Høringssvar vedr. lovforslag om ændring af databeskyttelsesloven (aldersgrænse for børns samtykke m.v.)
IT-Politisk Forening har alene bemærkninger til lovforslagets § 1, nr. 1, hvor aldersgrænsen for hvornår børn selv kan give samtykke til en informationssamfundstjeneste (”den digitale samtykkealder”) foreslås ændret fra de nuværende 13 år til 15 år.
Denne ændring kommer efter en anbefaling fra regeringens ekspertgruppe om tech-giganter (”ekspertgruppen”), som dog foreslog den digitale samtykkealder forhøjet til hele 16 år.
Da den digitale samtykkealder ved vedtagelsen af databeskyttelsesloven i 2018 blev fastsat til 13 år, lagde regeringen og Folketinget vægt på følgende forhold:
- Børn i Danmark er i høj grad medievante.
- Adgang til information via søgemaskiner og deltagelse i online aktiviteter har stor samfundsmæssig og social betydning for børn og unge, herunder sociale fællesskaber med deres kammerater.
- En høj aldersgrænse betyder, at børn vil blive udelukket fra informationssamfundstjenester (eksempelvis sociale medier, spil, film og musik), som deres forældre ikke vil give samtykke til.
- En høj aldersgrænse øger risikoen for, at børn udgiver sig for at være ældre end de reelt er for at få adgang til bestemte tjenester.
- Databeskyttelsesforordningen (GDPR) yder børn en særlig beskyttelse af deres personoplysninger, og det er tvivlsomt om en høj aldersgrænse medfører en øget integritetsbeskyttelse.
Alle disse forhold gør sig stadig gældende. For flere punkter endda i forstærket form.
Information, der tidligere var tilgængelig i analog form som bøger eller blade, og som alle kunne få adgang til og læse, formidles i stigende grad udelukkende via digitale tjenester, hvor adgangen formelt kan kræve et samtykke efter GDPR.
Børn på 13-14 år vil fremover være afhængige af deres forældre for at få adgang til information på sådanne tjenester. Det kan for det første give en masse praktiske problemer i hverdagen, for eksempel den 14-årige i 8. eller 9. klasse som skal skrive en opgave i samfundsfag. Derudover mister børn på 13-14 år autonomi over den information som de har adgang til, og som deres forældre måske ikke billiger. Det kunne eksempelvis være børn, som vil søge viden om kønsidentitet, der i nogle familier anses for at være et kontroversielt emne.
Konsekvenserne for 13-14 årige børns selvudvikling og deres gradvise personlige udvikling mod voksenlivet, når adgang til information i det overdigitaliserede danske samfund bliver afhængig af forældrenes villighed (og i mange tilfælde yderligere den praktiske mulighed) for at give samtykke til diverse informationssamfundstjenester, er ikke overvejet nærmere i lovforslaget.
Siden 2018 har Digital Services Act (DSA) yderligere styrket beskyttelsen af børns personoplysninger. Ifølge DSA artikel 28, stk. 2 må udbydere af onlineplatforme ikke vise reklamer på deres grænseflade baseret på profilering, hvis de med rimelig sikkerhed er klar over, at brugeren er et barn. Der er tale om et absolut forbud, som ikke kan ændres med samtykke.
Sociale medier og tech-giganter
Motivationen for at ændre den digitale samtykkealder synes i høj grad at være sociale medier fra tech-giganter, uagtet at aldersgrænsen berører alle onlinetjenester.
Ekspertgruppen anfører, at med en højere aldersgrænse vil flere mindreårige nyde godt af den særlige beskyttelse, som GDPR giver. IT-Politisk Forening undrer sig over dette argument. Den særlige beskyttelse af et barns personoplysninger i GDPR er ikke afhængig af, om barnet selv eller barnets forældre har givet samtykke.
Ekspertgruppen lægger også vægt på, at en stadig større del af børns og unges liv foregår online, og henviser i den sammenhæng til, at flere danske undersøgelser viser, at fysisk samvær blandt 11-15-årige har været markant faldende gennem de sidste 30 år.
