Datenfinanzierte Apps als Gegenstand des Datenschutzrechts [1 ed.] 9783428586653, 9783428186655

Citation preview

Internetrecht und Digitale Gesellschaft Band 38

Datenfinanzierte Apps als Gegenstand des Datenschutzrechts

Von

Kai-Niklas Knüppel

Duncker & Humblot · Berlin

KAI-NIKLAS KNÜPPEL

Datenfinanzierte Apps als Gegenstand des Datenschutzrechts

Internetrecht und Digitale Gesellschaft Herausgegeben von

Dirk Heckmann

Band 38

Datenfinanzierte Apps als Gegenstand des Datenschutzrechts

Von

Kai-Niklas Knüppel

Duncker & Humblot · Berlin

Die Rechtswissenschaftliche Fakultät der Universität Mannheim hat diese Arbeit im Jahr 2021 als Dissertation angenommen.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2022 Duncker & Humblot GmbH, Berlin

Satz: TextFormA(r)t, Daniela Weiland, Göttingen Druck: CPI books GmbH, Leck Printed in Germany ISSN 2363-5479 ISBN 978-3-428-18665-5 (Print) ISBN 978-3-428-58665-3 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de

Vorwort Die vorliegende Arbeit entstand weitestgehend während meiner Tätigkeit als wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Recht der Wirtschaftsregulierung und Medien an der Universität Mannheim und wurde im Mai 2021 bei der Juristischen Fakultät der Universität Mannheim als Dissertation eingereicht. Literatur und Rechtsprechung konnten im Anschluss bis zum Februar 2022 berücksichtigt werden. Ich möchte mich herzlichst bei meinem Doktorvater, Herrn Prof. Dr. Ralf Müller-­Terpitz, für die Betreuung meiner Arbeit sowie die angenehme Arbeitsatmosphäre an seinem Lehrstuhl bedanken. Sowohl bei der Themenfindung wie auch beim weiteren Verlauf der Erarbeitung begleitete er mich stets mit kritischen und hilfreichen Anmerkungen und Ratschlägen. Mein weiterer Dank gilt Herrn Prof. Dr. Thomas Fetzer für die schnelle Zweitbegutachtung dieser Arbeit und die hierbei aufgeworfenen konstruktiven Anmerkungen. Schließlich möchte ich Herrn Prof. Dr. Dirk Heckmann für die Aufnahme in die von ihm herausgegebene Schriftenreihe danken. Für die Unterstützung während der Zeit der Promotion bin ich sowohl meinen Eltern wie auch zahlreichen Freunden sehr dankbar, ohne deren Unterstützung dieses Projekt sicherlich nicht derart zum Abschluss gekommen wäre. Herauszuheben ist hierbei Herr Dr. Hannes Beyerbach, der für Fragen und Ideen immer ein offenes Ohr hatte und so in großem Maße zum Gelingen dieser Arbeit beigetragen hat. Berlin, April 2022

Kai-Niklas Knüppel

Inhaltsverzeichnis Teil 1

Datenfinanzierte Angebote als Untersuchungsgegenstand 19

§ 1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 A. Stand der Forschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 B. Zielsetzung dieser Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 C. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 § 2 Die Relevanz datenfinanzierter Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 A. Big Data als Grundlage für datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . 26 I. Was bedeutet „Big Data“? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 1. Technische Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2. Ökonomische Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 3. Ansätze einer sozialwissenschaftlichen Betrachtung . . . . . . . . . . . . . . . . 30 II. Big Data im rechtswissenschaftlichen Kontext . . . . . . . . . . . . . . . . . . . . . . . 30 1. Ansätze zur Klassifizierung in der Literatur . . . . . . . . . . . . . . . . . . . . . . . 31 2. Rechtliche Einordung von Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 B. Datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 I. Die Begrifflichkeit „datenfinanzierte Angebote“ . . . . . . . . . . . . . . . . . . . . . . 33 1. Mobile Apps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 a) Erwerb und Vertrieb von Apps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 b) Kostenfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 c) Datenerhebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 2. Weitere datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 a) Freeware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 b) Web-Apps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 3. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 II. Datenfinanzierung als relevantes Unterscheidungskriterium . . . . . . . . . . . . . 39 1. Die Werthaftigkeit von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 a) Die abstrakte Werthaftigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 aa) Der Warencharakter personenbezogener Daten . . . . . . . . . . . . . . 41 bb) Die Nutzung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . 42 cc) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

8

Inhaltsverzeichnis b) Die Wertschöpfung bei datenfinanzierten Angeboten . . . . . . . . . . . . . 45 aa) Die Nutzung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 bb) Die Konsequenz für datenfinanzierte Angebote . . . . . . . . . . . . . . 47 cc) Die Preisgabe der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 dd) Die Problematik der Kostenfreiheit . . . . . . . . . . . . . . . . . . . . . . . 49 ee) Die Relevanz einer Abgrenzung datenfinanzierter Angebote . . . . 51 2. Legislative Berücksichtigung durch die Richtlinie (EU) 2019/770 . . . . . 53 a) Die Bereitstellung digitaler Inhalte . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 b) Die nationale Umsetzung der Richtlinie . . . . . . . . . . . . . . . . . . . . . . . 55 c) Die Erhebung von Daten als Gegenleistung . . . . . . . . . . . . . . . . . . . . 55 d) Folgen für den Begriff der datenfinanzierten Angebote . . . . . . . . . . . 56 3. Absolute und relative Rechte an Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 a) Die Debatte um das sog. Dateneigentum . . . . . . . . . . . . . . . . . . . . . . . 57 b) Die Auswirkungen auf datenfinanzierte Angebote . . . . . . . . . . . . . . . 58 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 III. Die Kategorisierung datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . . 60 1. Der Inhalt der Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 2. Die Zurverfügungstellung der Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . 61 3. Die Art der Datenerhebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 4. Die Art der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 a) Kategorie I: Sofortnutzung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . 62 b) Kategorie II: Speicherung und Nutzung der Daten . . . . . . . . . . . . . . . 63 c) Kategorie III: Offenlegung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . 64 aa) Kategorie III a): Offenlegung innerhalb eines Konzerns . . . . . . . . 65 bb) Kategorie III b): Offenlegung an externe Dritte . . . . . . . . . . . . . . 66 d) Die Unterscheidung dieser Kategorien . . . . . . . . . . . . . . . . . . . . . . . . 67 5. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Teil 2

Die Bewertung datenfinanzierter Angebote de lege lata 68

§ 3 Rechtliche Besonderheiten datenfinanzierter Angebote . . . . . . . . . . . . . . . . . . . . . . . 68 A. Die Zivilrechtliche Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 I. Die Vertragsart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 1. Die Einordnung kostenpflichtiger (Web-)Apps . . . . . . . . . . . . . . . . . . . . 70 2. Die Einordnung entgeltfreier Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . 70 3. Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 II. Die Vertragsparteien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

Inhaltsverzeichnis

9

1. Das Merkmal der Offenkundigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 2. Vertretungsmacht und Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . 77 III. Einbeziehung von Allgemeinen Geschäftsbedingungen . . . . . . . . . . . . . . . . 77 B. Datenfinanzierte Angebote als Telemedien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 I. Der sachliche Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 II. Auswirkungen für datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . . . . 79 C. Die Eingrenzung des rechtlichen Untersuchungsrahmens . . . . . . . . . . . . . . . . . . 80 § 4 Die Grundlagen des Datenschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 A. Die verfassungs- und primärrechtliche Ausgestaltung des Datenschutzes . . . . . . 83 I. Nationales Verfassungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 1. Der Schutzumfang der informationellen Selbstbestimmung . . . . . . . . . . 84 a) Die Eingriffsintensität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 b) Der Ausschluss durch Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 c) Die Rechtfertigung von Eingriffen . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 d) Prozedurale Garantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 2. Mittelbare Drittwirkung und Schutzpflichten . . . . . . . . . . . . . . . . . . . . . . 88 a) Übertragbarkeit auf die informationelle Selbstbestimmung . . . . . . . . 90 b) Der Umfang von Schutzpflichten und der Drittwirkung . . . . . . . . . . . 91 3. Würdigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 II. Primärrechtsschutz in der EU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 1. Historische Entwicklung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 a) Die Situation mit Inkrafttreten des Vertrags von Lissabon . . . . . . . . . 95 b) Bedeutung der EMRK für den Datenschutz . . . . . . . . . . . . . . . . . . . . 97 2. Art. 8 der Grundrechte-Charta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 a) Der Schutzbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 b) Eingriffe in Art. 8 GRCh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 c) Die Rechtfertigung oder der Ausschluss des Eingriffs . . . . . . . . . . . . 102 d) Betroffenenrechte und institutionelle Vorgaben . . . . . . . . . . . . . . . . . 104 e) Drittwirkung und staatliche Schutzpflichten . . . . . . . . . . . . . . . . . . . . 105 f) Würdigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 3. Datenschutz nach dem AEUV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 III. Grundrechtspositionen der Datenverarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . 109 1. Nationales Verfassungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 a) Art. 12 Abs. 1 GG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 b) Die Meinungs- und Informationsfreiheit aus Art. 5 GG . . . . . . . . . . . 112 c) Sonstige Grundrechte der Datenverarbeiter . . . . . . . . . . . . . . . . . . . . . 114 2. Europäischer Primärrechtsschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

10

Inhaltsverzeichnis a) Europäischer Schutz der unternehmerischen Freiheit . . . . . . . . . . . . . 115 aa) Art. 16 GRCh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 bb) Schutz über Grundfreiheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 b) Art. 11 GRCh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 3. Würdigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 B. Die sekundärrechtliche und einfachgesetzliche Ausgestaltung des Datenschutzes . 118 I. Die Datenschutz-Grundverordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 1. Der Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 a) Sachlich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 b) Räumlich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 2. Sonstige Grundzüge der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 II. Das Bundesdatenschutzgesetz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 III. Datenschutz aus anderen Quellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 1. Datenschutz nach dem TTDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 2. Anstehende regulatorische Veränderungen . . . . . . . . . . . . . . . . . . . . . . . . 127 C. Das Rangverhältnis der Gewährleistungen und dessen Auswirkungen . . . . . . . . 127 I. Das Verhältnis der grundrechtlichen Gewährleistungen . . . . . . . . . . . . . . . . . 128 1. Die Konfliktsituation vor den Entscheidungen zum Recht auf Vergessen 129 2. Die Beschlüsse Recht auf Vergessen I und II . . . . . . . . . . . . . . . . . . . . . . 131 3. Das grundrechtliche Konfliktpotential im Datenschutz . . . . . . . . . . . . . . 132 4. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 II. Die Umsetzung des Datenschutzes in der DSGVO . . . . . . . . . . . . . . . . . . . . 135 III. Konfliktebereiche datenfinanzierter Angebote . . . . . . . . . . . . . . . . . . . . . . . . 137

§ 5 Grundsätze und Prinzipien des Datenschutzes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 A. Der Anwendungsbereich der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 I. Die Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 II. Der Personenbezug von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 1. Identifizierbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 a) Methoden der Identifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 b) Voraussetzungen der Identifizierbarkeit . . . . . . . . . . . . . . . . . . . . . . . 143 aa) Die Vorgaben der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 bb) Die Rechtsprechung des EuGH . . . . . . . . . . . . . . . . . . . . . . . . . . 145 cc) Zeitpunkt der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . 146 dd) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 c) Die Identifizierbarkeit im digitalen Kontext . . . . . . . . . . . . . . . . . . . . 147 2. Anonymisierung und Pseudonymisierung . . . . . . . . . . . . . . . . . . . . . . . . 148 a) Anonymisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148

Inhaltsverzeichnis

11

aa) Anonyme Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 bb) Technische Ausgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 b) Pseudonymisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 aa) Der Personenbezug pseudonymisierter Daten . . . . . . . . . . . . . . . 153 bb) Die rechtliche Wirkung der Pseudonymisierung . . . . . . . . . . . . . . 154 3. Besonderheiten bei datenfinanzierten Angeboten . . . . . . . . . . . . . . . . . . . 155 a) Vorüberlegung: Personenbezug bei Big Data . . . . . . . . . . . . . . . . . . . 155 aa) Makro-Ebene – Probleme der Anonymisierung . . . . . . . . . . . . . . 156 bb) Mikro-Ebene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 cc) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 b) Der Personenbezug bei datenfinanzierten Angeboten . . . . . . . . . . . . . 158 aa) Personenbezug in verschiedenen Konstellationen . . . . . . . . . . . . 159 bb) Anonymisierung und Pseudonymisierung . . . . . . . . . . . . . . . . . . 160 (1) Sofortnutzung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 (2) Speicherung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 (3) Offenlegung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 cc) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 III. Die datenschutzrechtliche Verantwortlichkeit . . . . . . . . . . . . . . . . . . . . . . . . 163 1. Der Verantwortliche nach Art. 4 Nr. 7 DSGVO . . . . . . . . . . . . . . . . . . . . . 164 2. Verantwortlichkeit im Mehrpersonenverhältnis . . . . . . . . . . . . . . . . . . . . 165 a) Alleinige Verantwortlichkeit, Art. 4 Nr. 7 DSGVO . . . . . . . . . . . . . . . 166 b) Gemeinsame Verantwortlichkeit, Art. 4 Nr. 7, Art. 26 DSGVO . . . . . . 167 c) Auftragsverarbeitung, Art. 4 Nr. 8, Art. 28 DSGVO . . . . . . . . . . . . . . 169 aa) Auftragsverarbeitung bei datenfinanzierten Angeboten . . . . . . . . 169 bb) Bedeutung der Auftragsverarbeitung für die folgende Unter­ suchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 d) Sonderfall: Verantwortlichkeit bei konzerninterner Datenverarbeitung . 171 B. Datenschutzrechtliche Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 I. Rechtmäßigkeit und Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 1. Der Grundsatz der Rechtmäßigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 2. Der Grundsatz der Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 a) Inhaltliche Ausgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 b) Konflikt mit Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 3. Treu und Glauben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 4. Die Folgen für datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . . . . 179 II. Der Grundsatz der Zweckbindung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 1. Die Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO . . . . . . . . . . . . . . . . 182 a) Voraussetzungen an eine zweckgebundene Datenverarbeitung . . . . . . 182

12

Inhaltsverzeichnis aa) Festlegung des Zwecks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 bb) Eindeutigkeit des Zwecks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 cc) Legitimität des Zwecks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 b) Die Zweckbindung bei der Weiterverarbeitung . . . . . . . . . . . . . . . . . . 184 c) Die Bedeutung für datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . 186 2. Zweckänderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 a) Art. 89 Abs. 1 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 b) Art. 6 Abs. 4 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 aa) Die Voraussetzungen von Art. 6 Abs. 4 DSGVO . . . . . . . . . . . . . . 191 bb) Auswirkungen auf den Grundsatz der Zweckbindung . . . . . . . . . 192 3. Die Zweckbindung bei datenfinanzierten Angeboten . . . . . . . . . . . . . . . . 195 a) Die Grundproblematik bei Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . 195 aa) Widerspruch zur Zweckbindung . . . . . . . . . . . . . . . . . . . . . . . . . . 195 bb) Ausnahmen von der Zweckbindung . . . . . . . . . . . . . . . . . . . . . . . 196 cc) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 b) Die Übertragbarkeit auf datenfinanzierte Angebote . . . . . . . . . . . . . . 199 aa) Die Sofortnutzung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 bb) Die Speicherung und Nutzung der Daten . . . . . . . . . . . . . . . . . . . 200 cc) Die Offenlegung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 dd) Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 III. Der Grundsatz der Datenminimierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 1. Der Inhalt der Datenminimierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 2. Die Umsetzung der Datenminimierung . . . . . . . . . . . . . . . . . . . . . . . . . . 205 a) Datenschutz durch Technikgestaltung . . . . . . . . . . . . . . . . . . . . . . . . . 206 b) Datenschutzfreundliche Voreinstellungen . . . . . . . . . . . . . . . . . . . . . . 207 c) Konkretisierungsansätze in § 19 Abs. 2 TTDSG . . . . . . . . . . . . . . . . . 208 3. Die Datenminimierung bei datenfinanzierten Angeboten . . . . . . . . . . . . . 208 a) Vorüberlegungen zu Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 b) Die Übertragbarkeit auf datenfinanzierte Angebote . . . . . . . . . . . . . . 210 IV. Weitere Datenschutzgrundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 1. Der Grundsatz der Richtigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 2. Der Grundsatz der Speicherbegrenzung . . . . . . . . . . . . . . . . . . . . . . . . . . 214 3. Der Grundsatz der Integrität und Vertraulichkeit . . . . . . . . . . . . . . . . . . . 215 C. Folgen für die Verarbeitung innerhalb datenfinanzierter Angebote . . . . . . . . . . . 215 I. Vorüberlegung: Big Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 II. Datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 1. Die Problematik der einzelnen Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . 217 2. Ansätze zur Vereinbarkeit mit den Grundsätzen . . . . . . . . . . . . . . . . . . . . 218

Inhaltsverzeichnis

13

§ 6 Die Rechtmäßigkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 A. Gesetzliche Erlaubnistatbestände . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 I. Die Verarbeitung zur Erfüllung eines Vertrags . . . . . . . . . . . . . . . . . . . . . . . . 222 1. Zur Erfüllung eines Vertrags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 2. Die Erforderlichkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . 224 a) Die Erforderlichkeit bei privatrechtlichen Verträgen . . . . . . . . . . . . . . 224 b) Die Reichweite der Erforderlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . 225 c) Transparenz der erforderlichen Verarbeitung . . . . . . . . . . . . . . . . . . . 227 3. Die Bedeutung für datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . 227 a) Die Erforderlichkeit aufgrund der Datenverarbeitung als Gegen­ leistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 b) Die Erforderlichkeit sonstiger Datenverarbeitung . . . . . . . . . . . . . . . . 229 II. Die Verarbeitung zur Verwirklichung berechtigter Interessen . . . . . . . . . . . . 230 1. Interessenabwägung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 a) Das berechtigte Interesse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 b) Die Erforderlichkeit der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . 233 c) Abwägung mit den Interessen der betroffenen Person . . . . . . . . . . . . 233 d) Transparenz und Widerspruchsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . 236 2. Die Bedeutung für datenfinanzierter Angebote . . . . . . . . . . . . . . . . . . . . 237 a) Die Verarbeitung von Daten als Gegenleistung . . . . . . . . . . . . . . . . . . 237 b) Die direkte Verarbeitung und Speicherung der Daten . . . . . . . . . . . . . 238 c) Die Offenlegung der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 III. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 B. Die Einwilligung als Legitimationstatbestand . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 I. Die Grundproblematik des Einwilligungskonzepts . . . . . . . . . . . . . . . . . . . . 242 II. Die Voraussetzungen der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 1. Die Erteilung der Einwilligung durch Willensbekundung . . . . . . . . . . . . 244 a) Durch Erklärung oder sonstige bestätigende Handlung . . . . . . . . . . . 245 b) Die Nachweispflicht bei einer Erklärung . . . . . . . . . . . . . . . . . . . . . . 246 c) Sonstige eindeutige bestätigende Handlung . . . . . . . . . . . . . . . . . . . . 247 aa) Die Tauglichkeit von Opt-Out-Lösungen . . . . . . . . . . . . . . . . . . . 247 bb) Die Nachweispflicht bei bestätigenden Handlungen . . . . . . . . . . 248 d) Die Einwilligungserteilung bei datenfinanzierten Angeboten . . . . . . . 249 2. Die Bestimmtheit der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 a) Inhalt und Hintergrund der Bestimmtheit . . . . . . . . . . . . . . . . . . . . . . 250 b) Die Reichweite der Bestimmtheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 aa) Zugrundeliegende Problematik . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 bb) Folgen dieses Verständnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

14

Inhaltsverzeichnis c) Die Ausgestaltung bei datenfinanzierten Angeboten . . . . . . . . . . . . . . 254 3. Die Informiertheit und Transparenz der Einwilligung . . . . . . . . . . . . . . . 255 a) Die Möglichkeit zur Kenntnisnahme . . . . . . . . . . . . . . . . . . . . . . . . . . 256 b) Transparenzanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 c) Informiertheit und Transparenz bei datenfinanzierten Angeboten . . . 258 4. Die Freiwilligkeit der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 a) Kartellähnliche Angebotslagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 b) Die Kopplung der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 aa) Das horizontale Kopplungsverbot . . . . . . . . . . . . . . . . . . . . . . . . . 264 bb) Das vertikale Kopplungsverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 (1) Die Ablehnung eines absoluten Kopplungsverbots . . . . . . . . 266 (2) Die Reichweite des vertikalen Kopplungsverbots . . . . . . . . . 267 (3) Das verhältnismäßige Maß des Kopplungsverbots . . . . . . . . 270 cc) Das Kopplungsverbot im Austauschverhältnis Daten gegen ­Leistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 dd) Maßstäbe zum Umfang der Datenpreisgabe . . . . . . . . . . . . . . . . . 273 ee) Die Notwendigkeit von Alternativen zur gekoppelten Einwilligung 275 c) Die Freiwilligkeit bei datenfinanzierten Angeboten . . . . . . . . . . . . . . 275 5. Die Widerrufbarkeit der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 a) Inhalt und Ausübung der Widerrufsmöglichkeit . . . . . . . . . . . . . . . . . 277 b) Die Rechtsfolge des Widerrufs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 aa) Ausgangsüberlegung: Kumulation von Rechtsgrundlagen . . . . . . 279 bb) Kumulation und Wegfall von Rechtsgrundlagen . . . . . . . . . . . . . 279 cc) Die Konsequenz kumulativer Rechtsgrundlagen . . . . . . . . . . . . . 281 c) Die Widerrufbarkeit bei datenfinanzierten Angeboten . . . . . . . . . . . . 282 aa) Das Für und Wider jederzeitiger Widerrufbarkeit . . . . . . . . . . . . . 282 bb) Würdigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 cc) Folgen für datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . . 285 III. Die Einwilligung im Kontext von Datenschutzerklärungen . . . . . . . . . . . . . . 286 1. Ausgangspunkt: Art. 7 Abs. 2 DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 a) Der Regelungsrahmen von Art. 7 Abs. 2 DSGVO . . . . . . . . . . . . . . . . 288 b) Anforderungen an die Erklärung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 2. Datenschutzerklärungen als Allgemeine Geschäftsbedingungen . . . . . . . 290 a) Die Rechtslage durch Inkrafttreten der DSGVO . . . . . . . . . . . . . . . . . 291 b) Folgen für die Einwilligungserklärung . . . . . . . . . . . . . . . . . . . . . . . . 292 3. Auswirkungen auf datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . 292 a) Der Umfang der Inhaltskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 b) Die Missbrauchskontrolle der Einwilligung . . . . . . . . . . . . . . . . . . . . 294

Inhaltsverzeichnis

15

IV. Die Einwilligung bei datenfinanzierten Angeboten . . . . . . . . . . . . . . . . . . . . 295 § 7 Grenzüberschreitender Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 A. Räumlicher Anwendungsbereich der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 I. Das Sitz- und Niederlassungsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 II. Das Marktortprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 1. Der Hintergrund des Marktortprinzips . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 2. Das Angebot von Daten oder Dienstleistungen . . . . . . . . . . . . . . . . . . . . 301 3. Die Beobachtung des Verhaltens betroffener Personen . . . . . . . . . . . . . . 303 4. Vermeintliche Schutzlücken zwischen Art. 3 Abs. 1 und 2 DSGVO . . . . . 304 III. Folgen für Anbieter datenfinanzierter Angebote . . . . . . . . . . . . . . . . . . . . . . 305 B. Die Datenübermittlung in Drittländer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 I. Die Datenübermittlung nach Art. 44 ff. DSGVO . . . . . . . . . . . . . . . . . . . . . . 307 1. Angemessenheitsbeschlüsse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 a) Anforderungen an den Angemessenheitsbeschluss . . . . . . . . . . . . . . . 309 b) Erlass und Wirkung des Beschlusses . . . . . . . . . . . . . . . . . . . . . . . . . . 310 c) Die aktuelle Umsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 2. Geeignete Garantien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 a) Verbindliche interne Datenschutzvorschriften . . . . . . . . . . . . . . . . . . . 313 aa) Voraussetzungen an die BCR . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 bb) BCR im Kontext datenfinanzierter Angebote . . . . . . . . . . . . . . . . 314 b) Standarddatenschutzklauseln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 3. Ausnahmeregelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 a) Einwilligungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 b) Übermittlung für die Erfüllung eines Vertrags . . . . . . . . . . . . . . . . . . 318 4. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 II. Die Situation nach dem Schrems II-Urteil . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 1. Der Hintergrund des Verfahrens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 2. Der Inhalt des Urteils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 a) Die Unwirksamkeit des Privacy Shield-Beschlusses . . . . . . . . . . . . . . 321 b) Einschränkungen bei Standarddatenschutzklauseln . . . . . . . . . . . . . . 321 c) Übertragbarkeit auf verbindliche interne Datenschutzvorschriften . . . 323 d) Weiterhin zulässige Ausnahmeregelungen . . . . . . . . . . . . . . . . . . . . . 323 III. Folgen für datenfinanzierte Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 1. Die Erhebung, Verarbeitung und Speicherung . . . . . . . . . . . . . . . . . . . . . 325 2. Die Offenlegung innerhalb des Konzerns . . . . . . . . . . . . . . . . . . . . . . . . . 326 3. Die Offenlegung an Dritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327

16

Inhaltsverzeichnis Teil 3



Die Behandlung datenfinanzierter Angebote de lege ferenda 328

§ 8 Regulatorische Veränderungsmöglichkeiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 A. Die Problematik datenfinanzierter Angebote . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 I. Das „richtige Maß“ an Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 1. Gründe für das Privacy Paradox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 2. Regulatorische Folgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 II. Die Tiefe des Regulierungsniveaus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 1. Gründe für ein geringeres Regulierungsniveau . . . . . . . . . . . . . . . . . . . . . 333 a) Der Paternalismus im Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 aa) Die Kritik an der aktuellen Gesetzeslage . . . . . . . . . . . . . . . . . . . 334 bb) Probleme durch paternalistische Regulierung . . . . . . . . . . . . . . . . 335 cc) Die Tauglichkeit bei der Regulierung datenfinanzierter Angebote 336 b) Weitere Gründe für ein geringeres Datenschutzniveau . . . . . . . . . . . . 337 c) Die Regulierung über alternative Wege . . . . . . . . . . . . . . . . . . . . . . . . 339 aa) Wettbewerbsrechtliche Regulierung . . . . . . . . . . . . . . . . . . . . . . . 339 bb) Die Tauglichkeit zur Regulierung datenfinanzierter Angebote . . . 341 2. Gründe für ein höheres Regulierungsniveau . . . . . . . . . . . . . . . . . . . . . . . 342 a) Die Veränderung des regulatorischen Rahmens . . . . . . . . . . . . . . . . . 342 b) Die Besonderheit datenfinanzierter Angebote . . . . . . . . . . . . . . . . . . . 343 III. Der Abgleich mit den Regelungen der DSGVO . . . . . . . . . . . . . . . . . . . . . . . 344 1. Das Verbot unter Erlaubnisvorbehalt und die Erlaubnistatbestände . . . . . 345 2. Erkennbare Schwachpunkte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 B. Alternative Modelle zur Monetarisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 I. Die Umsetzung der alternativen Modelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 1. Die praktische und technische Umsetzung . . . . . . . . . . . . . . . . . . . . . . . . 349 2. Die regulatorische Umsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 II. Vorteile von Monetarisierungsmodellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 1. Die erleichterte Durchsetzung eines sinnhaften Kopplungsverbots . . . . . 352 2. Die Entschärfung der jederzeitigen Widerrufbarkeit . . . . . . . . . . . . . . . . 353 III. Offene Fragen und Nachteile solcher Modelle . . . . . . . . . . . . . . . . . . . . . . . . 354 1. Einschränkungen der unternehmerischen Freiheit . . . . . . . . . . . . . . . . . . 354 2. Die Höhe des Entgelts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 a) Der Wert der verarbeiteten Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356 b) Konsequenzen für die Höhe des Entgelts . . . . . . . . . . . . . . . . . . . . . . 357 c) Die Tauglichkeit der Umsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 IV. Würdigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359

Inhaltsverzeichnis

17

C. Verbesserte Ansätze zur Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 I. Aktuelle Transparenzregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 1. Der Grundsatz der Transparenz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 a) Informationspflichten aus Art. 13, 14 DSGVO . . . . . . . . . . . . . . . . . . 362 b) Transparenzpflichten aus Art. 12 Abs. 1 DSGVO . . . . . . . . . . . . . . . . 364 2. Die Transparenz bei einzelnen Erlaubnistatbeständen . . . . . . . . . . . . . . . 365 3. Die Transparenz bei datenfinanzierten Angeboten . . . . . . . . . . . . . . . . . . 366 II. Die Verbesserung der Transparenzmöglichkeiten . . . . . . . . . . . . . . . . . . . . . 368 1. Verarbeitungsübersichten („One-Pager“) . . . . . . . . . . . . . . . . . . . . . . . . . 368 a) Der Inhalt der One-Pager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 b) Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370 2. Die Visualisierung der Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 a) Der rechtliche Ansatzpunkt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 b) Die Bewertung der Visualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374 c) Die Umsetzbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 aa) Vergleichbare Ansätze in anderen Rechtsgebieten . . . . . . . . . . . . 376 bb) Geeignete Symbole . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 cc) Einzelne Vorschläge zu Bildsymbolen . . . . . . . . . . . . . . . . . . . . . 377 (1) Entwurfsfassung des Parlaments . . . . . . . . . . . . . . . . . . . . . . 377 (2) Ansätze von Mehldau und das Projekt PrimeLife . . . . . . . . . 379 (3) Ansatz von Specht-Riemenschneider und Bienemann . . . . . . 381 dd) Umsetzungschancen und -risiken . . . . . . . . . . . . . . . . . . . . . . . . . 382 III. Die Stärkung der Transparenz bei datenfinanzierten Angeboten . . . . . . . . . . 384 D. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385 Zusammenfassung der Arbeit in Thesen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416

Teil 1

Datenfinanzierte Angebote als Untersuchungsgegenstand § 1 Einleitung Schon im Jahr 1983 entwickelte das Bundesverfassungsgericht im Volkszählungsurteil das Recht auf informationelle Selbstbestimmung. Diese hat zur Prämisse, dass eine Person in ihrer Selbstbestimmung wesentlich gehemmt wird, wenn sie nicht mit hinreichender Sicherheit überschauen kann, wer was, wann und in welchem Zusammenhang über sie weiß.1 Dieses Risiko ist angesichts der zunehmenden Digitalisierung und den zunehmenden Analyse-Möglichkeiten von Daten über „Big Data“ aktueller denn je und die gesellschaftliche und ökonomische Bedeutung von Daten wächst rasant. Inzwischen betrifft die Gefahr – anders als damals vom Bundesverfassungs­ gericht angedacht – nicht nur das Verhältnis des Staates zum Bürger, sondern immer häufiger jenes zwischen privaten Unternehmen und Bürgern. Im Rahmen von Big Data werden immer größere Datenmengen angesammelt, mit denen sich nach ihrer Auswertung zum Teil präzise Informationen über einzelne Personen herausarbeiten lassen. Im Unterschied zu „analogen“ Geschäftsfeldern werden Daten nicht mehr nur als Nebenprodukt zu Dienstleistungen gesammelt, sondern gezielt erhoben, gespeichert, kumuliert und ggf. weitergegeben. Dem liegt zugrunde, dass aus der Sammlung, Aggregation und Verarbeitung der Daten aus verschiedensten Quellen eine Wertschöpfung für den Datenverarbeiter ermöglicht wird.2 Hierdurch entstehen ganze datengetriebene Geschäftszweige, bei denen Nutzerdaten eine monetäre Vergütung des Kunden ersetzen. Vor allem internet­basierte Programme und mobile Applikationen (Apps) verwenden häufig solche „daten­ finanzierten“ Geschäftsmodelle, bei denen Daten das Zahlungsmittel für die Bereitstellung und Nutzung der App darstellen. Die Anzahl und Bedeutung der datenfinanzierten Angebote, was den in dieser Arbeit hierfür verwendeten Terminus darstellt, nimmt immer weiter zu. Deren gesellschaftliche Relevanz lässt sich schon über die Vielzahl von vermeintlich kostenlosen Angeboten in den App-Stores der beiden größten Anbieter Google und Apple verdeutlichen. Diese reichen von Messenger- und Social Media-Angeboten über Gesundheits-, Navigations-, Fitness- und 1

BVerfGE 65, 1 (42 f.) – Volkszählung. Lammerant / De Hert, Visions of Technology, in: Gutwirth et al, Data Protection on the Move, S. 163 (164).

2

20

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

Gaming-Apps bis hin zu Smart Home Anwendungen oder (Browser-)Sicherheitssoftware. Die einfach verfügbare Bereitstellung und Vielseitigkeit datenfinanzierter Angebote schafft dem Nutzer die Möglichkeit, über die Apps vielschichtige Vorteile aus der Digitalisierung zu ziehen und eine Vielzahl von Nutzerinteressen in verschiedensten Lebensbereichen zu befriedigen. Ohne diese Vorteile marginalisieren zu wollen, liegt in der Nutzung dieser Geschäftsmodelle gleichzeitig eine Gefahr für die Selbstbestimmung der einzelnen Nutzer. Die umfangreiche Datenerhebung erlaubt technisch eine immer größere Sammlung personenbezogener Daten. Je mehr Daten erhoben werden, desto schwieriger ist es für betroffene Personen über den Inhalt ihrer preisgegebenen Daten gewahr zu sein, da jedem einzelnen Datum durch die kumulierte und unter Umständen viel spätere Verbindung mit anderen eine neue, erweiterte Aussagekraft zukommen kann.3 Deshalb rückt die Bewertung von datenfinanzierten Geschäftsmodellen immer mehr in den Fokus der Rechtswissenschaft. In Bezug auf datenfinanzierte Angebote stellt sich diese Frage im Besonderen, da diese ganz selbstverständlich im Alltag genutzt werden. Dabei erheben und übermitteln die Apps eine Vielzahl von Daten – zum Teil ohne offensichtliche Mitteilung an den Nutzer – und die Datenverarbeitung dient vielfach kommerziellen Zwecken. Seit langem wird bemängelt, dass viele Apps persönliche Nutzerinformationen ungesichert und teilweise unbemerkt für eigene Zwecke an Dritte übertragen haben.4 Diese zunehmende Datenpreisgabe führt auch zu einer weitverbreiteten Sorge um die eigene Privatheit.5 Auch mit Verabschiedung und Inkrafttreten der Datenschutz-Grundverordnung6 bleibt diese Problematik um die Nutzung personenbezogener Daten präsent, da die Geschäftsmodelle und die datenschutzrechtliche Compliance vieler App-Anbieter weiterhin Fragen aufwerfen.7

3

Boehme-Neßler, Das Ende der Anonymität, DuD 2016, 419 (420 f.). Diese Datenverwendung wird von den Nutzern auch durchaus kritisch gesehen, vgl. Engels, Datenschutzpräferenz von Jugendlichen in Deutschland, S. 12 ff. 4 Vgl. etwa bereits im Jahr 2012 Pauly, Welche Apps ihre Daten ausspähen, Stiftung Warentest v. 31. 5. 2012, abrufbar unter: www.test.de/Datenschutz-bei-Apps-Welche-Apps-IhreDaten-ausspaehen-4378643-0/. 5 82 % der Deutschen haben laut einer repräsentativen Studie durchaus Bedenken um ihre Privatheit; gleichzeitig unternehmen allerdings nur wenige Maßnahmen, um ihre Privatheit zu verteidigen, vgl. Kozyreva et al., Künstliche Intelligenz in Online-Umgebungen, S. 12. 6 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. 4. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden: „DSGVO“). 7 Baumgartner, in: Baumgartner / Ewald, Apps und Recht, Rn. 185. Anschaulich zur möglicher Datennutzung Peitz, Unsere Daten müssen wir selbst schützen, Zeit online vom 23. 5. 2018, abrufbar unter: www.zeit.de/digital/datenschutz/2018-05/dsgvo-datenschutz-nutzer-internetfacebook. Vgl. als aktuellen Fall etwa Kan, The Cost of Avast’s Free Antivirus: Companies Can Spy on Your Clicks, PC Mag v. 27. 1. 2020, abrufbar unter: www.pcmag.com/news/thecost-of-avasts-free-antivirus-companies-can-spy-on-your-clicks.

§ 1 Einleitung

21

A. Stand der Forschung Die Bedeutung von Daten nimmt wirtschaftlich und gesellschaftlich einen immer höheren Stellenwert ein. Diese Entwicklung lässt sich auch in der Rechtswissenschaft wiederfinden. Die vergleichsweise junge DSGVO wird dabei in zahlreichen wissenschaftlichen Auseinandersetzungen aus den unterschiedlichsten Blickwinkeln betrachtet. Gerade die Auswirkungen der Digitalisierung auf das Datenschutzrecht werden vielfach erörtert.8 Das Geschäftsmodell von Daten als Gegenleistung wird in der rechtswissenschaftlichen Literatur ebenfalls zunehmend zum Thema. Gerade datenfinanzierte Apps werden in der datenschutzrechtlichen Literatur immer umfangreicher analysiert. So wurde etwa die Begrifflichkeit des „datenfinanzierten Angebots“ bereits von Kugelmann verwendet.9 Dabei werden als Synonyme für Datenfinanzierung häufig auch „kostenlose Apps“, das Austauschverhältnis „Daten gegen Leistung“, die „Datenpreisgabe gegen Nutzung eines Software Dienstes“ oder „datengetriebene Geschäftsmodelle“ verwendet. Eine Beschäftigung mit der Thematik findet auch auf abstrakter Ebene in Gestalt der Fragestellung statt, ob dem aktuelle Datenschutzregime für das Sonder­ verhältnis datenfinanzierter Dienste wirksame Regulierungsmöglichkeiten innewohnen. Allen rechtswissenschaftlichen Publikationen ist dabei gemein, dass sie Teilbereiche der nachfolgenden Arbeit sehr genau untersuchen. Mit der Fokussierung auf mobile Applikationen finden sich in der rechtswissenschaftlichen Literatur etwa hauptsächlich Handbücher, die solche Apps aus verschiedensten Gesichtspunkten rechtlich bewerten.10 Zu den Folgen der Digitalisierung für die informationelle Selbstbestimmung sind ebenfalls einige Monografien erschienen, die die Privatheit zunehmender Digitalisierung behandeln.11 Auch existieren eine Vielzahl von Schriften zu den einzelnen abstrakten Teilbereichen des Datenschutzes, insbesondere zu Fragen der Freiwilligkeit der Einwilligung.12 Zur Wirkung des Datenschutzrechts auf das Privatrechtsverhältnis bildet die Habilitationsschrift Buchners13 die maßgebliche Grundlage, die konzeptionell die Entwicklung eines privatrechtlichen Datenschutzes auf Grundlage der Entscheidung der Beteiligten anhand eines privatautonomen Interessenausgleichs anstrebt. 8

Vgl. etwa Specht-Riemenschneider / Werry / Werry (Hrsg.), Datenrecht in der Digitalisierung; Körber / Immenga (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie. 9 Kugelmann, DuD 2016, 566. 10 Etwa Baumgartner / Ewald (Hrsg.), Apps und Recht; Solmecke / Taeger / Feldmann (Hrsg.), Mobile Apps. Rechtsfragen und rechtliche Rahmenbedingungen. 11 Vgl. etwa Hermstrüwer, Informationelle Selbstgefährdung; Sandfuchs, Privatheit wider Willen?. 12 Vgl. etwa Bunnenberg, Privates Datenschutzrecht. Vor allem zum Konzept der Einwilligung finden sich zahlreiche weitere Monografien, u. a. Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität; Rogosch, Die Einwilligung im Datenschutzecht. 13 Buchner, Informationelle Selbstbestimmung im Privatrecht.

