Wann Kinder-Daten-Compliance gilt und was als Nächstes zu tun ist

Kinder-Daten-Compliance gilt, wenn ein SaaS-Produkt, ein Supportprozess, eine Vendor-Beziehung, ein KI-Feature, Analytics oder eine Kundennutzung personenbezogene Daten über Kinder erfassen oder verwenden kann. Die praktische Antwort ist nicht nur eine Altersfrage im Signup. Das Team muss feststellen, ob Kinder Zielnutzer, wahrscheinliche Nutzer oder in Kundendaten enthalten sind, und daraus Verantwortliche, Kontrollen und Nachweise machen.

Nach der GDPR verdienen Kinder besonderen Schutz. Artikel 8 enthält zusätzliche Bedingungen, wenn Einwilligung für direkt an Kinder angebotene Dienste der Informationsgesellschaft genutzt wird. Dann liegt die Altersgrenze grundsätzlich bei 16 Jahren, Mitgliedstaaten können sie aber bis auf 13 Jahre senken. Unterhalb der anwendbaren Grenze braucht es eine Einwilligung oder Autorisierung durch die Person mit elterlicher Verantwortung und angemessene Verifikationsbemühungen.

Schnelle Entscheidungsregel

Der Prüfpunkt ist einfach: Der Bereich ist relevant, wenn Kinder das Produkt nutzen sollen, es wahrscheinlich nutzen, in Kundendaten vorkommen oder vernünftigerweise in einem Workflow erscheinen können.

Das umfasst Schul- und Jugendkontexte, Familien- oder Gesundheitsfälle, Community- und Gaming-Features, Supporttickets, Uploads, Aufzeichnungen, Freitextfelder, Analytics-Events, KI-Prompts und Integrationen. Auch B2B-SaaS ist nicht automatisch ausgenommen. Ein Auftragsverarbeiter kann Kinder-Daten im Auftrag eines Kunden verarbeiten.

Was Teams als Nächstes tun sollten

Erstellen Sie zuerst ein Inventar. Erfassen Sie Eintrittspunkte, Datenkategorien, Zwecke, Rechtsgrundlagen, Alterssignale, Vendoren, Aufbewahrung, Zugriffe und Nachweisorte. Entscheiden Sie dann, wie Alter behandelt wird. Die ICO-Leitlinien erlauben einen risikobasierten Ansatz oder Schutzmaßnahmen für alle Nutzer, wenn eine verlässliche Trennung zu aufwendig oder zu eingriffsintensiv wäre.

Prüfen Sie danach Rechtsgrundlage, Einwilligung und mögliche elterliche Autorisierung. Consent ist nicht automatisch richtig. Wenn er genutzt wird, müssen Erklärung, Umfang, Widerruf und Nachweise funktionieren.

Typische Fehler

Teams irren sich, wenn sie B2B-Status als Ausschlussgrund behandeln, Alter nur als Bannerfrage lösen, unstrukturierte Daten vergessen oder Einwilligung ohne sauberen Widerrufsprozess einsetzen. Gute Nachweise zeigen, warum Kinder im Scope sind oder nicht, welche Kontrollen geändert wurden und wer die Kontrolle weiter betreibt.

FAQ

Wann gilt Kinder-Daten-Compliance?

Sie gilt, wenn Kinder Zielnutzer, wahrscheinliche Nutzer, Teil von Kundendaten oder in Produkt-, Support-, Analytics-, KI- oder Vendor-Workflows realistisch vorhanden sind.

Was sollte zuerst dokumentiert werden?

Starten Sie mit Inventar, Altersansatz, Rechtsgrundlage, Einwilligungslogik, DPIA-Entscheidung, Datenschutzeinstellungen, Vendoren, Aufbewahrung und Nachweis-Owner.

Quellen

Dieser Artikel stützt sich auf die GDPR, EDPB-Leitlinien zur Einwilligung und ICO-Leitlinien zum Children's Code.