Entschließung vom 20. November 2025: Verbesserung des Datenschutzes von Kindern in der Datenschutz-Grundverordnung

1. Besondere Schutzbedürftigkeit von Kindern

Kinder unterliegen einer besonderen strukturell bedingten Gefährdungslage: Sie verstehen je nach Reifegrad die meist langfristigen Nachteile der Verarbeitung ihrer personenbezogenen Daten noch unzureichend, sind aber für die meist kurzfristigen positiven Effekte der Nutzung von datenverarbeitenden Systemen und Diensten sehr offen und für Verführungen zu ihrer Nutzung leicht zugänglich. Wissen über Handlungsfolgen und -möglichkeiten müssen sich bei Kindern erst nach und nach herausbilden und festigen. Ihnen ist oft nicht klar, dass aus den Daten, die sie preisgeben und die durch die Beobachtung ihres Verhaltens entstehen, neue Daten über sie generiert werden, die ihr Weltverständnis bestimmen, ihre sozialen Beziehungen beeinflussen, ihr Selbstbild prägen und Vorhersagen über ihr Verhalten ermöglichen. Kinder können abhängig von ihrem Reifegrad die Risiken der Verarbeitung ihrer Daten weniger gut vermeiden und sich gegen Eingriffe in ihre Grundrechte weniger gut wehren, als Erwachsene dies können. Schließlich ist zu berücksichtigen, dass Kinder in der Regel ihre eigenen Rechte als betroffene Person nicht kennen. Selbst wenn sie ihnen bekannt wären, sind sie meist nicht in der Lage, sie wahrzunehmen. Aus diesen Gründen haben Kinder einen besonderen Bedarf an Schutz und Fürsorge im digitalen Raum und insgesamt bezüglich der Verarbeitung ihrer Daten. Dies ist aufgrund von Art. 24 der EU-Grundrechte-Charta und der UN-Kinderrechtskonvention geboten.

2. Datenschutz von Kindern in der Datenschutz-Grundverordnung

Diese besondere Schutz- und Fürsorgepflicht des Gesetzgebers berücksichtigt auch die Datenschutz-Grundverordnung in vielen Zusammenhängen – allerdings nicht in allen notwendigen Aspekten. Nach Erwägungsgrund 38 Satz 1 DS-GVO verdienen Kinder „bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind“. Unter „Kind“ versteht das Unionsrecht entsprechend Art. 1 der UN-Kinderrechtskonvention jede Person, die das 18. Lebensjahr noch nicht erreicht hat.

Die besondere Schutzbedürftigkeit von Kindern berücksichtigt die Datenschutz-Grundverordnung in sechs Regelungen für unterschiedliche datenschutzrechtliche Zusammenhänge:

• Nach Art. 8 Abs. 1 Satz 1 DSGVO gilt die Einwilligung eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, als rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Nach Art. 8 Abs. 1 UAbs. 2 DSGVO dürfen Mitgliedstaaten diese Grenze auf das dreizehnte vollendete Lebensjahr senken. Von der Öffnungsklausel des Art. 8 Abs. 1 UAbs. 2 DS-GVO hat die Mehrzahl der Mitgliedstaaten Gebrauch gemacht und diese Grenze durch gesetzliche Regelung gesenkt. Neun haben die Altersgrenze auf 13 Jahre festgesetzt, sechs auf 14 Jahre, vier auf 15 Jahre und neun Staaten haben die Altersgrenze der DS-GVO beibehalten.
• Nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO muss eine Interessenabwägung die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person in besonderer Weise berücksichtigen, „wenn es sich bei der betroffenen Person um ein Kind handelt“.
• Nach Art. 12 Abs. 1 Satz 1 DSGVO sind Informationen nach Art. 13 und 14 DSGVO sowie Mitteilungen nach Art. 15 DSGVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten“.
• Eine Löschung personenbezogener Daten hat nach Art. 17 Abs. 1 lit. f. DSGVO zu erfolgen, wenn die Daten von Kindern aufgrund einer Einwilligung nach Art. 8 Abs. 1 DSGVO erhoben worden sind.
• Nach Art. 40 Abs. 2 lit. g DSGVO können Verbände in Verhaltensregeln auch „Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist,“ regeln.
• Nach Art. 57 Abs. 1 lit. b DSGVO ist es eine von vielen Aufgaben der Aufsichtsbehörden, „die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung (zu) sensibilisieren und sie darüber auf(zu)klären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder.“