22

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

Auch speziell „Daten als Gegenleistung“ wurden bereits monografisch durch Langhanke14 untersucht. Dabei lag der Fokus jedoch jeweils auf der zivilrechtlichen Einordnung und das Datenschutzrecht wurde weitestgehend hinsichtlich der Wirkung der datenschutzrechtlichen Einwilligung auf dieses zivilrechtliche Verhältnis untersucht. Sicherlich wird diese Zahl der Publikationen aufgrund des noch nicht lange zurückliegenden Erlasses der DSGVO, der weiter wachsenden Bedeutung datenfinanzierter Geschäftsmodelle und der zunehmenden Sensibilisierung für das Austauschverhältnis Daten gegen Leistung weiter zunehmen. Zum Zeitpunkt der wesentlichen Fertigstellung dieser Arbeit stehen monografische Schriften zu datenfinanzierten Angeboten oder abstrakt der zur Bewertung von Daten als Gegenleistung aus datenschutzrechtlicher Sicht allerdings noch aus. Auch wird der (eher praktische) Bezug zwischen Datenfinanzierung und mobilen Applikationen in Kommentaren und Handbüchern zwar immer wieder angedeutet oder punktuell untersucht.15 Es ist jedoch bisher noch keine umfangreiche datenschutzrechtliche Analyse aus verschiedenen Blickwinkeln vollzogen worden, wie sich datenfinanzierte Angebote (oder vergleichbare Geschäftsmodelle) in das datenschutzrechtliche Regime einfügen.16 Diese Gründe schaffen aus Sicht des Verfassers genügend Raum und Bedarf für die Erstellung einer monografischen Schrift zu diesem Thema.

B. Zielsetzung dieser Arbeit Die Leitfrage der vorliegenden Arbeit ist also: Wie lassen sich datenfinanzierte Geschäftsmodelle mit dem aktuellen Datenschutzregime vereinbaren? Nach der Aufschlüsselung datenfinanzierter Angebote untersucht diese Arbeit die dortige Datenverarbeitung dementsprechend aus verschiedenen datenschutzrechtlichen Gesichtspunkten. Anhand der Analyse sollen Aussagen zur generellen und punktuellen Vereinbarkeit solcher datenfinanzierten Angebote mit dem aktuellen Datenschutzregime getroffen werden. Über die Erkenntnisse aus dieser Ausgangsfrage lässt sich als zweite grundlegende Frage beantworten, mit welchen regulatorischen Lösungsansätzen die Situation für Nutzer sowie Anbieter von datenfinanzierten Angeboten (bzw. beim Geschäftsmodell Daten gegen Leistung im Allgemeinen) verbessert werden kann. Solche regulatorischen Ergänzungen müssten sowohl die 14

Langhanke, Daten als Leistung. Vgl. etwa Dieckhoff, Datenschutz und Smartphone-Nutzung im Konflikt. 16 Diese Arbeit wurde im Mai 2021 eingereicht. Die danach verfügbaren monografischen Schriften von Bender, Die Freiwilligekti der datenschutzrechtlichen Einwilligung bei unentgeltlichen Dienstleistungen im Internet sowie Walker, Die Kosten kostenloser Dienste: Personenbezogene Daten als neues Zahlungsmittel konnten jedoch im Anschluss noch berücksichtigt werden. Im Übrigen wurden auch die Veränderungen durch das Inkrafttreten des TTDSG berücksichtigt. 15

§ 1 Einleitung

23

kommerziellen Interessen der Anbieter wie auch die datenschutzrechtlichen Bedenken der Nutzer berücksichtigen. Im Einzelnen soll mit dieser Arbeit der Fokus auf die Verarbeitung von Daten innerhalb datenfinanzierter Angebote gelegt werden, die sich je nach App und je nach Verarbeitungssituation durchaus unterscheiden kann. So kann beantwortet werden, wie weit und wofür es den Anbietern datenfinanzierter Angebote rechtlich möglich ist, die Nutzerdaten zu verwenden. Dies hat unter Berücksichtigung der sich hieraus ergebenden datenschutzrechtlichen Gefahren für die Nutzer zu erfolgen, denen sich unterschiedliche Aspekte des aktuellen Datenschutzregimes an unterschiedlicher Stelle und mit unterschiedlicher Intensität widmen. Durch diese Untersuchung wird die vorliegende Arbeit aufzeigen, dass die grundsätzliche Vereinbarkeit der Datenverarbeitung maßgeblich von deren Komplexität und der Offenlegung gegenüber Dritten abhängt. Je komplexer sich die Verarbeitung gestaltet und je mehr Stellen Zugriff auf die Daten haben, desto schwieriger lässt sich die Verarbeitung mit datenschutzrechtlichen Grundsätzen vereinbaren und über Erlaubnistatbestände rechtfertigen. Dabei treten insbesondere Probleme bei der hinreichenden Transparenz der Verarbeitung und einer tatsächlichen Freiwilligkeit der Datenpreisgabe auf. Hinsichtlich dieser herausgearbeiteten Problemstellung wird die Arbeit Vorschläge für regulative Verbesserungsmöglichkeiten liefern. Demgegenüber legt diese Untersuchung keinen Fokus auf die „Datensicherheit“ als technische Sicherung der Daten, die die Daten vor einer widerrechtlichen – oft strafbaren – Auslesung durch Dritte schützt.17 Dementsprechend wird in dieser Arbeit nicht darauf eingegangen, wie App-Anbieter die Nutzerdaten schützen müssen, damit diese nicht Opfer von Hacking, Fishing oder ähnlichen Vorgängen werden – auch wenn die Häufigkeit solcher „Datenschutzskandale“ immer wieder prominent in die Öffentlichkeit gerät. Die Arbeit beachtet hingegen die Vorgaben, die sich dem App-Anbieter selbst zur Verarbeitung der Nutzer Daten stellen und wann es dem Anbieter unter Umständen möglich ist, die Daten an Dritte offenzulegen.

C. Gang der Untersuchung Im Anschluss an diese Einleitung soll in Teil 1 als Ausgangspunkt dieser Arbeit das datenfinanzierte Angebot näher erörtert werden. Dazu bedarf es zunächst einer Betrachtung des häufig als Buzzword gebrauchten Begriffs Big Data, der den Ursprung für viele der bei datenfinanzierten Angeboten entscheidenden Datenverarbeitungen liefert. Im Anschluss wird der Begriff des datenfinanzierten Angebots von anderen digitalen Angeboten abgegrenzt, der Inhalt dieses Oberbegriffs 17 Zur Etablierung des Begriffs der Datensicherheit durch das Bundesverfassungsgericht vgl. BVerfGE 125, 260 (325 ff.) – Vorratsdatenspeicherung.

24

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

definiert und der Versuch einer praxistauglichen Kategorisierung unternommen. Auch bedarf es der Erläuterung, wie sich Daten über das Geschäftsmodell Daten gegen Leistung überhaupt monetarisieren lassen und ob datenfinanzierte Angebote auch in anderem Kontext rechtliche Beachtung finden. Nach dieser sachbereichsbezogenen Untersuchung beginnt Teil 2 in Kapitel § 3 mit der Betrachtung der allgemeinen rechtlichen Bewertung datenfinanzierter Angebote, bevor in den Folgekapiteln auf die datenschutzrechtlichen Besonderheiten eingegangen wird. Dabei ist der selbstbestimmte Umgang mit den eigenen Daten verfassungsrechtlich durch das nationale Recht auf informationelle Selbstbestimmung sowie das europäische Datenschutzgrundrechte (Art. 8 GRCh) geschützt. Will man eine fundierte datenschutzrechtliche Bewertung datenfinanzierter Angebote leisten, muss man sich hierfür mit diesen Grundzügen des Datenschutzes auseinandersetzen. Kapitel § 4 betrachtet daher die grund- und primärrechtlichen Säulen des Datenschutzes und deren Stellenwert im Verhältnis zu konkurrierenden Grundrechten. Sekundärrechtlich bzw. einfachgesetzlich wird dieser Schutz durch die DSGVO ausgestaltet. Daneben werden die nationalen einfachgesetzlichen Umsetzungen zum Datenschutz betrachtet und die Gesetzeskonkurrenz zur DSGVO abgesteckt. Der Stellenwert der europäischen und nationalen Grundrechte wird zum Abschluss des Kapitels zueinander ins Verhältnis gesetzt und die Grundrechte werden auf ihre aktuelle Bedeutung untersucht. Anhand dieser abstrakten Grundlage kann in Kapitel § 5 die Vereinbarkeit der unterschiedlichen Datenverarbeitungsprozesse von datenfinanzierten Angeboten unter dem aktuellen Datenschutzregime untersucht werden. Hierzu ist zunächst über den sachlichen Anwendungsbereich der DSGVO in den Blick zu nehmen, ob alle Datenverarbeitungen in datenfinanzierten Angeboten dem Datenschutzrecht unterfallen. Es wird insbesondere die Anonymisierung und Pseudonymisierung von Daten untersucht, die jeweils zum Ausschluss der datenschutzrechtlichen Vorgaben führen können (§ 5 A.). Die Untersuchung wird mit der Darstellung der Grundsätze des Datenschutzrechts fortgesetzt, die grundlegende, allgemeine Anforderungen an die Datenverarbeitung stellen (§ 5 B.). Hierzu gehören unter anderem die Gebote der Transparenz, der Zweckbindung sowie der Datenminimierung. Unter Zugrundelegung dieser Grundsätze können bereits problematische Verarbeitungsprozesse bei datenfinanzierten Angeboten herausgestellt werden und erste Anhaltspunkte für die datenschutzrechtliche Zulässigkeit solcher Geschäftsmodelle gewonnen werden. Wann und unter welchen Voraussetzungen eine Datenverarbeitung im Einzelfall möglich ist, entscheidet sich anhand der Erlaubnistatbestände zur Datenverarbeitung der DSGVO. In Kapitel § 6 wird die Einwilligung, als der populärste der Erlaubnistatbestände, von den anderen Möglichkeiten zur Verarbeitung abgegrenzt. Anhand dieser Abgrenzung kann analysiert werden, mit welcher Rechtsgrundlage sich welche Art der Datenverarbeitung bei datenfinanzierten Angeboten rechtfertigen lässt. Auch kann eine Aussage über deren jeweilige Tauglichkeit der Tatbestände in den verschiedenen Verarbeitungssituationen getroffen werden.

§ 2 Die Relevanz datenfinanzierter Angebote

25

Viele datenfinanzierte Angebote werden als digitale Apps weltweit vertrieben. Das abschließende Kapitel von Teil 2 befasst sich dementsprechend mit dem internationalen Datentransfer und dessen Ausgestaltung im Datenschutzrecht (§ 7). Darin wird erörtert, welche Anbieter von datenfinanzierten Angeboten in den räumlichen Anwendungsbereich der DSGVO fallen. Insbesondere ist das in der DSGVO neu eingeführte Marktortprinzip zu beachten. Das Kapitel untersucht ferner, ob eine Datenübermittlung auch dann zulässig ist, wenn der Empfänger (in einem Drittland) den Regelungen der DSGVO nicht unterliegt. In Teil 3 werden die Ergebnisse der datenschutzrechtlichen Analyse aufgezeigt und weiterhin bestehenden Problematiken erörtert. Auch werden potentielle Ansätze entwickelt, die den Datenschutz de lege ferenda aus regulierungsrechtlicher Sicht verbessern können. Diese regulatorischen Ergänzungen sollen einerseits die kommerziellen sowie gesellschaftlichen Interessen hinter der Nutzung von datenfinanzierten Angeboten sichern, andererseits den Datenschutz und die Selbst­ bestimmung der Nutzer wahren oder sogar weiter verbessern. Im Einzelnen werden dabei die regulatorische Verpflichtung zur Bereitstellung alternativer, zahlungspflichtiger Geschäftsmodelle (§ 8 B.) sowie mögliche Verbesserungen der Transparenz-Vorgaben (§ 8 C.) in Augenschein genommen.

§ 2 Die Relevanz datenfinanzierter Angebote Die zunehmende Digitalisierung18, die wachsende Datenwirtschaft und vor allem „Big Data“ versprechen neuartige Umgangsmöglichkeiten mit Daten und die Etablierung von Geschäftsmodellen, durch die Daten einen immer bedeutsameren Wirtschaftsfaktor darstellen können. Die Bedeutung von Daten als Wirtschaftsfaktor materialisiert sich vor allem bei vollständig datenfinanzierten Geschäftsmodellen. Deren Erwerb bedarf keiner monetären Gegenleistung, sondern deren „Preis“ liegt in der Preisgabe von Nutzerdaten. Gerade auf mobilen Geräten verwenden viele Nutzer zahlreiche Apps, die entgeltfrei angeboten werden und somit vermeintlich nichts kosten. So handelt es sich bei einem Großteil der derzeit etwa drei Millionen verfügbaren Apps im Google Play Store19 um entgeltfrei angebotene.20 In diesem Kapitel soll unter Berücksichtigung der technischen Entwicklung dargestellt werden, warum solche datenfinanzierten Angebote einen wissenschaftlich 18

Die Digitalisierung wird auch durch Schlagwörter wie technologischer Wandel, Industrie 4.0, Datenwirtschaft beschrieben, die der zunehmenden Bedeutung der Digitalisierung und von Daten Ausdruck verleihen. Diese Schlagwörter gewähren jedoch keinen sofort erkennbaren, vertieften Einblick in die zugrundeliegenden technischen Vorgänge hinter diesen Entwicklungen oder gar in die wirtschaftlichen Hintergründe, so dass sie für die vorliegende Arbeit keine vertiefte Bedeutung aufweisen. 19 Vgl. de.statista.com/statistik/daten/studie/74368/umfrage/anzahl-der-verfuegbaren-appsim-google-play-store/. 20 Vgl. de.androlib.com/appstats.aspx.

26

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

abgrenzbaren Begriff darstellen, der einer näheren Untersuchung bedarf. Auch sollen bereits die wirtschaftlichen, rechtlichen und die bei der Nutzung auftretenden Besonderheiten erörtert werden, die datenfinanzierte Angebote gerade im Verhältnis zum Datenschutzrecht vor enorme Widersprüche stellen. Insbesondere auf die Folgen der (vermeintlichen) Kostenfreiheit solcher Angebote soll näher eingegangen werden. Zum besseren Verständnis datenfinanzierter Angebote soll im ersten Unterkapitel (A.) zunächst der Begriff Big Data näher eingegrenzt werden, der vielfach die technische und wirtschaftliche Grundlage für solche Angebote bildet. Hierbei sollen auch in gebotener Kürze die rechtlichen Implikationen dieses Schlagworts dargelegt werden. Darauf aufbauend werden im umfangreicheren zweiten Unterkapitel (B.) datenfinanzierte Angebote als Untersuchungsgegenstand dieser Arbeit dargestellt, definiert und von anderen digitalen Angeboten abgegrenzt. Auch findet eine Systematisierung verschiedener datenfinanzierter Angebote statt, um anhand dieser Einordnung Fallbeispiele zum Datenumgang bilden zu können. Diese Beispiele werden innerhalb der folgenden Analyse der Arbeit auf ihre Vereinbarkeit mit dem bestehenden Datenschutzregime untersucht.

A. Big Data als Grundlage für datenfinanzierte Angebote Vor einer Auseinandersetzung mit der „neuen“ Nutzungsmöglichkeiten, die Daten zu einem Wirtschaftsgut transformiert, ist als nicht trivialer Ausgangspunkt zu klären, was Daten überhaupt sind. Denn es besteht keine allgemeingültige Definition für „Daten“. Nach allgemeinem Wortverständnis des Duden beschreiben Daten die durch Beobachtungen, Messungen, statistische Erhebungen und ähn­ liches gewonnenen Zahlenwerte sowie auf Beobachtungen, Messungen, statis­ tischen Erhebungen beruhende Angaben und formulierbare Befunde.21 Im Kontext der Informatik und (digitalen) Datenverarbeitung zentriert sich die Definition auf eine wieder interpretierbare Darstellung von Informationen in formalisierter Art, geeignet zur Kommunikation, Interpretation oder Verarbeitung.22 Bei Daten handelt es sich im digitalen Kontext danach um codierte, maschinenlesbare Informationen, die in Zeichenform bestehen und durch Informationstechniken verarbeitet und ausgelesen werden können (syntaktische Ebene).23 Aus datenschutzrechtlichem Blickwinkel werden Daten demgegenüber in personenbezogene, die Informationen über natürliche Personen enthalten, und nicht-personenbezogene unterteilt, denen dementsprechend keine Informationen über Personen innewohnen. Jedenfalls steckt im Begriff des Datums insoweit noch keine quali 21

„Daten“ auf Duden online, abrufbar unter: www.duden.de/node/30506/revision/30535. ISO / I EC 2382:2015 (Information technology – Vocabulary). 23 Gumm / Sommer, Einführung in die Informatik, S. 34 f. Zur leicht abweichenden Bedeutung im Datenschutzrecht vgl. § 4 B. I. 1. a). 22

§ 2 Die Relevanz datenfinanzierter Angebote

27

tative Ebene, die etwas über den Inhalt – und damit auch über die Richtigkeit und potentielle Werthaftigkeit – des Datums aussagt. Die fortschreitende Digitalisierung hat dazu geführt, dass in beinahe allen Lebensbereichen Informationen gesammelt werden und digital zur Verfügung stehen.24 Die dahinterstehenden technischen Entwicklungen sowie die schiere Masse an gesammelten Daten werden unter dem Begriff Big Data zusammengefasst, der zunehmend in den gesellschaftlichen, wissenschaftlichen und auch rechtswissenschaftlichen Fokus geraten ist. Denn bei Big Data übertrifft der Bedeutungsgehalt von Daten deren bisherige Nutzungsmöglichkeit. I. Was bedeutet „Big Data“? Der Begriff Big Data ist in den letzten Jahren zu einem populären Buzzword geworden, das als Sammelbegriff oder Synonym für den digitalen und technologischen Wandel sowie gleichzeitig für die sozialen und gesellschaftlichen Veränderungen durch digitale Kommunikation verwendet wird.25 Big Data ist keine vollkommen neue Entwicklung, sondern hat sich aus bestehenden Instrumenten weiterentwickelt, mit denen eine besseren Auswertung eigener Datenbestände oder erhobener Statistiken hinsichtlich ökonomischer, soziodemografischer oder sonstiger Zwecke ermöglicht wird.26 Dementsprechend besteht auch keine allgemeingültige Definition von Big Data; es stellt vielmehr einen Sammelbegriff dar, der je nach Zusammenhang und Verwendung eine Vielzahl von Vorgängen beschreiben kann. Nach der  – auch wissenschaftlich vielfach herangezogenen  – Definition des Branchenverbands BITKOM wird unter Big Data eine Ansammlung möglichst vieler (stark) unterschiedlicher Daten verstanden, die aus einer großen Anzahl von Quellen stammen und in bisher unbekanntem Umfang zur Verfügung stehen.27 Solche Daten können mit unterschiedlichen Analyse-Algorithmen verarbeitet werden, um aus der schieren Menge an miteinander verbundenen Daten neue Bedeutungen, Zusammenhänge und Muster zu erkennen. Allen Big Data-Vorgängen ist dabei gemein, dass die Ergebnisse mit größeren Mengen an analysierten Daten immer besser werden. Deshalb möchte, dem Grundgedanken von Big Data folgend, jeder Datenverarbeiter zur Nutzenmaximierung „seine“ Daten möglichst lange aufbewahren und mit möglichst vielen anderen Daten anreichern.28

24

Dewenter / Lüth, in: Körber / Immenga, Daten und Wettbewerb in der digitalen Ökonomie, S. 9 (10). 25 Reichert, in: Reichert, Big Data, S. 9 (9). 26 Weichert, ZD 2013, 251 (252). 27 BITKOM, Big Data im Praxiseinsatz, S. 7. 28 Zum allgemeinen Verständnis von Big Data vertiefend BITKOM, Big Data im Praxiseinsatz, S. 7, 19.

28

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

Neben dieser eher auf den ablaufenden Verarbeitungs-Prozess fokussierten Betrachtung wird der Begriff Big Data für unterschiedliche digitale Technologien verwendet, die im Rahmen der technischen Entwicklung für eine neue Ära digitaler Kommunikation und Verarbeitung stehen und gleichzeitig für einen gesellschaftlichen Umbruch verantwortlich gemacht werden (Stichwort: digitale Revolution).29 Gleichzeitig – und nicht ganz trennscharf – werden zum Teil auch klassische Verarbeitungsverfahren für Daten, wie Profiling, Scoring oder Data Mining, unter den Sammelbegriff Big Data gemischt, solange die Verfahren nur auf einer ausreichend großen Datenbasis durchgeführt werden. Durch diese mehrseitigen Ansatzpunkte ist Big Data für viele verschiedene Branchen bedeutsam, wie etwa in Bereichen der Marktforschung, in der Werbung, bei Serviceleistungen, Verwaltung, ferner in Bereichen der Medizin oder der Sicherheits- und Nachrichtendienste.30 Auch aus wissenschaftlichem Blickwinkel ergeben sich je nach Wissenschaftssparte verschiedene Fokussierungen auf die Thematik, welche nachfolgend kurz angerissen werden sollen. 1. Technische Betrachtung Obwohl es auch aus technischer Sicht keine allgemein anerkannte Definition von Big Data gibt, wird mit dem Begriff in der Regel ein exponentielles Wachstum und die Verfügbarkeit einer Vielzahl verschiedener Daten beschrieben. Dieses Verständnis leitet sich anhand von drei bzw. vier Parametern ab: So wird mit der Menge an Daten („volume“), der Durchlaufgeschwindigkeit der Daten („velocity“) und der Vielfalt verschiedener Datentypen („variety“) das Vorliegen von Big Data beschrieben. Danach zeichnet sich Big Data durch eine weiter zunehmende Menge von Daten, eine immer höhere Geschwindigkeit der Datengenerierung sowie eine Vielfalt verschiedener Datentypen durch eine Vielzahl von Quellen aus. Dabei wird es – als vierter Parameter – immer schwieriger, die Daten auf ihre Relevanz, Korrektheit und Richtigkeit („veracity“) zu prüfen. Diese vier Parameter bilden ein technisches Verständnis, nach welchem Big Data die Flut an neu generierten Daten, nicht jedoch den Sinn und Zweck der Speicherung und Verarbeitung beschreibt. Die gesammelten Daten sind zum Zeitpunkt der Sammlung zunächst unstrukturiert und unverarbeitet (sog. „grey data“), wodurch sich Big Data von der „konventionellen“ Datensammlung von Datenbanken und Datenanalysen unterscheidet.31 29

Reichert, in: Reichert, Big Data, S. 9 (9). Zu Nutzungsmöglichkeiten von Big Data in der Wirtschaft Buhl / Röglinger / Moser / Heide­ mann, in: Schmidt-Kessel / Langhanke, Datenschutz als Verbraucherschutz, S. 37 (43 ff.). 31 Zur gesamten technischen Definition Simo, in: Richter, Privatheit, Öffentlichkeit und demokratische Willensbildung in Zeiten von Big Data, S. 13 (14 f.) m. w. N. Ähnlich Dewenter /  Lüth, ABIDA – Datenhandel und Plattformen, S. 9 f.; Gonzáles Fuster / Scherrer, Big Data and smart devices and their impact on privacy, S. 10 f. Zum Teil wird als fünfter Parameter für die Definition von Big Data zusätzlich noch die „Analyse“ zum Erkennen neuer Muster ergänzt, vgl. BITKOM, Big Data und Geschäftsmodell-Innovationen in der Praxis, S. 13 f. 30

§ 2 Die Relevanz datenfinanzierter Angebote

29

Erst in einem weiteren Schritt wird es im Rahmen von Big Data-Analysen mit Techniken zur Datenextraktion (Data Mining) sowie durch komplexe Algorithmen möglich, aus diesen unverarbeiteten Daten nützliche Informationen, Entwicklungsmuster und Korrelationen herauszulesen. Insoweit ermöglichen erst die neuen Entwicklungen im digitalen Sektor, wie z. B. die Cloud-Technologie, sowie der rapide Anstieg des Datenvolumens, unter anderem durch Sensordaten und die neuen digitalen Kommunikations-Kanäle, das Phänomen Big Data an sich.32 Dies eröffnet den Umgang mit einer riesigen Menge an Daten in bedeutend schnellerer und effektiver Weise. Der alleinige Rückgriff auf dieses technische Verständnis und die zugrundeliegenden Technologien greift bei der oben beschriebenen Mehrseitigkeit von Big Data allerdings lediglich den Umgang mit den Daten auf und beschreibt eben nicht die spätere Nutzung von Big Data. Somit ist für die rechtswissenschaftliche Betrachtung ein alleiniges technisches Verständnis von Big Data unzureichend. 2. Ökonomische Betrachtung Ökonomisch betrachtet rekurriert das Verständnis von Big Data auf die mögliche Nutzung der Daten, ermöglicht doch erst die Datenanalyse eine qualitative Veränderung der Verwendungsmöglichkeiten von Daten. Hierdurch können eine Vielzahl von strukturierten und unstrukturierten Daten miteinander in Verbindung gesetzt und auf neue Art und Weise ausgewertet werden. Aus dieser Datensammlung und -analyse entwickelt sich neues Wissen, mithilfe dessen eine wirtschaftlich sinnvolle Gewinnung und Nutzung für entscheidungsrelevante Erkenntnisse ermöglicht und neue Geschäftsmöglichkeiten und Kapital erwirtschaftet werden können.33 Eines der zentralen Elemente dieser Wertschöpfungskette ist die Interoperabilität der Daten, wodurch die vorhandenen Datensätze verbunden und zusammen analysiert werden können.34 Die Interoperabilität ist dabei nicht nur technisch zu verstehen, sondern beinhaltet auch organisatorische und rechtliche Teile.35 Von der Datenanalyse insgesamt verspricht man sich aus praktischer wirtschaftlicher Sicht, dass die Entwicklung effektiver Big Data-Technologien positiv auf die vermehrt datengestützten Geschäftszweige und Geschäftsmodelle wirkt und dabei zu erhöhter Produktivität und Wachstum führt, wodurch (bestenfalls) das gesamte ökonomische Wachstum maximiert sowie Profit und Arbeitsplätze geschaffen werden können.36 Dieser rein 32

BITKOM, Big Data im Praxiseinsatz, S. 8. BITKOM, Big Data und Geschäftsmodell-Innovationen in der Praxis, S. 13. 34 Zum Ganzen Lammerant / De Hert, in: Gutwirth et al., Data Protection on the Move, S. 163 (165 f.). 35 Vertiefend zur Interoperabilität Europäische Kommission, Mitteilung: Interoperabilisierung europäischer öffentlicher Dienste, COM(2010) 744 final. 36 Weichert, ZD 2013, 251 (253). 33

30

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

wirtschaftliche Ansatzpunkt lässt sich nicht vollends auf die rechtliche Wertung von Big Data übertragen. Ganz im Gegenteil: aus rein wirtschaftlicher Sicht wäre es wohl erstrebenswert jedweden Handel mit Daten freizugeben, um so das wirtschaftliche Wachstum zu maximieren. Eine rechtliche Betrachtung muss hingegen auch eine Abgrenzung zu anderen, nicht wirtschaftlichen Interessen herstellen. 3. Ansätze einer sozialwissenschaftlichen Betrachtung Aus sozialwissenschaftlicher Sicht erschließt sich die Bedeutung von Big Data ebenfalls nicht aus der Menge der gewonnenen Daten, sondern vielmehr aus der Bedeutung der Daten zueinander. Nach der Sammlung und Aggregation der Daten ergibt sich der Wert von Big Data aus den Schlüssen, die sich aus der Verbindung der Daten miteinander eröffnen. Damit lassen sich Rückschlüsse auf das Verhalten eines Individuums in Verbindung zu anderen, zu Gruppen von Personen sowie zur Struktur der Informationen an sich ziehen.37 Sozialtheoretisch liegt die Bedeutung von Big Data darin, dass eine enorme Menge an permanent erzeugten Daten vorliegt, diese Daten Spuren von individuellen Aktivitäten, Interaktionen und Verhalten darstellen und ferner die Daten aus unterschiedlichen Kontexten gewonnen werden, aber durch technische Verfahren miteinander bezogen werden können.38 Sozialwissenschaftlich ergibt sich also erst aus der Daten-Analyse als zweiter Schritt von Big Data ein möglicher Erkenntnisgewinn, welcher individuelles und gruppenbezogenes Verhalten von Personen zu erklären versucht. Im Rahmen einer rechtlichen Betrachtung ist jedoch wiederum nicht allein der Erkenntnisgewinn aus den Daten entscheidend, sondern es kommt vornehmlich auch auf die Chancen und Risiken einer solchen Datennutzung an. II. Big Data im rechtswissenschaftlichen Kontext Für die Bewertung von Big Data im rechtswissenschaftlichen Kontext greifen diese vielfältigen Ansätze für sich genommen daher allesamt zu kurz, betrachten sie das Phänomen doch jeweils aus sehr spezifischen Richtungen. Zur Beschreibung und Definition von Big Data erscheint daher eine Konzentration auf eine rechtliche bzw. rechtswissenschaftliche Betrachtung notwendig, um für die weitere Untersuchung einen einheitlichen Ansatzpunkt zu gewinnen. Nur anhand eines tauglichen rechtlichen Ansatzpunktes kann eine Überlegung über eine taugliche (mögliche) Regulierung von Big Data-Prozessen getroffen werden. So kann mithilfe eines klar umrissenen rechtlichen Begriffsverständnisses eine weitere rechtliche Bewertung erleichtert werden. 37

Boyd / Crawford, Six Provocations for Big Data, S. 1 f. Ochs, in: Richter, Privatheit, Öffentlichkeit und demokratische Willensbildung in Zeiten von Big Data, S. 169 (175). 38

§ 2 Die Relevanz datenfinanzierter Angebote

31

1. Ansätze zur Klassifizierung in der Literatur Die Bedeutung von Big Data in der Rechtswissenschaft wird in der Literatur immer wieder betont.39 Sie ergibt sich daraus, dass die Zusammenfügung großer Mengen unterschiedlicher Daten, neuer Verarbeitungs- und Einsatzmethoden vielfach auf einem tieferen Verständnis des Verhaltens von Personen aufbauen, weshalb der Umgang mit den Daten neue Herausforderungen schafft.40 Insoweit deckt sich dieser Hintergrund mit der sozialwissenschaftlichen und ökonomischen Betrachtung von Big Data. Hinter dem Sammelbegriff Big Data stehen eine Vielzahl von verschiedenen Verarbeitungsschritten der Daten, was insoweit an die tech­nische Betrachtung von Big Data anschließt. Diese sind hinsichtlich ihrer rechtlichen Relevanz jeweils gesondert zu betrachten; am Anfang der Verarbeitung steht die Erhebung der Daten, gefolgt von Speicherung, Verarbeitung sowie Übertragung der Daten, die sich wiederum in Zugänglichkeit, Personenbezug und Inhalt unterscheiden und insoweit gesondert zu bewerten sind.41 Aufgrund der Komplexität dieser Vorgänge und dem nicht klar abgrenzbaren Verständnis des Begriffs ergibt sich daraus eine rechtliche Gemengelage, in die verschiedenste Rechtsgebiete hineinspielen, und die durch unterschiedliche Gefährdungsszenarien verschiedene staatliche Regulierungsansätze notwendig macht.42 Hierzu gehören etwa das Privatrecht (insbesondere das Verbraucherrecht) durch die ausufernde Sammlung von Daten beim Vertragspartner oder Verbraucher, das Wettbewerbsrecht durch die mögliche unlautere Nutzung der Datensätze sowie das Datenschutzrecht durch die große Allokation möglicherweise personenbezogener Datensätze.43 Zur Auflösung dieser Gemengelage betrachtet Roßnagel bei der rechtlichen Einordnung von Big Data vertieft die jeweilige Zielsetzung der Nutzung von Big Data-­ Technologien und den Wert, der Daten dabei zukommt, anstatt die einzelnen technischen Schritte als Maßstab zu verwenden. So unterscheidet er bei Big DataAnalysen zwischen der Makro- und der Mikro-Ebene:44 Auf der Makro-Ebene geht es um die Erkennung statistischer Korrelationen, mit denen Phänomene und zukünftige Ereignisse vorhergesagt und möglicherweise sogar beeinflusst werden können. Hierbei wird nicht das einzelne Individuum, sondern vielmehr die abs 39

Vgl. etwa Paal / Hennemann, NJW 2017, 1697 (1697); Roßnagel, ZD 2013, 562 (563); ders., DuD 2016, 561 (563); Schulz, in: Gola, DSGVO, Art. 6 Rn. 254 ff.; Steinebach / Krempel /  Jung / Hoffmann, DuD 2016, 440 (441); Weichert, ZD 2013, 251 (255). 40 Steinebach / Krempel / Jung / Hoffmann, DuD 2016, 440 (441). 41 Weichert, ZD 2013, 251 (255). 42 Paal / Hennemann, NJW 2017, 1697 (1697). 43 Vgl. hierzu etwa vertiefend Autorité concurrence / Bundeskartellamt, Algorithms and Competition; Bundeskartellamt, Fallbericht v. 15. 2. 2019, Facebook. 44 Zum Folgenden Roßnagel, ZD 2013, 562 (563); ders., DuD 2016, 561 (563). Schulz, in: Gola, DSGVO, Art. 6 Rn. 256 ff. verweist auf eine vergleichbare Unterscheidung, wobei er verschiede Big Data-Prozesse in drei verschiedene Arten einteilt.

32

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

trakte soziale Position und Rolle erfasst, um daraus allgemeingültige Aussagen zu gewinnen, z. B. über generelle Gesundheits- oder Kriminalitätsgefährdungen. Auf Mikro-Ebene geht es darum, bestimme, vorher unbekannte Eigenschaften von konkreten Personen erkennen, bewerten und so präzise Persönlichkeitsprofile erstellen zu können, z. B. welche Art von Werbung passend ist oder wie es um die Kreditwürdigkeit einer Person steht. 2. Rechtliche Einordung von Big Data Allen rechtlichen Beschreibungen und Bewertungen von Big Data ist gemein, dass sie selbst keine „eigene“ Definition aufstellen, sondern je nach Zielrichtung am allgemeinen, ökonomischen, sozialwissenschaftlichen oder technische Begriffsverständnis ansetzen, wobei hauptsächlich auf die Nutzung von Big Data und weniger auf die technischen Voraussetzungen rekurriert wird. Dies liegt auch daran, dass sowohl nationaler als auch europäischer Gesetzgeber, etwa in der Datenschutz-Grundverordnung, Big Data mit keinem Wort erwähnen, so dass sich kein eindeutiges rechtliches Verständnis des Begriffs ergibt. Bei Big Data handelt es sich mithin um keinen Rechtsbegriff. Vielmehr beschreibt dieser in verschiedenen Gebieten unterschiedlich verwendete Terminus eine bestimmte Art der Datensammlung und -verarbeitung sowie gleichzeitig eine bestimmte Art des Datenumgangs. Deshalb erscheint eine gekünstelte Schaffung eines Rechtsbegriffs von Big Data weder sinnvoll noch notwendig, so dass für die weitere Arbeit das oben beschriebene, allgemein anerkannte Begriffsverständnis von BITKOM als Grundlage dient. Daran anknüpfend umfasst Big Data eine Vielzahl unterschiedlicher Daten, unter anderem personen- und nicht-personenbezogene Daten, spezielle Informationen und rohe Datensätze, und die sich hieraus ergebenen verschiedensten digitalen Technologie- und Geschäftsarten können unterschiedlich bewertet werden. Bei der rechtswissenschaftlichen Betrachtung ergeben sich daraus diverse rechtliche Einzelprobleme vor allem im Bereich des Datenschutzes, auf die im Rahmen dieser Arbeit einzugehen sein wird – jedenfalls sofern sich diese Probleme auf die spezifische Thematik dieser Arbeit auswirken. Darauf aufbauend schafft das Abstellen auf die einzelnen Verarbeitungsschritte bei den mehrschrittigen Big Data-Prozessen einen guten Indikator, welche Vorgänge rechtlich zu untersuchen sind – was sich wiederum auch auf die Betrachtung des folgenden Teilbereichs zu datenfinanzierten Angeboten übertragen lässt. Auch die von Roßnagel angesprochene Einteilung in Mikro- und Makro-Ebene bei Big Data-Prozessen erscheint sachgerecht, um anhand der Verwertung der Daten eine möglicherweise unterschiedliche datenschutzrechtliche Relevanz festzumachen, worauf folgend noch näher einzugehen sein wird.

§ 2 Die Relevanz datenfinanzierter Angebote

33

B. Datenfinanzierte Angebote Die vielfältigen Betrachtungsmöglichkeiten von Big Data-Analysen und Prozessen unterstreichen die Bedeutung der Daten an sich, ohne die die Nutzung von Big Data, aber auch die Schaffung der folgend näher betrachteten datenbasierten bzw. datenfinanzierten Geschäftsmodelle nicht möglich wäre. Die wirtschaftliche Grundlage solcher datenfinanzierten Geschäftsmodelle ist die Verbindung und Analyse interner und externer Datensätze, mit denen Unternehmen neue Informationen und Erkenntnisse gewinnen können. Mithilfe dieser eröffnen sich neue Arten der Markterkennung. Darüber hinaus ergeben sich mittels Erkenntnisvorsprüngen potentielle Wettbewerbsvorteile gegenüber Mitbewerbern. Die Besonderheit von datenfinanzierten Angeboten besteht darin, dass der Nutzer im Gegenzug zu dem ihm angebotenen Dienst kein Entgelt zu entrichten hat. Allgemein gibt es im Internet zahlreiche Dienstleistungen – seien es Software oder Apps, aber auch Filme, Bilder, Nachrichten sowie Blogs und Foren –, die dem Nutzer kostenlos angeboten werden. Diese Vielzahl „kostenloser“ Angebote stehen aber nicht alle vor dem Hintergrund eines auf Gewinnerzielung ausgerichteten, wirtschaftlichen Handelns. Hiervon abzugrenzen sind solche kostenlosen Angebote, die über die Preisgabe von Daten finanziert werden, wofür in dieser Arbeit der Begriff datenfinanzierter Angebote gewählt wird. Diese Begrifflichkeit soll nachfolgend zunächst eingegrenzt werden (I.). Diese Eingrenzung soll ferner auf ihre Praktikabilität (II.) überprüft und genauer kategorisiert (III.) werden. Zur besseren Anschaulichkeit der folgenden Untersuchung sollen an dieser Stelle zwei Beispiele für datenfinanzierte Angebote eingeführt werden, an denen sich die untersuchten Vorgänge verbildlichen lassen. Beim datenfinanzieren Angebot A handelt es sich um eine Navigations-App, über die sich die Nutzer ihre Route zum Zielort navigieren lassen können. Das datenfinanzierte Angebot B ist ein Messenger-Dienst, mit dem sich die Nutzer untereinander Textnachrichten senden können, über den aber auch die Versendung von Dateien (also Bilder, Tonaufnahmen, Videos etc.) und Internettelefonie zwischen den Nutzern möglich ist. Damit in der folgenden Untersuchung nicht eine spezielle App auf ihre Rechtmäßigkeit überprüft wird, handelt es sich bei diesen Beispielen um imaginäre Apps, die sich jedoch an tatsächlich erhältlichen Apps orientieren. So kann sichergestellt werden, dass innerhalb der Untersuchung abstrakte Aussagen getroffen werden können, die auch zur Einordnung neu entwickelter Apps dienen können. Sollte sich die Untersuchung im Folgenden auf tatsächlich bestehende Umstände beziehen, wird hierauf explizit hingewiesen.

