72 Auch kann in dem Umstand der Abwesenheit und der daraus eingeschränkten Möglichkeit, die Einwilligungsfähigkeit zu beurteilen, die Notwendigkeit gesehen werden, weitere Regeln zur Einwilligungsfähigkeit zu schaffen. Jedoch zeigt die Praxis, dass für andere Lebensbereiche ähnlich gelagerte Risiken mit der Einwilligung in die Datenverarbeitung für Minderjährige einhergehen.73 Gegen eine gewollte Regelungslücke spricht, dass der Gesetzgeber während der Trilog-Verhandlungen unter enormen Zeitdruck stand. Dies führte zu einer Vielzahl von Inkonsistenzen.74 Es ist möglich, dass keine Kapazitäten mehr für die Regelung der Einwilligung durch Minderjährige in anderen Verarbeitungssituationen aufgewendet werden konnten. Die Begrenzung auf den Anwendungsbereich des Art. 8 DS-GVO wäre insofern als Mindestmaß an Regelung zu begreifen.