Kürzlich las ich einen Beitrag zur der Frage, worauf Betreiber/-innen von Websites für Kinder achten müssen, um das Datenschutzrecht nicht zu verletzen. Aus diesem Beitrag lassen sich gut ein paar Anhaltspunkte für Eltern ableiten, anhand derer sie den Umgang eines Onlineangebots mit den personengebundenen Daten ihrer Kinder beurteilen können. Zu diesem Zweck können sich Eltern folgende Fragen stellen:
Ist es im konkreten Fall überhaupt rechtmäßig, dass personengebundene Daten erhoben werden?
Für die Rechtmäßigkeit gibt es verschiedene Kriterien:
– In einigen Fällen ist die Verarbeitung von personengebundenen Daten per Gesetz erlaubt. Zum Beispiel darf nach dem Telemediengesetz die IP-Adresse des Nutzers/der Nutzerin verarbeitet werden, damit die Nutzung des Onlineangebots überhaupt möglich ist.
– Darüber hinaus dürfen Daten erhoben und gespeichert werden, um zu ermöglichen, dass ein Vertrag überhaupt erfüllt werden kann. Zum Beispiel dürfen Betreiber/-innen die persönliche E-Mail-Adresse eines Nutzers/einer Nutzerin speichern, um beispielsweise eine angeforderte PDF-Broschüre zu versenden.
– Außerdem kann bei den Anbietenden ein berechtigtes Interesse, beispielsweise zur Wahrung der IT-Sicherheit, bestehen. Das erlaubt es dann auch, personengebundene Daten zu verarbeiten.
– Wenn all das nicht zutrifft, können die Anbietenden sich auch ausdrücklich die Einwilligung des Nutzers/der Nutzerin einholen, seine/ihre Daten zu verarbeiten.
Wenn ein Onlineangebot keines dieser Kriterien erfüllt und trotzdem persönliche Daten erhebt und speichert, sollten die Eltern sich fragen, aus welchem Grund die Daten überhaupt abgefragt werden, was der Betreiber/die Betreiberin der Website damit anfangen will und warum das Datenschutzrecht hier nicht beachtet wird.
Werden die Daten nur für den angegebenen Zweck verwendet?
Grundsätzlich gilt, dass Daten nur für den Zweck verwendet werden dürfen, für den sie auch erhoben wurden. Wird zum Beispiel die E-Mail-Adresse, die man für die Anmeldung für eine Veranstaltung angegeben hat, anschließend verwendet, um auch den Newsletter an diese Adresse zu versenden, ist das nicht zulässig.
Bei Onlineangeboten, die sich nicht an diesen Grundsatz halten, sollten Eltern aufmerksam hinschauen, was mit den Daten passiert.
Ist es für den vorgesehenen Zweck überhaupt erforderlich, personengebundene Daten zu erheben?
Wenn für den vorgesehenen Zweck gar keine personengebundenen Daten erforderlich sind (oder nur bestimmte Daten), dürfen sie auch nicht erhoben und gespeichert werden (beziehungsweise keine zusätzlichen Daten). Wird zum Beispiel für die gewünschte Zusendung des Newsletters nur die E-Mail-Adresse benötigt, darf dafür nicht auch die Telefonnummer abgefragt und gespeichert werden.
Die Erforderlichkeit bedeutet auch: Ist der Zweck erfüllt, müssen die Daten, die dafür verarbeitet wurden, gelöscht werden.
Onlineangebote, bei denen viele Daten abgefragt werden, die keinen ersichtlichen Zusammenhang zum vorgesehenen Zweck haben, sind daher mit Vorsicht zu genießen.
Sorgen die Anbieter für Transparenz im Umgang mit personengebundenen Daten?
Alle Bürger/-innen haben das Recht zu wissen, was die Betreiber/-innen einer Website über sie wissen. Deshalb gilt hier das Transparenzprinzip. Das heißt einerseits, dass Nutzer/-innen bei einer Einwilligung zur Datenerhebung erfahren müssen, wofür diese Daten erhoben werden. Andererseits können Nutzer/-innen (beziehungsweise die Eltern) den Betreiber/die Betreiberin einer Website auffordern, Auskunft darüber zu erteilen, welche Daten über sie (beziehungsweise das Kind) gespeichert sind. Der Anbieter ist verpflichtet, in diesem Falle Auskunft zu erteilen.
Bei Onlineangeboten, die sich nicht an dieses Transparenzprinzip halten, sollten die Kinder möglichst keine persönlichen Daten preisgeben. Wichtig ist es hier auch, Kinder für den Wert ihrer Daten zu sensibilisieren und ihnen zu erklären, warum es wichtig ist, dass man selbst bestimmt, was mit den eigenen Daten passieren soll und was nicht.
Sind die Daten beim Anbieter sicher?
Dieser Punkt ist zwar wichtig, aber von den Eltern im Normalfall kaum zu beurteilen. – Trotzdem ist es wichtig zu wissen, dass Anbieter sicherstellen müssen, dass keine Unbefugten Zugriff auf die gespeicherten Daten haben und dass die Daten vor Datenverlust geschützt sind.