Hertil skal IT-Politisk Forening bemærke, at hvis det politiske ønske er at mindske børns brug af sociale medier og chattjenester til fordel for mere fysisk aktivitet, er ændring af den digitale samtykkealder i GDPR næppe et hensigtsmæssigt instrument. Om forældrene eller barnet selv giver samtykke til tjenesten har ingen betydning for den efterfølgende brug af tjenesten.
Nogle børn kan selvfølgelig blive udelukket fra visse tjenester pga. krav om forældresamtykke, og i den forstand kan børns brug af sociale medier og chattjenester samlet set falde. Det egentlige problem med at visse sociale medier er designet, så de er afhængighedsskabende, bliver imidlertid ikke adresseret med et sådant alt-eller-intet tiltag (samtykke eller ej). DSA har en langt mere effektiv og konstruktiv tilgang til at modvirke problemer med afhængighedsskabende design for børn på sociale medier.
IT-Politisk Forening tvivler grundlæggende på, at en ændring af den digitale samtykkealder vil få den ønskede effekt om en bedre beskyttelse af børn i online-universet. Det er selvfølgelig positivt, hvis forældrene i højere grad interesserer sig for deres børns aktiviteter online, men det kan gøres på mange andre (og langt bedre) måder end ved at forhøje den digitale samtykkealder.
Et af problemerne ved en højere aldersgrænse er, at de fleste onlinetjenester ikke ønsker at administrere et forældresamtykke. Det kan muligvis ændre sig i fremtiden, men indtil det sker, vil den digitale samtykkealder reelt komme til at fungere som en aldersgrænse for brug af tjenesten, selv om dette ikke er hensigten med GDPR artikel 8 (der alene regulerer om barnet selv kan give samtykke).
Konsekvenserne af lovændringen vil dermed være, at danske børn ”på papiret” bliver udelukket fra at bruge et stort antal onlinetjenester, herunder en række meget populære sociale medier.
Den praktiske konsekvens af lovforslaget vil formentlig blive en anden end den tiltænkte. Det er som bekendt allerede meget svært at holde 11-årige børn væk fra populære sociale medier som Instagram og TikTok med den nuværende digitale samtykkealder på 13 år. Det problem forsvinder ikke, fordi Folketinget ændrer aldersgrænsen til 15 år. Tværtimod vil der være flere børn, som ”på papiret” bliver udelukket fra sociale medier, som de gerne vil bruge.
Realistisk set vil mange børn, og ikke mindst de 13-14 årige, få den kreative idé at opgive en alder til onlinetjenesten, som er lidt højere end deres rigtige alder. Typisk skal brugeren indtaste et fødselsår ved registrering på onlinetjenesten, og de fleste 13-14 årige vil utvivlsomt kunne gennemskue, at 2024 – 15 = 2009 er det magiske tal.
Denne praksis forekommer givetvis allerede i dag for børn under 13 år, der enten selv eller med assistance fra deres forældre finder en fiktiv fødselsdato, som gør at barnet kan bruge den ønskede onlinetjeneste. Hvis det sker med forældres aktive medvirken, kan det måske siges at udgøre et forældresamtykke, uanset at onlinetjenesten formelt ikke tilbyder denne mulighed.
Efter IT-Politisk Forenings vurdering kan den paradoksale konsekvens af lovforslaget blive en dårligere beskyttelse af børns personoplysninger. GDPR og DSA yder som nævnt overfor en særlig beskyttelse til børn, men når børn opgiver en højere alder end deres rigtige alder, vil der være færre år på onlinetjenesten, hvor de som brugere af tjenesten nyder godt af den særlige beskyttelse af børns personoplysninger (eller anden særlig beskyttelse af børn i DSA). Den effektive beskyttelse mod manipulerende målrettede reklamer (baseret på profilering) i DSA, der kun gælder for brugere under 18 år, skal særligt fremhæves her.