Eine Verarbeitung personenbezogener Daten eines Kindes im Rahmen eins Angebotes von Diensten der Informationsgesellschaft ist nur rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Bei Kindern unter 16 Jahren muss ein Sorgeberechtigter der Datenverarbeitung zustimmen.
Gemäß dem Erwägungsgrund 38 der Datenschutz-Grundverordnung verdienen Kinder (eine Unterscheidung zwischen Kindern und Jugendlichen wird nicht gezogen) bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.
Demgemäß ist die Verarbeitung der personenbezogenen Daten eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, nur rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 DSGVO). Somit muss sich ein Verantwortlicher, der einen Dienst der Informationsgesellschaft anbietet, vergewissern, ob das Kind das entsprechende Alter hat (Überprüfungspflicht). Ansonsten muss er angemessene Anstrengungen unternehmen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. Ist dies nicht der Fall, so ist die Einwilligung unwirksam.
Die Frage, wann der Verantwortliche angemessene Anstrengungen unternimmt, wird vom Gesetz nicht beantwortet. Auch welches Verfahren eingesetzt werden soll und kann, um sich zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde, bleibt unklar. Diese Fragen müssen noch durch die Datenschutzaufsichtsbehörden und die Rechtsprechung geklärt werden.
Klar ist jedoch, dass eine entsprechende Einwilligungserklärung dokumentiert sein muss und die Sensibilität der zu verarbeitenden Daten bei dem Überprüfungsverfahren zu beachten ist. Je sensibler die Daten sind, desto mehr Aufwand muss betrieben werden.
Ein „Dienst der Informationsgesellschaft“ ist gemäß Art. 4 Nr. 25 DSGVO eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates. Dabei handelt es sich um „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“. Darunter fallen insbesondere Telekommunikations- und Online-Dienste, bei denen personenbezogene Daten erhoben werden. Auch soziale Netzwerke, Messenger-Dienste und Suchmaschinen fallen unter dem Begriff, selbst wenn kein Entgelt erhoben wird.
Ein Indiz dafür, dass sich ein Dienst der Informationsgesellschaft direkt an Kinder wendet, ist, dass er in einer kindgerechten Sprache oder Illustration erstellt wurde. Andererseits fallen Dienste, die sich spezifisch an Erwachsene richten (z. B. Dating-Portale) nicht unter den Art. 8 DSGVO.
Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist die Datenverarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird (Art. 8 Abs. 1 Satz 2 DSGVO). Somit muss sich der Diensteanbieter (z. B. durch ein Double-Opt-In-Verfahren) vergewissern, dass die Einwilligung eines Erziehungsberechtigten vorliegt.
Die Mitgliedstaaten können zwar durch Rechtsvorschriften eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf (Art. 8 Abs. 1 Satz 3 DSGVO). Somit können Kinder unter 13 Jahren in keinem Fall eine rechtsgültige Einwilligung geben.
Der deutsche Gesetzgeber hat zumindest im neuen BDSG von der Möglichkeit eine niedrigere Altersgrenze vorzusehen nicht Gebrauch gemacht.
Hinsichtlich der Formvorschriften einer entsprechenden Einwilligungserklärung ist Art. 7 DSGVO zu beachten.