3. Ergänzungsbedürftigkeit der Datenschutz-Grundverordnung

Das sind allerdings nicht alle Situationen, in den der besondere Schutz von Kindern erforderlich ist oder ihre besonderen Interessen zu berücksichtigen sind. In den anderen Regelungen differenziert die Datenschutz-Grundverordnung nicht explizit zwischen Kindern und Erwachsenen. Für sie gelten grundsätzlich die gleichen Erlaubnistatbestände und die gleichen Verarbeitungsgrundsätze. Sie haben die gleichen Rechte wie Erwachsene. Die Verantwortlichen haben ihnen gegenüber grundsätzlich die gleichen Verpflichtungen und können ihre Daten unter den gleichen Voraussetzungen in Staaten außerhalb des Geltungsbereichs der Datenschutz-Grundverordnung übermitteln. Jedoch gebieten Art. 1 Abs. 2 DS-GVO i.V.m. Art. 24 der EU-Grundrechte-Charta und der UN-Kinderrechtskonvention sowie Erwägungsgrund 38 die besondere Schutzbedürftigkeit von Kindern bei ihrer Anwendung besonders zu berücksichtigen. In diesen Fällen bestimmt die Datenschutz-Grundverordnung jedoch nicht unter welchen Bedingungen welche Rechtsfolgen gelten sollen. Unter anderem wird daher diese Pflicht zur Berücksichtigung von den für die Datenverarbeitung Verantwortlichen in der Praxis oft nicht erkannt oder erfüllt.

Die Datenschutz-Grundverordnung schützt Kinder in einer ihrer Schutzbedürftigkeit entsprechenden Weise ausdrücklich bisher nur punktuell. Hinter den wenigen Regelungen ist kein Gesamtkonzept erkennbar, das den Verantwortlichen klare Regelungen an die Hand gibt, in welchen Situationen Kinderrechte mit welchen Rechtsfolgen berücksichtigt werden müssen. Ein Konzept zum effektiven Schutz von Kindern sollte alle wesentlichen Situationen legislativ hervorheben, in denen Kindern besonderen Risiken ausgesetzt sind und in denen ihre Möglichkeiten, Risiken zu erkennen, zu bewerten und sich gegen sie zu schützen, eingeschränkt sind. Dabei sind auch die in der Praxis beschränkten Möglichkeiten ihrer Erziehungsberechtigten, sie zu schützen, zu berücksichtigen. Für diese Situationen sind spezifische datenschutzrechtliche Regelungen erforderlich.

4. Vorschläge zur Ergänzung der Datenschutz-Grundverordnung

Daher sollte die Datenschutz-Grundverordnung um weitere spezifische Regelungen zum Schutz von Kindern dort ergänzt werden, wo besondere Gefahren bestehen, dass die für die Verarbeitung im Einzelfall Verantwortlichen diese besondere Schutzbedürftigkeit mit den gebotenen Folgen außer Acht lassen könnten. Der Wortlaut der Verordnung sollte zumindest in folgenden Vorschriften den besonderen Aspekt des Kindeschutzes zusätzlich und ausdrücklich berücksichtigen:

