Kinderdaten
Was Plattformen wissen und was das Gesetz sagt
Ein Kind öffnet YouTube. Sucht nach „Minecraft“. Schaut drei Videos. Klickt auf ein viertes, das der Algorithmus vorschlägt.
In diesem Moment ist bereits mehr passiert als die meisten Eltern ahnen.
Was Kinderdaten eigentlich sind
Kinderdaten sind nicht nur Name und Adresse. Alles, was eine Plattform über ein Kind erfasst, ist ein personenbezogenes Datum — und das ist erschreckend viel:
Verhaltensdaten: Was wurde wie lange angeschaut? Wo wurde pausiert, vorgespult, abgebrochen? Welche Thumbnails wurden angeklickt, welche übersprungen?
Interaktionsdaten: Was wurde geliked, kommentiert, geteilt? Mit wem wurde gechattet?
Technische Daten: Gerät, Betriebssystem, Standort (oft über IP-Adresse), Tageszeit der Nutzung.
Inferred Data: Daten, die nicht direkt erhoben, sondern berechnet werden. Stimmung. Interessen. Entwicklungsstand. Kaufbereitschaft der Eltern.
Das alles entsteht, ohne dass das Kind auch nur ein Formular ausfüllt. Es entsteht einfach durch Nutzung.
Warum Kinderdaten besonders schützenswert sind
1. Kinder können nicht einwilligen. Die DSGVO (Art. 8) setzt die Einwilligungsfähigkeit für Dienste der Informationsgesellschaft in Deutschland auf 16 Jahre. Darunter braucht es die Zustimmung der Eltern. In der Praxis ignorieren das fast alle Plattformen — und die meisten Eltern wissen nicht, dass ihre Unterschrift gefragt wäre.
2. Die Daten bleiben. Was ein Kind mit 9 Jahren online macht, kann mit 19 noch irgendwo gespeichert sein. Interessen, Ängste, Verhaltensweisen aus einer Zeit, in der das Gehirn noch mitten in der Entwicklung war. Kindheitsdaten haben eine Halbwertszeit von Jahrzehnten.
3. Kinder sind für Manipulation besonders empfänglich. Algorithmen lernen aus Daten, was ein Kind anklickt — und liefern mehr davon. Das ist kein Zufall, das ist Geschäftsmodell. Das Gehirn unter 12 Jahren ist entwicklungsbedingt nicht in der Lage, diese Mechanismen zu durchschauen. Der präfrontale Kortex, zuständig für kritisches Denken und Impulskontrolle, ist erst mit ca. 25 Jahren vollständig ausgreift.
Ein Erwachsener kann (vielleicht) erkennen, dass ihn eine Plattform manipuliert. Ein Kind kann das nicht.
Was der DSA jetzt verlangt
Der Digital Services Act (DSA) ist seit 2024 vollständig in Kraft. Für Kinderdaten ist Art. 28 zentral.
Profilbasierte Werbung ist verboten — sobald eine Plattform weiß oder hinreichend sicher annehmen muss, dass ein Nutzer minderjährig ist, darf keine zielgruppenspezifische Werbung auf Basis von Nutzerdaten mehr ausgespielt werden. Kein „Du hast nach Spielzeug gesucht, also zeige ich dir jetzt Werbung für Spielzeug.“
Empfehlungssysteme müssen kontrollierbar sein. Laut den EU-Leitlinien (C/2025/5519, Oktober 2025) müssen Plattformen Minderjährigen ermöglichen, ihren Empfehlungs-Feed vollständig zurückzusetzen. Großen Plattformen wird nahegelegt, profilfreie Empfehlungen als Standard anzubieten.
Risikobewertung ist Pflicht. Plattformen können sich nicht mehr damit herausreden, sie hätten nicht gewusst, dass Kinder ihre Dienste nutzen. Wenn ein Dienst für Minderjährige zugänglich ist — sei es weil die AGB es erlauben, weil er sich an Kinder richtet, oder weil es schlicht bekannt ist — gelten die Schutzpflichten.
Die entscheidende Formulierung: Eine Plattform kann nicht einfach in ihre AGB schreiben „Kinder unter 13 nicht erlaubt“ und damit aus der Verantwortung treten. Das reicht nicht.
Was das in der Praxis bedeutet
TikTok, YouTube, Instagram — alle drei sind faktisch zugänglich für Kinder. Alle drei sammeln Daten. Und alle drei haben jahrelang Profiling an Minderjährigen betrieben, auch wenn das technisch gegen ihre eigenen Nutzungsbedingungen verstieß.
Das Paradoxe: Plattformen sind per DSA Art. 28 Abs. 3 nicht verpflichtet, zur Altersverifikation zusätzliche Daten zu erheben. Sie dürfen also nicht mehr Daten sammeln, um zu prüfen ob jemand minderjährig ist. Das führt zu einem Dilemma, das noch nicht befriedigend gelöst ist.
Was Eltern und Fachkräfte wissen sollten
Datenschutz bei Kindern ist kein bürokratisches Thema. Es geht um drei praktische Fragen:
Wer weiß was über mein Kind? Jede App, die ein Kind nutzt, sammelt Daten. Das gilt auch für harmlos wirkende Spiele-Apps.
Welche Einstellungen schützen aktiv? iOS und Android bieten Datenschutz-Einstellungen für Kinder — wenige nutzen sie konsequent. Tracking abschalten, personalisierte Werbung deaktivieren, Standort einschränken.
Was darf eine Kita oder Schule mit Kinderdaten machen? Fotos von Kindern in WhatsApp-Gruppen, Gruppenfotos auf der Kita-Website, Lernplattformen ohne AVV — das sind keine Kleinigkeiten. Das sind DSGVO-Verstöße.
Das eigentliche Problem
Solange Eltern nicht verstehen, was mit den Daten ihrer Kinder passiert, solange Erzieherinnen nicht wissen, was auf dem Familien-iPad läuft, solange Schulen weiter ungeschützte Apps einsetzen — ändert sich nichts.
Digitaler Kinderschutz beginnt nicht mit einer App. Er beginnt damit zu verstehen, wie das System funktioniert.