Der Schutz von Kindern im digitalen Raum gehört seit Jahren zu den Baustellen im Datenschutz. Obwohl die Datenschutzgrundverordnung (DSGVO) an mehreren Stellen ausdrücklich auf die besondere Schutzbedürftigkeit Minderjähriger verweist, fehlt es bis heute an einem kohärenten Regelungskonzept. Diese Lücke rückt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zum internationalen Tag der Kinderrechte erneut in den Mittelpunkt. Mit einer Entschließung vom 20.11.2025 macht die DSK zehn konkrete Änderungsvorschläge für die DSGVO, die für einen besseren Datenschutz bei Kindern sorgen sollen.
Strukturelle Vulnerabilität von Kindern
Kinder, also Menschen, die unter 18 Jahren alt sind, bewegen sich selbstverständlich und dauerhaft im digitalen Raum, verstehen jedoch meist altersbedingt nicht die Tragweite ihrer Entscheidungen. Sie geben Informationen preis, ohne die Konsequenzen absehen zu können. Zudem werden sie häufig zum Objekt besonders datenintensiver Geschäftsmodelle, die auf Verhaltensauswertung, Gamification oder zielgerichteter Ansprache beruhen. Gerade hier entstehen laut der DSK Abhängigkeiten und Manipulationsmechanismen, denen Minderjährige kaum etwas entgegensetzen können. Im Übrigen würden Kinder oft weder ihre Rechte kennen noch sie eigenständig geltend machen können.
Bisherige Schutzrahmen der DSGVO
Der besondere Schutz von Kindern in diesem Bereich ergibt sich zunächst allgemein aus Art. 24 der EU-Grundrechte-Charta sowie der UN-Kinderrechtskonvention. Die DSGVO selbst erkennt das Gefährdungspotenzial zwar an (etwa in Erwägungsgrund 38 S. 1), adressiert es aber bislang explizit nur in einzelnen Normen.
Dazu zählt etwa, dass nach Art. 8 Abs. 1 S. 1 DSGVO eine Einwilligung gegenüber Diensten der Informationsgesellschaft erst ab 16 Jahren wirksam erteilt werden kann, wobei viele Staaten von der Öffnungsklausel Gebrauch gemacht haben und dieses Alter auf 13, 14 oder 15 Jahre gesenkt haben. In Art. 6 Abs. 1 lit. f DSGVO wird der erhöhte Stellenwert ihrer Interessen bei der Interessenabwägung festgeschrieben. Im Übrigen müssen Informations- und Tarnsparenzpflichten, die sich an Kinder richten, auch entsprechend für diese aufbereitet sein. Daneben ergibt sich gegenüber Kindern bei Aufforderung eine unverzügliche Löschungspflichten, besondere Möglichkeiten bei der Ausgestaltung von Verhaltensregeln durch Verbände sowie die besondere Pflicht von Datenschutzbehörden Sensibilisierungsmaßnahme durchzuführen.
Gründe für Nachbesserungsbedarf
Doch all diese Regelungen bilden kein zusammenhängendes Schutzkonzept und lassen wesentliche Situationen außer Acht, in denen Kinder besondere Risiken tragen. Die Verantwortung, diese Schutzbedarfe zu erkennen und angemessen zu berücksichtigen, liegt aktuell weitgehend bei den Unternehmen und werde in der Praxis häufig übersehen. Deshalb argumentiert die DSK in ihrer Entschließung (abrufbar hier) zu Recht, dass sich daraus ein Reformbedarf ergibt, um Grundrechte Minderjähriger besser und verlässlicher abzusichern.
10 Reformvorschläge
Erstens solle auch bei der Rechtmäßigkeit der Prüfung eines neuen Verarbeitungszwecks nach Art. 6 Abs. 4 DSGVO explizit auf die Beachtung von Kinderrechten hingewiesen werden.
Bemerkenswert ist zudem der Vorschlag, Einwilligungen von Kindern in bestimmte risikobehaftete Verarbeitungen, konkret für Profiling und automatisierte Entscheidungen, vollständig auszuschließen. Im Übrigen solle die Einwilligung in die Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 2 lit. a DSGVO nur durch die Sorgeberechtigten möglich sein oder wenn das Kind die nötige Reife besitzt.
Außerdem schlägt die DSK vor für Präventions-, Beratungsdienste, ärztliche Untersuchungen und Heileingriffe, wie bereits im Erwägungsgrund 38 S. 3 DSGVO erwähnt, keine Einwilligung der Eltern zu verlangen. So könne etwa bei Sucht- oder Schwangerschaftsberatungen sichergestellt werden, dass Minderjährige die Hilfsangebote in Anspruch nehmen können, ohne befürchten zu müssen, dass ihre Eltern hiervon Kenntnis erlangen.
Weiterhin fordert die DSK, dass wie bei dem Recht auf Löschung, auch bei der Prüfung des Widerspruchs gesondert darauf hingewiesen wird, dass bei Kindern deren spezifischen Interessen zu beachten sind.
Auch aus technischer Sicht macht die DSK verschiedene Änderungsvorschläge. Zum einen möchte sie im Rahmen der datenschutzgerechten Systemgestaltung gemäß Art. 25 Abs. 1 DSGVO, etwa bei Sozialen Medien, dass dem Schutz von Kindern besonders Rechnung getragen wird. Gleiches solle für die datenschutzfreundliche Voreinstellung nach Abs. 2 gelten.
Besonders Praxisrelevant sind die vorgeschlagenen Änderungen zu Datenschutzfolgenabschätzungen und Meldepflichten. Im Rahmen von Risikoanalysen sollte explizit das Risiko für Kinder analysiert und dokumentiert werden müssen und bei Datenpannen ein besonderes Augenmerk auf mögliche Gefährdungen Minderjähriger gelegt werden.
Fazit
Zu Recht setzt sich die DSK für besseren Datenschutz bei Kindern ein. Der Schutz ist bislang lediglich fragmentarisch, doch Kinder sehen sich täglich mit datenverarbeitenden Umgebungen konfrontiert. Ein kohärentes Schutzkonzept für Minderjährige ist längst überfällig und kann zugleich ein Beitrag zu verantwortungsvoller Innovation sein. Geschäftsmodelle, die von datenintensiven Anwendungen im Kinder- und Jugendbereich profitieren, könnten insofern künftig unter erhöhtem Erwartungsdruck stehen.