4.1 Vereinbarkeit eines neuen Verarbeitungszwecks (Art. 6 Abs. 4 DSGVO)

Bei der Prüfung der Vereinbarkeit eines neuen Verarbeitungszwecks mit dem bisherigen Verarbeitungszweck nach Art. 6 Abs. 4 DSGVO muss der Schutz von Kinderrechten ebenso ein hervorgehobenes Gewicht haben, wie bei der Ersterhebung. Wenn die Daten eines Kindes für einen anderen Zweck verwendet werden sollen, sollte die Feststellung der Vereinbarkeit einer Zweckänderung mit dem ursprünglichen Zweck restriktiver erfolgen als bei Daten von Erwachsenen. Der Wortlaut des Art. 6 Abs. 4 UAbs. 1 lit. d DSGVO ist wie folgt zu ergänzen (kursiv):

„d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, insbesondere wenn es sich um die personenbezogenen Daten eines Kindes handelt;“

4.2 Keine Einwilligung in Profiling und Werbezwecke (Art. 8 DSGVO)

In den Normtext des Art. 8 DSGVO sollte die Wertung des Erwägungsgrunds 38 Satz 2 DSGVO ausdrücklich übernommen werden: „Ein solch besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.“ Dadurch würde die Regelung des Art. 28 Abs. 2 DSA sinnvoll ergänzt, der das Ausspielen personalisierter Werbung an Kinder untersagt. Der Unionsgesetzgeber sollte in Art. 8 DSGVO festlegen, dass die Einwilligung von Kindern in die Verwendung personenbezogener Daten für Werbezwecke oder Persönlichkeits- oder Nutzerprofile unzulässig ist. Ein solches Verbot würde die Werbung für Spiele und Spielsachen nicht ausschließen, sondern nur die Nutzung von Persönlichkeits- oder Nutzerprofilen und andere Sammlungen von Kinderdaten für Werbezwecke. In Art. 8 Abs. 1 sollte nach Satz 1 folgender Satz (kursiv) eingefügt werden.  Die bisherigen Sätze 2 und 3 werden 3 und 4:

„Die Verarbeitung personenbezogener Daten eines Kindes für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen ist nicht zulässig.“

4.3 Keine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO

Von der Ausnahme des Verbots der Verarbeitung besonderer Kategorien von personenbezogenen Daten bei einer Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO sollte die Einwilligung eines Kindes grundsätzlich ausgenommen werden. Etwas anderes soll nur dann gelten, wenn eine Verarbeitung dem Wohl des Kindes dient und es die Reife besitzt, die Auswirkungen seiner Einwilligung zu überschauen. Im Übrigen bliebe trotz des grundsätzlichen Verbots eine Einwilligung oder Zustimmung durch einen Träger der elterlichen Verantwortung weiterhin möglich. Hierzu wird folgende Ergänzung (kursiv) vorgeschlagen:

„a) Die erwachsene betroffene Person hat für sich oder als Träger der elterlichen Gewalt für ein Kind in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt oder ein Kind hat im Rahmen der für die Entscheidung erforderlichen Reife in eine für das Kindeswohl eindeutig förderliche Verarbeitung eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,“

4.4 Datenverarbeitung für Präventions- und Beratungsdienste sowie ärztliche Untersuchungen und Heileingriffe

Die Zielsetzung des Erwägungsgrunds 38 Satz 3 DSGVO, dass „die Einwilligung des Trägers der elterlichen Verantwortung … im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein“ sollte, hat im Text der Verordnung keinen Ansatzpunkt gefunden. Ein Kind sollte in psychischen Zwangslagen z.B. eine Sucht- oder Schwangerschaftsberatung in Anspruch nehmen können, ohne befürchten zu müssen, dass die Eltern davon erfahren. Die gleiche Möglichkeit sollte bestehen, wenn das Kind eine ärztliche Untersuchung oder einen Heileingriff durchführen lassen möchte. Dies könnte in Art. 9 Abs. 2 lit. a DSGVO als Satz 2 wie folgt geregelt werden:

„Die ausdrückliche Einwilligung eines Kindes nach Vollendung des [zwölften] Lebensjahres in die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, und im Zusammenhang mit ärztlichen Untersuchungen oder Heileingriffen ist bei vorliegender Reife und Einsichtsfähigkeit auch ohne die Einwilligung des Trägers der elterlichen Verantwortung zulässig.“