I. Die Begrifflichkeit „datenfinanzierte Angebote“ 1. Mobile Apps Datenfinanzierte Angebote werden am sinnbildlichsten durch kostenlose mobile Applikationen (Apps) verkörpert. Bei Apps handelt es sich um selbstständige (Anwendungs-)Softwareprogramme für Smartphones, die abhängig vom mobilen

34

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

Betriebssystem des Smartphones installiert werden können und durch Internetund Cloud-Computing-Anwendungen dem Nutzer digitalisierte Anwendungs- und Dienstleistungsangebote bieten.45 Die inhaltliche Ausgestaltung verschiedener Apps ist dabei beinahe unbegrenzt und bietet für die unterschiedlichsten Lebensbereiche Anwendungssoftware, z. B. Apps für Kommunikation (Messenger und Internettelefonie), Finanzen (Versicherungen und Banking), Navigation, Planung, Fitness, Unterhaltung und Spiele bis hin zur Partnersuche.46 So sind Apps inzwischen zum festen Bestandteil im täglichen Leben vieler Nutzer geworden. Die einzelnen Apps sind dabei auf das zugrundeliegende Betriebssystem angewiesen und können über eine definierte Schnittstelle dem System hinzugefügt werden, werden dort also lokal installiert.47 Die Apps funktionieren deshalb ausschließlich auf Geräten mit dem Betriebssystem, für welches sie entwickelt wurden, also etwa iOS, Android oder Windows. Natürlich ist auch eine Entwicklung der gleichen App für unterschiedliche Betriebssysteme möglich; die Schnittstelle variiert dann je nach Betriebssystem jedoch, so dass es sich um technisch unterschiedliche Apps mit gleicher Funktion handelt. a) Erwerb und Vertrieb von Apps Der Erwerb von Apps erfolgt über betriebseigene und -integrierte sog. App-Stores. Die Größten sind der App Store von Apple sowie der Google Play Store für An­droidGeräte, die im Folgenden hinsichtlich einiger Detailregelungen näher betrachtet werden. Es existieren jedoch zahlreiche weitere App-Stores, z. B. von Windows oder Blackberry sowie App-Stores extern vom Betriebssystem, z. B. von Amazon. Durch den Vertrieb über App-Stores gibt es bei Apps drei relevante Akteure: den Nutzer, den App-Anbieter und den App-Store-Betreiber.48 Der Nutzer lädt die App herunter und nutzt sie nach der Installation. Der App-Anbieter bietet die konkrete App an und vermarktet sie. Er muss diese dabei jedoch nicht zwingend technisch selbst entwickeln oder konzipieren. Dem Entwickler der App, der hierfür häufig als technischer Dienstleister oder Subunternehmer herangezogenen wird, kommt für die vorliegende Ausarbeitung keine relevante Rolle zu. Als dritter Akteur bietet der App-Store-Betreiber im App-Store seiner Plattform49 – als eine Art Marktplatz – 45

Zdanowiecki, in: Bräutigam / Rücker, E-Commerce, 11. Teil A, Rn. 3 f.; OECD, The App Economy, S. 5, 12. 46 Vgl. zu den verschiedenen Kategorien kostenfreier Apps etwa de.statista.com/statistik/ daten/studie/928056/umfrage/anzahl-der-kostenlosen-apps-im-google-play-store-nach-kategorienweltweit/. 47 Mayer, App-Economy, S. 18 f. 48 Ewald, in: Taeger / Pohle, Computerrechts-Handbuch, § 32.7 Rn. 3; Klein / Datta, CR 2016, 587 (588). 49 Der Begriff Plattform beschreibt im diesem Zusammenhang das jeweilige Betriebssystem, in das der App-Store integriert ist. Der Begriff wird auch im Folgendem in diesem Kontext genutzt und meint nicht etwa die medienrechtliche Plattform.

§ 2 Die Relevanz datenfinanzierter Angebote

35

die einzelnen Apps zum Download an, kümmert sich um die Verbreitung von Updates und bei kostenpflichtigen Updates um die Abrechnung.50 In einzelnen Fällen können App-Anbieter und App-Store-Betreiber auch personenidentisch sein, wenn z. B. Google im hauseigenen Play Store eine Google-eigene App anbietet. In der Regel muss für den Download der App – und somit auch für die spätere Nutzung  – ein verifiziertes Kundenkonto auf der Plattform oder im jeweiligen App-Store erstellt werden, auf dem man sich für eine Nutzung anzumelden hat. Hierfür ist in vielen Fällen eine Anmeldung mit den persönlichen Angaben wie Name, Adresse etc. vonnöten, so dass durch die Registrierung Nutzerdaten erfasst werden können und eine grundsätzliche Zuordnung des herunter­geladenen Angebots zum Nutzer möglich wird. b) Kostenfreiheit Das Merkmal der Kostenfreiheit stellt die zentrale Voraussetzung für eine Zuordnung als „datenfinanziertes Angebot“ dar. Ein Großteil der in den App-Stores verfügbaren Apps wird kostenlos – d. h. ohne monetäre Gegenleistung – angeboten.51 Dabei ist jedoch zu beachten, dass das Angebot trotz der Entgeltfreiheit in den wenigsten Fällen wirklich „umsonst“ ist. Unter den (anfangs) kostenlosen Apps gibt es solche, die nach dem kostenlosen Download innerhalb der App In-App-Käufe ermöglichen, während andere Apps Werbeflächen enthalten, mit denen die Anbieter Erträge erwirtschaften.52 Bei In-App-Käufen und Transaktionen (sog. Freemium-Modellen) erfolgt die Monetarisierung de facto an späterer Stelle durch den möglichen Erwerb von zusätz­ lichen Funktionsmöglichkeiten in der App – d. h. ein Upgrade der App – oder von In-App-Content, der etwa bei Spielen häufig in Form von Individualisierungsmöglichkeiten angeboten wird.53 Bei der Werbefinanzierung bringen die Nutzer bei der Verwendung der App dieser Aufmerksamkeit anstelle einer Zahlung von Geld entgegen, so dass die Nutzer in der App geschaltete Werbung zur Kenntnis nehmen und Anbieter ihren Umsatz über diese Werbeplätze erwirtschaften können.54 Neben diesen zwei Finanzierungsmöglichketen bzw. in Verbindung mit einer Werbefinanzierung werden bei vielen entgeltfreien Apps beim Download, bei der Anmeldung und der Nutzung über die App Daten erhoben, um mit diesen – ggf. 50

Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 6, 20. Vgl. de.androlib.com/appstats.aspx sowie de.androlib.com/appstatsfreepaid.aspx für den Google-Playstore. Zum Gesamtangebot der Apps de.statista.com/statistik/daten/studie/208599/ umfrage/anzahl-der-apps-in-den-top-app-stores/. 52 Marly, Praxishandbuch Softwarerecht, Rn. 1142 ff. 53 Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 8. 54 Spitz, Daten – Das Öl des 21. Jahrhunderts?, S. 37. 51

36

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

in einem späteren Verarbeitungsschritt – den Gegenwert für die Bereitstellung der App zu manifestieren. Die Gegenleistung bestünde also anstelle einer monetären Zahlung für die IT-Dienstleistung in Form einer Erhebung von Daten bei demjenigen, der die Dienstleistung in Anspruch nimmt. Auf das Bestehen der Möglichkeit einer solchen Gegenleistung wird nachfolgend einzugehen sein. Navigations-App A wurde für Android entwickelt, weshalb sie über den Google Playstore erhältlich ist und lediglich auf Android-Geräten funktioniert. Der Messenger-Dienst  B wurde hingegen für verschiedene Betriebssysteme entwickelt, so dass er über verschiedene App-Stores erhältlich ist und die Anwendung auf verschiedenen Betriebssystemen ausgeführt werden kann. Der App-Anbieter des Messenger-Dienstes ist der Digitalkonzern F. Beide Apps können im Übrigen im jeweiligen App-Store kostenlos erworben werden.

c) Datenerhebung Technisch ist die Datenerhebung je nach App auf mehreren Ebenen möglich:55 Zunächst können über das Betriebssystem Telefondaten (SIM-Karten-Nummer, Nutzer-/Kundenprofil und Kontodaten) sowie allgemeine Nutzerdaten (Telefonund Surfverhalten, Bewegungsprofile) erfasst werden. Ferner können die spezifischen Daten aus der App ausgelesen werden. Hierzu gehören die aufgrund der getätigten Eingaben innerhalb der App anfallenden Daten (z. B. Zugangsdaten sowie sonstige sich aus der App ergebende Daten) und das Nutzerverhalten beim Gebrauch der App. Eine Datenerhebung ist daneben über den Zugriff auf andere Systemteile des Mobiltelefons möglich, etwa durch den Zugriff auf Kalender, Telefonbuch, geographische Daten, Kamera oder sonstige Funktionen des Mobiltelefons. Eine App kann mithilfe einer Berechtigung auf diese Systemteile zugreifen und diesbezügliche Daten erheben. Durch den Aufbau und die Struktur mobiler Betriebssysteme muss der Nutzer diese Zugriffsmöglichkeiten durch eine App allerdings explizit bestätigen und ein heimlicher Zugriff hierauf ist nicht möglich.56 Darüber hinaus können sich aus einer Aggregation der gesammelten Daten unter Umständen noch erweiterte Aussagen aus den erhobenen Daten treffen lassen, wozu auf die obigen Ausführungen zu Big Data zu verweisen ist. Navigations-App A braucht für die Funktionsfähigkeit Zugriff auf die Standortdaten als Systemteil des Nutzer-Geräts, worüber in der Folge das Tracking von Bewegungsprofilen und damit allgemeiner Nutzerdaten möglich wird. Denkbar ist aber auch, dass der Nutzer ein Nutzerprofil anlegen kann / muss, wofür es dann des Zugriffs auf die Telefondaten bedarf, um diese mit den in der App zu speichernden Daten zu verbinden.

55

S. hierzu vertiefend Buck / Germelmann / Eymann, in: Schmidt-Kessel / Langhanke, Datenschutz als Verbraucherschutz, S. 49 (53). 56 Vertiefend Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 23.

§ 2 Die Relevanz datenfinanzierter Angebote

37

Beim Messenger-Dienst B braucht es zwingend der Anlegung eines Profils, damit dem Nutzer eine eindeutige ID zugeordnet werden kann. Zur Kommunikation mit anderen Nutzern bedarf es des Zugriffs auf das Telefonbuch und für die Versendung anderer Dateien ist im Übrigen Zugriff auf den Speicher des Nutzergeräts notwendig.

2. Weitere datenfinanzierte Angebote a) Freeware Der Oberbegriff datenfinanzierter Angebote umfasst ebenfalls kostenfreie Software-Produkte („Freeware“), die für das Smartphone oder den PC individuell – d. h. ohne den Zugriff auf einen App-Store  – heruntergeladen werden können. Kennzeichen für diese Software-Art ist wiederum, dass sie unentgeltlich heruntergeladen und genutzt werden kann.57 Voraussetzungen für die Einordnung als datenfinanziertes Angebot ist zusätzlich, dass für die Nutzung eine Registrierung oder eine sonstige Form der Personalisierung notwendig ist, über die personenbezogene Daten erhoben werden können. Nicht umfasst ist daher Open Source-Software, die zwar frei zugänglich ist, bei deren Download und Nutzung aber keine Nutzerdaten erhoben werden, da folglich auch keine Datenfinanzierung möglich ist. Der Unterschied zu den oben beschriebenen Apps besteht also lediglich darin, dass die Software nicht über eine feste Plattform heruntergeladen wird und die Software zumeist auch nicht an bestimmte Betriebssysteme gekoppelt ist. Dementsprechend gibt es auch nur zwei Akteure: den Nutzer und den Freeware-Anbieter, während der Plattformbetreiber als dritter Akteur wegfällt. b) Web-Apps Vom Begriff des datenfinanzierten Angebots werden ferner browserbasierte Dienstleistungen (sog. Web-Apps) umfasst. Solche webbasierten Dienstleistungen werden nicht auf der lokalen Hardware ausgeführt, vielmehr wird der jeweilige Inhalt der Dienstleistung über den Browser des Geräts abgerufen, wodurch sie auf jedem Endgerät unabhängig von dem jeweiligen Betriebssystem verfügbar sind.58 Web-Apps sind anders als mobile Apps nicht selbstständig lauffähig, sondern auf die Ausführung im Browser angewiesen. Über Standards wie HTML5 und CSS3 ermöglichen auch Web-Apps technisch und optisch vergleichbare Anwendungen zu klassischen Apps, müssen aufgrund der Integrierung in den Browser jedoch Einschränkungen hinsichtlich des Zugriffs auf Hardwarefunktionen des Smartphones hinnehmen.59 57

Marly, Praxishandbuch Softwarerecht, Rn. 876. Ewald, in: Taeger / Pohle, Computerrechts-Handbuch, § 32.7 Rn. 1. 59 BITKOM, Apps & Mobile Services – Tipps für Unternehmen, S. 13. 58

38

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

Solche Dienste sollen aufgrund ihrer schieren Masse – man denke nur an die Vielzahl verschiedener Onlineshops, Suchmaschinen oder Vergleichsportalen etc. – sowie der nicht festen Abgrenzbarkeit zu „klassischen Webseiten“ nur insoweit von dem Oberbegriff mitumfasst werden, wie sie mobilen Apps tatsächlich vergleichbar sind. Dies ist in der Regel der Fall, wenn man sich bei ihnen über ein Kundenkonto anmelden kann und über das Kundenkonto die Dienstleistungen nutzt. Diese Einschränkungen müssen herangezogen werden, da nur so eine Vergleichbarkeit zu der App- und Freeware-Produkten gegeben ist, bei denen im Zweifel eine Personalisierung der Daten über den Nutzer der Software möglich ist. Für eine Bezeichnung als datenfinanziertes Angebot bedarf es wiederum zusätzlich eines kostenlosen Angebots, also einer browserbasierten Dienstleistung, die kein Geld für die Nutzung verlangt. Während der Messenger-Dienst B einzig über die App des Smartphones möglich ist, kann die Navigations-App A auch über den Browser angesteuert werden. Über eine Anmeldung und ein Tracking des Nutzergeräts kann der Nutzer die Anwendung so auch als Web-App verwenden.

3. Zwischenergebnis Zusammengefasst handelt es sich bei datenfinanzierten Angeboten also um Apps, Software und browserbasierte Angebote, die einem Nutzer entgeltfrei zur Verfügung gestellt werden. Im Gegenzug zur Bereitstellung werden vom Nutzer Daten erhoben. In der Regel sind solche Angebote also mit einer persönlichen Registrierung verknüpft. Ohne eine solche Erhebung von Nutzerdaten ist die datenschutzrechtliche Relevanz für diese Arbeit nicht gegeben, so dass solche Angebote von vorneherein unberücksichtigt bleiben können. Für die Einordnung als datenfinanziertes Angebot ist demgegenüber unerheblich, was für Daten verarbeitet werden und ob die Daten zur Verarbeitung oder zu einem späteren Zeitpunkt ano­ nymisiert werden, solange zu irgendeinem Zeitpunkt die Zuordnung der Daten zu einem Nutzer stattfinden kann.60 Alle drei (verschiedenen) Arten werden folgend mit diesem Oberbegriff zusammengefasst,61 da aus Nutzersicht bei allen Angeboten ähnliche oder gleiche Angebote und Dienstleistungen bereitgestellt werden und es für den Nutzer bei der späteren tatsächlichen Nutzung keine Rolle spielt, wie die Installation und der Zugriff auf das Angebot erfolgt. Auch die grundlegende Möglichkeit der Datenerhebung bzw. die Art dieser Erhebung ändert sich durch die verschiedenen Zu-

60

Zur Wirkung der Anonymisierung der Daten vgl. § 5 A. II. 2. Wird im Folgenden daher der (Ober-)Begriff „datenfinanzierte Angebote“ oder „App“ verwendet, sind davon begrifflich alle diese Formen umfasst. Die zwei Begriffe werden deshalb für diese Arbeit als Synonyme verwendet. 61

§ 2 Die Relevanz datenfinanzierter Angebote

39

griffswege nicht, sondern unterscheidet sich vom jeweiligen (datenfinanziertem) Angebot zu Angebot. II. Datenfinanzierung als relevantes Unterscheidungskriterium Bei der vorgenommenen Bildung und Definition des Oberbegriffs „daten­ finanzierte Angebote“ für kostenlose Software und Apps, die über Daten finanziert werden, handelt es sich um keine Abgrenzung, die bisher in der Literatur allgemein anerkannt ist oder gar generell in der Gesetzgebung zu finden ist.62 Eine Untersuchung des im Rahmen dieser Arbeit eingegrenzten Bereichs von Software-­ Angeboten und Apps als datenfinanziert überzeugt dementsprechend nur, wenn eine solche Eingrenzung auch aus rechtlicher Sicht sinnvoll erscheint und sich hieraus ein gesonderter (datenschutz-)rechtlicher Betrachtungswinkel ergibt. Daher soll folgend anhand verschiedener Kriterien dargelegt werden, dass sich die vorgenommene Abgrenzung als praktikabel und sinnvoll erweist. Hierzu wird als Kriterium zunächst die Werthaftigkeit der Daten untersucht (1.). Denn die Notwendigkeit einer gesonderten Betrachtung ergibt sich nur, wenn die Bedeutung der vom Nutzer erhobenen Daten in diesem Kontext so groß ist, dass hierüber die kostenlose Bereitstellung der jeweiligen Dienstleistung wirtschaftlich erscheint, oder wenn zumindest die Datenfinanzierung ein in sich stimmiges Kriterium zur Abgrenzung darstellt. Nachfolgend werden die legislative Entwicklung zur Datenfinanzierung (2.) sowie Überlegungen zu Datenschuldrecht und Dateneigentum (3.) herangezogen, um insoweit die Bedeutung von Daten und die Stimmigkeit dieses Abgrenzungskriteriums und Praktikabilität des Oberbegriffs „datenfinanzierte Angebote“ aufzuzeigen. 1. Die Werthaftigkeit von Daten Anders als vielleicht auf den ersten Blick ersichtlich sind datenfinanzierte Angebote trotz der monetären Kostenfreiheit meist nicht „umsonst“: In die Bereitstellung des Angebots fließen zumindest aufseiten des Anbieters verschiedene Ressourcen (Kapital, Arbeit, Ideen etc.). Für eine wirtschaftliche Sinnhaftigkeit einer solchen Bereitstellung muss das Angebot irgendeine Form eines Gegenwertes bieten, der in den Nutzerdaten liegen könnte. Die oben angenommene „Finanzierung“ des Angebots mit Daten setzt demnach voraus, dass Daten einen Wandel 62 Die Begrifflichkeit „datenfinanzierte Angebote“ verwendete gleichwohl bereits Kugelmann, DuD 2016, 566. Auch werden gerade in der datenschutzrechtlichen Literatur daten­ finanzierte Angebote immer umfangreicher analysiert. Dabei werden als Synonyme für Datenfinanzierung häufig „kostenlose Apps“, das Austauschverhältnis „Daten gegen Leistung“, die „Datenpreisgabe gegen Nutzung eines Software Dienstes“ oder „datengetriebene Geschäftsmodelle“ verwendet. S. hierzu bereits § 1.

40

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

von reinen Informationsträgern hin zum Wirtschaftsgut bzw. sogar zur Währung vollzogen haben, den Daten selbst also ein Wert zukommt. Daraus ließe sich ableiten, dass die Entgeltfreiheit dieser Angebote nicht mit einer Kostenfreiheit im ökonomischen Sinne gleichgesetzt werden kann, den gewonnenen Daten also ein ökonomischer Wert innewohnt. a) Die abstrakte Werthaftigkeit Ohne bereits konkret auf datenfinanzierte Apps einzugehen ist generell augenscheinlich, dass der Trend zum datenerhebenden Produkt eine weiterreichende und weiter zunehmende Anzahl von Produkten und Geräten betrifft, die vor der Digitalisierung analog, d. h. ohne Datenerhebung funktionieren. Beispielhaft hierfür stehen „Smart Homes“, „Smart Meter“ oder „intelligente“ Haushaltsgeräte, die zuvor analoge Prozesse und Produkte ersetzen und zunehmend digitalisieren. Durch die Datenerhebung bei Betrieb und Nutzung dieser Produkte fallen verschiedenste Arten von Daten an; so erheben die Produkte Daten über Verwendung, Nutzungsgewohnheiten oder über Sensoren gewonnene Umgebungsdaten, die anschließend weitergeleitet werden.63 Der mögliche Wert von Daten ergibt sich dabei regelmäßig nicht aus den Daten als codierte Informationen an sich oder aus ihrer schieren Menge. Eine Werthaftigkeit ergibt sich vielmehr aus den in den Daten gespeicherten Inhalten, also dem sinnlich wahrnehmbaren Ergebnis bei bestimmungsgemäßer Auslesung der Daten.64 Bei bestimmten Arten von Daten – man denke etwa an die Geschäftsgeheimnisse eines Unternehmens – ist der inhaltliche Wert für die Dateninhaber offensichtlich. Wie oben bereits ausgeführt, ermöglicht Big Data darüber hinaus eine qualitative Veränderung der möglichen Verwendung von Daten. Hierdurch eröffnen sich neue Möglichkeiten, den wirtschaftlichen Output zu optimieren oder über die aus der Analyse gewonnenen Erkenntnisse neue Produkte und Dienstleistungen zu entwerfen. Folglich können mithilfe der Datenanalyse neue Wertschöpfungsketten generiert werden.65 Nach diesem kurzen Einstieg hinsichtlich der Werthaftigkeit von eher produktbezogenen Daten stellt sich im Rahmen dieser Arbeit die grundsätzliche Frage, inwieweit auch den Nutzerdaten, die etwa bei der Nutzung von datenfinanzierten Angeboten erhoben werden, eine solche Werthaftigkeit zukommt. Vor allem ist diese Frage aus datenschutzrechtlicher Sicht relevant, wenn diese als personen­ bezogene Daten Informationen über die Persönlichkeit, das Verhalten oder andere Eigenschaften des Individuums preisgeben. 63

Becker, JZ 2017, 170 (171). Schefzig, K&R Beihefter 3/2015, 3 (3). 65 Lammerant / De Hert, in: Gutwirth et al., Data Protection on the Move, S. 163 (166). 64

§ 2 Die Relevanz datenfinanzierter Angebote

41

aa) Der Warencharakter personenbezogener Daten Ein ökonomischer Wert könnte sich bei personenbezogenen Daten daraus ergeben, dass bei den Daten aus volkswirtschaftlicher Sicht bei ihrer Vermarktung ein Markt feststellbar ist – Daten also ein Warencharakter im Sinne eines Gebrauchsoder Tauschwerts innewohnt – bzw. dass die Daten aus betriebswirtschaftlicher Sicht ein Preis- oder Kostenäquivalent besitzen.66 Das einzelne persönliche Datum weist für sich genommen häufig alleinstehend noch keinen gesonderten Wert auf. Erst durch ihre Zusammenfassung, Kumulation und Nutzung in einem Produktions- und Konsumtionsprozess werden personen­ bezogene Daten interessant, wenn mit Namen, Adressen, Telefonnummern und anderen Daten, die das Verhalten beschreiben, Nutzerprofile angelegt werden können.67 Merkmale der Persönlichkeit, z. B. Gesicht, Stimme, Gesundheit, Geschlecht und Name, Personen zuordenbare technische Daten wie etwa Telefonnummern sowie Informationen über die Verhaltensweise, werden als Datensätze zusammengefasst und zur Profilbildung genutzt. Wo eine solche Profilbildung schon zu analogen Zeiten in Form von – vergleichsweise einfachen – Kundenkarteien möglich war, ergibt sich durch die Möglichkeiten von Big Data eine veränderte Situation: Zum einen sind mehr Informationen über eine Person verfügbar und diese sind zum anderen mithilfe der verbesserten Analysemöglichkeit besser auswertbar. So kann eine Profilbildung wesentlich umfangreicher erfolgen. Erst mit solch detaillierter Profilbildung werden individuelle und zielgerichtete Aussagen über das Konsum- und Nutzungsverhältnis von den datenpreisgebenden Individuen möglich und die Personenbezogenheit sorgt dafür, dass die Profile mit (potentiellen) Konsumenten in Zusammenhang gebracht werden können.68 Mit diesen Profilen ist im nächsten Schritt eine Verbindung mit Werbung, Waren und Dienstleistungen möglich, wobei die Datensätze nicht nur zur eigenen Verwendung nutzbar, sondern auch handelbar und somit potentiell von ökonomischen Interesse sind.69 Die Nutzungsmöglichkeiten und Effekte großer Mengen personenbezogener Daten zeigen sich – neben den offensichtlichen Vorteilen eines besseren personalisierten Marketings und besserer Werbestrategien – vor allem durch eine Steigerung der Effizienz.70 Durch Nutzerinformationen können Dienstleistungen und Produkte verbessert werden, indem etwa über Informationen zur bisherigen Nutzung des Produkts dessen zukünftige Nutzungsmöglichkeit angepasst werden kann. Informationen über die Präferenzen der Nutzer können auch die Entwicklung neuer 66

Lehner, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 471 (480). 67 Wandtke, MMR 2017, 6 (8). 68 OECD, Data-Driven Innovation, S. 41; Wandtke, MMR 2017, 6 (8). 69 Reiners, ZD 2015, 51 (52); Wandtke, MMR 2017, 6 (7). 70 OECD, Data-Driven Innovation, S. 21, 28 f.

42

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

Produkte erleichtern und bei bestehenden Produkten eine bessere Ausrichtung an die Nutzer-Präferenzen ermöglichen. Im Detail ermöglichen die Daten eine Echtzeitberechnungen des Kundenbedarfs, Erkenntnisse über Kauf- und Nutzungsgewohnheiten sowie die vorzeitige Vorhersage von Produkttrends.71 Mit Informationen zum Nachfrageverhalten von Nutzern lassen sich ferner Bedarfsschätzungen durchführen, die eine effizientere Preissetzung erlauben, was sich vor allem bei hohem Wettbewerbsdruck vorteilhaft auswirkt. Weitere Effizienzvorteile betreffen unter anderem die Minimierung von Ausfallrisiken oder die Vorhersage produktunabhängiger zukünftiger Ereignisse.72 Durch die die Möglichkeit der Handelbarkeit der Datensätze – anstelle einer lediglich eigenen Verwendung – unterliegen die kumulierten persönlichen Informationen den Bedingungen von Angebot und Nachfrage. So können sie je nach Art der Daten einen Gebrauchs- und Tauschwert aufweisen und so als Waren kommerzialisiert werden, indem die Profile gegen eine Vergütung genutzt oder verkauft werden.73 Der Datenbestand wird durch die potentielle Veräußerbarkeit zum vermögenswerten (Wirtschafts-)Gut.74 Die Handelbarkeit wird wiederum durch die Digitalisierung begünstigt, lassen sich unkörperliche digitale Daten doch global vermarkten. Der Wert der persönlichen Daten ergibt sich also am Markt, an dem die Unternehmen mit den Daten Gewinne erwirtschaften können. Persönliche Daten werden zu Bestandteilen des wirtschaftlichen Werts eines Unternehmens und erhalten einen ökonomischen Wert, was insoweit auch in der Literatur allgemein anerkannt wird.75 bb) Die Nutzung personenbezogener Daten Abstrakt ist die Werthaftigkeit personenbezogener Daten aufgrund der Digitalisierung also gegeben. Auch die konkrete wirtschaftliche Verwendung der Daten gestaltet sich – insbesondere durch Big Data – vielfältig.

71 Simo, in: Richter, Privatheit, Öffentlichkeit und demokratische Willensbildung in Zeiten von Big Data, S. 13 (16 f.). 72 Zum Ganzen Dewenter / Lüth, in: Körber / Immenga, Daten und Wettbewerb in der digitalen Ökonomie, S. 9 (14). 73 Wandtke, MMR 2017, 6 (8). 74 LG Düsseldorf, Urt. v. 9. 3. 2016 – 12 O 151/15 = MMR 2016, 328 (330), das dieses Ergebnis bei der Bewertung von Datensätzen auf Facebook feststellt. 75 Vgl. etwa Dewenter / Lüth, in: Körber / Immenga, Daten und Wettbewerb in der digitalen Ökonomie, S. 9 (11); Langhanke / Schmidt-Kessel, EuCML 2015, 218 (219); Lehner, in: SpechtRiemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 471 (473); Vesting, in: Ladeur, Innovationsoffene Regulierung des Internet, S. 155 (164 f.); Wandtke, MMR 2017, 6 (8); Zech, CR 2015, 137 (138).

§ 2 Die Relevanz datenfinanzierter Angebote

43

Online-Händler nutzen personenbezogene Daten für ein besseres Verständnis von Kundengewohnheiten, zum Angebot personalisierter Produkte sowie zur Erkennung möglicher Bedarfsveränderungen und verbessern hierdurch ihre OnlineShops. In der sog. AdTech-Branche wird versucht, das digitale Marketing über Datenanalyse zu verbessern.76 Durch die Erstellung immer präziserer Datenprofile, die Verbindung dieser Daten und die Identifizierung von Nutzern über verschiedene Geräte soll die geschaltete Werbung zielgenauer vermarktet werden.77 Der Nutzer kann so zielgerichtet und individuell mit Werbung und maßgeschneiderten Kaufangeboten versorgt werden. Diese Arten der Datenverwendung haben gemein, dass die Daten bei einer solchen Nutzung von Big Data eher im „klassischen“ – auf das Marketing abzielenden – Sinne zur Verbesserung des Produktabsatzes genutzt werden. Die Zielrichtung ermöglicht im zweiten Schritt die Erwirtschaftung von Profiten. Big Data dient also „trotz“ der beschriebenen Vorteile hauptsächlich dazu, die Vermarktung eigener oder fremder Produkte zu verbessern. Verglichen damit geht die Bedeutung der Daten im digitalen Bereich noch weiter. Nutzer einer Suchmaschine hinterlassen Informationen über ihr Suchverhalten und ihren Standort. Nutzer von Plattformen, auf denen Waren gehandelt und vermittelt werden, geben über ihr Kundenkonto Informationen über ihr Konsumverhalten preis.78 Über das Konsumverhalten hinaus kann mit den Daten auch in anderen Feldern ein vertieftes Verständnis über das persönliche Verhalten begründet werden.79 Durch die gesammelten Daten und ihre Analyse haben sich Geschäftsfelder entwickelt, auf denen diese Daten gehandelt werden. Spezielle Dienstleistungsunternehmen entwickeln erfolgreich Geschäftsmodelle, die die systematische elektronische Sammlung und Verarbeitung personenbezogener Daten zum Zweck der Weitergabe gegen Bezahlung beinhalten, so dass fast alles, was früher als „privat“ und unveräußerlich galt, heute vermarktet wird.80 Prominentestes Beispiel ist hierfür das Geschäftsmodell von Facebook bzw. Meta, das fast ausschließlich auf der Nutzung, Bereitstellung bzw. dem Verkauf personenbezogener Datensätze beruht, und dessen Umsatz im Jahr 2021 etwa 118 Milliarden U. S. Dollar betrug81, wobei etwa im ersten Quartal 2017 ein Wert von etwa 4,23,- U. S. Dollar pro Nutzer

76

Zur Bedeutung des AdTech-Marktes Allen, A game of AdTech, AdExchanger v. 1. 5. 2013, abrufbar unter: adexchanger.com/data-driven-thinking/a-game-of-adtech/. 77 Specht, GRUR Int. 2017, 1040 (1041). 78 Dewenter / Lüth, in: Körber / Immenga, Daten und Wettbewerb in der digitalen Ökonomie, S. 9 (10 f.). 79 Steinebach / Krempel / Jung / Hoffmann, DuD 2016, 440 (441). 80 Kilian, in: Garstka / Coy, Wovon – für wen – wozu, Systemdenken wider die Diktatur der Daten, S. 195 (199). 81 Vgl. de.statista.com/statistik/daten/studie/217061/umfrage/umsatz-gewinn-von-facebookweltweit/.

44

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

erwirtschaftet wurde.82 Die Nutzung des kommerziellen Werts der persönlichen Daten gilt ebenso für Suchmaschinen, Internetprotale oder Provider. Es sind hierdurch Märkte entstanden, auf denen personenbezogene Daten direkt angeboten und nachgefragt und nicht einzig für Marketingzwecke genutzt werden.83 Daten, die detaillierte Einblicke in Motivationen, Präferenzen, Beziehungen, Gesundheit oder sonstige persönliche Eigenschaften gewähren, sind zu wertvollen marktfähigen Gütern geworden. Die Person wird entschlüsselt, gespeichert und zur Ware umgewandelt.84 Schon nach Untersuchungen aus dem Jahr 2012 betrug der Wert einer einzelne Adresse, die von Einwohnermeldeämtern an die Privatwirtschaft weitergegeben wird, etwa drei Euro.85 Ganz andere Umfänge werden inzwischen durch die viel umfangreicheren mithilfe von Big Data generierten Datensätze und die sich hieraus ergebenden Personenprofile erreicht, die ein – über die Adresse hinausgehendes – viel detaillierteres Bild einer Person zeichnen können.86 Bei Consumer-Datenbanken (sog. Datenbrokern), die mit dem Verkauf solcher Datensätze ihre Umsätze generieren, werden so täglich mehrere Hundert Millionen Datensätze verkauft.87 Auch wenn es sich bei den großen Datenhändlern hauptsächlich um amerikanische Unternehmen handelt, sind diese Aussagen auch auf den deutschen und europä­ ischen Markt übertragbar. Laut einer vom Bundesministerium der Justiz und für Verbraucherschutz in Auftrag gegeben Studie beträgt der Umsatz für den Datensatz eines einzelnen Verbrauchers je nach Umfang und Verwendung 13 Cent bis 4 Euro.88 Dieser Wert potenziert sich gegenüber den einfachen Adressdaten aber schon über die Vielzahl verschiedenartiger Datensätze.

82

Balkrishan, Facebook made about $4.23 of your profile in the first three month of the year, CNBC v. 3. 5. 2017, abrufbar unter www.cnbc.com/2017/05/03/facebook-average-revenueper-user-arpu-q1-2017.html. Hier sei zur Vollständigkeit ergänzt, dass Mark Zuckerberg den direkten Verkauf von Datensätzen abstreitet, vgl. Tautz, „Wir haben niemals Nutzerdaten verkauft“, Zeit-online v. 6. 12. 2018, abrufbar unter: www.zeit.de/digital/datenschutz/2018-12/ mark-zuckerberg-facebook-userdaten-verkauf-plattformkapitalismus. 83 Zur Klassifikation verschiedener Datenmärkte Dewenter / Lüth, ABIDA – Datenhandel und Plattformen, S. 29 ff. Allgemein hierzu Schweitzer / Peitz, NJW 2018, 275. 84 Kilian, in: Garstka / Coy, Wovon – für wen – wozu, Systemdenken wider die Diktatur der Daten, S. 195 (199). 85 Lischka, Städte machen Millionen mit Datenhandel, Spiegel Online v. 7. 9. 2012, abrufbar unter: https://www.spiegel.de/netzwelt/netzpolitik/melderegister-staedte-verkaufenadressdaten-und-verdienen-millionen-a-854146.html. 86 Kilian, in: Garstka / Coy, Wovon – für wen – wozu, Systemdenken wider die Diktatur der Daten, S. 195 (199). 87 Brendle-Weith, VuR 2018, 331 (331); Dewenter / Lüth, ABIDA – Datenhandel und Plattformen, S. 30. 88 Goldhammer / Wiegand, Ökonomischer Wert von Verbraucherdaten für Adress- und Datenhändler, S. 69 ff. Amerikanische Studien gehen hingegen von einer Schwankungsbreite von wenigen Cents bis hin zu 30 USD aus, vgl. Lehner, in: Specht-Riemenschneider /  Werry / Werry, Datenrecht in der Digitalisierung, S. 471 (481) m. w. N.

§ 2 Die Relevanz datenfinanzierter Angebote

45

cc) Zwischenergebnis Über die Datenerhebung lassen sich Informationen über den Nutzer generieren, die Plattformen oder Werbenden sonst nicht zur Verfügung stünden. Daten stellen insoweit wirtschaftlich ein Investitionsgut dar, woraus sich deren ökonomischer Wert ergibt. Gerade der Inhalt der enormen Datenmengen eröffnet über weiter voranschreitende Auslese und Analyse-Möglichkeiten als Inputfaktor eine abstrakte Werthaftigkeit der Daten für viele verschiedene Bereiche. Dabei erhöht sich der Marktwert der Daten, je spezifischer und individueller der personalisierbare Inhalt diese Daten ausfällt.89 Die Digitalisierung verändert darüber hinaus die Voraussetzungen der Vermarktung von Waren und Dienstleistungen. Die modifizierte Art der Sammlung und Verwendung der persönlichen Daten ändert allerdings nichts an der Ware-GeldBeziehung im ökonomischen Kontext. Persönliche Daten werden wie jede andere Ware gehandelt und damit zu einem ökonomischen Gut.90 b) Die Wertschöpfung bei datenfinanzierten Angeboten Aufgrund dieser generell bestehenden Werthaftigkeit von Daten soll nachfolgend die Wertschöpfung bei datenfinanzierten Angeboten im Speziellen betrachtet werden. Der digitale Kontext datenfinanzierter Angebote und ihre monetäre Kostenfreiheit führen dabei vielfach zu dem Schluss, dass bei solchen Angeboten die preisgegebenen Daten eine Art neue Währung darstellen.91 Dieser Vergleich wird allerdings zum Teil wiederum als zu weitreichend abgelehnt.92 Schon vor dem Aufkommen von digitalen Angeboten war eine kostenlose Überlassung von Medien durchaus bekannt und gängig. So existieren viele partiell oder vollständig werbefinanzierte Medien(-Produkte), wofür Printmedien und private Rundfunkanbieter ein gutes Beispiel bilden, die sich teilweise – wie bei Tageszei 89 Kilian, in: Garstka / Coy, Wovon – für wen – wozu, Systemdenken wider die Diktatur der Daten, S. 195 (200); Sattler, JZ 2017, 1036 (1036). 90 Kilian, in: Garstka / Coy, Wovon  – für wen  – wozu, Systemdenken wider die Diktatur der Daten, S. 195 (200); Müller / Flender / Peters, in: Buchmann, Internet Privacy, S. 143 (151); Specht, GRUR Int. 2017, 1040 (1041); Walker, Die Kosten kostenloser Dienste, S. 52 ff.; Wandtke, MMR 2017, 6 (8). 91 Angefangen beim BMWi, Leitplanken Digitaler Souveränität, S. 1. Ferner Baumgartner, in: Baumgartner / Ewald, Apps und Recht, Rn. 184; Dewenter / Lüth, in: Körber / Immenga, Daten und Wettbewerb in der digitalen Ökonomie, S. 9 (12); Hoeren, WuW 2013, 463; Langhanke /  Schmidt-Kessel, EuCML 2015, 218 (218); Reiners, ZD 2015, 51 (51). Eine Übersicht über die Aussagen zahlreicher Politiker, die sich dementsprechend äußern, findet sich in Weichert /  Schuler, Datenschutz contra Wirtschaft und Big Data, S. 3 ff. 92 Spitz, Daten – Das Öl des 21. Jahrhunderts?, S. 38. Kritisch ebenfalls Schweitzer, Daten als neue Währung?, FAZ Plus v. 24. 2. 2017, abrufbar unter: plus.faz.net/evr-editions/201702-24/43105/323406.html.

