Richtlinie zum Datenschutz von Kindern

Die Richtlinie zum Datenschutz von Kindern definiert verbindliche Datenschutzanforderungen für die Verarbeitung personenbezogener Daten mit Bezug zu Kindern, an Kinder gerichtete Services, Services, auf die Kinder voraussichtlich zugreifen, und andere Verarbeitungstätigkeiten, bei denen personenbezogene Daten von Kindern erweiterte Schutzmaßnahmen erfordern. Sie gilt in Kontexten, in denen die Organisation als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter oder Unterauftragsverarbeiter handelt, einschließlich Websites, Anwendungen, Spielen, Bildungsdiensten, Online-Plattformen, verbundenen Diensten, Kundenportalen, Lernumgebungen, Communities und Supportkanälen. Die Richtlinie ist darauf ausgelegt sicherzustellen, dass personenbezogene Daten von Kindern identifiziert, gesteuert, minimiert, erläutert, geschützt und durch Schutzmaßnahmen nachgewiesen werden, die für an Kinder gerichtete und für Kinder zugängliche Verarbeitung angemessen sind. Ein zentrales Merkmal der Richtlinie ist ihre Nutzung bestehender PIMS-Nachweisobjekte statt separater kinderspezifischer Register. Die Richtlinie verlangt, dass der Status „an Kinder gerichtet“, die Wahrscheinlichkeit des Zugriffs durch Kinder, Zwecke, PII-Kategorien, Kategorien betroffener Personen, Empfänger und Aufbewahrungsreferenzen in REG02 erfasst werden. Datenschutz-Risiko-Screenings und DSFA-Entscheidungen werden über REG04 gesteuert. Einwilligung, elterliche Zustimmung, Widerrufswege und Referenzen auf Einwilligungsbelege werden, soweit anwendbar, in REG05 erfasst. Betroffenenanfragen mit Bezug zu Kindern werden über REG06 verwaltet, Versionen kindgerechter Datenschutzhinweise über REG07, Einschränkungen für Auftragsverarbeiter und Datenweitergabe über REG08, Vorfallsnachweise über REG10 sowie Audit-, Korrekturmaßnahmen- und Verbesserungsaufzeichnungen über REG12. Die Richtlinie stellt detaillierte operative Anforderungen an kindgerechte Transparenz, Einwilligung, elterliche Verantwortung, Minimierung, Aufbewahrung, Beteiligung an Rechten, Datenschutz durch Technikgestaltung und Kontrolle von Offenlegungen bereit. Vor der Erhebung personenbezogener Daten von Kindern müssen Prozessverantwortliche oder Geschäftsinhaber bestätigen, dass jede PII-Kategorie für den dokumentierten Zweck erforderlich ist, und die mindestens erforderlichen Daten zur Altersprüfung definieren. An Kinder gerichtete Services müssen datenschutzfreundliche Voreinstellungen für optionale Erhebung, Sichtbarkeit, Weitergabe, Personalisierung und Kommunikation anwenden. Wenn personenbezogene Daten von Kindern besondere Kategorien, hochsensible Daten, Standortdaten, biometrische, verhaltensbezogene, Kommunikations-, Bildungs-, Gesundheits- oder sicherheitsbezogene Informationen umfassen, ist eine Prüfung durch den Datenschutzbeauftragten oder den Datenschutzberater erforderlich und in REG04 zu erfassen. Die Richtlinie behandelt außerdem Szenarien mit erhöhtem Risiko, wie Profiling, Verhaltensanalyse, Personalisierung mit erheblichen Auswirkungen, automatisierte Entscheidungsfindung, Empfehlungsfunktionen, vermuteten Missbrauch, schädliche Offenlegung, nicht autorisierten Zugriff, Ausnutzung, Grooming-bezogene Risiken und andere sicherheitsbezogene PII-Risiken mit Bezug zu Kindern. Diese Sachverhalte werden, soweit anwendbar, über Datenschutzprüfung, Verfahren zum Umgang mit Informationssicherheitsvorfällen oder Korrekturmaßnahmenprozesse unter Nutzung von REG04, REG10 und REG12 gesteuert. Für Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter und Empfänger der Datenweitergabe muss der Lieferanten-/Beschaffungsverantwortliche dokumentierte kinderbezogene Einschränkungen, Weisungen, Vertraulichkeit, Erwartungen an Rückgabe oder Löschung und Unterstützungspflichten in REG08 bestätigen, bevor die Verarbeitung personenbezogener Daten von Kindern autorisiert wird. Governance und Aufsicht werden durch vierteljährliche Nachweisprüfungen, Prüfungen der Einführungsbereitschaft, jährliche Audits, Ausnahmebehandlung, Durchsetzung und jährliche Richtlinienprüfung definiert. Der Datenschutzverantwortliche / PIMS-Manager koordiniert die Vollständigkeit der Nachweise und Eskalationen über die relevanten Aufzeichnungen hinweg, während die oberste Leitung den Kontrollansatz für den Datenschutz von Kindern genehmigt und systemische Nichtkonformitäten überprüft. Die Richtlinie unterstützt auditbereite Rechenschaftspflicht, indem sie Überwachungskennzahlen für an Kinder gerichtete Verarbeitungstätigkeiten, DSFA-Screenings, offene Probleme bei Datenschutzhinweisen oder Einwilligung, Probleme bei Auftragsverarbeitern und Datenweitergabe, wiederkehrende Nichtkonformitäten und die Wirksamkeit von Korrekturmaßnahmen verlangt; alle werden in REG12 mit Quellnachweisen aus den anwendbaren Registern erfasst.