Zu Erwägungsgrund 38 DSGVO ist in den Erwägungsgründen der Reform-Verordnung der bisherige Satz 3 durch folgenden Satz zu ersetzen:

„Um einen Missbrauch von Präventions- oder Beratungsdiensten zur Verarbeitung personenbezogener Daten besonderer Kategorien von Kindern auszuschließen, sollte diese Verarbeitung nur für anerkannte Präventions- oder Beratungsdienste im öffentlichen Interesse, nur für die Zwecke dieser Dienste und nur im für diese Dienste erforderlichen Umfang zulässig sein.“

4.5 Widerspruch zur Verarbeitung von Kindesdaten

Nicht nur bei der Forderung nach Löschung, sondern auch beim Widerspruch nach Art. 21 Abs. 1 DSGVO sollte es in besonderer Weise erwähnt werden, wenn die personenbezogenen Daten im Kindesalter erhoben worden sind. Kinder sind sich gemäß Erwägungsgrund 38 Satz 1 DSGVO „der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst“. Um hier Missverständnisse auszuschließen und Rechtsklarheit zu schaffen, sollte der Wortlaut des Art. 21 Abs. 1 DSGVO klarstellen, dass der Verantwortliche bei der Prüfung der Berechtigung des Widerspruchs den Umstand, dass er Daten von Kindern verarbeitet, besonders berücksichtigen muss. Dies würde auch mit der Pflicht des Verantwortlichen nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO korrespondieren, bei seiner Interessenabwägung die entgegenstehenden Interessen oder Grundrechte und Grundfreiheiten in besonderer Weise zu berücksichtigen, „wenn es sich bei der betroffenen Person um ein Kind handelt“. Für Datenverarbeitungen, die auf Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO und spezifischen Regelungen des Unions- oder des nationalen Rechts beruhen, dürfte die „spezifische Situation“ gemäß Art. 21 Abs. 1 Satz 1 DSGVO nicht vorliegen, wenn die Regelung – wie z.B. im Schulrecht – alle Kinder betrifft. Alternativ könnte diese Regelung zum „Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses“ gemäß Art. 23 Abs. 1 lit. e DSGVO Ausnahmen vorsehen, die die Verarbeitung von Kinderdaten ermöglicht. Der Wortlaut des Art. 21 Abs. 1 Satz 1 DSGVO ist um folgenden Einschub (kursiv) zu ergänzen:

„(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, insbesondere wenn es sich um die personenbezogenen Daten eines Kindes handelt, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.“

4.6. Keine Einwilligung in automatisierte Entscheidungen

Von der Ausnahme des Verbots der Verarbeitung personenbezogener Daten bei einer automatisierten Entscheidung aufgrund einer Einwilligung nach Art. 22 Abs. 2 lit. c DSGVO sollte die Einwilligung eines Kindes ausdrücklich ausgenommen werden. Die Wertung von Erwägungsgrund 71 Satz 5 DSGVO („Diese Maßnahme sollte kein Kind betreffen“) findet bisher im Normtext keinen Niederschlag. Der Wortlaut ist um ein Adjektiv (kursiv) zu ergänzen:

„c) mit ausdrücklicher Einwilligung der erwachsenen betroffenen Person erfolgt.“

4.7 Datenschutzgerechte Systemgestaltung

Bei der datenschutzgerechten Systemgestaltung nach Art. 25 Abs. 1 DSGVO sollte der Schutz der Grundrechte und Interessen von Kindern in besonderer Weise hervorgehoben werden. Gerade bei der Systemgestaltung wäre ein grundlegender Schutz von Kindern – vor allem in Social Networks und anderen Angeboten mit datengetriebenen Geschäftsmodellen – besonders wichtig – und meist auch leicht zu realisieren. Der Wortlaut des Abs. 1 ist ein weiterer Satz (kursiv) anzufügen:

„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen, trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung —, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. Dabei ist dem Schutz der Rechte von Kindern besonders Rechnung zu tragen.“

4.8 Datenschutzfreundliche Voreinstellung

Auch bei der datenschutzfreundlichen Voreinstellung nach Art. 25 Abs. 2 DSGVO sollte der Schutz von Kindern in besonderer Weise gefordert werden. Sie übernehmen – mehr noch als Erwachsene – die voreingestellten Werte und konzentrieren sich allein auf die Nutzung des Geräts oder des Dienstes. Diese spezifische Voreinstellung für Kinder ist vor allem für Social Networks wichtig. Gerade von Kindern kann nicht angenommen werden, dass sie Voreinstellungen erkennen und deren Bedeutung für ihre informationelle Selbstbestimmung verstehen. Sie sind in besonderer Weise darauf angewiesen, dass die Grundeinstellung jedes Risiko für ihren Datenschutz vermeidet. Der Wortlaut ist um einen neuen Satz 4 (kursiv) zu ergänzen:

„Die Voreinstellungen berücksichtigen insbesondere die Schutzbedürftigkeit von Kindern.“

4.9 Meldung von Datenschutzverletzungen

Bei Verletzungen des Schutzes personenbezogener Daten ist eine Meldung an die zuständige Aufsichtsbehörde nicht erforderlich, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Als Risiken, die zu berücksichtigen sind, gelten vor allem ökonomische Nachteile, Verletzungen des Persönlichkeitsrechts, Veröffentlichung geheimhaltungsbedürftiger Daten und möglicher Missbrauch der Daten für weitere Angriffe. Die besonderen Risiken von Kindern stehen bei der Risikobewertung nicht im Vordergrund, obwohl bereits die Kenntnisnahme ihres Namens und ihres Wohn- oder Aufenthaltsorts bedeutsame Risiken für sie verursachen können. Daher sollte auf diese Risiken besonders hingewiesen und Art. 33 Abs. 1 Satz 1 um folgenden Passus (kursiv) ergänzt werden.

„(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, wobei das Risiko für Kinder besonders zu berücksichtigen ist.“

4.10 Datenschutzfolgenabschätzung

In der Datenschutzfolgenabschätzung nach Art. 35 DSGVO sollte das besondere Risiko und der besondere Schutzbedarf von Kindern in adäquater Weise berücksichtigt werden. Daher sollte sowohl für die Bestimmung der Notwendigkeit einer Datenschutzfolgenabschätzung nach Abs. 2 bis 4 als auch bei der Risikoanalyse und bei der Festlegung der Schutzmaßnahmen nach Abs. 7 dem Schutz der Grundrechte und Interessen von Kindern eine besondere Aufmerksamkeit entgegengebracht werden. Art. 35 Abs. 1 DSGVO ist um einen neuen Satz 2 (kursiv) zu ergänzen. Der bisherige Satz 2 wird Satz 3:

„(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungs-vorgänge für den Schutz personenbezogener Daten durch. Soweit Kinder von der Verarbeitung betroffen sind, ist auf die Risiken und Folgen, die die Verarbeitung für ihre spezifischen Rechte haben kann, ausdrücklich einzugehen. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“

Außerdem ist Art. 35 Abs. 7 lit. c und d DSGVO um jeweils einen Einschub (kursiv) zu ergänzen:

„(7) Die Folgenabschätzung enthält zumindest Folgendes:

(…)

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1, die in besonderer Weise berücksichtigt, wenn es sich um die personenbezogenen Daten eines Kindes handelt, und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener, insbesondere von Kindern, Rechnung getragen wird.“

Diese Schutzregelungen können mit geringem Aufwand, aber hoher Wirkung in den Text der jeweiligen Vorschrift aufgenommen werden. Sie würden den Datenschutz von Kindern deutlich verbessern und die bisherigen Regelungen zum Schutz von Kindern in der Datenschutz-Grundverordnung systemgerecht ergänzen.