46

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

tungen und Privatsendern – oder vollständig – z. B. Werbe-Printblätter mit redaktionellem Anteil – durch Werbung finanzieren. Der Preis wird bei solchen Medien so gewählt, dass das Verhältnis von Werbung zu Inhalten einen möglichst gewinnmaximierenden Wert bildet, der unter Umständen auch zu einer Kostenfreiheit für den Nutzer (bzw. Leser) führen kann, ohne dass hierdurch ein „kostenloses“ Angebot vorliegt.93 Bei solchen werbefinanzierten Angeboten bezahlen die Nutzer (bzw. Konsumenten) zwar nicht monetär, jedoch in Form von Aufmerksamkeit für die geschaltete Werbung,94 so dass „kostenlose“ Angebote oder Dienste keine Neuerfindung des „Digital-Zeitalters“ ist. Diese Werbefinanzierung wird zum Teil auch bei digitalen Angeboten übernommen, so dass bei ihnen die Finanzierung der Angebote über integrierte Werbe­banner abläuft. Hierdurch stellen Werbeflächen auch bei datenfinanzierten Angeboten eine Möglichkeit zur Generierung von Erträgen dar. Ferner stellen die bereits beschriebenen In-App-Verkäufe, bei denen die Möglichkeit eines monetären Erwerbs von Zusatzfunktionen besteht, ebenfalls eine eher klassische Bepreisung der Inhalte dar. Bei einer solchen Ausgestaltung unterscheiden sich digitale Angebote nicht in großem Maße von analogen Produkten mit vergleichbaren Erwerbsmöglichkeiten. Werbefinanzierung und In-App-Verkäufe markieren bei kostenfreien Angeboten aber nicht die einzigen Finanzierungsformen. Mit der Preisgabe von persön­lichen Daten besteht eine weitere mögliche Leistung, mit der Nutzer für die Inhalte „zahlen“, wofür ihnen im Austausch die Nutzung der Dienste ermöglicht wird. aa) Die Nutzung der Daten Durch die Sammlung personenbezogener Daten kann zunächst die Effizienz der Werbefinanzierung verbessert werden, indem mit der Personalisierung der Werbebotschaften ein personalisiertes eigenes Marketing ermöglicht wird. Zum anderen erlaubt die Auswertung der erstellten Personenprofile einen zielgerichteten und damit in der Regel ertragreicheren Verkauf von Werbeplätzen. Die erstellten Personenprofile sollen also möglichst passgenaue Werbung zeigen, damit werbende Unternehmen mit einer höheren Wahrscheinlichkeit ihre Werbung gegenüber einem Nutzer schalten, der ihrer gewünschten Werbezielgruppe entspricht und somit am ehesten ein (potentielles) Kaufinteresse aufweist.95 Bei der Verwendung der Daten werden diese in aller Regel nicht verbraucht und können somit für weitere zielgerichtete Werbung oder andere Zwecke verwendet werden. Der Vorteil der Datennutzung besteht daher in einer Nicht-Rivalität im Konsum, d. h. der Wert 93

Dewenter / Lüth, in: Körber / Immenga, Daten und Wettbewerb in der digitalen Ökonomie, S. 9 (10). Insoweit spricht man hier von der „Zweiseitigkeit der Medienplattformen“. 94 Dewenter / Rösch, Einführung in die neue Ökonomie der Medienmärkte, S. 6, 17. 95 Spitz, Daten – Das Öl des 21. Jahrhunderts?, S. 55 f.

§ 2 Die Relevanz datenfinanzierter Angebote

47

der Daten verschlechtert sich nicht durch die Nutzung und diese werden durch die Nutzung auch nicht verbraucht.96 Eine weitere Nutzungsmöglichkeit der Daten liegt im Anbieten auf den oben beschriebenen Datenmärkten. Dabei werden in der Regel nicht „die Daten eines speziellen Nutzers“ verkauft, sondern aus tausenden Einzeldaten zusammengesetzte  – oft hinsichtlich der individuellen Person anonymisierte  – Datenprofile erstellt.97 Die Monetarisierung von Daten findet demnach nicht durch die Datenerhebung selbst, sondern vielmehr erst durch den Verarbeitungsprozess und häufig erst durch Aggregation und den Verkauf dieser Datenprofile auf einer nachgelagerten Marktseite statt, die vom Daten-Käufer zu verschiedenen Zwecken erworben, verwendet oder weiterveräußert werden.98 Der App-Anbieter von Navigations-App A könnte die über die App erstellten Bewegungsprofile seiner Nutzer auf Datenmärkten anbieten. Über diese Bewegungsprofile können eine Vielzahl von Aussagen über die einzelnen Nutzer, aber auch über die Nutzergesamtheit getroffen werden. Die aggregierten Daten können beispielsweise für den Bedarf intelligenter Verkehrssysteme oder zur Berechnung des Verkehrsaufkommens genutzt werden, um so etwa Staus oder Unfallgefahren voraussagen zu können.

Daneben bestehen einige komplett datengetriebene Geschäftsmodelle, wie etwa Telematik-Tarife (sog. „Pay-as-you-drive“-Tarife)  von Kfz-Versicherungen, Online-Bonitätsprüfungen oder neue, datengetriebene Werbeformen im Internet (Programmatic Buying / Realtime Advertising), wobei angenommen wird, dass die Anzahl solcher Geschäftsmodelle durch die technische Entwicklung um Big Data in Zukunft weiter zunimmt.99 Diese Geschäftsmodellen unterscheiden sich in der Verwendung der Daten zu bisherigen Diensten dadurch, dass durch die Verwendung der in datenfinanzierten Angeboten gewonnenen Daten ein direkter Gegenwert für das jeweilige Unternehmen entstehen kann. bb) Die Konsequenz für datenfinanzierte Angebote Bei all diesen Verwendungsmöglichkeiten von Daten aus datenfinanzierten Geschäftsmodellen folgt der Markt klaren Erlös- und Preismodellen, wobei vom Nutzer freigegebene und vom App-Anbieter bzw. Unternehmen erhobene per-

96

Vertiefend Dewenter / Lüth, ABIDA  – Datenhandel und Plattformen, S. 10 f.; dies., in: Körber / Immenga, Daten und Wettbewerb in der digitalen Ökonomie, S. 9 (12). 97 Dewenter / Lüth, ABIDA  – Datenhandel und Plattformen, S. 16 f.; Spitz, Daten  – Das Öl des 21. Jahrhunderts?, S. 54. Laut einer Studie des Dienstleisters Mediatest leiteten zum Untersuchungszeitpunkt etwa 2/3 aller Apps Daten an Dritte weiter, vgl. Barczok, c’t 9/2015, 122 (124). 98 Vgl. hierzu auch Schweitzer, Daten als neue Währung?, FAZ Plus v. 24. 2. 2017, abrufbar unter: plus.faz.net/evr-editions/2017-02-24/43105/323406.html. 99 Moos, K&R Beihefter 3/2015, 12 (13).

48

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

sönliche Daten die (monetarisierbare) Gegenleistung für den angebotenen Dienst bilden.100 Im Kontext datenfinanzierter Angebote, vor allem mobiler Applikationen, generiert sich dieser Wert aus dem Bezug von Nutzer und Nutzungsdaten sowie deren Aggregation.101 Die personenbezogenen Daten stellen hierbei eine eigenständige Produkteigenschaft dar, welche einen wirtschaftlichen Wert verkörpert. Bei solchen Angeboten bestimmt die Datenverwendung – anders als bei reiner Verwendung für Werbezwecke – nicht mehr nur die Modalität der Kundenansprache; vielmehr beeinflusst die Datenverarbeitung und -nutzung die Produkte und die dahinter liegenden Geschäftsmodelle selbst.102 Datenfinanzierte Angebote eint bei den zugrundeliegenden Geschäftsmodellen, dass über die Verwendung von Big Data-Analysen dem Datensatz ein (Mehr-) Wert zukommt, so dass im Gegenzug die Dienstleistungen entgeltfrei angeboten werden können. Zwar findet nicht bei jeder durch Unternehmen durchgeführte Datenerhebung eine Datenanalyse statt, die dem Grundgedanken von Big Data mit immer größeren Datensätzen für einen maximalen Erkenntnisgewinn im Idealbild entspricht. Dennoch führt erst die Bedeutung der Daten dazu, dass diesen ein ökonomischer Wert zukommt, weil sich dieser häufig durch die Aggregation verschiedener Daten ergibt. Aus unternehmerischer Sicht verleihen erst die Erkenntnisgewinne, die über Big Data-Analysen aus den erhobenen und ggf. aggregierten Datensätzen ermöglicht werden, einer datenfinanzierten Dienstleistung ihren Wert. Mithin besteht der Anknüpfungspunkt zwischen Big Data und datenfinanzierten Angeboten, wobei Big Data als Grundlage für solche Angebote dient. Gerade über die Datenanalyse und deren Weiterverwendung generiert sich der den Daten zugeschriebene Wert. Der App-Anbieter schöpft zusammengefasst mit der Datenerhebung vom Nutzer einen Wert. Denn bei solchen datenfinanzierten Diensten entsteht vor allem durch die Datenaggregation ein ökonomischer Gewinn, da die Daten durch die Aggregation auf dem Sekundärmarkt veräußert werden können. Die Daten werden also als Ware monetarisiert und bilden den Gegenwert zur Nutzungsmöglichkeit der App. cc) Die Preisgabe der Daten Der Anreiz für die Preisgabe personenbezogener Daten liegt für den Nutzer darin, dass ihm die Verwendungsmöglichkeiten des datenfinanzierten Angebots, die technischen Infrastruktur für Kommunikation, damit verbundene Netzwerk­effekte 100 Kugelmann, DuD 2016, 566 (566); Müller / Flender / Peters, in: Buchmann, Internet ­Privacy, S. 143 (145); Specht, GRUR Int. 2017, 1040 (1040); hierzu kritisch Bunnenberg, P ­ rivates Datenschutzrecht, S. 267. 101 Müller / Flender / Peters, in: Buchmann, Internet Privacy, S. 143 (146 f.). 102 Moos, K&R Beihefter 3/2015, 12 (12).

§ 2 Die Relevanz datenfinanzierter Angebote

49

oder sonstige Verwendungen kostenlos zur Verfügung gestellt werden.103 Von datenfinanzierten Angeboten profitieren dementsprechend nicht nur App-Anbieter und Plattformbetreiber, sondern potentiell auch (App-)Nutzer und Werbekunden. Die Verfügbarkeit personenbezogener detaillierter Daten erlaubt eine personalisierte, also auf die Zielgruppe zugeschnittene Werbeschaltung, die im Optimalfall für die Werbekunden zu einer höheren Kaufbereitschaft führt. Nutzer können dagegen neben der Nutzung des kostenlosen Angebots mit Werbung konfrontiert werden, die näher an ihren Präferenzen liegt und somit eher einen Mehrwert bietet.104 Im Gegenzug ergibt sich durch die Preisgabe personenbezogener Daten auf digitalen Märkten neben Geld und Aufmerksamkeit für Werbung damit ein weiterer hedonischer Preis: Der Zugriff auf Informationen, Produkte und Dienstleistungen durch die Nutzung des datenfinanzierten Angebots gewährt als Gegenwert persönliche Informationen über ihre Nutzer. Diese geben dem App-Anbieter, dem Plattformbetreiber und ggf. Dritten Aufschluss über ihr Verhalten und ihre Eigenschaften.105 dd) Die Problematik der Kostenfreiheit Eine Grundproblematik, die die Preisgabe der Nutzerdaten zur Folge hat, liegt in der fehlenden Zahlungsbereitschaft vieler Nutzer für diese digitalen Angebote. Wenn ein Angebot auch monetär kostenlos erlangt werden kann, werden dafür bereitwillig die personenbezogenen Daten als Entgelt preisgegeben.106 Die Werthaftigkeit der preisgegebenen Daten wird in aller Regel vom Nutzer nicht berücksichtigt. Er nutzt die Angebote vorwiegend aufgrund ihres vermeintlich kostenlosen Mehrwerts, welcher vor allem die Bequemlichkeit im Alltag unterstützt, während wohl nur die wenigsten Nutzer die technischen Gegebenheiten und Folgen ihrer Nutzung vollständig verstehen – was von einem Verbraucher wohl auch nur schwerlich zu erwarten sein kann.107 Möglicherweise ist dem Nutzer zwar der Wert der aggregierten Daten bewusst, doch ist es ihm zumindest unmöglich nachzuvollziehen, wie diese genau generiert und weiterverwendet werden.108 103 Kilian, in: Garstka / Coy, Wovon – für wen – wozu, Systemdenken wider die Diktatur der Daten, S. 195 (199). 104 Dewenter / Lüth, in: Körber / Immenga, Daten und Wettbewerb in der digitalen Ökonomie, S. 9 (11); Vesting, in: Lauder, Innovationsoffene Regulierung des Internet, S. 155 (166). 105 Dewenter / Lüth, in: Körber / Immenga, Daten und Wettbewerb in der digitalen Ökonomie, S. 9 (10). 106 Kilian, in: Garstka / Coy, Wovon – für wen – wozu, Systemdenken wider die Diktatur der Daten, S. 195 (201). 107 Müller / Flender / Peters, in: Buchmann, Internet Privacy, S. 143 (151). S. hierzu auch ­Engels, Datenschutzpräferenz von Jugendlichen in Deutschland, S. 11 ff. 108 Buck / Germelmann / Eymann, in: Schmidt-Kessel / Langhanke: Datenschutz als Verbraucherschutz, S. 49 (56); Gonzáles Fuster / Scherrer, Big Data and smart devices and their impact on privacy, S. 20 f.

50

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

Das Informationsdefizit wird im mobilen App-Kontext aufgrund seiner spezifischen Besonderheiten noch verstärkt. Viele Apps adressieren für die Nutzer eher kleine Aufgabenbereiche und aufgrund der überschaubaren Funktionalitäten generieren die einzelnen Apps zum Teil nur relativ geringe Datenmengen.109 Über die vielen verschiedenen genutzten Apps summiert sich die Datenpreisgabe allerdings. Durch Nutzung von Apps in Alltagsituationen und den Systemzugang über die Kennung eines einzelnen personalisierten Smartphones können die vermeintlich voneinander unabhängigen Daten einem Nutzer zugeordnet werden, weshalb durch eine spätere Aggregation der Daten je nach Umfang der Datensätze ein detailliertes Nutzerprofil erschaffen werden kann.110 Der Aggregation wird durch einen Weiterverkauf auf dem Datenmarkt noch verstärkt, so dass aus einzelnen Daten schlussendlich handelbare Nutzerprofile erstellt werden können. Buck / Germelmann / Eymann sprechen deshalb aufgrund der jeweiligen nur punktuellen Datenpreisgabe einzelner Apps von einer „Verniedlichung“ der Datenerhebung. Der tatsächliche Umfang der aggregierten Datenerhebung sei aufgrund mangelnden technischen Wissens für die Nutzer hingegen nicht erkennbar.111 Es kommt letztlich häufig zu einer Asymmetrie zwischen von den Nutzern preisgegebenen Daten und dem Nutzen für den Anbieter bzw. den Dritten, der Zugriff zu den Daten erhält. Die Annahme, dass den einzelnen Daten einer – vermeintlich eigenständigen – App keine gesonderte Bedeutung zugemessen wird, erscheint schon aus der heute selbstverständlichen Nutzung von Apps sachgerecht. So finden sich auf modernen Smartphones eine Vielzahl verschiedener Apps, die jeweils nur einen kleinen Aufgabenbereich abdecken. Dass den daraus gewonnenen Daten durch die spätere Aggregation ein gesonderter, handelbarer Wert zukommt, wurde oben dargelegt. Somit stellen vor allem die Datenaggregation und der Weiterverkauf auf die datenschutzrechtliche Vertretbarkeit zu prüfende Einzelaspekte dar. Diese Problematik verstärkt sich durch die Art der Datenerhebung der verschiedenen einzelnen Apps noch zusätzlich. Laut einer Studie des Computer-Magazins c’t leiten die meisten Apps für Android-Geräte Nutzerdaten systematisch an Werbeserver und andere Adressen weiter.112 Gerade bei „kostenlosen Apps“ findet häufig eine sehr weitreichende Forderungen hinsichtlich des Zugriffs auf sensible Bereiche in den Endgeräten (Kontakte, E-Mails, Foto-, Video- und Musikbibliothek etc.) statt.113 So verlangen viele Apps etwa Zugriff auf diese persönlichen Standortdaten, wodurch die gesammelten Daten Rückschlüsse auf Wohn- und 109

Buck / Germelmann / Eymann, in: Schmidt-Kessel / Langhanke: Datenschutz als Verbraucherschutz, S. 49 (60). 110 Barczok, c’t 9/2015, 122 (124). 111 Zum Ganzen Buck / Germelmann / Eymann, in: Schmidt-Kessel / Langhanke: Datenschutz als Verbraucherschutz, S. 49 (60 f.). 112 Barczok, c’t 9/2015, 122 (124 f.). 113 Becker, JZ 2017 170 (171).

§ 2 Die Relevanz datenfinanzierter Angebote

51

Arbeitsort sowie auf Freizeitaktivitäten zulassen, selbst wenn diese Informationen mit dem eigentlichen Anwendungsbereich der App nichts zu tun haben. Diese Daten können von großen Anbietern oder auf dem Datenmarkt wiederum zu vertiefen Rückschlüssen über die Nutzer hinsichtlich passgenauer Werbung oder Angeboten genutzt werden. Auf diese Problematik wird bei der datenschutzrecht­ lichen Bewertung näher einzugehen sein. Sowohl Navigations-App A wie auch Messenger-Dienst B könnten Zugriff auf die Standortdaten und die Kontaktliste des Nutzers verlangen. Ist es für die Navigations-App zur Ausführung ihrer Funktion zwingend nötig, Zugriff auf die Standortdaten des Nutzers zu haben, gilt dies nicht für die Nutzung des Messenger-Dienstes B. Beim Zugriff auf die Kontaktdaten des Nutzers verhält es sich bei den beiden datenfinanzierten Angeboten genau anders herum.

ee) Die Relevanz einer Abgrenzung datenfinanzierter Angebote Anhand dieser Ausführungen lässt sich Näheres über die Praktikabilität und Relevanz einer Abgrenzung datenfinanzierter Angeboten zu sonstigen Apps- oder Softwareprodukten hinsichtlich der Datenverwendung aussagen. Betrachtet man die Fülle digitaler Angebote, lassen sich durchaus Argumente einwenden, die gegen die Relevanz einer Abgrenzung von datenfinanzierten Angeboten zu anderen Angeboten sprechen. Denn wie sich aus den verschiedenen Formen kostenloser digitaler Angebote zeigt, kommt das „Bezahlen mit Daten“ nicht nur in Reinform vor. Werbefinanzierung und In-App-Transaktionsmöglichkeiten stellen ebenfalls potentielle Gründe dar, warum ein digitales Angebot kostenfrei angeboten werden und trotzdem wirtschaftlich sein kann. Gerade bei kostenlosem Download mit späteren In-App-Verkäufen kann nicht von einer Datenfinanzierung gesprochen werden. Bei solchen Angeboten besteht die Möglichkeit, innerhalb der App weitere Rechtsgeschäfte abzuschließen, etwa um erweitere App-Funktionen oder virtuelle Güter zu erhalten.114 Sehr häufig bestehen solche In-App-Kaufmöglichkeiten bei Mobile Games, die zwar kostenlos erworben werden können, durch den In-App-Verkauf aber Individualisierungsmöglichkeiten und Spielhilfen anbieten. Diese Erwerbsmöglichkeit spielt datenschutzrechtlich zwar keine Rolle, jedoch besteht insoweit eher Interesse an einer tatsächlichen späteren Monetarisierung als am Erhalt der Daten als Gegenleistung. Da bei solchen Transaktionsmöglichkeiten die spätere Monetarisierung im Fokus steht, handelt es sich hierbei gerade nicht um datenfinanzierte Angebote. Stattdessen wird die Dienstleistung zunächst kostenfrei zur Verfügung gestellt, damit der Kunde später „freiwillig“ innerhalb der App Geld ausgibt. Selbst bei solchen Angeboten, die als rein „datenfinanziert“ zu klassifizieren sind, bringen Nutzer neben der Preisgabe ihrer Daten dem Dienst zusätzlich Auf 114

Klein / Datta, CR 2016, 587 (587).

52

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

merksamkeit entgegen, womit – wie bei klassischen werbefinanzierten Angeboten  – ein Raum für Werbeplätze geschaffen wird. Diese dem Dienst entgegen­ gebrachte Aufmerksamkeit stellt bei datenfinanzierten Angeboten also neben den übermittelten Daten einen zweiten Gegenwert dar. Das vielfach verwendete Buzzword von Daten als „eigene und neue Währungsform“, welches meist ohne genauere Erörterung als gegeben vorausgesetzt wird, greift bei der Betrachtung der Werthaftigkeit von Daten daher wohl etwas zu weit. Gegen eine solche Annahme als klassische Währung, spricht schon die Individualität einzelner Daten(-sätze): Während eine monetäre Währung überall auf der Welt einen mehr oder minder gleichen Wert und die gleiche Nutzung hat, gibt es bei Daten unendlich viele Möglichkeiten, diese anzuordnen und auszulesen, wodurch sich der Wert von Datensätzen nur in bestimmten Kontexten ergibt.115 Die Frage, ob eine Bezeichnung von Daten „als Währung“ gerechtfertigt ist, berührt allerdings die Relevanz datenfinanzierter Angebote überhaupt nicht. Die generelle / abstrakte Werthaftigkeit von Daten und die damit verbundene Prämisse der Bedeutung datenfinanzierter Angebote ist nach den obigen Ausführungen wohl nur schwerlich zu verneinen. Ferner stehen den obigen Argumenten, die eher gegen die Notwendigkeit einer Abgrenzung von datenfinanzierten Angeboten sprechen, gewichtige Gründe entgegen. Bei datenfinanzierten Angeboten schmälert die zusätzliche Schaffung von Werbeplätzen nicht die Bedeutung der Datenpreisgabe an sich. Viele der datenfinanzierten Angebote erheben die Daten zwar auch, um das Werbeangebot zu personalisieren und zu verbessern. Hierbei findet aber anders als bei rein werbefinanzierten Angeboten zusätzlich ein Zugriff auf die Nutzerdaten statt, um diese Verbesserung zu ermöglichen. Das Ziel – Einnahme von Werbeerlösen – mag also das gleiche sein, datenfinanzierte Angebote gehen in ihrer Funktionsweise aber weiter, indem sie zur Ermöglichung von Werbeerlösen die Nutzerdaten auswerten, aggregieren oder sogar am Datenmarkt bzw. an die einzelnen Werbetreibenden verkaufen, wodurch personalisierte Werbung entwickelt und erstellt werden kann. Es wird also im Gegensatz zu reiner Werbefinanzierung bedeutend stärker in Rechtsgüter des Nutzers eingegriffen. Darüber hinaus existieren datenfinanzierte Angebote – wie die Telematik-Tarife bei Versicherungen. Bei diesen stellt die Preisgabe von Daten ein direktes Substitut für eine monetäre Leistung dar – im eben genannten Bespiel in Höhe der Reduzierung der Versicherungsprämie durch die Preisgabe von Daten. Datenfinanzierte Angebote nutzen also die Nutzerdaten, um hieraus direkt (etwa bei Versicherungs-App) oder indirekt – etwa durch Verkauf der Datensätze oder eigene Personalisierung des Werbeangebots und damit höhere Werbeerträge  – einen wirtschaftlichen Gegenwert zu generieren. Die Datengewinnung dient also 115

So auch Spitz, Daten – Das Öl des 21. Jahrhunderts?, S. 38.

§ 2 Die Relevanz datenfinanzierter Angebote

53

nicht einzig dem geschalteten Marketing, sondern eröffnet noch viel weitreichendere Möglichkeiten. Daten fungieren insofern als Gegenleistung, mit der für die Nutzung von Diensten bezahlt werden kann; Daten stellen also ein nicht-monetäres Zahlungsmittel und insoweit die – oder zumindest eine – Gegenleistung für die Nutzung der monetär kostenfreien Angebote dar. Als Folge dieser Werthaftigkeit der Daten haben sich datenfinanzierte Angebote in Form von Apps, Web-Apps und Software entwickelt, deren Dienste gegen Preisgabe der Nutzerdaten angeboten werden. Aufgrund der dargestellten Probleme um die Preisgabe der Daten mit häufig vorliegenden Informations-Asymmetrie erscheint auch eine gesonderte rechtliche Untersuchung datenfinanzierter Angebote geboten. 2. Legislative Berücksichtigung durch die Richtlinie (EU) 2019/770 Datenfinanzierte Angebote sind unter ähnlicher Bezeichnung auch Gegenstand legislativer Bestrebungen auf europäischer und nationaler Ebene. Die Europä­ ische Kommission schlug diesbezüglich zunächst den Richtlinie-Entwurf über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte vor.116 Nachfolgend veröffentlichte der Rat der Europäischen Union eine allgemeine Ausrichtung als vorgeschlagene Kompromissfassung117 und das Parlament der Europäischen Union ein sich mit dem Richtlinien-Entwurf auseinandersetzenden Bericht118, die jeweils einige Änderungswünsche gegenüber dem ursprünglichen Entwurf enthielten, sich von diesem aber nicht grundlegend unterschieden. Schlussendlich wurde der Vorschlag als Richtlinie (EU) 2019/770119 am 20. Mai 2019 verabschiedet und trat gem. Art. 26 auch sofort nach deren Veröffentlichung in Kraft. Die Richtlinie wurde zum 1. Januar 2022 in Titel 2a des BGB (§§ 327– 327u) in nationales Recht umgesetzt.120

116 Vorschlag für eine Richtlinie COM (2015) 634 final des Europäischen Parlaments und des Rates vom 9. 12. 2015 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte. 117 Interinstitutionelles Dossier 2015/0287 (COD) des Rats der Europäischen Union vom 1. 7. 2017. 118 Bericht A8-0375/2017 des Europäischen Parlaments vom 27. 11. 2017 über den Vorschlag für eine Richtlinie des Europäischen Parlamentes und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte. 119 Richtlinie (EU) 2019/770 des Europäischen Parlaments und Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen. 120 Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen vom 25. 6. 2021, BGBl I S. 2123.

54

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

a) Die Bereitstellung digitaler Inhalte Die Richtlinie normiert vertragsrechtliche Anforderungen an Verträge über die Bereitstellung digitaler Inhalte an Verbraucher und soll so Rechtssicherheit in einem sich schnell entwickelnden digitalen Binnenmarkt schaffen.121 Dazu behandelt die Richtlinie zivilrechtliche Aspekte für digitale Inhalte, deren Regelungsgehalt für diese Arbeit nicht von Bedeutung ist.122 Interessant ist hingegen der Anwendungsbereich des Richtlinien-Vorschlags. Dieser umfasste im Richtlinienentwurf COM (2015) 634 sachlich gemäß Art. 3 Nr. 1 „alle Verträge, auf deren Grundlage ein Anbieter einem Verbraucher digitale Inhalte bereitstellt oder sich hierzu verpflichtet und der Verbraucher als Gegenleistung einen Preis zahlt oder aktiv eine andere Gegenleistung als Geld in Form personenbezogener oder anderer Daten erbringt.“ In der Endfassung der Richtlinie wurde diese Wortwahl des Anwendungs­ bereichs in Art. 3 Abs. 1 UAbs. 1.2 zwar geringfügig verändert. Weiterhin umfasst der Anwendungsbereich der Richtlinie aber die Bereitstellung digitaler Inhalte oder Dienstleistungen durch einen Unternehmer, bei denen anstelle der Zahlung eines Preises „der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder deren Bereitstellung zusagt.“ Trotz der Veränderung verbleibt hierdurch die Wertung eindeutig, dass die Bereitstellung von Daten eine Form der Gegenleistung darstellen kann, welche eine Geldzahlung ersetzt. Der Anbieter stellt bei dem geregelten Vertragstyp dieser Definition nach „digitale Inhalte“ bereit. Bei solchen handelt es sich nach Art. 2 Nr. 1 der Richtlinie um Daten, die in digitaler Form erstellt und bereitgestellt werden. Ferner sind gem. Art. 2 Nr. 2 digitale Dienstleistungen umfasst, die die Erstellung, Verarbeitung oder Speicherung von Daten (lit. a)) oder die gemeinsame Nutzung und Interaktionen mit den Daten Dritter ermöglichen (lit. b)). Mit dieser sehr weitreichenden Definition werden verschiedene Vertragstypen (im Einzelnen Kauf-, Werk- und Dienstleistungsverträge)  zusammengefügt und gleichzeitig praktisch alle in digitaler Form bereitgestellten Dienste und Angebote erfasst, von Musik-Downloads, über Cloud-Dienste, Datenbanken bis hin zu sozialen Netzwerken und Suchmaschinen.123 Dieser sehr weite Definitionsrahmen digitaler Inhalte umfasst auch die in dieser Arbeit untersuchten App- und Softwareangebote. Aufgrund eines anderen Themenzuschnittes im Vergleich zum Richt­ 121

Vgl. Art. 1 und ErwG 1, 4–7 der Richtlinie (EU) 2019/770. Vertiefend zum sonstigen Inhalt der Richtlinie sowie deren Veränderungen im Gesetz­ gebungsprozess Linardatos, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 506; Spindler / Sein, MMR 2019, 415. Kritisch zum Entwurf Härting, CR 2016, 735. 123 Richtlinien ErwG 19; Spindler, MMR 2016, 147 (147 f.). 122

§ 2 Die Relevanz datenfinanzierter Angebote

55

linien-Vorschlag erscheint die vorliegend vorgenommene Bildung des Oberbegriffs datenfinanzierter Angebote jedoch sachgerecht, da nicht jedwede denkbare Form digital verfügbarer Inhalte (datenschutzrechtlich) untersucht, sondern der Fokus auf die beschriebenen Apps gelegt werden soll. b) Die nationale Umsetzung der Richtlinie National findet sich eine zum Wortlaut der Richtlinie gleichlautende Fassung in § 327 Abs. 3 BGB. Danach sind die Die Vorschriften der §§ 327–327u BGB auch auf Verbraucherverträge über die Bereitstellung digitaler Produkte anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten „bereitstellt oder sich zu deren Bereitstellung verpflichtet“. Ausgenommen werden hiervon nach §§ 327 Abs. 3 S. 2, 312 Abs. 1a S. 2 BGB lediglich solche Verarbeitungen, bei denen der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet. c) Die Erhebung von Daten als Gegenleistung Die Bedeutung der Richtlinie für diese Arbeit erschließt sich vor allem durch die vom Nutzer124 zu erbringende Gegenleistung. So wird vom Anwendungsbereich neben einer klassischen (monetären) Zahlungsverpflichtung nach Art. 3 Abs. 1 UAbs. 1 auch eine Erhebung personenbezogener Daten des Nutzers als Gegenleistung berücksichtigt, vgl. Art. 3 Abs. 1 UAbs. 2.125 In Erwägungsgrund 13 des Richtlinien-Vorschlags wurde noch ausdrücklich darauf hingewiesen, dass in der digitalen Wirtschaft die Information über Einzelpersonen einen immer mehr mit Geld vergleichbaren Wert haben, so dass für die Gewährung des Zugangs zu personenbezogenen oder sonstigen Daten digitale Inhalte als Gegenleistung zur Verfügung gestellt werden. Weitergehend hatte die Kommission festgestellt, dass eine solche datenbasierte Form der Gegenleistung in weiten Teil des relevanten Marktes vorkommt, womit der Thematik eine gewisse Relevanz zukommt. Von dieser eindeutigen Interpretation von Daten als Zahlungsmittel wird in der Richtlinien-Endfassung in Erwägungsgrund 24 nun abgewichen, da personen 124 Die Richtlinie grenzt den persönlichen Anwendungsbereich auf Verbraucher ein, vgl. Art. 3 Abs. 1. 125 Zu den Folgen dieses Austauschverhältnisses im Privatrecht Linardatos, in: Specht-­ Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 506 (518 ff.). Ablehnend zur Einordnung als Gegenleistung Bunnenberg, Privates Datenschutzrecht, S. 259.

56

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

bezogene Daten grundrechtlich geschützt seien und so nicht als Ware betrachtet werden könnten. Dass die Preisgabe von Daten aber die faktische Gegenleistung des Vertrags darstellt, wird in Erwägungsgrund 24 nach wie vor anerkannt und berücksichtigt. Darüber hinaus würde die Einführung einer Differenzierung nach Zahlungsweisen gem. Erwägungsgrund 23 zu einer diskriminierenden Unterscheidung zwischen verschiedenen Geschäftsmodellen führen. Unternehmen böte sich der ungerechtfertigte Anreiz, digitale Inhalte vermehrt gegen Daten anzubieten, weshalb von einer Differenzierung abzusehen sei. Damit bekräftigt die Richtlinie die Neutralität verschiedener Vertriebswege und stellt die datenfinanzierte Zahlungsweise als gleichwertige Alternative neben eine „klassische“ monetäre Gegenleistung.126 Die dem Richtlinien-Vorschlag zugrundeliegende Definition von Verträgen, bei denen „der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder deren Bereitstellung zusagt“, beschreibt mithin das gleiche Geschäftsmodell wie das als „datenfinanziert“ beschriebene dieser Arbeit. Ferner deckt sich die in den Erwägungsgründen zum Ausdruck gebrachte Ansicht der Kommission, wonach den personenbezogenen Daten ein ökonomischer Mehrwert innewohnt, mit den obigen Ausführungen zur Bedeutung von Daten. d) Folgen für den Begriff der datenfinanzierten Angebote Die Definition von digitalen Inhalten ist in der Richtlinie und der nationalen Umsetzung sehr offen gestaltet und weitreichender als die in dieser Arbeit untersuchten App- und Softwareangebote. Mit dem legislativen Vorstoß zeigt sich aber, dass das Phänomen „Daten als Gegenleistung“ bereits legislative Berücksichtigung erfahren hat und darin solche Vertriebsmodelle als gleichwertig zur „klassischen“ monetären Vertriebsstruktur angesehen werden. Für die Datenfinanzierung wird im Richtlinien-Vorschlag die recht umständliche, technisch anmutende Bezeichnung der Gegenleistung durch „Bereitstellung personenbezogener Daten“ anstelle der Zahlung eines Preises verwendet. Für eine prägnantere Begrifflichkeit und somit bessere Verständlichkeit wird auch folgend im Rahmen dieser Arbeit der Terminus „datenfinanziertes Angebot“ (bzw. „Apps“) verwendet, der gleichwohl die gleiche Zielrichtung wie das Austauschverhältnis digitaler Inhalte gegen Bereitstellung von personenbezogenen Daten hat. Art. 3 Abs. 8 sowie die Erwägungsgründe 38, 48 stellen allerdings klar, dass die Richtlinie (EU) 2019/770 das in der DSGVO normierte Datenschutzrecht nicht berührt. Mithin verbleiben bei datenfinanzierten Angeboten die datenschutzrechtlichen Fragstellungen, die in Teil 2 näher betrachtet werden sollen.

126

Staudenmayer, NJW 2016, 2719 (2720).

§ 2 Die Relevanz datenfinanzierter Angebote

57

3. Absolute und relative Rechte an Daten Neben diesen legislativen Veränderungen hat sich eine weitreichende Debatte in der rechtwissenschaftlichen Literatur über absolute und relative Rechte an Daten entwickelt. Im Detail geht es um die Fragen, inwieweit Ausschließlichkeitsrechte an Daten bestehen, wie Daten vermögensrechtlich zu bewerten und wie sie konkreten Personen zuzuordnen sind sowie um die Frage, wie sich die Preisgabe von Daten auf zivilrechtliche Schuldverhältnisse auswirkt. Zu diesen Punkten hat sich in letzter Zeit ein enormes Meinungsspektrum entwickelt, das für diese Themen an sich schon die Erstellung eigener Monografien eröffnet. Mit dem Fokus dieser Arbeit auf eine datenschutzrechtliche, d. h. öffentlich-rechtliche Betrachtung datenfinanzierter Angebote wäre dementsprechend eine zu umfangreiche Erörterung dieser hiervon eigenständigen und abgrenzbaren Debatten verfehlt, zumal die hierbei erörterten Fragen größtenteils zivilrechtlich geprägt sind. Ferner verliefe eine vertiefte Auseinandersetzung mit diesen Themen zu umfangreich und würde so die auf einer datenschutzrechtlichen Bewertung liegende Schwerpunktsetzung dieser Arbeit verwässern.127 Gleichwohl soll an dieser Stelle ein kurzer Überblick zu den Fragen des Datenschuldrechts und Dateneigentums gegeben werden, soweit diese Fragen die Werthaftigkeit von Daten berühren. Hierdurch ließe sich die Grundannahme dieser Arbeit, dass aufgrund der Bedeutung von Daten eine umfangreiche Untersuchung datenfinanzierte Angebote notwendig und zielführend ist, weiter bekräftigen. a) Die Debatte um das sog. Dateneigentum Im Rahmen der vermögensrechtlichen Bewertung und Zuordnung von Daten stellt sich die Frage, ob absolute Rechte an digitalen Daten bestehen können, etwa in Form eines Dateneigentums. Diese Frage wird anhand der aktuellen Gesetzes­ lage weitgehend abgelehnt.128 So wird darauf abgestellt, dass der klassische privatrechtliche Eigentumsbegriff des § 903 BGB auf Sachen abstellt und diese Sacheigenschaft bei Daten ohne Verkörperung auf einem Datenträger gerade nicht vorliegt. Gleichwohl weist das geltende Recht zahlreiche Bestimmungen auf, die Zugriffs- und Schutzmöglichkeiten von Daten normieren. So werden über Zivil- und Strafrecht zahlreiche Regelungen geschaffen, um Daten unabhängig ihres Inhalts vor unberechtigten Eingriffen zu schützen.

