Checkliste Kinder-Daten-Compliance fur Grunder und Compliance Leads

Kinder-Daten-Compliance ist auditbereit, wenn ein SaaS-Team zeigen kann, wo Daten von Kindern in Produkt, Support, Anbieter, Security und Nachweise gelangen, welche Rechtsgrundlage gilt, welche Schutzmassnahmen greifen und wer die Entscheidung besitzt. Die Checkliste soll Anforderungen in wiederholbare Arbeit ubersetzen, nicht in ein spätes juristisches Sonderprojekt.

Unter der DSGVO verdienen Kinder besonderen Schutz, weil sie Risiken, Folgen, Garantien und Rechte oft weniger gut einschätzen konnen. Artikel 8 erganzt besondere Regeln, wenn Einwilligung fur Dienste der Informationsgesellschaft genutzt wird, die einem Kind direkt angeboten werden. Mitgliedstaaten konnen das relevante Alter zwischen 13 und 16 festlegen.

Checkliste

1. Klaren Sie, ob Kinder im Scope sind: direkte Accounts, Schul- oder Familiennutzung, Kundendaten uber Minderjahrige, Support-Anhange, Uploads, Analytics, KI, Geolocation, Profiling oder Kundenfragen zu Minderjahrigen.

2. Bestimmen Sie die Rolle des Unternehmens pro Workflow: Controller, Processor oder beides. Dokumentieren Sie, wer Zweck, Weisungen, Rechteanfragen, Notices, Anbieter und Evidence verantwortet.

3. Erstellen Sie ein Daten- und Systeminventar. Nehmen Sie Accountdaten, Alter, Schule, Eltern, Haushalt, Bilder, Audio, Standort, Nachrichten, Tickets, Importe, Logs, KI-Prompts, Outputs, Warehouses, Backups und Exporte auf.

4. Entscheiden Sie, wie Alter eingeschatzt wird. Self-declaration kann bei geringem Risiko reichen; bei hoherem Risiko konnen starkere Assurance oder breite Schutz-Defaults notwendig sein. Dokumentieren Sie auch, was passiert, wenn das Alter unbekannt ist.

5. Bestatigen Sie Rechtsgrundlage und Einwilligungslogik. Wenn Einwilligung genutzt wird, mussen Version, Sprache, Zeitpunkt, Scope, Widerruf und gegebenenfalls elterliche Autorisierung operational funktionieren.

6. Fuhren Sie eine kind-spezifische DPIA oder Product Privacy Review durch. Prufen Sie Notwendigkeit, Profiling, Empfehlungen, Werbung, Standort, Nudges, Sharing, Defaults, Notices, Vendoren und Restrisiken.

7. Setzen Sie schutzende Defaults: begrenzte Sichtbarkeit, schmale Exporte, Rollenrechte, ausgeschaltete oder eng begrenzte optionale Features, definierte Retention und klare Erklarungen vor relevanten Entscheidungen.

8. Prufen Sie Vendoren und Subprozessoren. DPAs, Transfers, Subprozessoren, Security Evidence, Retention, Loschung, Backups, KI-Training und sekundare Zwecke mussen zu den Zusagen passen.

9. Testen Sie Rechte-, Support- und Loschprozesse. Eltern, Schulen, Kunden, Kinder und interne Teams brauchen klare Routing-, Authentifizierungs- und Eskalationsregeln.

10. Speichern Sie Audit-Evidence: Scope-Entscheidung, Rollenbewertung, Rechtsgrundlage, Consent, Dateninventar, DPIA, Defaults, Zugriff, Retention, Deletion, Vendor Review, offene Risiken und Follow-up-Daten.

FAQ

Wann gilt Kinder-Daten-Compliance fur SaaS-Teams?

Sie kann gelten, wenn Kinder Nutzer sind, wahrscheinlich Nutzer sind, in Kundendaten erscheinen oder indirekt in Support, Uploads, Analytics, KI, Integrationen, Schul-Deployments oder Familienworkflows vorkommen.

Was sollte zuerst dokumentiert werden?

Dokumentieren Sie Scope, Rolle, Dateninventar, Age-Assurance, Rechtsgrundlage, Consent oder elterliche Autorisierung, DPIA-Ergebnis, Defaults, Vendoren, Retention, Deletion und Evidence Owner.

Was ist der grosste Fehler?

Der grosste Fehler ist, Kinder-Daten-Compliance als einmalige Rechtsauslegung zu behandeln statt als Workflow mit Ownern, Triggern, Nachweisen und Eskalationspfaden.

Sources

Diese Checkliste stutzt sich auf die DSGVO, EDPB-Leitlinien zu Einwilligung und Rechtsgrundlagen sowie ICO Children's Code Guidance zu Scope, DPIAs und age-appropriate application.