Rz. 64
Gemäß Art. 8 Abs. 2 DSGVO hat der Verantwortliche "unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen [zu unternehmen], um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde".
Rz. 65
Ob es, wie Plath ausführt, in diesem Zusammenhang als ausreichend angesehen werden muss, wenn sich der Diensteanbieter über eine Abfragemaske eine Erklärung des einwilligenden Kindes einholt, wonach dieses die Zustimmung seiner gesetzlichen Vertreter bestätigt, ist fraglich, weil damit die Schutzhürde der Eltern – Einwilligung durch das Kind – leicht umgangen werden und der mit Art. 8 DSGVO normierte Schutz gänzlich leerlaufen kann. Ob die Etablierung eines z.B. von Buchner/Kühling,Schulz,Frenzel und Möhrke-Sobolewski/Klas aus dem E-Mail-Marketing bekannten Double-Opt-In-Verfahrens hier tatsächlich einen Mehrwert liefert, scheint angesichts des Umstandes, dass nicht verifiziert werden kann, wem die vom Minderjährigen angegebene E-Mail-Adresse "gehört", ebenso fraglich. Insoweit dürfte es ein Leichtes sein, einfach eine weitere E-Mail-Adresse anzulegen und diese als "Eltern-Mail" fungieren zu lassen. Will man den Schutz des Art. 8 Abs. 1 DSGVO ernst nehmen, so wird vom Diensteanbieter mehr gefordert werden müssen. In Betracht käme beispielsweise die Übermittlung eines durch den Träger der elterlichen Sorge unterzeichneten Dokuments oder die Sichtprüfung mittels Videotechnik, ggf. auch ein Telefonat mit dem Träger der elterlichen Sorge. Möglich erscheint auch die Nutzung der eID-Funktion des neuen Personalausweises, die ohne Offenbarung weiterer Daten genutzt werden kann, weil die Anwendung die Abfrage, ob eine Person ein bestimmtes Alter überschritten hat, lediglich bestätigt oder verneint. "Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person — z.B. durch Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden — einschließen."
Rz. 66
Kommt es trotz Etablierung derartiger Verifikationssysteme zu einer unzulässigen Einwilligungserteilung, gilt diese zunächst solange fort, bis der Verantwortliche positive Kenntnis über die Fehlerhaftigkeit erlangt. Ab diesem Zeitpunkt sind jedoch nicht nur weitere Verarbeitungen zu unterlassen, sondern auch bereits erhobene Daten und ihre Verarbeitungsergebnisse zu löschen.