127

Für eine vertiefende Analyse etwa Röttgen, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 371; Walker, Die Kosten kostenloser Dienste, S. 78 ff. m. w. N. 128 Vgl. etwa Kühling / Sackmann, ZD 2020 24 (25) m. w. N.

58

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

Bezieht man den Inhalt der jeweiligen Daten mit ein, greifen zusätzlich Datenschutz-, Urheber- und Wettbewerbsrecht zum Schutz der Daten, da über diese Regelungen eine Zuordnung der Daten zu einzelnen Rechtsträgern stattfindet. Über das Urheberrecht werden Daten mittelbar hinsichtlich ihres Inhalts und die darin liegende geistige Schöpfung geschützt, wobei hierüber auch explizit Datenbanken und Datenbankwerke geschützt sind. Die Datenbestände von Unternehmen werden darüber hinaus über das UWG abgesichert, welches Geschäfts- und Betriebsgeheimnisse des Unternehmens gewährleistet. Die Zuordnung von Daten zu natürlichen Personen über das Datenschutzrecht und die sich hieraus ergebenden Rechte der betroffenen Personen werden als Teil der datenschutzrechtlichen Analyse nachfolgend in Teil 2 ausführlich erörtert. Diese zahlreichen und sehr verschiedenen Zugriffs- und Schutznormen werden als Argument dafür herangezogen, dass es ohne Lücken in diesem Regelungsrahmen keines speziellen Dateneigentums bedarf, da der Schutz von und die Verfügungsrechte über Daten ohnehin hinreichend gewährleistet sind. Ohne ein bestehendes, absolutes Recht an Daten bleibt jedoch offen, ob und inwieweit es eines solchen bedarf, um die Generierung von Daten und den Datenhandel zu fördern.129 So besteht etwa der Vorschlag der Europäischen Kommission ein sog. „Recht des Datenerzeugers“ einzuführen, welches ein Ausschließlichkeitsrecht der Daten zur Folge hätte.130 Andere Ansätze bevorzugen eine Stärkung des Wettbewerbsrechts hinsichtlich Daten, um hierüber taugliche Zuweisungsrechte zu erhalten131, oder treten für die Stärkung des „Datenbesitzes“132 oder eine Ökonomisierung der Daten über das datenschutzrechtliche Instrument der Einwilligung ein.133 b) Die Auswirkungen auf datenfinanzierte Angebote Für datenfinanzierte Angebote wird aus diesem kurzen Überblick deutlich, dass gerade die durch den App-Anbieter generierten Daten einen potentiellen Schutz über das Urheber- und Wettbewerbsrecht erfahren. Wie das Datenschutzrecht Einfluss auf die Daten auf Nutzer- und Anbieterseite nimmt, soll als mitumfasster Schwerpunkt dieser Arbeit an späterer Stelle Beachtung erfahren.

129 Zu dieser Frage vertiefend Buchner, ZGE 2017, 416; Denga, NJW 2018, 1371; Determann, ZD  2018, 503; Dewenter / Lüth, ABIDA  – Datenhandel und Plattformen, S. 41 ff.; Kühling /  Sackmann, ZD 2020, 24; Müller, DuD 2019, 159; Riechert, DuD 2019, 353. 130 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen „Aufbau einer Europä­ ischen Datenwirtschaft“, COM(2017) 9 final, S. 14. Hierzu Zech, ZGE 2017, 317. 131 Vgl. etwa Drexl, NZKart 2017, 339; ders. NZKart. 2017, 415; Schweitzer / Peitz, NJW 2018, 275. 132 Hoeren, MMR 2019, 5. 133 Kühling / Sackmann, ZD 2020, 24 (29 f.).

§ 2 Die Relevanz datenfinanzierter Angebote

59

Gerade die noch offenen Fragen über die relative und absolute Zuordnung der Daten verdeutlichen jedoch wiederum, dass den Daten im digitalen Kontext eine enorme Bedeutung innewohnt. Insoweit käme es nicht zu einer solch vielseitigen Debatte mit sehr verschiedenen Ansätzen zur Regulierung von Daten und deren Zuordnung zu Rechteinhabern, läge in dieser Zuordnung der Daten nicht selbst bereits eine grundsätzliche Bedeutung und ein enormer Wirtschaftsfaktor. Daran anknüpfend erscheint aus rechtlicher Sicht gerade die Betrachtung von solchen Angeboten und Diensten, die datenfinanziert ihre Werthaftigkeit aus der Gewinnung von Nutzerdaten schöpfen, in jedem Falle zielführend und erkenntnismehrend. 4. Zwischenergebnis Bei datenfinanzierten Angeboten wird durch die Datenerhebung vom Nutzer und vor allem durch die Datenaggregation ein ökonomischer Wert geschaffen, der einen (entgeltfreien) Austauschvertrag von IT-Dienstleistungen gegen die Datenpreisgabe rechtfertigt. Diese Bewertung wird durch die Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte bestärkt, erkennt diese legislativ doch erstmals ausdrücklich die Funktion von Daten als Gegenleistung an. Auch die rechtswissenschaftliche Diskussion um die schuld- und vermögensrechtliche Bewertung von Daten zeigt die wachsende Bedeutung der Daten als Wirtschaftsgut, ohne die eine solch umfangreiche Debatte um diese Bewertung nicht notwendig wäre. Dieses Ergebnis deckt sich mit der Lebenswirklichkeit, in der datenfinanzierte Angebote schon seit Längerem zum Alltag gehören.134 Auch medial finden solche datenbasierten Austauschverhältnisse schon seit geraumer Zeit Anerkennung.135 Ferner deckt sich die Einordnung mit der der Bewertung diverser Datenschutz­ beauftragten und Forscher, die schon seit einiger Zeit ein Leistungsverhältnis „ITDienstleistung gegen Daten“ propagieren.136 Die faktische Werthaftigkeit von Daten ermöglicht datenfinanzierte Geschäftsmodelle, bei denen die Datenpreisgabe als Entgelt die monetäre Gegenleistung er 134

Hierzu bereits 2012 eingängig Bräutigam, MMR 2012, 635 (635). So etwa in Bethge et al., Die fantastischen Vier, Der Spiegel v. 5. 12. 2012, S. 70 (75); Dworschak / Rosenbach / Schmundt, Planet der Freundschaft, Der Spiegel v. 7. 5. 2012, S. 124 (127); Kreye, Facebooks erdichtete Weltanschauung, SZ v. 1. 2. 2012, abrufbar unter: www. sueddeutsche.de/digital/soziales-netzwerk-vor-dem-boersengang-facebooks-erdichtete-weltan schauung-1.1271488; Peitz, Unsere Daten müssen wir selbst schützen, Zeit-online v. 23. 5. 2018, abrufbar unter: www.zeit.de/digital/datenschutz/2018-05/dsgvo-datenschutz-nutzer-internetfacebook. 136 So wohl beginnend die kanadischen Behörden, vgl. Denham, Report of Findings into the Complaint filed by the Canadian Internet Policy and Public Interest Clinic [CIPPIC] against Facebook Inc., Rn. 131 ff. Ferner Data Protection Commissioner Ireland, Report of Audit – Facebook Ireland Ltd v. 21. 2. 2011, S. 4; Roßnagel et al., Datensparsamkeit oder Datenreichtum?, S. 3. 135

60

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

setzt. Dass die tatsächliche Monetarisierung der Daten für den App-Anbieter oft erst auf dem Sekundärmarkt stattfindet, ist für diese Bewertung unerheblich.137 Mithin erscheint eine Klassifizierung von datenfinanzierten Angeboten als selbstständige Gruppe von kostenlosen digitalen Angeboten sinnvoll und sachgerecht, was wiederum eine gesonderte rechtswissenschaftliche Analyse solcher Angebote rechtfertigt. Dabei legt die bei diesen Diensten im Mittelpunkt stehende Datenerhebung und -nutzung vor allem eine gesonderte datenschutzrechtliche Bewertung nahe. Denn für die monetär kostenfreien Angebote geben die Nutzer zumeist bereitwillig ihre Daten preis, wobei häufig ein Informationsdefizit über den Umfang und die Bedeutung dieser Daten besteht. Hierauf ist hinsichtlich der Vereinbarkeit mit dem bestehenden Datenschutzregime ein besonderer Fokus zu legen. III. Die Kategorisierung datenfinanzierte Angebote Da der vorgeschlagene Oberbegriff „datenfinanzierte Angebote“ eher abstrakt ausfällt, bietet es sich zur besseren Greifbarkeit, Darstellung und Bewertung von datenfinanzierten Angeboten an, diese in verschiedene Kategorien einzuteilen. Anhand dieser kann nachfolgend eine zielgerichtete datenschutzrechtliche Analyse erfolgen, um so die jeweilige Gefährdungslage im Einzelnen näher beurteilen zu können. Hierbei stellt sich jedoch vorab die Frage, anhand welcher Merkmale solche Angebote kategorisiert werden könnten. Möglich wäre etwa eine Unterscheidung nach dem Inhalt der Angebote, deren (technischer) Verfügbarkeit, der Art der Datenerhebung oder aber der Art der Datenverarbeitung. 1. Der Inhalt der Angebote Die Kategorisierung könnte zunächst anhand des Inhalts der Apps und Programme stattfinden. Hiernach wäre die Einteilung daran festgemacht, was die Nutzer für die Preisgabe ihrer Daten inhaltlich erhalten – was also den Gegenwert für die Datenpreisgabe ausmacht. Kategorisiert werden könnten danach die verschiedenen inhaltlichen Formen von Apps, seien es Apps von sozialen Netzwerken, Apps zur Sicherheit des Browsers oder Anwendungsgeräts oder Apps für verschiedene Produkte wie etwa Telematiktarife von Versicherungen, für den Haushalt (Stichwort: Smart Home) oder etwa den öffentlichen Personennahverkehr. Eine solche Aufgliederung böte eine Vielzahl verschiedener rechtlicher Ansatzpunkte, gerade weil bei manchen Angeboten – wie dargestellt – noch andere Rechtsgebiete neben dem Datenschutz in die Bewertung miteinfließen könnten.

137

So hingegen Bunnenberg, Privates Datenschutzrecht, S. 266 ff.

§ 2 Die Relevanz datenfinanzierter Angebote

61

Die möglichen Inhalte von Apps sind allerdings beinahe unbegrenzt. Es bestehen Millionen verschiedener Apps und ihre Bandbreite ist enorm vielfältig138, was schon die erste Schwierigkeit für eine Kategorisierung nach diesem Ansatz darstellt. Diese Arbeit soll sich darüber hinaus gerade nicht mit den App-spezifischen Rechtsgebieten auseinandersetzen, sondern die allgemeine datenschutzrechtliche Vereinbarkeit datenfinanzierter Angebote näher erörtern. Mithin erscheint diese Art der Kategorisierung ungeeignet. 2. Die Zurverfügungstellung der Angebote Eine Zuordnung könnte auch über die Verfügbarkeit der Apps und Programme und den jeweiligen Anbieter stattfinden. So lässt sich bei den „kostenlosen“ datenfinanzierten Angeboten feststellen, dass sie über verschiedene Zugangswege erhältlich sind. Manche sind frei im Netz verfügbar, während andere auf (Vertriebs-) Plattformen wie dem Google Play Store, dem App Store von Apple oder sonstigen App-Stores angeboten werden. Zum Teil sind die datenfinanzierten Angebote auch über mehrere dieser Distributionswege erhältlich. Für die datenschutzrechtliche Bewertung kann insofern interessant sein, ob verschiedene Angebote eines Distributionsanbieters mit einander im Datenaustausch stehen. Zwar stammen viele der kostenfrei angebotenen Programme häufig von Drittunternehmen und unabhängigen Softwareentwicklern, dennoch müsste ein Datenaustausch über die jeweilige Entwicklungsplattform näher hinsichtlich seiner datenschutzrechtlichen Relevanz untersucht werden. Ansonsten ist die Kategorisierung nach dem Distributionsweg für die datenschutzrechtliche Bewertung jedoch wenig aussagekräftig, da sich hierdurch nicht verändert, welche Nutzerdaten für welche Zwecke von den Apps verarbeitet werden. Mangels genereller Aussagen über die datenschutzrechtliche Bewertbarkeit ist daher auch dieses Kriterium für die Kategorisierung nicht geeignet, wobei auf mögliche Probleme hinsichtlich des Datenaustausches an späterer Stelle einzugehen sein wird. 3. Die Art der Datenerhebung Als Kriterium könnte stattdessen die Art der Datenerhebung durch die App dienen. Hiernach ließe sich unterscheiden, ob eine Erhebung über eine manuelle Abfrage der Daten, Cookies, komplexe Algorithmen o.ä. erfolgt. Die Datenerhebung ist als Teil des vom Datenschutzrecht umfassten Verarbeitungsprozesses zwar für die datenschutzrechtliche Bewertung z. B. im Rahmen 138

Marly, Praxishandbuch Softwarerecht, Rn. 1145.

62

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

der Einwilligung von Bedeutung, die „technische“ Art des Verarbeitungswegs spielt – abgesehen davon, dass die Datenerhebung möglicherweise für den Nutzer nicht sichtbar stattfindet – für die datenschutzrechtliche Bewertung keine direkte Rolle, so dass die Art der Datenerhebung als Kategorisierungskriterium ebenfalls ungeeignet ist. 4. Die Art der Datenverarbeitung Anstatt ausschließlich die Datenerhebung in den Blick zu nehmen, erscheint es zielführender, die gesamte Datenverarbeitung und vor allem die Nutzung der Daten durch den App-Anbieter als Kriterium heranzuziehen. Wiederum ist hierbei zu beachten das der Begriff der Datenverarbeitung als Oberbegriff für alle datenbezogenen Verarbeitungsvorgänge verstanden wird, beginnend mit der Erhebung über verschiedene Speicherungs- und Organisationsschritte bis hin zur Auslese, Nutzung und Offenlegung der Daten. Die Datenverarbeitung kann je nach App sehr unterschiedlich ausfallen. Separiert man verschiedene Apps danach, wie sich der Verarbeitungsprozess der Daten gestaltet, wie die Daten genutzt werden und was mit ihnen geschieht, so ergeben sich möglichwiese unterschiedliche datenschutzrechtliche Rückschlüsse. Gleichzeitig ergeben sich aber möglicherweise auch Gemeinsamkeiten, die für eine abstrakte rechtliche Bewertung verwendet werden können. Somit erscheint dieses Kriterium als Kategorisierungsmaßstab durchaus geeignet, die Schwere verschiedener datenschutzrechtlicher Eingriffe herauszuarbeiten, soweit sich Gemeinsamkeiten und Unterschiede bei der Datennutzung und -verarbeitung feststellen lassen. Auf zweiter Stufe stellt sich die Frage, ob sich hierdurch praxistaugliche Abgrenzungen bestimmen lassen, mit denen die vielfältigen Formen der Datenverarbeitung in Kategorien zusammengefasst werden können. Die vorliegend gewählte Kategorisierung orientiert sich dabei aufsteigend am Umfang der Datenverarbeitung und deren Intensität für den Betroffenen, beginnend mit einem geringen Verarbeitungsumfang, gefolgt von immer umfangreicheren Verarbeitungsschritten. a) Kategorie I: Sofortnutzung der Daten Als erste Kategorie bietet sich die kurzfristige Verarbeitung der Daten ohne ihre (langfristige) Speicherung an. Hierbei werden die Daten erhoben, um anschließend sofort ausgelesen und genutzt zu werden. Bei einer solchen Datenverarbeitung dienen die Daten also lediglich zur Sofortnutzung, die in der Regel mit der Funktion der jeweiligen App im Zusammenhang steht, und werden nicht (langfristig) gespeichert. Häufig sind die erhobenen Daten dabei für die Funktionsfähigkeit des jeweiligen Angebots notwendig.

§ 2 Die Relevanz datenfinanzierter Angebote

63

Die Navigations-App A verwendet die Standortdaten des Nutzers – ermittelt über GPS, die IP-Adresse oder die Sensordaten des jeweiligen Geräts –, um diesen anhand des aktuellen Standorts zielgerichtet zu seinem Zielort lenken zu können. Messenger-Dienst B benötigt für die Kommunikation zwischen den Nutzern Zugriff auf die Kontaktdaten aus dem Adressbuch. Für Telefonie sind zusätzlich die Telefondaten über Telefon- und Geräte­ nummer notwendig

b) Kategorie II: Speicherung und Nutzung der Daten In die zweite Kategorie fallen darauf aufbauend Angebote, bei denen gerade eine längerfristige Speicherung stattfindet. Die Art und Weise, wie die Daten erhoben werden, spielt für die Kategorisierung zunächst keine Rolle. Wie zur Funktionsweise der Apps bereits beschrieben, ist eine Erhebung über den Rückgriff auf das Betriebssystem oder allgemeine Nutzerdaten, die Zugriffsmöglichkeit auf die Daten aus Teilen des Smartphones, aber auch durch die spezifische Datenerhebung innerhalb der App möglich. Beispielhaft ist hiervon auch die Datenerhebung durch Cookies in der eigenen (Web-)App umfasst. Sollten sich aus einer bestimmte Art der Datenerhebung allerdings datenschutzrechtliche Implikationen ergeben, ist auf diese an entsprechender Stelle einzugehen. Bei der anschließenden Nutzung ergibt sich zur ersten Kategorie der Unterschied, dass die Daten gespeichert werden und so intern weiterverarbeitet und genutzt werden können; die Daten­nutzung geht also über die direkte Ausführung der App hinaus. Im Gegensatz zur folgenden Kategorie muss die Verarbeitung allerdings innerhalb des Unternehmens des App-Anbieters selbst stattfinden. Die Daten werden also nicht an Dritte weitergegeben. Die möglichen Nutzungs- und (Weiter-)Verarbeitungsmöglichkeiten von Daten sind wie beschrieben vielseitig, so dass es insoweit Sinn ergibt, kategorisch auf die generelle Verarbeitung, Nutzung und Speicherung abzustellen. Gleichzeitig muss in der folgenden Analyse natürlich im Auge behalten werden, ob sich durch spezifische Vorgänge, wie die häufig stattfindende Datenaggregation oder durch ein spezielles Interesse an den Daten – sei es für die Erstellung von Kundenprofilen, für Werbung oder die Weiterentwicklung des eigenen Dienstes oder Algorithmus –, unterschiedliche datenschutzrechtliche Bewertungen ergeben können. Sollten sich durch die spezielle Erhebung oder Nutzung solche Besonderheiten eröffnen, ist auf diese an späterer Stelle gesondert einzugehen. Diese Besonderheiten im Datenumgang könnten unter anderem darin liegen, dass die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten notwendig sind oder aber, dass eine Datenspeicherung lediglich mit kumulierten und damit möglicherweise anonymen Daten erfolgt. Werden die für die Nutzung der Navigations-App A benötigten Standortdaten gespeichert, so ist hierüber die Darstellung eines detaillierten Bewegungsprofils des Nutzers mög-

64

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand  lich.139 Bei Messenger-Dienst B werden zunächst die Kontaktdaten aus dem Adressbuch ge­speichert, um sie regelmäßig abzugleichen. Zwar verschlüsselt B  – wie bei solchen Diensten üblich via End-to-End-Verschlüsselung – den Inhalt von Nachrichten, gesendeten Daten und Telefongesprächen, so dass der Anbieter von B hierauf keinen Zugriff hat. Der Dienst speichert stattdessen die Metadaten  – also grundlegende Informationen über die Beteiligten, sendende und empfangende Server, die Nachrichtenlänge und den Zeitraum der Sendung – und erlangt so Informationen über Sender und Empfänger sowie – bei Zugriff auf die Standortdaten – den Ort und Zeitpunkt, an dem die Kommunikation stattfindet.

c) Kategorie III: Offenlegung der Daten Zeichnet sich die zweite Kategorie dadurch aus, dass zwar eine längerfristige Speicherung und Nutzung der Daten stattfindet, diese aber nur intern abläuft, lässt sich davon die dritte Kategorie durch eine Weitergabe bzw. Offenlegung140 dieser Daten unterscheiden. Wie oben ausgeführt besteht durch die Datenfinanzierung häufig ein Interesse am Weiterverkauf, um so die Wirtschaftlichkeit des Angebots zu ermöglichen, und gerade bei den kostenlosen Angeboten hat sich gezeigt, dass sehr häufig die Daten weitergegeben oder verkauft werden.141 Insoweit erscheint es sachgerecht innerhalb dieser Kategorie zu untersuchen, was sich datenschutzrechtlich durch ebendiese Weitergabe verändert. Im Einzelnen kann sich die Art der Weitergabe durchaus unterscheiden: So können zum einen bereits kumulierte und damit hinsichtlich des einzelnen Datums anonyme Datensätze weitergegeben werden oder das Interesse bei der Weitergabe besteht gerade an den individuellen Daten. Es ist folglich zu untersuchen, ob dieser Unterschied auch zu einer datenschutzrechtlich veränderten Bewertung führt. Ferner kann auch der Anlass der Offenlegung variieren: So ist zum einen die Weitergabe innerhalb eines Konzerns oder an verbundene Unternehmen denkbar. Daneben kommt auch eine Weitergabe an vom App-Anbieter grundsätzlich unabhängige Dritte in Betracht. Gegenüber Dritten bestehen wiederum verschiedene Möglichkeiten, warum die Daten offengelegt werden. So können die Daten an einen externen Dritten gegeben werden, damit dieser die Daten im Auftrag des eigentlichen Datenverarbeiters verarbeitet. Auch ist eine Weitergabe an den vom AppAnbieter unabhängigen Plattformbetreiber möglich oder der App-Anbieter nutzt 139

Eine Vielzahl der derzeit kostenlos erhältlichen Navigations-Apps speichern genau dieses Bewegungsprofil, vgl. etwa www.mobilsicher.de/aktuelles/navi-apps-im-check-das-ergebniszusammengefasst. 140 Weitergabe und Offenlegung werden in dieser Arbeit insoweit synonym verwendet. In der DSGVO wird in der Begriffsdefinition von Verarbeitung in Art. 4 Nr. 2 die Offenlegung als Oberbegriff für alle Formen genutzt, bei denen die Daten anderen zugänglich gemacht werden, vgl. § 5 A. I. Dies entspricht auch der englischen Sprachfassung, in der einheitlich „disclosure“ verwendet wird. Vertiefend zur Offenlegung Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 2 Rn. 29 ff. 141 Hier sei insofern wiederum auf die Studie in Barczok, c’t 9/2015, 122 (124 f.) verwiesen.

§ 2 Die Relevanz datenfinanzierter Angebote

65

die Daten zum Weiterverkauf an unabhängige Dritte. Aufgrund dieser grundsätzlichen Unterscheidung erscheint es hilfreich, diese Kategorie anhand des Datenempfängers weiter auszudifferenzieren. aa) Kategorie III a): Offenlegung innerhalb eines Konzerns Im Rahmen der Datenverarbeitung geschieht es häufig, dass die Daten innerhalb eines Konzerns weitergegeben, übertragen bzw. übermittelt werden. Der Begriff „Konzern“ wird nachfolgend gleichbedeutend mit einer Unternehmensgruppe i. S. v. Art. 4 Nr. 19 DSGVO verwendet. Dabei handelt es sich um eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Die Beherrschung ist in einem weiten Auslegungsrahmen zu verstehen.142 Gerade im Konzernumfeld werden typischerweise viele Kunden-Daten zwischen den einzelnen Unternehmen des Konzerns offengelegt. Denn der Datenaustausch dient häufig der Zentralisierung von Datenverarbeitungsprozessen oder der Kosteneinsparung.143 Es sind die verschiedensten Konstellation denkbar, aufgrund derer eine Offenlegung im Konzern stattfindet. Hierzu gehört die Offenlegung an einen zentralen Dienstleister, der für andere Konzernunternehmen eine bestimmte Dienstleistung übernimmt, etwa IT-Dienstleistung und entsprechende Supporttätigkeiten.144 Eine Offenlegung kann aus Konzernsicht auch sinnvoll erscheinen, damit empfangene Unternehmen die Daten für gemeinsame oder eigene Zwecke eigenständig nutzen können.145 Ein Beispiel wäre hierfür die eigenständige Datennutzung der Konzernmutter, um mit diesen gesonderte konzernstrategische Ziele – etwa im Marketingbereich – zu verfolgen. Eine Datenweitergabe im Konzern ist bei datenfinanzierten Angeboten insbesondere dann anzutreffen, wenn es um eine Verknüpfung der Daten mit anderen Produkten und Diensten der gleichen Plattform geht, d. h. wenn die Offenlegung der Daten anderen Diensten / Softwareprodukten des gleichen Herstellers zufließt. Prominentestes Beispiel sind hierfür die verschiedenen Google-Produkte und Dienstleistungen, bei denen ausdrücklich darauf hingewiesen wird, dass personenbezogene Daten dienst- und geräteübergreifend genutzt werden.146 Begünstigt wird diese Weitergabe dadurch, dass in diesem Fall der App-Anbieter und der Plattformbetreiber personenidentisch sind und – um beim Beispiel von Google zu blei 142

Vgl. DSGVO ErwG 37. Lezzi / Oberlin, ZD 2018, 398 (399). 144 Rath / Heins / Éles, CR 2019, 500 (502). 145 Rath / Heins / Éles, CR 2019, 500 (502). 146 Vgl. www.google.de/intl/de/policies/privacy/, wonach Google „personenbezogene Daten [seinen] verbundenen Unternehmen, anderen vertrauenswürdigen Unternehmen oder Personen, die diese in [ihrem] Auftrag verarbeiten“, im Rahmen der Datenschutzerklärung zur Verfügung gestellt werden. 143

66

Teil 1: Datenfinanzierte Angebote als Untersuchungsgegenstand 

ben – die Daten innerhalb verschiedener Android-Anwendungen genutzt werden. Diese Personenidentität ist aber nicht zwingend, beispielsweise überträgt auch der Meta-Konzern die Daten zwischen seinen verschiedenen Diensten.147 Vor diesem Hintergrund ergibt sich die datenschutzrechtliche Fragestellung, ob einzelne datenfinanzierte Apps anders zu bewerten sind als die auf einer Plattform basierenden Apps (z. B. verschiedene auf Basis Google Play entwickelte Produkte) und ob deren Verknüpfung untereinander datenschutzrechtliche Implikationen aufweist. Messenger-Dienst B könnte die oben bei der Speicherung erwähnten Metadaten als Teil des Konzerns F innerhalb dieses übermitteln, damit die Daten auch für andere Leistungen des Konzerns verwendet werden können.

bb) Kategorie III b): Offenlegung an externe Dritte Gegenüber der internen Weitergabe eröffnet die Offenlegung der Daten an externe Dritte eine alternative Möglichkeit der Offenlegung. Häufig ergibt sich eine solche aus dem Verkauf der Datensätze. Es sind aber auch andere Formen denkbar, wenn etwa bestimmte Verträge im Verhältnis zwischen App-Anbieter und Drittem den App-Anbieter zur Weitergabe der Daten verpflichten. Ein Beispiel hierfür ist die Offenlegung von Daten an Google über Google Analytics, welches von WebApps zur Webanalyse verwendet wird und worüber Daten vertraglich und schon qua Funktionsweise der Analyse an Google übermittelt werden.148 Bei dieser Form der Weitergabe kommen als Empfänger sowohl der PlattformBetreiber des jeweiligen App-Stores, aber auch vollständig externe Dritte in Frage, die die Daten erwerben. Wie oben aufgezeigt boomt der Markt für Datensätze, so dass auch insoweit zu untersuchen ist, ob sich aus dem Weiterverkauf datenschutzrechtliche Besonderheiten ergeben. Ausgeklammert wird innerhalb dieser Unterkategorie allerdings, wie die Daten binnenorganisatorisch erhoben und verarbeitet werden, also ob hierzu evtl. Dritte eingeschaltet werden.149 Sowohl für Navigations-App A wie auch für Messenger-Dienst B bietet sich die Möglichkeit, die (ggf. kumulierten) Bewegungsprofile und Metadaten auf Datenmärkten an Dritte zu veräußern, welche an den einzelnen Profilen der Nutzer oder den aggregierten Datensätzen interessiert sind. Auch ergibt sich die Möglichkeit, dass über Tools wie Google Analytics Dritte qua Design des datenfinanzierten Angebots Zugriff auf die Nutzerdaten erhalten. 147

Vgl zur Datenübertragung innerhalb des Facebook-Konzerns: www.facebook.com/about/ privacy/update. Es geht an dieser Stelle lediglich um das Phänomen der Datenweitergabe als solches. Die Zulässigkeit einer solchen Weitergabe steht nicht nur aus datenschutzrechtlicher Perspektive in Frage. So hat sich auch das BKartA im Rahmen der Missbrauchsaufsicht mit der Zulässigkeit des Datenumgangs beschäftigt. S. hierzu § 8 A. II. 1. c). 148 Vgl. zur genauen Ausgestaltung der Offenlegung https://marketingplatform.google.com/ about/analytics/terms/de/. 149 Zur Begründung dieses Ausschlusses, vgl. § 5 A. III.

§ 2 Die Relevanz datenfinanzierter Angebote

67

d) Die Unterscheidung dieser Kategorien Innerhalb einer App können natürlich je nach Situation trotz möglicherweise identischer Funktionsweise verschiedene Arten der Datenverarbeitung auftreten, so dass die Verarbeitung der App dann je nach Nutzung in eine andere Kategorie fallen kann. Daher ist der Übergang innerhalb der Kategorisierung fließend und es muss anhand der konkreten Datenverarbeitung festgestellt werden, wie „schwer“ diese wiegt. Verwendet Navigations-App A die Standortdaten nur zur Sofortnutzung, so fällt die Art der Datenverarbeitung unter Kategorie I. Genauso denkbar ist die zusätzliche Speicherung und Auswertung dieser Daten zur Anlegung einzelner Bewegungsprofile, was dann eine Datenverarbeitung der hier vorgeschlagenen Kategorie II darstellt. Der spätere Weiterverkauf dieser Bewegungsprofile an Dritte, die ein Interesse an den Datensätzen haben, fällt unter die Kategorie  III b). Je nach Datennutzung wäre die Datenverarbeitung der App demnach unterschiedlich zu kategorisieren, wodurch sich auch unterschiedliche datenschutzrecht­ liche Bewertungen der Datenverarbeitung ergeben können.

5. Zwischenergebnis Zusammenfassend erscheint lediglich eine Kategorisierung anhand der jeweiligen Datenverarbeitung innerhalb der App sinnvoll. Durch die herausgearbeiteten Kategorien können einerseits verschiedenste – in den einzelnen datenfinanzierten Angeboten sehr unterschiedlich ausfallende – Datenverarbeitungsprozesse einbezogen werden, andererseits ergibt sich durch die steigende Intensität der Datenverarbeitung auch ein deutlicher qualitativer Unterschied zwischen den einzelnen Kategorien. Anhand dieser Kategorisierung in Verbindung mit den eingeführten Beispielen sollen nachfolgend in der datenschutzrechtlichen Analyse mögliche Problembereiche des Datenschutzregimes de lege lata aufgezeigt und in einen praxisrelevanten Kontext gebracht werden. Ferner kann diese Analyse möglicherweise Rückschlüsse für ein effizienteres Regime de lege ferenda liefern.

Teil 2

Die Bewertung datenfinanzierter Angebote de lege lata § 3 Rechtliche Besonderheiten datenfinanzierter Angebote Teil 1 hat die Tauglichkeit des Begriffs datenfinanzierter Angebote festgestellt, denen aufgrund der Werthaftigkeit und Bedeutung von Daten als Gegenleistung eine klare Daseinsberechtigung zukommt, sowie die Angebote anhand der stattfindenden Datenverarbeitung kategorisiert. Im vorliegenden Kapitel soll darauf aufbauend zunächst auf die (vertrags-)rechtliche Gestaltung und die rechtlichen Besonderheiten datenfinanzierter Angebote eingegangen werden. Dies geschieht neben Gesichtspunkten der Vollständigkeit und den Bestrebungen einer in sich schlüssigen Beschreibung datenfinanzierter Angebote auch vor dem Hintergrund, dass die Vertragsgestaltung datenfinanzierter Angebote für die datenschutzrechtliche Einordnung der Folgekapitel eine Rolle spielen kann.

A. Die Zivilrechtliche Einordnung Die digitale Überlassung von Software – und damit auch von datenfinanzierten Angeboten – läuft in der Regel über massenhaft vertriebene / bereitgestellte Produkte, bei denen aufgrund der nur geringen Anpassung an die jeweilige Hardware und sonstige Einzelbedürfnisse von sog. „Standardsoftware“ gesprochen wird.1 Datenfinanzierte Angebote sind ihrer Grundstruktur nach für die Vermarktung an den End­verbraucher (bzw. Nutzer) gedacht, die Angebote gehören also zum „Business to Consumer“-Markt (B2C). Demgegenüber finden sich quasi keine rein datenfinanzierten Angebote im „Business to Business“-Markt (B2B), da derartige Angebote entweder einzig für die Nutzung von Endverbrauchern konzipiert sind oder anderenfalls gewerbliche Lizenzen an Geschäftskunden vergeben werden, durch die das Angebot einen geldwerten Gegenwert erhält. Als Folge des B2C-Geschäftmodells handelt es sich bei den Nutzern in der Regel um Verbraucher im Sinne des BGB, weshalb als Folge vertragsrechtlich das 1 Marly, Praxishandbuch Softwarerecht, Rn. 671 f. Der BGH verwendet diesen Begriff ebenfalls für diese Art von Software, vgl. BGH, Urt. v. 4. 3. 2010 – III ZR 79/09 = NJW 2010, 1449 (1451).

§ 3 Rechtliche Besonderheiten datenfinanzierter Angebote

69

Verbraucherrecht des BGB Anwendung findet. Es handelt sich um Verbraucherverträge. So sind die datenfinanzierten Angebote vor allem als Fernabsatzverträge nach § 312c Abs. 1 BGB zu qualifizieren. Da es sich bei allen Formen datenfinanzierter Angebote um digitale Inhalte handelt, gelten im Übrigen die Pflichten des § 312f Abs. 3 BGB. Danach muss der das Angebot bereitstellende Unternehmer ausdrücklich darauf hinweisen, dass mit Beginn der Vertragsausführung das ansonsten bestehende Widerrufsrecht hinsichtlich des Vertrags erlischt.2 I. Die Vertragsart Vor allem Apps werden bei der Bereitstellung von den Plattform-Betreibern häufig als Softwarelizenzverträge bezeichnet. Dies sagt für sich genommen allerdings noch nichts über die vertragsrechtliche Klassifizierung des datenfinanzierten Angebots aus.3 Vor dem Hintergrund dieser Arbeit erscheint ebendiese Einordnung aber durchaus beachtenswert. Vorab ist festzuhalten, dass im BGB keine gesonderten Vertragsarten für digitale Inhalte und Software (z. T. als sog. Softwareüberlassungsverträge bezeichnet) existieren. Stattdessen werden für solche standardisierten Software-Angebote weitestgehend die klassischen Vertragstypen des BGB für einschlägig gehalten – je nach vereinbarter Überlassungsform ist also entweder Kauf- oder Mietrecht anwendbar.4 Bei der genauen Verortung ist zunächst umstritten, ob es sich bei der Software generell um eine Sache i. S. d. § 90 BGB oder ein „geistiges Gut“ handelt, was wiederum Auswirkung auf die vertragsrechtliche Einordnung hat.5 Dieser Streit ist jedoch hinsichtlich der abstrakten Einordnung eher akademischer Natur und daher für diese Arbeit ohne vertiefte Bedeutung. Denn für dauerhaft überlassene kostenpflichtige Software wird bei Bekräftigung der Sacheigenschaft ein Kaufvertrag angenommen,6

2

So auch Czajkowski / Müller-ter Jung, CR 2018, 157 (159 ff.). Zur gesamten Verbraucherrechts-Thematik vertiefend Zdanowiecki, in: Bräutigam / Rücker, E-Commerce, 11. Teil C, Rn. 31 ff. m. w. N. Aufgrund der datenschutzrechtlichen Besonderheit der jederzeitigen Wider­ ruflichkeit der Einwilligung hat diese Besonderheit allerdings keine vertiefte Bedeutung, vgl. § 6 B. II. 6. 3 BGH, Urt. v. 8. 10. 2009 – III ZR 93/09 = MMR 2010, 90; ähnlich äußert sich der EuGH speziell zu Software-Lizenzen, Urt. v. 3. 7. 2012, Rs. C-128/11, Rn. 47 ff. – UsedSoft. 4 BGHZ 134, 307 (309); 109, 97 (100 f.); 102, 135 (144); BGH Urt. v. 15. 11. 2006 – XII ZR 120/04 = NJW 2007, 2395 in st. Rspr. Ferner Marly, Praxishandbuch Softwarerecht, Rn. 662 m. w. N. 5 Vgl. zum Streit Marly, Praxishandbuch Softwarerecht, Rn. 690 ff. m. w. N. 6 BGH, Urt. v. 15. 11. 2006  – XII ZR 120/04 = NJW 2007, 2394; OLG Hamm, Urt. v. 26. 2. 2014  – 12 U 112/13 = NJW-RR 2014, 878 (879); LG Oldenburg, Urt. v. 13. 1. 2016  – 5 S 224/15 = MMR 2016, 479; auch der EuGH nimmt für dauerhaft erworbene Software einen Kaufvertrag an, vgl. Urt. v. 3. 7. 2012, Rs. C-128/11, Rn. 44 ff. – UsedSoft. In der Literatur Kast, in: Auer-Reinsdorff / Conrad, Handbuch IT- und Datenschutzrecht, § 12 Rn. 42 ff. m. w. N.; Marly, Praxishandbuch Softwarerecht, Rn. 736; v. Merveldt, CR 2006, 721 (722).

70

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

während bei Verneinung ein Rechtekauf gemäß § 453 Abs. 1 BGB oder zumindest ein kaufähnliches Rechtsgeschäft herangezogen wird, so dass auch nach dieser Auffassung Kaufrecht entsprechende Anwendung findet.7

1. Die Einordnung kostenpflichtiger (Web-)Apps Bei der Bewertung von mobilen Apps im Speziellen werden in der Literatur – wie zu Software allgemein – ebenfalls die Überlegungen zu den klassischen Vertragstypen herangezogen. Dabei wird die zeitliche und monetäre Komponente zur Unterscheidung der einzelnen Verträge genutzt. so dass kostenpflichtige Apps als Kaufverträge bzw. bei begrenzter zeitlicher Überlassung als Mietverträge eingeordnet werden.8 Einzig Ewald ist bei dieser Bewertung etwas zurückhaltender und geht zwar prinzipiell auch von Kaufverträgen aus, hält vertragliche Mischformen aufgrund der Vielzahl von Angeboten allerdings für durchaus möglich.9 Web-Apps lassen sich aufgrund der Verarbeitungsprozesse auf den Servern des Anbieters anstelle einer Leistung durch die Software auf dem Gerät des Nutzers eher als typengemischter Vertrag mit dienst-, werk- und mietvertraglichen Elementen klassifizieren, wobei bei einem kostenpflichtigen Dienst womöglich noch kaufvertragliche Elemente hinzu kommen; die Einordnung hängt also von der jeweiligen Ausgestaltung der konkreten Web-App ab.10 Gestützt wird diese Annahme durch die Rechtsprechung des BGH, der für die Bereitstellung von Software als Online-Dienst einen ebensolchen Vertrag angenommen hat.11 Die Bewertung des Gerichts lässt sich auf Web-Apps übertragen, bei denen ähnlich der im Urteil besprochenen Cloud-Dienste die Leistung des Anbieters einzig im Browser und auf den Servern des Anbieters stattfindet.

2. Die Einordnung entgeltfreier Angebote Interessanter wird vor dem Hintergrund dieser Arbeit die konkrete Einordnung bei entgeltfrei angebotener Software. Auch hier muss wie bei anderen Software-

7 Weidenkaff, in: Grüneberg, BGB, § 453 Rn. 8; Werner, CR 2013, 516 (518). Diegmann /  Kuntz, NJW 2010, 561 (562) und Hilty, CR 2012, 625 (636 f.) kommen zu diesem Ergebnis über die Anwendung von § 453 Abs. 1 BGB. 8 Ewald, in: Taeger / Pohle, Computerrechts-Handbuch, § 32.7 Rn. 45; Lachenmann, in: Solmecke / Taeger / Feldmann, Mobile Apps, Kap.  3 Rn.  303; Marly, Praxishandbuch Softwarerecht, Rn. 1172. 9 Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 30. 10 So generell zu im Netz bereitgestellten (Cloud-)Diensten Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 29. 11 BGH, Urt. v. 15. 11. 2006 – XII ZR 120/04 = NJW 2007, 2394 (2395), das sog. „Application Service Providing“ zum Entscheidungsgegenstand.

§ 3 Rechtliche Besonderheiten datenfinanzierter Angebote

71

produkten zwischen einer dauerhaften und zeitlich begrenzten Überlassung der Software für die Einordnung unterschieden werden.12 In der Literatur und einer Entscheidung des KG Berlin wird weitestgehend der gleiche Wertungsmaßstab wie bei kostenpflichtigen Angeboten herangezogen.13 Die kostenfreie Software wird in die klassischen Vertragsarten eingeordnet; anstelle von Kauf- und Mietvertrag wird aufgrund der (vermeintlichen) Kostenfreiheit dementsprechend ein Schenkungs- bzw. Leihvertrag angenommen, ohne auf diese Einordnung vertieft einzugehen. Ewald vertieft diese Überlegungen wiederum und berücksichtigt „Mischformen“, bei denen es sich nicht eindeutig um kostenlose Angebote handele, so dass hier Abgrenzungsschwierigkeiten bestünden. Bei einer Finanzierung des Angebots über Werbeanzeigen sei weiterhin eine Schenkung gegeben, da das Angebot für den Nutzer weiterhin kostenlos sei und die Verfolgung kommerzieller Interessen und die Erwartung späterer Gegenleistung über die Werbebotschaften eine Schenkung nicht ausschlössen. Bei Apps, die als Basisversion kostenlos sind, aber spätere kostenpflichtige Upgrades ermöglichen, sei die Bewertung hingegen schwieriger. Das bloße Überlassen der Basis-Version könne auch hier als Schenkung gesehen werden, wobei durch den Erwerb von Zusatzinhalten dann eine Kauf- oder Dienstleistungsvertrag vorliege.14 3. Bewertung Gerade bei den vorliegend behandelten datenfinanzierten Angeboten kann diese vielfach vertretene Ausweisung als Schenkung – bzw. Leihe bei zeitlich begrenzter Überlassung – jedoch nicht überzeugen. Zwar passt die Einteilung eines datenfinanzierten Angebots als unentgeltlicher Vertrag. Eine Schenkung ist aber durch eine einseitige Leistungsverpflichtung geprägt. Eine Schenkung stellt für den Schenker ein durch den Vermögensverlust besonderes Opfer dar, da er hierfür keine Gegenleistung erhält, während sich für den Beschenkten spiegelbildlich eine besondere Begünstigung ergibt, weil dieser ohne eigene Leistung Vermögensvorteile erlangt.15 Diese besondere Situation wird durch eine Vielzahl von Regelungen berücksichtigt, die den Schenker privilegieren

12

Marly, Praxishandbuch Softwarerecht, Rn. 673 ff.; v. Merveldt, CR 2006, 721 (722); ­Stichtenoth, K&R 2003, 105 (108 ff.). 13 KG Berlin, Urt. v. 23. 3. 2019 – 23 U 268/13 = K&R 2019, 414 (415); Kremer, CR 2011, 769 (771); Lachenmann, in: Solmecke / Taeger / Feldmann, Mobile Apps, Kap. 3 Rn. 303, 312, 368; Marly, Praxishandbuch Softwarerecht, Rn. 1172; Taeger / Kremer, Recht im E-Commerce und Internet, Kap. 2 Rn. 46; Zdanowiecki, in: Bräutigam / Rücker, E-Commerce, 11. Teil C, Rn. 12; mit Bedenken zustimmend Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 34 f. 14 Zum Ganzen Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 36 ff. 15 Koch, in: MüKo zum BGB, § 516 Rn. 3.

72

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

(z. B. Haftungsbeschränkungen in §§ 521 ff., 599 BGB sowie eine Reduzierung der Gewährleistungsrechte nach § 524 BGB) und den Schutz des (unverdient) bereicherten Beschenkten gegenüber den allgemeinen Regeln abschwächen. Problematisch ist hinsichtlich der Einordnung von datenfinanzierten Angeboten als Schenkung zunächst, dass bei Schenkungen im Regelfall eine Vermögensverschiebung stattfindet, die zu einer Vermögensminderung beim Schenker führt.16 Die Ermöglichung eines Downloads von Software führt allerdings zu keiner solchen Vermögensminderung, denn eine Vervielfältigung ist in unendlicher Zahl möglich. Folglich wird vertreten, dass ein bloßer Verzicht auf einen Vermögenserwerb durch einen kostenlosen Download gerade nicht für die Annahme einer Schenkung ausreiche, so dass diese Form der Bereitstellung gegen eine solche Einordnung spreche.17 Gegen dieses Argument lässt sich einwenden, dass eine Vermögensverschiebung auch in der Übertragung der Nutzungsrechte liegen könne. Eine Schenkung verweist in § 523 Abs. 2 S. 2 BGB auf das Kaufrecht und dieses stellt den Sachmit dem Rechtskauf gleich, so dass – wie bei einem Rechtskauf – auch bei der Schenkung die Preisgabe des Nutzungsrechts einen Vermögensverlust darstelle.18 Reicht das Argument der Vermögensverminderung für sich genommen dementsprechend noch nicht für eine Ablehnung eines Schenkungsvertrags, ist darüber hinaus die Leistung des vermeintlich Beschenkten in den Blick zu nehmen. Die Annahme einer Schenkung erscheint für bestimmte Freeware-Produkte durchaus sachgerecht, da hier die nicht kommerzielle Bereitstellung von Software im Vordergrund steht. Demgegenüber liegt die für eine Schenkung notwendige einseitige Leistungsbeziehung bei datenfinanzierten Angeboten gerade nicht vor. Bei solchen Angeboten kann durch die Preisgabe von Daten nicht von einer einseitigen Leistungsverpflichtung gesprochen werden, da der Preisgabe wie festgestellt eine nicht-monetäre Gegenleistung innewohne, die einen selbstständigen ökonomischer Wert hat und als Entgelt begriffen werden muss.19 Diese Bewertung wird insoweit auch durch die Erwägungen der Kommission zur Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte gestützt, die die Datenpreisgabe gerade als Gegenleistung auffassen. Insoweit handelt es sich um keine einseitige Leistungsverpflichtung, die für die Annahme einer Schenkung notwendig wäre. Ferner lässt sich eine Wertungslücke in der Literatur feststellen. Bei kostenfrei angebotenen Clouddiensten (und damit auch Web-Apps) wird der Wertung 16

BGHZ 101, 229 (232); Chiusi, in: Staudinger BGB, § 516 Rn. 15. Hoeren, in: FS Kollhosser, S. 229 (235 f.). 18 Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 32, 34, der hinsichtlich der Einordnung als Schenkung aber Bedenken äußert; kritisch Hoeren, in: FS Kollhosser, S. 229 (236 f.). 19 So ebenfalls Czajkowski / Müller-ter Jung, CR 2018, 157 (159); Spindler, MMR 2016, 147. Bräutigam, MMR 2012, 635 (640) bezeichnet sie etwas zurückhaltender als „lizenzähnliche Einräumung der Nutzung personenbezogener Daten für Werbezwecke“. 17

§ 3 Rechtliche Besonderheiten datenfinanzierter Angebote

73

des BGH von potentiell typengemischten Verträgen soweit ersichtlich zugestimmt, wonach die jeweils erbrachten Leistungen innerhalb eines Dienstes dem jeweils einschlägigen Vertragstypus zuzuordnen sind.20 Dagegen wird bei kostenfreien Apps ohne tiefere Auseinandersetzung mit der Ausgestaltung der App oder über mögliche Gegenleistungen ein Schenkungsvertrag herangezogen. Diese unterschiedliche Bewertung erscheint zumindest inkonsistent. Zwar unterscheidet sich der Speicherort der Software, der anstelle einer Speicherung in einer Cloud auf der Hardware des Nutzers stattfindet. Ansonsten ergeben sich aber keine Unterschiede in der potentiellen Funktionsfähigkeit der verschiedenen Angebote, so dass eine grundsätzliche Ungleichbehandlung zweifelhaft erscheint. Aufgrund der Werthaftigkeit von Daten sowie der durchaus praktikablen Lösung des BGH erscheint es daher vorzugswürdig, datenfinanzierte Angebote als typengemischte Verträge gem. § 311 Abs. 1 BGB einzuordnen.21 Diese haben je nach Art der App kauf- bzw. dienst- oder mietvertraglichen Einschlag und es kommt zu einer atypischen Gegenleistung in Form der Preisgabe von Daten. Diese Bewertung impliziert im Übrigen, dass die Datenpreisgabe einen tauglichen schuldrechtlichen Gegenstand darstellen kann.22 Eine solche Einordnung erleichtert zwar eine vertragsrechtlich grundsätzlich gewollte, eindeutige Einordnung unter eine Vertragsart nicht, erscheint aber als das konsistenteste und passgenaueste Ergebnis. So ist je nach Art des datenfinanzierten Angebots die konkrete Gegenleistung in Form der Datenpreisgabe von unterschiedlicher Intensität, weshalb sich so je nach Einzelfall durchaus auch über schenkungsrechtliche Haftungserleichterungen nachdenken ließe, während in anderen Fällen andere Vertragsarten mit dementsprechendem Einschlag näherliegen. Diese Wertung stützt auch der neu eingeführte § 327 BGB, der die Richtlinie (EU) 2019/770 umsetzt.23 Die dort normierten Verträge, welche die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen (digitale Produkte)  durch den Unternehmer gegen Zahlung eines Preises zum Gegenstand haben, benennen in § 327 Abs. 3 BGB personenbezogene Daten ausdrücklich als zulässige Gegenleistung. Insoweit kann nur noch schwerlich von einer Einordnung als Schenkung ausgegangen werden. Hinsichtlich der Einordnung als typengemischter Vertrag ergeben sich gleichwohl keine Widersprüche. Die Zuordnung zu einem bestimmten Vertragstyp lässt § 327 BGB offen und der sachliche Anwendungsbereich wird 20

BGH, Urt. v. 15. 11. 2006 – XII ZR 120/04 = NJW 2007, 2394 (2395), wonach weitere Leistungen „anderen Vertragstypen […] zugeordnet werden können“. Vgl. ferner Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 29 m. w. N. 21 Im Ergebnis zustimmend Czajkowski / Müller-ter Jung, CR 2018, 157 (159 f.). Hierzu mit vergleichbarem Ergebnis umfangreich Walker, Die Kosten kostenloser Dienste, S. 179 ff. 22 Vergleichbar Specht, JZ 2017, 763 (765); a. A. Bunnenberg, Privates Datenschutzrecht, S. 258 f. 23 Vgl. § 2 B. II. 2.

74

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

nicht durch einen bestimmten Vertragstyp wie z. B. Kauf-, Dienst- oder Mietvertrag gekennzeichnet.24 II. Die Vertragsparteien Neben der Art des Vertrags ist bei datenbasierten Geschäftsmodellen aufgrund der Mehr-Personen-Konstellationen auch die Bestimmung der Vertragsparteien von Interesse. Es stellt sich die Frage, ob der Nutzer den Vertrag mit dem App-­ Anbieter oder App-Store- bzw. Plattform-Betreiber abschließt. Diese Entscheidung hat Auswirkungen auf die jeweiligen Leistungspflichten gegenüber dem Nutzer, dessen Geltendmachung vertraglicher Rechte sowie auch auf das Verhältnis vom Plattformbetreiber zum App-Anbieter. Bei Freeware und browserbasierten Web-Apps gestaltet sich diese Bestimmung zunächst eindeutig. Hier schließt der Nutzer mit dem jeweiligen Anbieter einen Vertrag ab, auf dessen Website die Freeware heruntergeladen werden kann bzw. wo die browserbasierte Dienstleistung stattfindet. Soweit bei Apps der App-Anbieter und Plattform-Betreiber personenidentisch sind, ist die Frage der Vertragsparteien ebenfalls eindeutig, da es sich lediglich um ein Zwei-Personen-Verhältnis handelt und es keiner Stellvertretung bedarf. Bei anderen Apps fällt die Antwort aufgrund der Drei-Personen-Konstellation nicht so eindeutig aus. Naheliegend wäre hier zunächst, von einem Vertrag zwischen Nutzer und App-Anbieter auszugehen, da bei abstrakter Betrachtung wohl ein Vertrag mit demjenigen zustande kommt, der die App entwickelt, betreibt und im App-Store eingestellt hat. Ganz so eindeutig ist die rechtliche Situation jedoch nicht: Zum Erlangen der App betätigt der Nutzer im jeweiligen App-Store einen Button zum Download und zur Installation. Da hiermit der Download- und Installationsvorgang unmittelbar beginnt, kann dies vertraglich als Annahme eines Angebots zum Abschluss eines Vertrags und nicht bloß als eine invitatio ad offerendum gesehen werden.25 Der Nutzer tritt bei diesem Vertragsschuss auch lediglich mit dem Plattformbetreiber des App-Stores in Kontakt, der diese Plattform stellt und über den auch die Installation des Angebots abläuft – bei kostenpflichtigen Angeboten sogar zusätzlich noch die Abrechnung betreibt. Der App-Anbieter gibt somit zumindest keine eigene Willenserklärung ab, so dass entweder der Plattform-Betreiber Vertragspartner des 24

Schulze, in: Schulze BGB, § 327 Rn. 5. Klein / Datta, CR 2016, 587 (588). Demgegenüber hält Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 46 ff. auch ein Invitatio-Modell für möglich. Danach gibt der Nutzer durch die Betätigung des Buttons ein Angebot ab, das im Folgenden konkludent angenommen wird. Für die weitere Bearbeitung hat diese unterschiedliche Betrachtung keine Auswirkungen, da es unabhängig hiervon mit Betätigung des Downloadbuttons (bzw. eine juristische Sekunde später) zum Vertragsschluss kommt. 25

§ 3 Rechtliche Besonderheiten datenfinanzierter Angebote

75

Nutzers wird oder es für den Vertragsschluss des Nutzers mit dem App-Anbieter einer Stellvertretung durch den Plattform-Betreiber bedarf. Eine wirksame Stellvertretung bedarf zunächst einer eigenen Willenserklärung des Stellvertreters. Diese liegt beim Plattform-Betreibers schon in der selbstgewählten Gestaltung des App-Stores, in dem dieser auf einer Unterseite neben einer Beschreibung und einem Screenshot die Download- bzw. Installationsmöglichkeit der jeweiligen App ermöglicht. Auf diese Gestaltung hat der App-Anbieter selbst keinen Einfluss, so dass die daraus resultierende Download-Möglichkeiten eine Willenserklärung des Plattform-Betreibers darstellt. 1. Das Merkmal der Offenkundigkeit Schwieriger ist das Merkmal der Offenkundigkeit des Handelns zu beurteilen, welches für eine wirksame Stellvertretung vonnöten ist. Ausdrücklich wird beim Download ein Handeln für den App-Anbieter durch den Plattform-Betreiber nicht erklärt. Allerdings könnte sich ein solches nach dem objektiven Empfängerhorizont ergeben, wonach Erklärungen nach Treu und Glauben und unter Berücksichtigung der Verkehrssitte zu verstehen sind.26 Zum Teil wird dabei auf die Gestaltung des Shops verwiesen, die durch den Plattform-Betreiber umgesetzt werde und nach der keine Zuordnung zum App-­ Anbieter möglich sei, so dass auch eine Offenkundigkeit eines Handelns für diesen ausscheide.27 Der Vertragsschluss mit dem Plattform-Betreiber wird damit begründet, dass dem Nutzer der Eindruck vermittelt werde, ebenjener übernehme die inhaltliche Verantwortung für die von ihm eingestellten Angebote. Diese Ansicht wird unter anderem mit einer BGH-Entscheidung unterlegt, nach der ein OnlineHändler beim Verkauf von Musik-DVDs auch dann Vertragspartner werde, wenn verschiedene Zulieferer auf der Internetseite des Händlers die Angebote einstellen, ohne dass der Händler auf diese Datenübertragung Einfluss nehme.28 Die Ausgestaltung bei App-Stores ist jedoch von der Situation bei Online-Händlern zu unterscheiden. Die herangezogene, vermeintlich gegenläufige Entscheidung des BGH bezieht sich einzig auf Urheberrechtseingriffe und lässt sich nicht generell auf die Offenkundigkeit in der Stellvertretung von App-Stores verallgemeinern. Voraussetzung für ein offenkundiges Handeln für den Anbieter ist vielmehr, dass sein Handeln für den Nutzer erkennbar ist. Die Erkennbarkeit hängt maßgeblich von der konkreten Gestaltung des jeweiligen App-Stores ab, in dem die App

26

BGHZ 195, 126 (132); 103, 275 (280) in st. Rspr. Diese Zuordnung ohne weitere Begründung verneinend und dementsprechend keinen Vertragsschluss mit dem App-Anbieter annehmend Kremer, CR 2011, 769 (771); Marly, Praxis­ handbuch Softwarerecht, Rn. 1171. 28 BGH, Urt. v. 5. 11. 2015 – I ZR 88/13 = GRUR 2016, 493 (494). 27

76

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

zum Download angeboten wird. Durch die Nennung des Anbieters muss für den Nutzer vor dem Download deutlich werden, dass der Anbieter zum Vertragspartner wird. Anderenfalls handelt es sich sonst um überraschenden Klauseln i. S. v. § 305c Abs. 1 BGB29 und es könnte folglich keine Stellvertretung angenommen werden. Betrachtet man vor diesem Hintergrund die einzelnen App-Stores, wird bei der Auswahl einzelner Apps der jeweilige App-Anbieter ausdrücklich in unmittelbarer Nähe zum Download-Button genannt.30 Die Gestaltung der jeweiligen Anbieterinformationen – inkl. der konkreten App-Beschreibung – stammt ebenfalls vom App-Anbieter, wobei zum Teil sogar die AGB dieses Anbieters genannt werden.31 Durch diese Gestaltung im Rahmen der Download-Möglichkeit wird also deutlich, dass der App-Anbieter hinter dem Betrieb der App steht und eine Willenserklärung für ebendiesen erfolgen soll. Hinzu kommt die Wahrnehmung des Nutzers, der solche App-Stores am ehesten mit Marktplätzen wie Amazon oder eBay vergleicht, wo – gemeinhin anerkannt – ein Vertrag nicht mit dem Betreiber, der lediglich die technische Leistung erbringt, sondern dem einzelnen Warenanbieter zustande kommt.32 Aufgrund der Vergleichbarkeit lässt sich diese Wertung auf die Offenkundigkeit des Handelns des Plattform-Betreibers übertragen. Ferner verweist auch der Wortlaut in den einzelnen Nutzungsbedingungen der verschiedenen App-Stores bzw. Plattformen auf ein solches Ergebnis.33 Die Plattform-Betreiber handeln also offenkundig für den App-Anbieter.

29

Hinsichtlich der Anforderungen kritisch Taeger / Kremer, Recht im E-Commerce und Internet, Kap. 2 Rn. 47. 30 Bei Apple wird dieser als „App-Provider“ bezeichnet, während bei Google der Ausdruck des „Anbieters“ verwendet wird. 31 So ebenfalls Lachenmann, in: Solmecke / Taeger / Feldmann, Mobile Apps, Kap. 3 Rn. 340. 32 Lachenmann, in: Solmecke / Taeger / Feldmann, Mobile Apps, Kap. 3 Rn. 342. 33 Apple weist darauf hin, dass es beim Zur-Verfügung-Stellen des App-Stores „als Vertreter für App-Provider [handeln] und keine Partei des Kaufvertrags oder der Benutzervereinbarung zwischen Ihnen und dem App-Provider [sind]“, vgl. www.apple.com/legal/internet-services/ itunes/de/terms.html#APPS. Google macht dies gegenüber dem Nutzer nicht ganz so deutlich: „Ihre Nutzung von Apps und Spielen kann zusätzlichen Nutzungsbedingungen der Endnutzerlizenzvereinbarung zwischen Ihnen und dem Anbieter unterliegen.“, vgl. https://play. google.com/intl/de_de/about/play-terms/index.html. Diese Aussage verdeutlicht jedoch, dass auch hier von einem (zusätzlichen) Vertrag zwischen App-Anbieter und Nutzer ausgegangen wird, was sich auch aus Ziff. 2.1 der Entwickler-Vereinbarung ergibt, wonach „Google ausschließlich auf Wunsch [des App-Anbieters] hin Produkte anzeigt und Nutzern zur Ansicht, zum Download und zum Kauf zur Verfügung stellt.“, vgl. https://play.google.com/intl/de_de/ about/developer-distribution-agreement.html.

§ 3 Rechtliche Besonderheiten datenfinanzierter Angebote

77

2. Vertretungsmacht und Zwischenergebnis Ein Handeln innerhalb der Vertretungsmacht ergibt sich aus den (standardisierten) vertraglichen Beziehungen zwischen App-Anbieter und Plattform-Betreiber, durch die der App-Store-Betreiber i. d. R. als Handelsvertreter für den App-­ Anbieter lediglich den Vertrag vermittelt.34 Der App-Anbieter wird also wirksam vom Plattform-Betreiber vertreten und es kommt beim Download zu einem Vertragsschluss zwischen ihm und dem Nutzer.35 Aufgrund der späteren Leistungserbringung durch die Nutzung der Software des App-Anbieters, auf die der Plattformbetreiber  – als möglicher alternativer Vertragspartner – keinen Einfluss hat, und wodurch der App-Anbieter Zugriff auf die erhobenen Nutzerdaten erhält, erscheint dieses Ergebnis auch sachgerecht. III. Einbeziehung von Allgemeinen Geschäftsbedingungen Dem Vertragsschluss entsprechend können die App-Anbieter für den Vertragsschluss ihre eigenen AGB verwenden, was ihnen im Übrigen auch durch die AppStore-Betreiber gestattet wird. Den Nutzungsbedingungen soll die Rolle eines Rahmenvertrags für die einzelnen Verhältnisse zwischen App-Anbieter und Nutzer zukommen. Da diese Nutzungsbedingungen beiden Nutzern bekannt sind, können diese durchaus als Auslegungsgrundlage für das Verhältnis zwischen App-Anbieter und Nutzer herangezogen werden.36 Zusätzlich bestehen Nutzungsbedingungen, die der Plattform-Betreiber für die Nutzung des App-Stores vorlegt und die zunächst das Verhältnis zwischen App-Store-Betreiber und Nutzer regeln. In diesen wird hinsichtlich Dritt-Apps in der Regel ein Haftungs- und Gewährleistungsausschluss des App-Store-Betreibers normiert.37 Auf die Nutzungsbedingungen wird

34

Dies wird wiederum auch aus den Entwickler-Lizenzvereinbarungen bei Apple und Google deutlich, vgl. die Nutzungsbedingen a. a. O. Ebenso Ewald, in: Taeger / Pohle, Computerrechts-Handbuch, § 32.7 Rn. 11. 35 Instruktiv zur Stellvertretung bei mobilen Apps Klein / Datta, CR 2016, 587 (588 f.); eine Stellvertretung – jedenfalls für den Android App-Store – ebenfalls bejahend Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 59; demgegenüber einen Vertragsschluss mit dem Plattform-Betreiber annehmend Kremer, CR 2011, 769 (771); Marly, Praxishandbuch Softwarerecht, Rn. 1171. 36 Klein / Datta, CR 2016, 587 (590). Zur Einbeziehung von AGB im digitalen Rechtsverkehr vertiefend Linardatos, JZ 2020, 1097. 37 Laut Apple ist „der App-Provider einer Dritt-App allein verantwortlich für deren Inhalte, Gewährleistungen und für Ansprüche, die Sie ggf. in Bezug auf die Dritt-App haben,“ vgl. www.apple.com/legal/internet-services/itunes/de/terms.html#APPS. Google macht keine „spezifische(n) Zusicherungen in Bezug auf die Dienste oder über[nimmt] in dieser Hinsicht irgendwelche Garantien,“ https://policies.google.com/terms?hl=de&gl=de. Inwieweit diese Bedingungen nach deutschem Recht erfolgreich einbezogen werden, ist strittig, s. hierzu vertiefend. Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 63 ff.

78

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

im Folgenden näher einzugehen sein, sofern diese Aussagen zur Datennutzung treffen und somit datenschutzrechtliche Relevanz aufweisen.38

B. Datenfinanzierte Angebote als Telemedien Bei datenfinanzierten Angeboten handelt es sich wie dargestellt um Apps, (kostenfreie) Software, und Web-Apps, die jeweils digital zur Verfügung gestellt werden. Aufgrund der digitalen Verfügbarkeit könnten sie als Telemediendienste dem Telemediengesetz (TMG) unterfallen. I. Der sachliche Anwendungsbereich Der sachliche Anwendungsbereich des TMG ergibt sich aus § 1 Abs. 1 TMG und umfasst alle „elektronischen Informations- und Kommunikationsdienste“ unter Ausschluss von Telekommunikationsdiensten (§ 3 Nr. 24 TKG), telekommunikationsgestützten Diensten (§ 3 Nr. 25 TKG) und Rundfunk (§ 2 RStV) als Negativkriterien. Diese Definition in Abs. 1 setzt voraus, dass die Dienste elektronisch, also in der Regel online angeboten werden. Ferner müssen die Dienste eine Form von Informations- und Kommunikations-Dienstleistung bereitstellen, was als Oberbegriff für verschiedene Arten multimedialer Angebote fungiert39, und müssen über Telekommunikationseinrichtungen Daten übermitteln, worunter man in Abgrenzung zu Telekommunikationsdiensten die Bereitstellung von Inhalten versteht.40 Die Dienste dürfen zur Einordnung als Telemedien also nicht lediglich lokale (offline) Funktionen anbieten, sondern müssen die für den Dienst erforderlichen Inhalte elektronisch zur Verfügung stellen.41 In der Gesetzesbegründung werden für Telemediendienste etwa Onlineangebote von Waren und Dienstleistungen genannt, die eine unmittelbare Bestellmöglichkeit beinhalten, wobei zur weiteren Erläuterung eine sehr umfangreiche Aufzählung folgt, die unter anderem Angebote von Verkehrs-, Wetter-, Umwelt- oder Börsendaten, News-Groups, Chat-Rooms, elektronische Presse, Video-on-demand-Angebote und Internetsuch­ maschinen umfasst.42 Das Online-Angebot der Dienste trifft auf alle datenfinanzierten Angebote zu und wegen des weitreichenden Auffangcharakters des § 1 Abs. 1 TMG sind mithin beinahe alle denkbaren datenfinanzierte Angebote vom Anwendungsbereich umfasst. Einzig heruntergeladene Apps, die ausschließlich auf dem Endgerät des Nutzers installiert und bei denen kein Datenaustausch über das Internet stattfin 38

S. § 6 B. III. Martini, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, § 1 TMG, Rn. 8. 40 Spindler, in: Spindler / Schmitz / Liesching, TMG, § 1 Rn.  18. 41 Ricke, in: Spindler / Schuster, Recht der elektronischen Medien, § 1 TMG, Rn. 13. 42 BT-Drs. 16/3078 S. 13 f. 39

§ 3 Rechtliche Besonderheiten datenfinanzierter Angebote

79

det, sind als „kommunikationslose Apps“ keine Telemedien-Dienste.43 Mangels Datenaustausch stellen sich bei derartigen Apps aber ohnehin keine datenschutzrechtlichen Fragen, so dass solche Apps für diese Bearbeitung außer Acht bleiben. Aufgrund der zusätzlichen Negativkriterien in § 1 Abs. 1 TMG sind ferner solche datenfinanzierten Angebote nicht als Telemediendienste zu qualifizieren, bei denen es sich um Telekommunikationsdienste i. S. d. TKG handelt. Solche Dienste dienen der Übertragung und dem Transport von Daten und Signalen.44 Darüber hinaus unterfallen Dienste, die Bild oder Ton linear verbreiten, unter den Rundfunk-Begriff und das TMG ist dementsprechend ebenfalls nicht anwendbar.45 Bei datenfinanzierten Angeboten läge ein solcher Fall etwa bei einer kostenfreien Radio-­App vor, die dementsprechend Rundfunkdienste anbieten. Zusammengefasst bedarf es für eine Zuordnung von datenfinanzierten Angeboten als Telemediendienste also einer Online-Anbindung, mit der nicht nur Daten transportiert, sondern auch aufbereitet und gleichzeitig nicht nur lineare Streams angeboten werden.46 Lässt man die datenfinanzierten Angebote beiseite, die entweder nur Offline-Inhalte bereitstellen oder die als Telekommunikationsdienste zu qualifizieren sind, so sind alle übrigen Angebote gleichzeitig Telemediendienste i. S. d. TMG. Denn auf eine Entgeltlichkeit der Angebote kommt es gemäß § 1 Abs. 2 TMG nicht an, so dass datenfinanzierte, entgeltfreie Angebote vom TMG (mit-)umfasst sein können. II. Auswirkungen für datenfinanzierte Angebote Aufgrund der Vielzahl von datenfinanzierten Angeboten, die als Telemediendienste i. S. d. TMG zu qualifizieren sind, muss der (Regulierungs-)Gegenstand des Gesetzes zwingend beachtet werden. Hierzu finden sich im Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) spezielle datenschutzrechtliche Vorgaben, auf deren Implikationen im Unterkapitel des datenschutzrechtlichen Regelungsrahmens näher eingegangen wird.47 Darüber hinaus soll allerdings kein vertiefter Fokus auf die sonstigen Vorgaben des TMG gelegt werden, die die Verantwortlichkeit von Anbietern von Telemediendiensten (§§ 7 ff. TMG) sowie deren Informationspflichten (§§ 4 ff. TMG) regeln. Dabei sei an dieser Stelle zusätzlich angemerkt, dass begrifflich bei der Regulierung elektronischer Angebote im nationalen Recht – nicht nur im TMG – 43

Taeger, in: Solmecke / Taeger / Feldmann, Mobile Apps, Kap. 5 Rn. 38. Ricke, in: Spindler / Schuster, Recht der elektronischen Medien, § 1 TMG, Rn. 6. Problematischer ist hingegen die Einordnung sog. OTT-Dienste, die Individual- und Gruppenkommunikation erlauben, wie WhatsApp, Skype oder Facebook Messenger, s. hierzu sogleich. 45 Martini, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, § 1 TMG, Rn. 11 f. 46 Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 149. 47 S. § 4 B. III. 1. 44

80

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

der „Dienst“ als gängiger rechtlicher Terminus verwendet wird (vgl. §§ 1 Abs. 1 TMG, 3 Nr. 24 TKG und § 2 Abs. 1 RStV). Diensten kommt begrifflich im Datenschutzrecht allerdings keine solch allgemeine Bedeutung wie im Medienrecht zu. Aufgrund der datenschutzrechtlichen Fokussierung dieser Arbeit wird mithin nachfolgend der oben entwickelte Terminus von „datenfinanzierten Angeboten“ beibehalten, anstatt begrifflich von „Diensten“ zu sprechen.

C. Die Eingrenzung des rechtlichen Untersuchungsrahmens Wie sich aus der Untersuchung von Big Data und der Werthaftigkeit von Daten ergibt, sind die Facetten datenfinanzierter Angebote sehr weitreichend und somit viele Angebote von der entwickelten Begrifflichkeit umfasst. Dadurch, dass die Inhalte und Funktionen der Angebote viele verschiedene Lebensbereiche berühren, eröffnen sich zum Teil besondere Regulierungsvorgaben für einzelne Apps. In der Folge sollen daher einige datenfinanzierte Angebote aufgezeigt werden, bei denen aufgrund der angebotenen Leistung innerhalb der App eine zusätzliche Regulierung stattfinden kann. So ergeben sich bei Telematik-Tarifen von Versicherern, bei denen die Daten für den Tarif innerhalb einer App erhoben werden, versicherungsrechtliche Besonderheiten.48 Bei sozialen Netzwerken, die in der Regel über Apps oder Web-Apps genutzt werden – prominentestes Beispiel ist hierfür Facebook –, kommen medienrechtliche Vorgaben in Betracht.49 Bei datenfinanzierten Angeboten, die Telekommunikations-Dienstleistungen ermöglichen, gelten hingegen die Vorgaben des TKG anstelle derer des TMG.50 Ferner ist für sog. OTT-Kommunikations-Dienste – wie etwa Skype, WhatsApp oder den Facebook Messenger – die Verordnung über Privatsphäre und elektronische Kommunikation (E-Privacy-VO)51 geplant, die sich zurzeit im europäischen Gesetzgebungsprozess befindet.52 Aufgrund der Vielzahl verschiedener Inhalte und Funktionen daten 48 Grimm, in: Schmidt-Kessel / Grimm, Telematiktarife & Co – Versichertendaten als Prämienersatz, S. 47 m. w. N. 49 S. hierzu vertiefend Beyerbach, in: Hornung / Müller-Terpitz, Handbuch Social Media, Kap. 10 Rn. 85 ff.; Niederprüm, Das Erfordernis einer Kommunikationsordnung für soziale Netzwerke, S. 229 ff. 50 Vgl. hierzu das oben beschriebene Negativ-Merkmal in der Definition von Telemediendiensten in § 1 Abs. 1 TMG. Aufgrund der Ausklammerung von Sonderrechtgebieten und keiner partiellen Betrachtung einzelner, konkreter Apps kann insoweit auch die Einordnung von OTT-Apps als TKG- oder TMG-Dienste offenbleiben, s. hierzu vertiefend Martini, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, § 1 TMG, Rn. 13a ff.; Spindler, in: Spindler / Schmitz / Liesching, TMG Kommentar, § 1 TMG, Rn. 26 ff. m. w. N. 51 Verordnungs-Entwurf COM(2017) 10 final des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektro­ nischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG. 52 Vgl. zum aktuellen Stand des Verfahrens etwa www.bvdw.org/themen/recht/kommunika tionsrecht-eprivacy/; www.ionos.de/digitalguide/websites/online-recht/eprivacy-verordnung/. Zur Übersicht über den Beginn des Gesetzgebungsverfahrens Benedikt, RDV 2019, 283; ­Engeler, ZD 2017, 549.

§ 3 Rechtliche Besonderheiten datenfinanzierter Angebote

81

finanzierter Angebote sind auch die Einflüsse anderer Rechtsgebiete denkbar.53 Aus diesem Grund wird der nachfolgend – insbesondere auch bei der Bewertung des beispielhaften Messenger-Dienstes B, bei dem es sich um einen OTT-Dienst handelt – auf eine Betrachtung der Vorgaben des TKG, der E-Privacy-Verordnung oder sonstiger Spezialgesetze verzichtet. Wie in der Kategorisierung schon angeklungen, liegt der Fokus der vorliegenden Arbeit vielmehr auf dem Datenschutzrecht im Allgemeinen. Dementsprechend soll nicht der gesamte Regulierungsbereich einer einzelnen App untersucht werden, bei der auch andere Rechtsgebiete Einfluss auf den Datenumgang haben können, z. B. aufgrund der gesetzlichen Erforderlichkeit der Erhebung bestimmter Daten. Stattdessen soll in den Folgekapiteln die generelle datenschutzrechtliche Vereinbarkeit solcher Angebote überprüft werden, um so einen Überblick über deren datenschutzrechtliche Bewertung zu schaffen. Diese Analyse soll gerade die Hauptcharakteristika von datenfinanzierten Angeboten, die in ihrer monetären Kostenfreiheit, einfachen Verfügbarkeit und sehr kleinteiligen Nutzung liegen, aus datenschutzrechtlicher Perspektive in den Blick nehmen. Eine Fragmentierung auf verschiedenste Sonderrechtsgebiete würde hingegen die Diskussion zahlreicher Spezialgesetze erfordern und den Blick auf die datenschutzrechtlichen Gemeinsamkeiten verstellen. Aufgrund der datenschutzrechtlichen Fokussierung auf datenfinanzierte Angebote wird auch der „Digital Service Act“54, der sich derzeit im europäischen Gesetzgebungsprozess befindet, nicht vertiefend analysiert. Der Entwurf enthält Vorschriften für vermittelnde Online-Plattformen, wozu auch App-Stores gehören. Diese werden u. a. zur verbesserten Berichterstattung und Transparenz, zur Berücksichtigung der Grundrechte in ihren Nutzungsbedingungen oder zur Sicherheitsüberprüfung von Drittanbietern verpflichtet und müssen Beschwerde- und Rechtsbehelfsmechanismen für die Nutzer schaffen.55 Dabei verstärken sich die regulativen Vorgaben an die Plattformen mit deren wachsender Rolle, Größe und Auswirkung auf die Nutzer. Zum Datenschutz trifft der Entwurf allerdings ausdrücklich keine zur DSGVO ergänzenden Regelungen.56 Mithin betrifft der Anwendungsbereich des Entwurfs nicht die datenfinanzierten Apps oder ihre Anbie-

53 Insoweit bleibt im weiteren Gesetzgebungsprozess abzuwarten, ob sich aus der Verordnung auch generellere Auswirkungen für datenfinanzierte Angebote ergeben könnten. Vertiefend zu OTT-Diensten Gersdorf, in: Körber / Kühling, Regulierung  – Wettbewerb  – Innovation, S. 185 ff.; Kühling, in: Körber / Kühling, Regulierung – Wettbewerb – Innovation, S. 165 ff. 54 Verordnungs-Entwurf COM(2020) 825 final des Europäischen Parlaments und des Rates über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG vom 15. 12. 2020. 55 Für eine Übersicht vgl. https://ec.europa.eu/info/digital-services-act-ensuring-safe-andaccountable-online-environment_de. 56 Vgl. Art. 1 Abs. 5 lit. i) des Verordnungs-Entwurfs COM(2020) 825 final sowie dessen ErwG 10.

82

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

ter, sondern die die Apps vermittelnden App-Stores. Auch werden keine direkten datenschutzrechtlichen Vorgaben geschaffen.

§ 4 Die Grundlagen des Datenschutzrechts Der Betrachtung von Big Data und datenfinanzierten Angeboten im Speziellen ist gemein, dass ihre Wesensart und Ausgestaltung Fragen zum Umgang mit den generierten Daten aufwirft. Bei datenbasierten Geschäftsmodellen wird ein enormes Informations- und Wissenspotential erzeugt, welches den von der Datenverarbeitung betroffenen Person häufig verborgen bleibt. Der rechtliche Rahmen für die Zuordnung der Daten und Informationen gewinnt dementsprechend essentiell an Bedeutung. Dieser Bedeutungszuwachs betrifft vor allem die Regelung der Verarbeitung personenbezogener Daten der Bürger durch Dritte – den Kern des Datenschutzrechts. Aus diesem Grund ist ohne eine nähere Untersuchung und Einordnung des datenschutzrechtlichen Regelungsrahmens ein besseres rechtliches Verständnis datenfinanzierter Angebote nur schwerlich möglich. Denn diesen ist die Verarbeitung personenbezogener Daten als Geschäftsmodell gerade inhärent. Um einen Maßstab für die in den Folgekapiteln stattfindende datenschutzrecht­ liche Analyse datenfinanzierter Angebote bilden zu können, soll an dieser Stelle zunächst die Entwicklung und Ausgestaltung des Datenschutzrechts auf verfassungs- und primärrechtlicher Ebene betrachtet werden (A.). Der Datenschutz fußt national auf dem vom Bundesverfassungsgericht entwickelten Recht auf informationelle Selbstbestimmung, woraus sich viele systematische Grundsätze des Datenschutzes entwickelt haben. Der europäische Primärrechtsschutz ist hingegen bedeutend jünger und durch den EuGH noch nicht in gleicher Intensität aus­ differenziert. Demgegenüber ist das sekundärrechtliche bzw. einfachgesetzliche Datenschutzrecht seit Inkrafttreten der Datenschutz-Grundverordnung als unmittelbar anwendbares Recht vornehmlich durch den europäischen Rechtsrahmen geprägt. Das neu erlassene Bundesdatenschutzgesetz dient hingegen nur zu dessen Ergänzung. Insoweit soll im nächsten Unterkapitel der für diese Arbeit relevante, gesetzliche Rahmen dargestellt werden (B.). Aufbauend auf den gewonnenen Erkenntnissen untersucht der dritte Abschnitt des Kapitels das Verhältnis der grundrechtlichen Gewährleistungen zueinander. Dabei soll auch die sich hieraus ableitende Bedeutung für die Auslegung einfachgesetzlichen Datenschutzrechts erörtert werden. Anschließend wird ein Ausblick auf die datenschutzrechtlichen Probleme bei der Bewertung datenfinanzierter Angebote gegeben (C.).

§ 4 Die Grundlagen des Datenschutzrechts

83

A. Die verfassungs- und primärrechtliche Ausgestaltung des Datenschutzes Im Datenschutz auf nationaler Ebene entwickelte das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung zeitlich bereits deutlich vor seinem europäischen Äquivalent in Form des primärrechtlichen Datenschutzes. Daher findet in diesem Unterkapitel zur besseren Verständlichkeit zunächst eine Auseinandersetzung mit nationalem Verfassungsrecht statt (I.). Im Anschluss wird das europäische Primärrecht betrachtet, im Detail vor allem die Europäische Grundrechte-Charta (II.). Neben den Nutzern von datenfinanzierten Angeboten sind auch die App-Anbieter – in aller Regel juristische Personen des Privatrechts – durch Grundrechte geschützt. Nachfolgend wird daher auf den Gewährleistungsgehalt der zum Datenschutz der Nutzer konkurrierenden Grundrechte näher einzugehen sein (III.). I. Nationales Verfassungsrecht Im Grundgesetz findet sich keine wörtliche Aussage zur informationellen Selbstbestimmung bzw. abstrakt zum Datenschutz, so dass das anerkannte Institut der informationellen Selbstbestimmung vollständig richterrechtlich geprägt ist. Gleichzeitig besteht jedoch ein enger Zusammenhang zu dem seit den 1970er Jahren kodifizierten deutschen Datenschutzrecht.57 Für das Recht auf informationelle Selbstbestimmung stellt das Volkszählungsurteil58 den Ausgangspunkt dar. Das Recht auf informationelle Selbstbestimmung wurde hier erstmals als Teilbereich des allgemeinen Persönlichkeitsrechts aus Art. 1 Abs. 1, 2 Abs. 1 GG anerkannt. Das Recht repräsentiert den Schutz der Persönlichkeit des Einzelnen als grundrechtlichen Schutz vor Gefährdungen und Verletzungen der Persönlichkeit, die sich aufgrund moderner Datenverarbeitung aus informationsbezogenen Maßnahmen ergeben, so dass der darin innewohnenden Gefahr der Abrufbarkeit eines umfassenden Persönlichkeitsprofils der betroffenen Person entgegentreten und das eigene Informationsbild beeinflusst werden kann.59 Der gerichtlichen Wertung liegt die Annahme zugrunde, dass Bürger ihr Verhalten situationsgemäß danach ausrichten, wie sie vom Kommunikationspartner wahrgenommen werden wollen. Können sich betroffene Personen nicht sicher sein, was der Gegenüber bereits auf anderen Wegen über sie erfahren hat – lag zuvor also keine selbstständige Informationspreisgabe vor –, besteht die Gefahr einer Verhaltensänderung bis hin zu einer Selbstzensur.60 57 Lorenz, in: Bonner Kommentar GG, Art. 2 Rn. 328. Vgl. auch das erste BDSG vom 12. 11. 1976, BGBl 1977 I S. 201. 58 BVerfGE 65, 1 – Volkszählung. 59 BVerfGE 65, 1 (42). 60 BVerfGE 65, 1 (43).

84

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

1. Der Schutzumfang der informationellen Selbstbestimmung Der Schutzumfang der informationellen Selbstbestimmung umfasst nach ständiger Rechtsprechung des Bundesverfassungsgerichts den Schutz vor einer unbegrenzten Erhebung, Speicherung, Verwendung und Weitergabe der persönlichen Daten des Grundrechtsträgers. Dieser Schutz gilt insbesondere, wenn die Daten in einer Weise genutzt und verknüpft werden, dass die betroffene Person den Umfang der erhobenen Daten weder überschauen noch beherrschen kann. Dabei soll neben dem Schutz der Daten an sich auch die Entstehung eines „Einschüchterungseffekts“ verhindert werden, der zu weiteren Grundrechtsbeeinträchtigungen führen kann, wenn für den Einzelnen nicht mehr erkennbar ist, „wer was wann und bei welcher Gelegenheit über ihn weiß“. Der Grundrechtsträger muss vielmehr zur selbstständigen Preisgabe und Verwendung seiner Daten befugt bleiben, um so die Freiheit seiner individuellen Rechte zu sichern.61 Der Schutzumfang der informationellen Selbstbestimmung umfasst inhaltlich personenbezogene Daten aller Art und ist insoweit sehr weit gefasst. Dieser Schutz beschränkt sich nicht auf Informationen, die bereits nach ihrer Art sensibel sind. Auch der Umgang mit Daten, die für sich genommenen nur einen geringen Informationsgehalt aufweisen, kann je nach durchgeführter Verarbeitungs- und Verknüpfungsmöglichkeit und der Zielrichtung der Datenverarbeitung grundrechts­ erhebliche Auswirkungen haben. Selbst öffentlich bzw. allgemein zugängliche Daten sind bei Vorhandensein eines Personenbezugs umfasst. Es gibt nach Ansicht des Bundesverfassungsgerichts aufgrund der elektronischen Verarbeitungs- und Verknüpfungsmethoden kein grundsätzlich, ungeachtet des Verwendungskontexts zu bewertendes, belangloses Datum.62 Die informationelle Selbstbestimmung setzt dieser Gefährdungslage der betroffenen Personen einen „räumlich und thematisch bestimmten Bereich entgegen, der grundsätzlich frei von unerwünschter Einsichtnahme bleiben soll“.63 Insofern schützt das geschaffene Grundrecht abstrakt den Grundrechtsträger sowie dessen Preisgabe persönlicher Daten vor den unkontrollierten Gefahren der elektronischen Datenverarbeitung moderner Informationssysteme durch staatliche Stellen und private Dritte.64 Dem gesamten Schutzumfang liegt dabei die Gefahr der Abrufbarkeit eines umfassenden Persönlichkeitsprofils der betroffenen Person zugrunde, 61 S. zum Ganzen: BVerfGE 130, 151 (183 f.); 120, 274 (311 f.); 118, 168 (184 f.); 117, 202 (228 f.); 115, 166 (188); 113, 29 (46 f.); 65, 1 (43). Dieser Umfang der informationellen Selbstbestimmung wird auch im Schrifttum weitgehend so anerkannt und angewandt, vgl. etwa Di Fabio, in: Maunz / Dürig, GG, Art. 2 Rn. 173 ff.; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 2 GG, Rn. 16 ff.; Lorenz, in: Bonner Kommentar GG, Art. 2 Rn. 328 ff. 62 Vgl. wiederum BVerfGE 130, 151 (183 f.); 120, 274 (311 f.); 118, 168 (184 f.); 117, 202 (228 f.); 115, 166 (188); 113, 29 (46 f.); 65, 1 (43). 63 BVerfGE 130, 151 (184). 64 Zur Drittwirkung s. § 4 A. I. 2. 

§ 4 Die Grundlagen des Datenschutzrechts

85

deren Verwirklichung sich vor allem durch die zunehmende Digitalisierung technisch immer einfacher umsetzen lässt. a) Die Eingriffsintensität Ein Eingriff in das Recht auf informationelle Selbstbestimmung liegt nach dem mittlerweile weitestgehend anerkannten erweiterten Eingriffsbegriff bei einer nicht unerheblichen Einwirkung des Staates auf ein grundrechtliches Schutzgut gegen den Willen des Grundrechtsträgers vor.65 Vorgänge, die eine Erhebung, Speicherung, Verwendung und Weitergabe oder einen sonstigen Umgang der persönlichen Daten durch staatliche Stellen ermöglichen, stellen so allesamt voneinander abzugrenzende – ggf. aufeinander aufbauende – Eingriffe in das Recht auf informationelle Selbstbestimmung dar.66 Da das maßgebliches Kriterium der Persönlichkeitsgefährdung der konkrete Verwendungskontext ist, begründet auch die Ermächtigung zur Zweckveränderung – also der Datennutzung zu neuen bzw. anderen Zwecken – einen weiteren Eingriff, sofern die Datenerhebung selbst einen Eingriff dargestellt hat.67 An der Eingriffsqualität fehlt es hingegen, wenn Daten nur miterfasst, unmittelbar nach der Erhebung ohne Wahrnehmung des Personenbezugs und ohne Erkenntnisinteresse wieder ausgesondert werden. Denn für einen Eingriff ist zumindest die Möglichkeit einer Kenntnisnahme der Daten notwendig.68 Mangels Kenntnisnahme erfolgt dann keine erhebliche Einwirkung auf die informationelle Selbstbestimmung. Die Art und der Umfang der Datenverarbeitung bestimmen die Intensität des Grundrechtseingriffs. Die Intensität richtet sich im Einzelnen nach vielfältigen Faktoren, unter anderem nach der Anzahl der betroffenen Grundrechtsträger, Umfang, Dauer und Bedeutung der persönlichen Beeinträchtigung, die Streubreite der Maßnahmen in Bezug auf unbeteiligte Dritte sowie die durch den Eingriff drohenden Nachteile für die Betroffenen.69 Eine gesteigerte Intensität des Grundrechtseingriffs und damit ein erhöhter Rechtfertigungsbedarf liegen darüber hinaus vor, wenn die Datenverarbeitung ohne Kenntnis der betroffenen Person oder der Art nach heimlich erfolgen, wodurch deren Mitwirkungsmöglichkeit oder die Möglichkeit zur gerichtlichen Kontrolle erschwert bzw. gänzlich unmöglich wird.70

65

Statt vieler Dreier, in: Dreier, GG, Vorb., Rn. 123, 125 ff. m. w. N. BVerfGE 130, 151 (184). 67 BVerfGE 65, 1 (43); 125, 260 (312 f.). 68 BVerfGE 120, 378 (399); 115, 320 (343). 69 BVerfGE 118, 168 (197); Lorenz, in: Bonner Kommentar GG, Art. 2 Rn. 343. 70 BVerfGE 118, 168 (197 f.). 66

86

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

b) Der Ausschluss durch Einwilligung Die informationelle Selbstbestimmung beinhaltet auch eine – gerade im Rahmen der Digitalisierung immer bedeutsamere – negative Komponente, da im Zentrum des Grundrechts die Selbstbestimmung der betroffenen Person steht. Hierdurch wird die Freiheit gewährt, auch auf jegliche Privatheit der Daten zu verzichten und diese der Öffentlichkeit oder auch einem Einzelnen zugänglich zu machen.71 Ein Eingriff in die informationelle Selbstbestimmung ist daher regelmäßig ausgeschlossen, wenn die betroffene Person wirksam in eine Verarbeitung eingewilligt hat.72 Die betroffene Person hat hierdurch die Befugnis, selbst über die Preisgabe und Verwendung ihrer jeweiligen Daten zu entscheiden.73 Durch die Einwilligung verzichtet die betroffene Person auf den Schutz der informationelle Selbstbestimmung, weshalb es von besonderer Bedeutung ist, dass die Einwilligung bewusst und freiwillig ausfällt.74 Ein genereller, über eine bestimmte Datenpreisgabe hinausgehender Verzicht auf das Grundrecht ist hingegen nicht möglich, so dass die Einwilligung am konkreten Einzelfall zu bemessen und hinreichend konkret sein muss.75 Auf die genauen Voraussetzungen einer freiwilligen Einwilligung und deren Funktionsfähigkeit im Kontext mit datenfinanzierten Angeboten ist an späterer Stelle auf der Grundlage der einfachgesetzlichen Normen einzugehen.76 Insoweit ist an dieser Stelle bereits festzuhalten, dass die Einwilligung als solche verfassungsrechtlich anerkannt ist. c) Die Rechtfertigung von Eingriffen Das Recht auf informationelle Selbstbestimmung wird jedoch auch ohne Einwilligung der betroffenen Person nicht schrankenlos gewährt. Dies trägt dem legitimen Informationsbedarf von Staat und Gesellschaft durch die Datenverarbeitung personenbezogener Daten Rechnung. Eingriffe in das informationelle Selbst­ bestimmungsrecht können gemäß der Schranke in Art. 2 Abs. 1 GG aufgrund der verfassungsmäßige Ordnung und durch die Rechte Dritter gerechtfertigt werden. Es bedarf insoweit einer verfassungskonformen gesetzlichen Grundlage, die das Gebot der Bestimmtheit und Normenklarheit und den Grundsatz der Verhältnis 71

Masing, NJW 2012, 2305 (2308). Di Fabio, in: Maunz / Dürig, GG, Art. 2 Rn. 228; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 2 GG, Rn. 41; Jarass, NJW 1989, 857 (860). 73 BVerfGE 130, 151 (183); 65, 1 (43). 74 Ob es sich bei der Einwilligung dogmatisch um eine aktive Ausübung oder einen bewussten Verzicht des Grundrechts handelt, kann vorliegend mangels unterschiedlicher Folgen dahinstehen; s. Di Fabio, in: Maunz / Dürig, GG, Art. 2 GG, Rn. 228 f. m. w. N. 75 Di Fabio, in: Maunz / Dürig, GG, Art. 2 Rn. 229; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 2 GG, Rn. 41; Jarass, NJW 1989, 857 (860). 76 S. hierzu § 6 B. 72

§ 4 Die Grundlagen des Datenschutzrechts

87

mäßigkeit in Hinblick auf die spezifische grundrechtliche Gefährdungslage hinreichend adressieren.77 Die Anforderungen an die eine Datenverarbeitung rechtfertigenden Normen variieren seit dem Volkszählungsurteil hinsichtlich ihrer Bestimmtheit, Normenklarheit sowie ihrer Verhältnismäßigkeit danach, ob es sich Daten in individualisierter oder anonymisierter Form handelt.78 Bei Letzteren fallen die Anforderungen an die Rechtfertigung geringer aus, so dass auf die Anonymisierung, die gerade auch bei modernen Datenverarbeitungsprozessen eine enorme Bedeutung hat, an späterer Stelle zurückzukommen ist.79 Da sich darüber hinaus die Schwere des Grundrechtseingriffs erst aus dem Verwendungskontext ergibt, muss die gesetz­ liche Rechtfertigung „bereichsspezifisch und präzise“ den Verwendungszweck der erhobenen Daten bestimmen, während eine (staatliche) Sammlung von Daten auf Vorrat ohne nähere Zweckbestimmung grundsätzlich verboten ist.80 Die Verpflichtung zur vorherigen Zweckbestimmung materialisiert sich im sog. Zweckbindungsgrundsatz. Mit diesem wird sichergestellt, dass Daten nur zum jeweiligen gesetzlichen Zweck verwendet werden.81 Durch die darin inhärente Anforderung der bereichsspezifischen und präzisen Benennung des Zweckes reichen bloß allgemein formulierte Aufgabenbeschreibungen für eine zweckbestimmte Datenerhebung nicht aus.82 Allerdings sind an die in dieser Verpflichtung zum Vorschein tretenden Gebote der Bestimmtheit und Normenklarheit auch keine überzogenen Anforderungen zu stellen und ein hinreichend deutlicher Zweck- und Ermächtigungsumfang in der Norm oder aus dem Normzusammenhang reicht aus.83 Nach neuerer Rechtsprechung des Bundesverfassungsgerichts haben sich die Anforderungen an eine Zweckveränderungen erleichtert: Das Gericht stellt anhand des Kriteriums einer „hypothetischen Datenneuerhebung“ nun darauf ab, ob die entsprechenden Daten nach verfassungsrechtlichen Maßstäben neu auch für den geänderten Zweck mit den vergleichbaren Mitteln erhoben werden dürften; nur dann ist eine Zweckänderung möglich.84 Nach dem Grundsatz der Verhältnismäßigkeit sind ferner je höhere Anforderungen an die gesetzliche Rechtfertigung zu stellen, desto schwerwiegender sich die oben beschriebene Intensität des jeweiligen Eingriffs für die betroffene Person 77

BVerfGE 115, 166 (190 f.); 65, 1 (43 f.). Der Gesetzgeber hat nach den Geboten der Bestimmtheit und Normenklarheit den Anlass, Zweck und die Grenzen eines Eingriffs hinreichend spezifisch, präzise und normenklar in der Ermächtigung im Gesetz niederzulegen, so dass sich die betroffene Person auf mögliche, seine Grundrechte belastende Maßnahmen einstellen kann, vgl. BVerfGE 120, 378 (407 f.). 78 BVerfGE 65, 1 (44 ff.). 79 S. § 5 A. II. 2. 80 BVerfGE 115, 320 (350); 65, 1 (46). 81 BVerfGE 115, 320 (350); 65, 1 (46). 82 BVerfGE 92, 191 (197 f.). 83 BVerfGE 92, 191 (197 f.); Di Fabio, in: Maunz / Dürig, GG, Art. 2 Rn. 182. 84 BVerfGE 133, 277 (374); 125, 260 (333).

88

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

darstellt.85 Die den Grundrechtseingriff rechtfertigenden Interessen sind hierzu am Gewicht der Ziele und Belange der Grundrechtsbeschränkung und an den Gefahren zu messen, die durch die Beschränkung verhindert werden sollen.86 Mithin hat eine Güterabwägung zwischen den Rechtsgütern stattzufinden. d) Prozedurale Garantien Das Grundrecht auf informationelle Selbstbestimmung konstituiert neben der abwehrrechtlichen Dimension gegen fremde Datenerhebung und Datenverarbeitung aufgrund der Gefahren von technisch sich stets fortentwickelnden Datenverarbeitungsprozessen auch präventive prozedurale Garantien. Nach diesen sind gesetzlich vermehrt organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, die der Gefahr einer Verletzung des Persönlichkeitsrechts entgegen wirken.87 Den Grundrechtsberechtigten stehen verfahrensrechtliche Schutzvorkehren, namentlich Aufklärungs-, Auskunfts- und Löschungspflichten sowie Verwertungsverbote des Datenverarbeiters zu.88 Insoweit sind die einfach gesetzlich geregelten Betroffenenrechte die direkte Ausgestaltung verfassungsrechtlicher Direktiven.89 Die Aufklärungs- und Auskunftspflichten schützen das Interesse der betroffenen Person, von informationsbezogenen, grundrechtsintensiven Maßnahmen zu erfahren, um so Kenntnis über das mögliche Wissen datenverarbeitender Dritter zu erhalten. Auch die Löschungspflichten ergeben sich direkt aus dem Recht der informationellen Selbstbestimmung. Mit der Zweckbindung einer Datenerhebung geht einher, dass alle nicht zur Zweckerreichung förderlichen Daten gelöscht werden müssen.90 Insgesamt sind die Ansprüche Voraussetzung für einen effektiven Grundrechtsschutz.91 2. Mittelbare Drittwirkung und Schutzpflichten Durch die Digitalisierung hat sich Gefährdungsbereich der informationellen Selbstbestimmung zunehmend verändert. War mit dem Volkszählungsurteil vornehmlich ein Eingriff durch staatliche Stellen aufgrund staatlicher Verarbeitungsinteressen adressiert, ermöglicht die Digitalisierung nun zunehmend Privaten – vor allem Unternehmen – umfangreich personenbezogene Daten zu erheben und zu verarbeiten. Dieser Umstand ermöglicht Privaten, ebenso tiefgreifend in die Be 85

BVerfGE 115, 320 (358). BVerfGE 115, 320 (358). 87 BVerfGE 65, 1 (44). 88 S. vertiefend Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 2 GG, Rn. 81 ff. 89 Zur Pflicht der Ausgestaltung dieser Direktiven BVerfGE 115, 29 (58). 90 BVerfGE 113. 29 (58). 91 S. zum Ganzen BVerfGE 120, 351 (360 f.). 86

§ 4 Die Grundlagen des Datenschutzrechts

89

stimmungshoheit der anfallenden Daten einzugreifen, wie es in der Vergangenheit nur staatlichen Stellen möglich war. Grundsätzlich sind Grundrechte aufgrund der historischen Entwicklung und der Ausgestaltung moderner Verfassungen lediglich Abwehrrechte des Einzelnen gegenüber der öffentlichen Gewalt. Eine Ausstrahlungswirkung der Grundrechte in den Privatrechtsbereich lässt sich jedoch über die den Grundrechten immanente objektive Werteordnung herstellen, die Gesetzgebung, Verwaltung und Rechtsprechung nach Art. 1 Abs. 3 GG zu beachten haben und die als „Einbruchstelle“ in die Auslegung des Privatrechts einfließt. Das Bundesverfassungsgericht hat im Rahmen des Lüth-Urteils erstmals ausdrücklich eine mittelbarere Drittwirkung der Grundrechte auf das Privatrecht festgestellt und so die moderne und hierzu herrschende Rechtsauffassung begründet.92 Die abwehrrechtliche, vertikale Dimension gegenüber dem Staat hat sich damit um eine horizontale Wirkung im Verhältnis von Privaten untereinander erweitert. Durch die horizontale Wirkung entsteht gleichwohl keine direkte Grundrechtsbindung von privaten Akteuren, aus der sich Ansprüche oder Handlungspflichten ableiten lassen. Vielmehr eröffnet sich eine mittelbare Drittwirkung, die sich in der grundrechtskonformen Auslegung privatrechtlicher Normen äußert.93 Neben der mittelbaren Drittwirkung wohnt dem grundrechtlichen Schutzgehalt eine aktive staatliche Handlungskomponente inne, nach der der Staat den Schutz der individuellen grundrechtlich geschützten Rechtspositionen gegenüber unerwünschten Eingriffen sicherstellen muss.94 Danach sind staatliche Stellen gehalten, geeignete Maßnahmen zu treffen, um Rechtsgutsverletzungen von Privaten untereiandern zu verhindern. Diese Verpflichtung wird unter den Begriff der sog. staatlichen Schutzpflicht eingeordnet. Das Bundesverfassungsgericht hat eine solche Schutzpflicht erstmals im Rahmen des Rechts auf Leben und körperliche Unversehrtheit nach Art. 2 Abs. 2 GG anerkannt, wonach der Staat aktiv das Leben und die Unversehrtheit vor Rechtsgutsverletzungen zu bewahren habe.95 Diese Verantwortung steige, je höher der Rang des Schutzgutes innerhalb der grundgesetzlichen Werteordnung angesiedelt sei. Folgend hat das Bundesverfassungsgericht solche aktiven Schutzpflichten auch bei weiteren Rechtsgütern wie der Freiheit von Personen, der Wissenschaftsfreiheit oder dem Gesundheitsschutz vor schädlichen Emissionen bejaht.96 Der Unterschied zwischen Schutzpflichten und mittelbarer Drittwirkung besteht darin, dass die Schutzpflichten einzig eine Handlungsverpflichtung des Staates 92

BVerfGE 7, 198 (201 ff.) – Lüth; Dreier, in: Dreier, GG, Vorb., Rn. 98 m. w. N.; zum historischen Streit über den Einfluss von Grundrechten auf das Privatrecht, s. Nipperdey, Grundrechte und Privatrecht, S. 6 f. 93 Rüfner, in: Isensee / K irchhof, Handbuch des Staatsrechts, § 197 Rn. 102. 94 Dreier, in: Dreier, GG, Vorb., Rn. 101 ff.; Müller-Franken, in: Schmidt-Bleibtreu / Hofmann / Henneke, GG, Vorb. v. Art. 1 Rn. 23 ff. m. w. N. 95 BVerfGE 39, 1 (42); 46, 160 (164 f.); 115, 320 (346 f.). 96 Vgl. BVerfGE 49, 304 (319 ff.); 120, 274 (319 f.); 35, 79 (113); 56, 54 (73 ff.); 77, 170 (229).

90

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

begründen, sich schützend vor die Grundrechte zu stellen, während durch die mittelbare Drittwirkung die Rechtskreise von Privaten im horizontalen Verhältnis eingeschränkt werden.97 a) Übertragbarkeit auf die informationelle Selbstbestimmung Das Bundesverfassungsgericht hat in einigen Entscheidungen eine sich aus der informationellen Selbstbestimmung ableitende Schutzpflicht ausdrücklich anerkannt: Durch die informationelle Selbstbestimmung seien in der Rechtsordnung Bedingungen zu schaffen und erhalten, unter denen der Einzelne selbstbestimmt am Kommunikationsprozess teilnehmen könne. Der Staat habe insoweit die Verantwortung, eine solche selbstbestimmte Kommunikation zu gewährleisten.98 Eine dogmatische Betrachtung der informationellen Selbstbestimmung vor dem Hintergrund fortschreitender Digitalisierung unterstreicht die Wertung des Bundesverfassungsgerichts. Das Grundrecht lässt durchaus Spielraum für die Annahme einer mittelbaren Drittwirkung im privatrechtlichen Verhältnis. Viele Aussagen des Bundesverfassungsgerichts lassen sich auch auf ein Verhältnis zwischen Privaten beziehen: So soll „der Einzelne grundsätzlich selbst entscheiden, wann und innerhalb welcher Grenzen er persönliche Lebenssachverhalte offenbart.“99 Aufgrund der Allgegenwärtigkeit der modernen Informationstechnologie  – die sich gerade in der Eröffnung ganzer Geschäftsmodelle durch datenfinanzierte Angebote zeigt – greifen auch Private vermehrt und immer umfangreicher in die informationellen Selbstbestimmungsrechte der betroffenen Personen ein. Gerade die umfangreiche Datenverarbeitung im Rahmen von Big Data und bei der Vielzahl datenfinanzierter Angebote wird vom Bundesverfassungsgericht zwar nicht direkt adressiert. Das Gericht macht aber deutlich, dass „es unter den Bedingungen der automatischen Datenverarbeitung kein ‚belangloses‘ Datum“ mehr gebe.100

97

Papier, in: Merten / Papier, Handbuch der Grundrechte, § 55 Rn. 9 ff.; kritischer hinsichtlich der Abgrenzung zwischen Schutzpflicht und mittelbarer Drittwirkung Dreier, in: Dreier, GG, Vorb., Rn. 100. 98 Zum Ganzen BVerfG, Urt. v. 23. 10. 2006 – 1 BvR 2027/02 = MMR 2007, 93; bestätigt in BVerfGE 120, 274 (312). Hierbei ist jedoch der Übergang zur sog. mittelbaren Drittwirkung fließend, als dass laut Urteil die informationelle Selbstbestimmung aufgrund ihrer Funktion als Schutznorm privatrechtliche Streitigkeiten durch den „Schutzgehalt“ des Grundrechts beeinflussen kann. 99 BVerfGE 65, 1 (42 f.). 100 BVerfGE 65, 1 (43, 45). Ferner könne laut Gericht „ein für sich gesehen belangloses Datum einen neuen Stellenwert bekommen“ und „die freie Entfaltung der Persönlichkeit [setze] unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“ Darüber hinaus betont das Bundesverfassungsgericht den Zusammenhang der Datenverarbeitung die Handlungsmacht einer verarbeitenden Stelle und den daraus entstehenden Druck für die betroffene Person.

§ 4 Die Grundlagen des Datenschutzrechts

91

Das Bundesverfassungsgericht hat mit dieser Entscheidung durch die offene Formulierung eine Ausdehnbarkeit auf die damals noch nicht erkennbare technische Entwicklung gelegt. Aufgrund der Vergleichbarkeit der Datenverarbeitung zwischen öffentlichen und privaten Stellen ist daher eine mittelbare Drittwirkung der informationellen Selbstbestimmung und eine Schutzpflicht des Staates zu berücksichtigen. Das Grundrecht ist mithin als Auslegungsmaßstab bei der Anwendung zivilrechtlicher Normen zu berücksichtigen und die jeweilige Norm ist im Lichte des Grundrechts auszulegen.101 Auch ist der Staat im Rahmen seiner Schutzpflicht dazu angehalten, Schutzmaßnahmen zugunsten der von der Datenverarbeitung Betroffenen auszugestalten.102 Zum Teil wird darüber hinausgehend basierend auf einigen Entscheidungen des Bundesverfassungsgericht gefordert, einige digitale Akteure aufgrund ihrer QuasiMonopolstellung und allgemeiner Zugänglichkeit einer unmittelbaren Grundrechtsbindung zu unterwerfen.103 In diesen Entscheidungen stellte das Gericht darauf ab, dass Private in besonderen Fällen ähnlich oder genauso wie der Staat durch Grundrechte in die Pflicht genommen werden können.104 b) Der Umfang von Schutzpflichten und der Drittwirkung Die Schutzpflichten und Drittwirkung unterscheiden sich allerdings im Umfang durchaus von einer unmittelbaren Grundrechtsbindung staatlicher Stellen. Im Privatrechtsverhältnis müssen zusätzlich zu den Gesichtspunkten, aus denen sich Schutzpflichten und Drittwirkung ergeben, die Grundrechte der Gegenseite mitberücksichtigt werden. Bei geschäftlichen und vertraglichen Beziehungen handelt es sich dabei vor allem um deren Wirtschaftsgrundrechte und den Grundsatz der Privatautonomie. Die Datenverarbeiter als Gegenüber des privatrechtlichen Vertrags – etwa über ein datenfinanziertes Angebot – sind dabei selbst grundrechtsberechtigt, so dass deren Datenverarbeitung ebenfalls grundrechtlich geschützt ist. Die Verarbeitung der personenbezogenen Daten ist vielmehr Ausdruck der grundrechtliche geschützten Freiheiten der Datenverarbeiter, so dass deren Umgang mit den Daten grund-

101

BVerfGE 84, 192 (194 f.); zustimmend Di Fabio, in: Maunz / Dürig, GG, Art. 2 Rn. 191 m. w. N. 102 Di Fabio, in: Maunz / Dürig, GG, Art. 2 Rn. 189. 103 Jobst, NJW 2020, 11 (11 ff.) m. w. N. Dieser Ansicht folgend werden hiervon vor allem die großen Anbieter von Onlinediensten wie Google und Facebook umfasst. 104 Diese Situation bestehe vor allem, wenn die Privaten in eine vergleiche Pflicht und Garanten-Stellung wie der Staat hineinwachse, vgl. BVerfGE 128, 226 (248 f.) – Fraport; BVerfG, Beschl. v. 18. 7. 2015 – 1 BvQ 25/15, Rn. 5 f. = NJW 2015, 3485 – Bierdosen-Flashmob; Beschl. v. 11. 4. 2018 – 1 BvR 3080/09, Rn. 32 f. = NJW 2018, 1667 – Stadionverbot.

92

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

sätzlich legitim ist und keinem Gesetzesvorbehalt unterliegt.105 Deren Rechtsgüter sind bei einer Regulierung dementsprechend mit dem Recht auf informationelle Selbstbestimmung abzuwägen, da mir einer Regulierung der privaten Datenverarbeitung immer eine Einschränkung der Handlungsfreiheit bzw. Privatautonomie des Datenverarbeiters einhergeht. Diese mit dem Recht auf informationelle Selbstbestimmung – bzw. mit europäischen Datenschutzgrundrechten – kollidierenden Grundrechte der datenverarbeitenden Unternehmen müssen nachfolgend aufgezeigt werden, um eine Abwägung der divergierenden Interessen zu ermöglichen und die insoweit entgegenstehenden Grundrechtspositionen in praktische Konkordanz zu bringen.106Ausgangspunkt ist bei einer solchen Abwägung die grundsätzliche Gleichrangigkeit der Datenverarbeiter und der betroffenen Personen. Hinzu kommt, dass die von der Datenverarbeitung betroffenen Personen im Rahmen ihrer Rechtspositionen selbst entscheiden sollen, welchem Vertragspartner oder sonstigem Dritten welche Daten preisgegeben werden. Eine Eins-zu-eins-Übertragung der Grundrechtswirkung auf Privatrechtsverhältnisse – im Sinne einer unmittelbaren Drittwirkung – ist aufgrund des ebenfalls grundrechtsberechtigten Gegenübers jedenfalls abzulehnen.107 Auch das Bundesverfassungsgericht nimmt in seinen Entscheidungen explizit lediglich eine mittelbare und keinesfalls eine unmittelbare Grundrechtsbindung an, auch wenn die Wirkung in Einzelfällen vergleichbar ausfallen kann.108 Das Recht auf informationelle Selbstbestimmung wirkt im privaten Verhältnis daher nur in Form einer relativen Zuordnung. Denn auch eine durch die Digitalisierung veränderte Gefährdungslage erfordert keine Anpassung der Grundrechte hin zu einer Grundrechtsverpflichtung von Privaten.109 Für die Schutzpflichten bedeutet dies gleichwohl, dass in einfachgesetzlichen Normen der Schutz der Betroffenen als Untermaßgebot auszugestalten ist; die Form und Intensität jedoch der Entscheidung des Gesetzgebers obliegt.110 Der Staat verleiht den staatlichen Schutzpflicht Konturen, indem er eine zwischen den Parteien ausgleichende, verhältnismäßige gesetzliche Regelungen schafft. Diese muss die Grundlagen für die Wahrnehmung der informationellen Selbstbestimmung sicherstellen, ohne dabei die Rechte des Gegenübers zu sehr 105

Di Fabio, in: Maunz / Dürig, GG, Art. 2 Rn. 189; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 2 GG, Rn. 89. 106 Hesse, Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, Rn. 317 ff. Vgl. hierzu § 4 A. III. 107 So im Ergebnis auch Müller-Terpitz, ZUM 2020, 365 (368); Schubert, ZUM-RD 2019, 431 (432). Eine unmittelbare Grundrechtsbindung wäre bei der vorliegenden Betrachtung von datenfinanzierten Angeboten allerdings ohnehin nicht allgemein anzunehmen, da datenfinanzierte Angebote keinesfalls nur von Anbietern mit einer Quasi-Monopolstellung bereitgestellt werden. 108 BVerfGE 128, 226 (248 f.); Beschl. v. 18. 7. 2015 – 1 BvQ 25/15, Rn. 5 f. = NJW 2015, 3485. 109 Greve, in: FS Kloepfer, S. 665 (672). 110 Gurlit, NJW 2010, S. 1035 (1041); Ruffert, Vorrang der Verfassung und Eigenständigkeit des Privatrechts, S. 490 f.

§ 4 Die Grundlagen des Datenschutzrechts

93

einzuschränken. Eine regulative Verpflichtung im Rahmen von Schutzpflichten kann danach weit weniger einschneidend als die vergleichbare Regulierung staatlicher Akteure ausfallen, sie muss es aber nicht. Im Einzelfall können sich sowohl die Schutzpflichten wie auch die mittelbare Drittwirkung auch derart verdichten, dass sie je nach Gewährleistungsgehalt des geschützten Grundrechts einer unmittelbaren Grundrechtsbindung nahekommen oder gar einen ebenso starken Schutz erzeugen. Gerade bei bestehenden Machtasymmetrien zwischen privaten Parteien muss der Staat für eine angemessen ausgleichende Regelung sorgen.111 Die Art der Machtasymmetrie ist dabei regulatorisch zu berücksichtigen und es kann durchaus naheliegend sein, dass bestimmte Akteure strengen Regelungen unterworfen werden.112 Eine solche Situation ist in dem in dieser Arbeit erörterten Kontext denkbar, wenn ein einzelner (privater) Nutzer einem Anbieter von datenfinanzierten Angeboten gegenübersteht, dessen Marktmacht oder die Eingeschränktheit gangbarer Alternativen zum angebotenen Dienst ein Ungleichgewicht eröffnet. Die Asymmetrie kann genauso dadurch entstehen, dass dem Nutzer die tatsächliche Verwendung der personenbezogenen Daten nicht ersichtlich ist oder diese als vermeintlich unbedeutend betrachtet wird. 3. Würdigung Ohne sich in seiner Rechtsprechung bis zu diesem Zeitpunkt inhaltlich mit Big Data oder datenfinanzierten Angeboten beschäftigt zu haben – und vor allem angesichts des Entscheidungsdatums des Volkszählungsurteils mit enormer Weitsicht –, schafft das Bundesverfassungsgericht mit der abstrakten Definition der informationellen Selbstbestimmung einen Ansatzpunkt zum Datenumgang bei Big Data. Das Bundesverfassungsgericht stellt auch auf die Verarbeitung potentiell belangloser Daten ab und ermöglicht damit ein weites Verständnis des Grundrechts. Dass anfänglich unzuordenbare Daten durch die Ansammlung größerer Datensätze schlussendlich zu personenbezogenen Daten werden, ist einer der Grundannahmen von Big Data und passt insoweit eindeutig in die Lesart des Grundrechts. Durch die Anknüpfung an den Verwendungszweck des Datums fallen die mittels Big Data-Analysen gewonnenen (personenbezogenen) Informationen potentiell in den Schutzumfang der informationellen Selbstbestimmung. Die Erhebung der – anfänglich evtl. bedeutungsarmen – Datensätze und eine u. U. stattfindende Zweckänderung durch Big Data-Analysen stellen jeweils Eingriffe in das Recht auf informationelle Selbstbestimmung dar, zumal mit solchen Analysen die vom Bundesverfassungsgericht besonders ausgemachte Gefahr einer Schaffung von Persönlichkeitsprofilen weiter erhöht wird. Bei Big Data-Analysen werden außer 111 112

Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 49. Masing, NJW 2012, 2305 (2308); Gurlit, NJW 2010, S. 1035 (1039).

94

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

dem schon der Wesensart nach keine zusätzlich gewonnenen Informationen wieder ausgesondert, ohne dass diese zur Erkenntnisgewinnung genutzt worden sind. Folglich liegt der vom Bundesverfassungsgericht als Ausschluss eines Eingriffs formulierte Fall gerade nicht vor. Auch kann die informationelle Selbstbestimmung über ihre mittelbare Drittwirkung sowie über die Umsetzung staatlicher Schutzpflicht in das Verhältnis zwischen privaten Datenverarbeitern und Nutzern einwirken. Ein Ausgleich zwischen den divergierenden privaten Interessen kann allerdings nicht einzig auf verfassungsrechtlicher Ebene gelöst werden und es ist das einfachgesetzliche bzw. sekundärrechtliche Datenschutzrecht heranzuziehen, um die verfassungsrechtlichen Vorgaben hinreichend auszudifferenzieren. Bei der Bewertung datenfinanzierter Angebote im Speziellen stellt sich außerdem die Frage, inwieweit es in bestimmten Situationen zu einer im Sinne des Grundgesetzes tatsächlich freiwilligen Preisgabe von Daten kommt und wie hierbei die Maßstäbe ausfallen. Das „Bezahlen“ mit Daten ist für die Nutzer Ausprägung der Freiheit zur Informations- und Datenpreisgabe und im Grundsatz mit der informationellen Selbstbestimmung vereinbar. Vor allem beim Abstellen auf die in dieser Arbeit entworfenen Kategorien der Datenverarbeitung zeigt sich allerdings, dass die Eingriffsintensität je nach Verarbeitungskategorie immer höher ausfällt. Ist die Eingriffsintensität bei einer Verarbeitung lediglich zur Funktionsfähigkeit der App (Kategorie I) noch eher gering, so erhöht sich die Eingriffsintensität bei einer Offenlegung der Daten (Kategorie III) deutlich. Bei Letzterer ist es für die betroffene Person deutlich schwieriger zu eruieren, welche Daten bei wem, für wie langen und für welchen Zweck vorliegen. Inwieweit diese regulatorische Ausgestaltung des Datenschutzes für das Verhältnis zwischen App-Anbietern und Nutzern bei datenfinanzierten Angeboten gelungen ist, muss nachfolgend noch näher eruiert werden. II. Primärrechtsschutz in der EU Der Datenschutz bzw. der Schutz personenbezogener Daten wird innerhalb der EU maßgeblich durch die Europäische Grundrechte-Charta (vgl. Art. 8 Abs. 1 GRCh) garantiert. Der EuGH hat das Grundrecht durch seine Rechtsprechung derart konkretisiert, dass sich hieraus das grundsätzliche Datenschutzsystem auf europäischer Ebene entwickelt hat. Nachfolgend wird nach einer kurzen Darstellung der historischen Entwicklung des europäischen Grundrechtschutzes  – einschließlich einer Bezugnahme auf die EMRK113 – (1.) auf die Ausgestaltung des Datenschutzes in der GrundrechteCharta (2.) sowie dem AEUV (3.) eingegangen. 113 Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten vom 4. 11. 1950, in der Fassung der Protokolle Nr. 11 und 14 vom 1. 6. 2010.

§ 4 Die Grundlagen des Datenschutzrechts

95

1. Historische Entwicklung Historisch wurde der heute allgemein anerkannte grundrechtliche Schutz personenbezogener Daten innerhalb der EU erst bedeutend später verankert, als dies im nationalen Kontext geschah. Vor Inkrafttreten des Lissabonner Vertrags am 1. Januar 2009 ergab sich Datenschutz lediglich über Art. 6 Abs. 2 EUV a. F.114, durch den sich die Union zur Beachtung der Grundrechte aus der EMRK und gemeinsamen Verfassungsüberlieferungen der Mitgliedsstaaten als allgemeine Grundsätze des Gemeinschaftsrechts verpflichtete. Dies ist damit zu erklären, dass die Ausgestaltung von Grundrechten als schwerer Eingriff in nationale Souveränitätsrechte verstanden und hierüber eine über Regulierung des Binnenmarkts hinausgehende schleichende Kompetenzerweiterung der Union auf bürgerliche, politische und soziale Aspekte befürchtet wurde.115 Eine solche Integration war zu diesem Zeitpunkt aber noch nicht anerkannt. Die über rein wirtschaftliche Fragen hinausgehende Etablierung von Grundrechten und der damit verbundene Wandel von einer reinen Wirtschafts- zu einer Wertegemeinschaft musste sich in der europäischen Entwicklung erst hinreichend durchsetzen.116 Ausgehend von der EMRK als Rechtserkenntnisquelle war der Grundrechtsschutz lediglich richterrechtlich geprägt.117 Neben der EGMR-Rechtsprechung entwickelte der EuGH in der Folgezeit den grundrechtlichen Schutz personenbezogener Daten als allgemeinen Rechtsgrundsatz.118 a) Die Situation mit Inkrafttreten des Vertrags von Lissabon Erstmals mit Inkrafttreten des Vertrags von Lissabon am 1. Dezember 2009 wurde eine konkrete Grundrechtsgewährleistung in die Verträge integriert, um ein umfassendes Schutzniveau der Bürgerrechte und Grundfreiheiten abzusichern. Durch Art. 6 EUV wird der europäische Grundrechtsschutz nun über drei Quellen hergeleitet. Die erste Quelle stellt die Grundrechte-Charta dar. Nach Art. 6 Abs. 1 EUV wurde die am 12. Dezember 2007 in überarbeiteter und ergänzter Fassung von Europäischem Rat, Kommission und Parlament proklamierte Europäische Grundrechte-Charta (neben EUV und AEUV) in das Primärrecht eingebunden. Diese Einbindung bekräftigt, dass die Charta im Rang über den sekundärrechtlichen Rechtsakten der Union (vgl. Art. 288 AEUV) steht, welche deshalb an ihr

114

Art. 6 EUV in der Fassung mit Gültigkeit bis zum 1. 12. 2009 nach dem Vertrag von Maastricht. 115 Jarass, GRCh, Einl., Rn. 5, 17 ff.; Weber, NJW 2000, S. 537 (537 f.). 116 Zu dieser Entwicklung Kingreen, in: Calliess / Ruffert, EUV / A EUV, Art.  6 EUV, Rn.  4 f.; Spiecker gen. Döhmann / Eisenbarth, JZ 2011, S. 169 (171); Weiß, ZEuS 2005, 323 (346 f.). 117 Kraus, in: Dörr / Grote / Marauhn, EMRK / GG, Kap.  2 Rn.  1. 118 Vgl. EuGH, Urt. v. 8. 6. 2000, Rs. C 369/98; Urt. v. 20. 5. 2003, Rs. C-465/00 und C-139/01 – ORF; Urt. v. 6. 11. 2003, Rs. C-101/01 – Lindqvist.

96

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

zu messen sind.119 Als zweite Stütze zur Einbindung sieht Art. 6 Abs. 2 EUV den ausdrücklichen Beitritt der Union zur EMRK vor. Der Beitritt ist zum jetzigen Zeitpunkt aber (noch) nicht erfolgt.120 Ohne Beitritt ist das Konventionsrecht kein formaler Bestandteil des EU-Rechts, sondern dient dem EuGH einzig als Rechtserkenntnisquelle, aus der jedoch wichtige primärrechtliche Grundsätze erwachsen.121 Art. 6 Abs. 3 EUV verbürgt als dritte Quelle die Achtung der Grundrechte, wie sie sich aus EMRK und den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten ergeben, so dass diese als allgemeine Grundsätze Teil des Unionsrechts sind. Hierdurch werden die in Art. 6 Abs. 1, 2 EUV angelegten Entwicklungen in den bisherigen Grundrechtsstandard mit dessen richterrechtlichen Entwicklungsstand eingebunden und zukünftige Grund- und Menschenrechtsgesetzgebung der Mitgliedstaaten kann in das Unionsrecht einfließen.122 Auch in der Präambel der Grundreche-Charta werden die Grundrechte bekräftigt, die bereits durch die EMRK und die gemeinsame Verfassungsüberlieferung der Mitgliedstaaten garantiert werden, welche über Art. 6 Abs. 3 EUV nach wie vor gültig bleiben. Dadurch überschneiden sich die Garantien aus Charta zwar weitgehend mit denen aus EMRK und gemeinsamer Verfassungsüberlieferung. Die Charta erweitert den Grundrechte-Kanon jedoch zum Teil gegenüber der EMRK und den nationalen Verfassungen.123 Aus dieser dreigliedrigen Einteilung ergibt sich für die Grundrechte innerhalb der Union eine große Bedeutung sowohl der Charta wie auch der EMRK. Als Primärrechtsquelle schafft die Charta einen umfangreichen Grundrechtsschutz innerhalb der Union. Der EMRK wird durch Beitritt der Union aufgrund der weitreichenden Bezüge in den für das unionale Grundrechtsregime entscheidenden Normen in EUV und Charta faktisch eine dem Primärrecht vergleichbare Wirkung zukommen.124 Durch den Beitritt aller Mitgliedstaaten der EU zur EMRK und dessen Heranziehung als Erkenntnisquelle durch den EuGH ist die aktuelle, grundsätzliche Bedeutung der EMRK für den generellen Grundrechtsschutz innerhalb der Union nicht zu vernachlässigen.

119 Die Charta hat demgegenüber gemäß Art. 6 Abs. 1 UAbs. 2 EUV keinen Einfluss auf das Kompetenzgefüge innerhalb der Union. 120 Was u. a. in der Einschätzung des EuGH des Beitrittsabkommens als unionsrechtswidrig begründet, vgl. EuGH, Gutachten 2/13, ECJLI:EU:C:2014:2454, Rn. 158. 121 Giegrich, in: Dörr / Grote / Marauhn, EMRK / GG, Kap.  2 Rn.  27 ff. 122 Beutler, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 6 EUV, Rn. 8. 123 Zu Erweiterung der GRCh über die EMRK hinaus Streinz, in: Streinz, EUV / A EUV, Art. 6 EUV, Rn. 4. 124 Giegrich, in: Dörr / Grote / Marauhn, EMRK / GG, Kap.  2 Rn.  35; Streinz / Michl, in: Streinz, EUV / A EUV, Art. 6 EUV, Rn. 23; Weiß, ZEuS 2005, 323 (348 f.).

§ 4 Die Grundlagen des Datenschutzrechts

97

b) Bedeutung der EMRK für den Datenschutz In der EMRK findet sich keine ausdrückliche Erwähnung des Schutzes informationeller Selbstbestimmung oder personenbezogener Daten. Der Schutz personenbezogener Daten lässt sich jedoch aus dem Inhalt des Art. 8 Abs. 1 EMRK herleiten.125 In der Marper-Entscheidung126 hat der EGMR insbesondere das Bedrohungspotential moderner Technologien auf die individuelle Privatsphäre herausgestellt. Mit wissenschaftlichen Analyseverfahren und den raschen Fortschritten im Bereich der Informationstechnologie könne ein Erkenntnisstand gewonnen werden, der deutlich bis in einen sensiblen Bereich reiche. So sei beim Einsatz moderner Technologie lediglich eine Nutzung in einem verhältnismäßigen Rahmen zulässig. Die Wirkung von Art. 8 Abs. 1 EMRK auf das Verhältnis zwischen App-Anbieter als privatem Datenverarbeiter und dem Nutzer auf horizontaler Ebene ist jedoch äußerst begrenzt. Die EMRK baut im Grundsatz auf einer liberalen Grundrechtsidee auf, nach der vertikal bürgerliche Freiheiten vor staatlichen Eingriffen geschützt werden.127 Aus der EMRK können sich zwar an verschiedenen Stellen der Konvention auch positive Verpflichtung ergeben – sog. positive obligations –, die eine der grundgesetzlichen Schutzpflicht vergleichbare Wirkung erzeugen.128 Eine solche Verpflichtung wird auch bei Art. 8 EMRK angenommen, um sinnvolle und angemessene Maßnahmen zur Gewährleistung der niedergelegten Rechte zu tätigen.129 Der EGMR gewährt der nationalen Legislative allerdings einen weiten Abwägungsspielraum bei der Gestaltung ihres Regelungsrahmens, insbesondere bei sich im gesellschaftlichen Wandel befindlichen Lebensbereichen wie dem Datenschutz.130 In solchen Bereichen gebietet die EMRK lediglich die grund 125 Dieser umfasst im Wortlaut den Schutz des Privatlebens, des Familienlebens, der Wohnung und der Korrespondenz umfasst. Zum Zeitpunkt der Kodifizierung der EMRK in den frühen 1950er-Jahren waren Eingriffe in die Privatsphäre nur auf analogem Wege denkbar, so dass die Bedrohung eigener Daten und die sich hieraus ergebene informationelle Selbstbestimmung nicht kodifiziert wurden. Erst durch die Rechtsprechung des EGMR wurden Belange des Datenschutzes für die Integrität des Privatlebens anerkannt, vgl. EGMR, Urt. v. 26. 3. 1987, Nr. 9248/81, Rn. 48 – Leander; Urt. v. 16. 2. 2000, Nr. 27798/95, Rn. 65 – Amann; Urt. v. 2. 9. 2010, Nr. 35623/05, Rn. 43 ff. – Uzun; sowie EKMR, Ent. v. 6. 10. 1982, Nr. 9702/81, DR 30 – X v. Vereinigtes Königreich, S. 239 (240). S. auch Pätzold, in: Karpenstein / Mayer, EMRK, Art. 8 Rn. 75 ff., 90 ff. m. w. N. 126 EGMR, Urt. v. 4. 12. 2008, Nr. 30562/04 – Marper. 127 Schweitzer, in: Merten / Papier, Handbuch der Grundrechte, § 138 Rn. 15, 64. 128 Calliess, in: Merten / Papier, Handbuch der Grundrechte, § 44 Rn. 16; Frowein / Peukert, EMRK, Art. 1 Rn. 12. 129 Art. 8 EMRK umfasst die positive Gewährleistungspflicht der Mitgliedstaaten, individuelle Rechte durch Schutzmaßnahmen und verfahrensrechtliche Regelungen vor den Eingriffen Dritter zu schützen, vgl. EGMR, Urt. v. 17. 10. 1986, Nr. 9532/81, Rn. 37 – Rees; Marauhn / T horn, in: Dörr / Grote / Marauhn, EMRK / GG, Kap.  16 Rn.  20. 130 Calliess, in: Merten / Papier, Handbuch der Grundrechte, Band II, § 44 Rn. 16; Johne, Verdeckte Verbraucherprofile, S. 52.

98

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

sätzliche Schaffung horizontaler Rechte zwischen Privaten. Spezielle, zwingend zu erlassene Regelungen lassen sich aus den positive obligations hingegen nicht herauslesen. Ein hohes Datenschutzniveau zwischen Privaten ist mithin kein unmittel­bares Schutzziel des Art. 8 Abs. 1 EMRK. Die Schutzpflichten der Mitgliedsstaaten wären im Datenschutz nur verletzt, wenn keine oder völlig einseitige Datenschutzregelungen zwischen Privaten geschaffen würden.131 Insoweit bildet Art. 8 Abs. 1 EMRK zwar eine der Grundlagen des primärrechtlichen europäischen Datenschutzes. Der EuGH hat sich in seinen Entscheidungen immer wieder auf die EGMR-Rechtsprechung zur EMRK bezogen, um zu einer konsistenten europäischen Rechtsprechung zu kommen.132 Gleichwohl fällt die Bedeutung von Art. 8 EMRK für ein auf horizontaler Ebene angemessen ausgestaltetes Datenschutzniveau eher gering aus. Durch die EMRK ergeben sich keine konkreten drittwirkenden Pflichten, die bei datenfinanzierten Angeboten auf das Verhältnis zwischen App-Anbieter und Nutzer einwirken. Somit bleibt eine Betrachtung der EMRK in der nachfolgenden datenschutzrechtlichen Untersuchung außen vor. 2. Art. 8 der Grundrechte-Charta Schon vor Inkrafttreten der Grundrechte-Charta erkannte der EuGH in grundrechtlichen Entscheidungen den Schutz personenbezogener Daten an.133 Mangels normativer Grundlage wurde hierfür das Datenschutzgrundrecht zunächst als allgemeiner Rechtsgrundsatz entwickelt. Nach Ansicht des EuGH war danach in Bezug auf persönliche Daten der Schutz der Freiheiten und Grundrechte als allgemeiner Grundsatz zu beachten.134 Diese frühen Entscheidungen fußten jedoch noch auf keiner vertieften dogmatischen Grundlage. Zur Bestimmung und Definition von personenbezogenen Daten und der Datenverarbeitung, die dem Datenschutz inhärent sind, stellte das Gericht etwa keine eigenen Definitionen auf, sondern verwies auf die zu diesem Zeitpunkt bereits erlassene Datenschutzrichtlinie 95/46/ EG.135 Durch nachfolgende Urteile schärfte sich die Ausgestaltung des Grundrechts. Im ORF-Urteil136 stellte der EuGH in Anlehnung an den EGMR fest, dass 131

I. E. zustimmend Ennulat, Datenschutzrechtliche Verpflichtungen, S. 37. EuGH, Urt. v. 8. 6. 2000, Rs. C 369/98; Urt. v. 20. 5. 2003, Rs. C-465/00 und C-139/01 – ORF; Urt. v. 6. 11. 2003, Rs. C-101/01 – Lindqvist; Schorkopf, in: Ehlers, Europäische Grundrechte und Grundfreiheiten, § 16 Rn. 42. 133 So schon in EuGH, Urt. v. 7. 11. 1985, Rs. C-145/83, Rn. 34, in dem auf die Anonymität vertraulicher Informationen abstellt wird. 134 EuGH, Urt. v. 14. 9. 2000, Rs. C-369/98, Rn. 32 ff. 135 Richtlinie 94/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 136 Die Entscheidung bezog sich insoweit auf ein Arbeitsverhältnis eines staatlichen kontrollieren Arbeitgebers und hieraus entstandene Daten, vgl. EuGH, Urt. v. 20. 5. 2003, Rs. C-465/00 und C-139/01, Rn. 64 ff. – ORF. 132

§ 4 Die Grundlagen des Datenschutzrechts

99

die Verarbeitung personenbezogener Daten zu einer Beeinträchtigung des Privatlebens führe könne, dabei der Begriff des Privatlebens weit zu verstehen und nicht grundsätzlichen von beruflichen Tätigkeiten abzugrenzen sei. Die Weitergabe von Daten durch den Staat an Dritte bedürfe deshalb einer in besonderer Weise verhältnismäßigen Rechtfertigung. Im Lindqvist-Urteil137 erkannte der EuGH den Konflikt des Datenschutzes zum freien Datenverkehr hinsichtlich der Sicherung personenbezogener Daten an und stellte zur Lösung dieses Konflikts wiederum auf die Richtlinie 95/46/EG ab. Dabei verdeutlichte das Gericht, dass ein angemessenes Gleichgewicht zwischen diesen die Privatsphäre betreffenden Rechten und Interessen zu konfligierenden, durch die Gemeinschaftsrechtsordnung geschützten Grundrechten sicherzustellen sei. Bei der Auslegung der Richtlinie müsse ein Gleichgewicht zwischen dem freien Verkehr von Daten und der Privatsphäre gewahrt werden. Diesen vor Erlass des Art. 8 GRCh ergangenen Urteilen war also eine generelle Anerkennung des Schutzes personenbezogener Daten als Teil der Privatsphäre gemein. Auch wurde der Konflikt gegenläufiger Interessen betont. Insgesamt fehlte es allerdings weiterhin an einer ausgereiften, den Datenschutz ausgestaltenden Dogmatik. Mit Inkrafttreten der Grundrechte-Charta entstand die normative Grundlage für den Datenschutz in Art. 8 GRCh. Die Vorschrift weist enge Bezüge zum Grundrecht auf Achtung des Privat- und Familienlebens aus Art. 7 GRCh auf, der selbst wiederum Art. 8 EMRK nachgebildet ist. Art. 7 GRCh schützt den Bereich der Privatheit über eine Absicherung des Privatlebens, des Familienlebens, der Wohnung und Kommunikation. Ein weiterer Bezug zur EMRK wird über Art. 52 Abs. 3 GRCh geschaffen. Hierüber wird das Verhältnis der Grundrechte-Charta zur EMRK bestimmt und eine möglichst konforme Auslegung beider Kodifikationen angestrebt. Ferner soll eine Einschränkung der EMRK durch „die Hintertür“ mithilfe der Charta und eine Divergenz in der Rechtsprechung der europäischen Gerichtshöfe verhindert werden.138 Art. 8 GRCh selbst sichert den Schutz des Privatlebens hinsichtlich der Datenverarbeitung und der diesbezüglichen freien Entscheidungsbefugnis.139 Der Schutz von Art. 8 GRCh impliziert dabei, dass über den Schutz personenbezogener Daten die Achtung des Privatlebens bzw. der Privatsphäre aus Art. 7 GRCh erreicht werden kann.140 Insoweit ist er bei der Verarbeitung personenbezogener Daten lex specialis.141 137

EuGH, Urt. v. 6. 11. 2003, Rs. C-101/01, Rn. 79 ff., 95 ff. – Lindqvist. Schwerdtfeger, in: Meyer / Hölscheidt, GRCh, Art. 52 Rn. 52, 61. 139 Roßnagel, NJW 2019, 1 (2). 140 Krönke, Der Staat 2016, 319 (341); Veil, NVwZ 2018, 686 (694); Albers, DVBl 2010, 1061 (1067). Der EuGH hat Privatleben und Datenschutz zumindest einen Zusammenhang attestiert, ohne hierauf vertieft einzugehen, vgl. Urt. v. 9. 11. 2010, Rs. C-92/09 und C-93/09, Rn. 47 – Schecke und Eifert. 141 S. hierzu vertiefend Michl, DuD 2017, 349 (352 f.), der Art. 8 als „hervorgehobenen Teilaspekt“ von Art. 7 sieht. Ebenso Bernsdorff, in: Meyer / Hölscheidt, GRCh, Art. 8 Rn. 13; 138

100

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

a) Der Schutzbereich Nach Art. 8 Abs. 1 GRCh hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten, was den Schutzbereich des Grundrechts darstellt. In ausdrücklicher Anlehnung an Art. 2 lit. a der Richtlinie 95/46/EG werden als personenbezogene Daten alle Informationen über eine bestimmte oder bestimmbare natürliche Person eingestuft.142 Bestimmbar sind nach der Aussage der Richtlinie Personen, die direkt oder indirekt identifizierbar sind, z. B. durch Personalausweis-, Telefon- oder ähnliche Kennnummern, oder bei denen sich die Identifizierbarkeit anhand spezifischer Elemente physischer, physiologischer, psychischer, wirtschaftlicher oder sonstiger Art ergibt. Solche Informationen können sich auf die Intim- oder Privatsphäre der natürlichen Person beziehen, es sind aber ebenfalls Informationen im Zusammenhang mit dem Beruf, dem persönlichen Einkommen oder den Vermögensverhältnissen umfasst.143 Somit wird kein Privatsphärenbezug im engeren Sinne verlangt und es kommt nicht darauf an, ob es sich bei den übermittelten Informationen um solche sensibler Art handelt oder ob der betroffenen Person durch die Übermittlung Nachteile entstehen.144 Ganz abstrakt soll das Grundrecht die Herrschaft über die eigenen Daten ermöglichen, was auch den Ausschluss der Erhebung oder Verwendung dieser durch Dritte umfasst.145 Ähnlich dem Bundesverfassungsgericht sieht auch der EuGH etwa die Gefahr, dass der Einzelne die Kontrolle oder das Wissen über die Preisgabe der eigenen Daten verliert und nicht mehr selbstbestimmt über diese entscheiden kann.146 Der Schutzgehalt des Art. 8 Abs. 1 GRCh ist mithin weit gefasst. Er ist daher nicht lediglich als Schutz von Daten vor fremder Kenntnisnahme, sondern durchaus als informationelle Selbstbestimmung zu verstehen.147 Grundrechtsberechtigt sind natürliche Personen. Der Bezug auf „Personen“ anstatt auf „Menschen“ im Normtext deutet aber darauf hin, dass durchaus auch juristische Personen vom Schutzbereich umfasst sein können.148 Da datenfinanzierte

­ ingreen, in: Calliess / Ruffert, EUV / A EUV, Art. 8 GRCh, Rn. 1a. Der EuGH verweist in seiK nen Entscheidungen auf einen „engen Zusammenhang zu Art. 7 GRCh“, was für eine Idealkonkurrenz spricht, prüft jedoch jeweils lediglich eine Rechtfertigung nach Art. 8 GRCh, bspw. in EuGH, Urt. v. 9. 11. 2010, Rs. C-92/09 und C-93/09, Rn. 47  – Schecke und Eifert; Urt. v. 17. 10. 2013, Rs. C-291/12, Rn. 24 ff. – Schwarz. 142 EuGH, Urt. v. 9. 11. 2010, Rs. C-92/09 und C-93/09, Rn. 52 – Schecke und Eifert. 143 Jarass, GRCh, Art. 8 Rn. 6. 144 EuGH, Urt. v. 20. 5. 2003, Rs. C-465/00 und C-139/01, Rn. 75 – ORF; vertiefend Britz, EuGRZ 2009, 1 (8 f.). 145 Kingreen, in: Calliess / Ruffert, EUV / A EUV, Art. 8 GRCh, Rn. 9. 146 EuGH, Urt. v. 20. 5. 2003, Rs. C-465/00 und C-139/01, Rn. 75 – ORF. 147 Ebenso Bernsdorff, in: Meyer / Hölscheidt, GRCh, Art. 8 Rn. 13; Klement, JZ 2017, 161 (169); Roßnagel, ZD 2019, 1 (2). Auch im Grundrechtskonvent wurde diese Einschätzung wiederholt betont, vgl. die Begründung zu Art. 8 CONVENT 5. 148 Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 GRCh, Rn. 9; Jarass, GRCh, Art. 8 Rn. 7. Nach Rechtsprechung des EuGH können sich juristische

§ 4 Die Grundlagen des Datenschutzrechts

101

Angebote allerdings lediglich von natürlichen Personen verwendet werden, kommt es hierauf im Rahmen dieser Arbeit allerdings nicht an. Die Grundrechtsverpflichtung wird generell für die Grundrechte-Charta – also auch für Art. 8 GRCh – durch Art. 51 Abs. 1 GRCh festgelegt. Normadressaten sind danach alle Organe, Einrichtungen und sonstige Stellen der Union sowie die Mitgliedsstaaten. Dadurch wird einerseits das Subsidiaritätsprinzip gewahrt, andererseits eine umfängliche Bindung der Hoheitsgewalt an die Charta innerhalb der Union sichergestellt. Auch die Grundrechte-Charta richtet sich also grundsätzlich an staatliche Stellen, so dass auf eine mögliche mittelbare Drittwirkung nachfolgend einzugehen sein wird.149 b) Eingriffe in Art. 8 GRCh Eine Verarbeitung der personenbezogenen Daten stellt nach Art. 8 Abs. 2 GRCh einen Eingriff in das Grundrecht dar. Der Begriff der Verarbeitung greift auf die Richtlinie 95/46/EG zurück. Nach Art. 2 lit. b) der Richtlinie wird Verarbeitung als Oberbegriff für alle datenbezogenen Vorgänge verstanden, namentlich für Erhebung, Speicherung, Organisation, Aufbewahrung, Anpassung, Veränderung, Auslesung, Abfrage, Benutzung, Weitergabe durch Übermittlung, Verbreitung, Bereitstellung sowie Sperrung, Lösung oder Vernichtung von Daten. Die Datenverarbeitung kann dabei sowohl manuell wie automatisch erfolgen. Auch die Sensibilität der Daten oder, ob dem Grundrechtsträgers durch die Verarbeitung ein Nachtteil entsteht, ist bei der Feststellung eines Eingriffs unerheblich.150 Als ein Eingriff in Art. 8 GRCh wird etwa schon der Betrieb einer Internet-Suchmaschine gesehen, sofern die Darstellung der Suchergebnisse mit einer werbewirtschaft­ lichen Tätigkeit verknüpft wird.151 Eine Verarbeitung ist nach Absatz 2 also ebenfalls weit zu verstehen. Auffällig ist allerdings, dass trotz des grundsätzlich weiten Verständnisses von Schutzbereich und Eingriff die Gefahr entstehender Personenprofile nicht näher thematisiert wird. Weder Art. 8 GRCh, die diesbezügliche Literatur noch die ergangene Rechtsprechung des EuGH setzen sich explizit mit der Gefährdung speziell durch Personenprofile auseinander. Eine solche Gefahr wird vom Bundesverfassungsgericht im Kontrast hierzu beim Schutzgehalt der informationellen Selbst-

Personen zumindest dann auf Art. 8 GRCh berufen, wenn deren Namen den Namen einer oder mehrerer natürlicher Personen enthält, vgl. Urt. v. 9. 11. 2010, Rs. C-92/09 und C-93/09, Rn. 53 – Schecke und Eifert. 149 Vgl. § 4 A. II. 2. e). 150 EuGH, Urt. v. 20. 5. 2003, Rs. C-465/00, Rn. 75 – Österreichischer Rundfunk. Auf die Sensibilität der Daten kommt es mithin nach Ansicht des EuGH nicht an. 151 EuGH, Urt. v. 13. 4. 2014, Rs. C-131/12, Rn. 57 – Google Spain. S. zur Drittwirkung von Art. 8 GRCh sogleich.

102

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

bestimmung massiv betont. Der Schutz durch Art. 8 GRCh bezieht sich eher auf die Intensität und Zulässigkeit der einzelnen Datenverarbeitung personenbezogener Daten. Die Zusammenfügung zu Personenprofilen würde demnach zwar ebenfalls eine rechtfertigungsbedürftige Verarbeitung darstellen, die womöglich einen besonders intensiven Eingriff beinhaltet.152 Der EuGH misst der Profilbildung in seinen bisherigen Entscheidungen jedoch offensichtlich nicht gleiche Bedeutung bei, wie dies beim Bundesverfassungsgericht geschieht. c) Die Rechtfertigung oder der Ausschluss des Eingriffs Für die Rechtfertigung eines Eingriffs ist vor allem Art. 52 GRCh zu beachten. Art. 52 GRCh normiert als allgemeine Regelung (vgl. Titels VII der GrundrechteCharta) die Tragweite und Auslegung sowie Schrankenregelungen zu der Charta, also auch zu Art. 8 GRCh. Nach Art. 52 Abs. 1 GRCh sind die Garantien der Charta nicht schrankenlos gewährt, sondern können unter von der Union anerkannten, dem Gemeinwohl dienenden Zielen eingeschränkt werden.153 Art. 8 GRCh muss also in Hinblick auf seine gesellschaftliche Funktion gesehen werden. Eine Rechtfertigung bedarf gem. Art. 52 Abs. 1 S. 1 GRCh einer gesetzlichen Grundlage mit klaren und präzisen Regelungen über die Tragweite des zu rechtfertigenden Eingriffs.154 Absatz 1 ermöglicht auf sekundärrechtlicher Ebene die Rechtfertigung der Eingriffe aufgrund legitimer Gemeinwohlzwecke oder zum Schutz sonstiger Rechte. Dabei muss durch den rechtfertigbaren Eingriff der Wesensgehalt des eingeschränkten Grundrechts – hier Art. 8 GRCh – allerdings unangetastet bleiben muss. Zur Rechtfertigung eines Eingriffs ist gemäß Art. 52 Abs. 1 S. 2 GRCh vor allem der Grundsatz der Verhältnismäßigkeit zu beachten und die Einschränkungen müssen auf einen möglichst geringen Eingriff beschränkt bleiben. Zusätzlich präzisiert und qualifiziert Art. 8 Abs. 2 S. 1 GRCh die Rechtfertigungsmöglichkeiten.155 Demnach ist eine Verarbeitung nur nach Treu und Glauben für festgelegt Zwecke möglich. Diese Anforderungen bestimmen also das „Wie“ einer tauglichen Daten 152 Der Grund der fehlenden Betonung von Personenprofilen könnte auch in der Norm­ geprägtheit von Art. 8 GRCh liegen. Mit Art. 8 GRCh wurde der Datenschutzrichtlinie eine Grundrechtsdimension verliehen und der Datenschutz auf die Ebene des Primärrechts gehoben. Dementsprechend orientiert sich Art. 8 GRCh an der Datenschutzrichtlinie, die aufgrund ihrer Risikoneutralität keine spezifischen Verarbeitungsvorgänge heraushebt, und der EuGH hat eher einzelfallbezogen einzelne Bereiche des Datenschutzes konkretisiert. Vgl. hierzu m. w. N. Bernsdorff, in: Meyer / Hölscheidt, GRCh, Art. 8 Rn. 15 ff. 153 Vertiefend s. Jarass, GRCh, Art. 52 Rn. 28 ff. 154 Hierunter fallen sowohl Grundrechte wie auch Grundfreiheiten, vgl. Krämer, in: Stern /  Sachs, GRCh, Art. 52 Rn. 41 ff. 155 Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 GRCh, Rn. 22 ff.; Johlen, in: Stern / Sachs, GRCh, Art. 8 Rn. 41 ff. Beide Vorschriften sind mithin nebeneinander anwendbar und aufeinander abzustimmen.

§ 4 Die Grundlagen des Datenschutzrechts

103

verarbeitung und normieren bereits grundsätzliche Vorgaben an die Verarbeitung. Diese werden im Detail an späterer Stelle anhand der sekundärrechtlichen Umsetzung durch die DSGVO untersucht.156 Der Bedeutungsgehalt einer Verarbeitung nach „Treu und Glauben“ erschließt sich aus Art. 6 Abs. 1 der Datenschutzrichtlinie 95/46/EG, der u. a. die Grundlage für Art. 8 GRCh bildet.157 Hiernach muss die betroffene Person in der Lage sein, das Vorhandensein der Verarbeitung zu erkennen, und sie ist ordnungsgemäß und umfassend über die Bedingungen der Verarbeitung zu informieren.158 Die weitere Anforderung der Zweckbindung ist ebenfalls dem Wortlaut des Art. 6 Abs. 1 der Richtlinie 95/46/EG nachgebildet. Danach dürfen Daten nur für bestimmte, ausdrücklich festgelegte und rechtmäßige Zwecke verarbeitet werden. Das Ziel der Erhebung sowie die Benutzung der Daten müssen möglichst genau definiert und festgelegt werden, so dass eine vage Beschreibung dieser Ziele nicht ausreichend ist.159 In der Entscheidung zur Vorratsdatenspeicherung hat der EuGH die Bedeutung des Zweckbindungsgrundsatzes herausgestellt und betont, der dortige Grundrechtseingriff sei ohne eine Bestimmung zur Beschränkung der Datenerhebung auf das absolut Notwendige von besonderer Schwere.160 Die Zweckbindung verändert hingegen nicht die Prüfung des „legitime Zwecks“ in der nach Art. 52 GRCh durchzuführenden Verhältnismäßigkeitsprüfung. Diese wird hierdurch auch nicht modifiziert.161 Der Grundsatz der Verhältnismäßigkeit aus Art. 52 Abs. 1 GRCh muss insoweit auch für die Rechtfertigung eines Eingriffs in Art. 8 GRCh beachtet werden und die nachfolgenden Voraussetzungen erfüllen:162 Der festgelegte Zweck der Datenverarbeitung muss mit der Aussage der Einwilligung – falls man diese als rechtfertigungsbedürftig ansieht – oder der zur Verarbeitung berechtigenden gesetzlichen Grundlage übereinstimmen. Diese Verarbeitung muss auch geeignet und erforderlich sein, um diesen Zweck zu erreichen bzw. das Ziel zumindest zu fördern. Schlussendlich darf das beeinträchtigte gegenüber dem geschützten Rechtsgut nicht in einem unverhältnismäßigen Maß betroffen sein. Diese Verhältnismäßigkeit im engeren Sinne richtet sich nach Anlass, Grund und Dauer der Datenverarbeitung im Vergleich zur Beeinträchtigung entgegenstehender Grundrechte und -freiheiten – etwa der Meinungsfreiheit (Art. 11 Abs. 1 S. 1 GRCh), Informationsfreiheit (Art. 11 Abs. 1 S. 2), der unternehmerischen Tätigkeit (Art. 16 GRCh) oder 156 So lassen sich die beschriebenen Anforderungen als Datenschutzgrundsätze in Art. 5 DSGVO wiederfinden. Zum Inhalt der sekundärrechtlichen Umsetzung s. § 5 B. 157 Bernsdorff, in: Meyer / Hölscheidt, GRCh, Art. 8 Rn. 17. 158 Vgl. ErwG 38 der Richtlinie 95/46/EG. 159 Johlen, in: Stern / Sachs, GRCh, Art. 8 Rn. 46. 160 EuGH, Urt. v. 8. 4. 2014, Rs. C-293/12 und C-594/12, Rn. 61, 65 – Digital Rights Ireland. 161 Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 GRCh, Rn. 29. 162 Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 GRCh, Rn. 32 f. m. w. N.

104

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

der Dienstleistungsfreiheit (Art. 56 AEUV). Auch einschlägiges Sekundärrecht können Indizien für eine Ausgleich gegenläufiger Interessen enthalten.163 Die Rechtmäßigkeit der Datenverarbeitung erfordert gem. Art. 8 Abs. 2 S. 1 GRCH (für das „Ob“ der Verarbeitung) ferner einer Verarbeitungsgrundlage. Eine solche kann entweder in einer Einwilligung der betroffenen Personen oder in einer sonstigen gesetzlich geregelten legitimen Grundlage liegen. Die hierdurch geforderte gesetzliche Grundlage entspricht dem allgemeinen Gesetzesvorbehalt nach Art. 52 GRCh, ergänzt diesen allerdings um die spezielle Betonung der Einwilligung. Die Einwilligung der betroffenen Person stellt nach der Grundrechte-Charta – vergleichbar zum nationalen Verfassungsrecht – eine Möglichkeit zur Durchführung des Grundrechtseingriffs dar. In der Einwilligung liegt dabei nach überwiegenden Teilen der Literatur mangels Verhältnismäßigkeitsprüfung allerdings kein Rechtfertigungsgrund, sondern darin ist schon der Ausschluss des Eingriffes zu sehen.164 Unabhängig dieser dogmatischen Einordung bedarf die Einwilligung besonderer Voraussetzungen. So muss die betroffene Person in Kenntnis der Situation freiwillig in die Verarbeitung einwilligen. Es bedarf hierfür einer ausreichenden Information über Inhalt und Zweck der Verarbeitung. Auf dieser Grundlage eröffnet sich der betroffenen Person die Möglichkeit, eine autonome Entscheidung über die Verarbeitung zu treffen.165 Schon grundrechtlich unterliegt die Einwilligung also speziellen Voraussetzungen. Der genaue Inhalt dieser Anforderungen wird im Unterkapitel zur Einwilligung anhand der Maßgaben der DSGVO untersucht.166 d) Betroffenenrechte und institutionelle Vorgaben Art. 8 Abs. 2 S. 2 GRCh ergänzt die Rechtfertigungsgründe in Satz 1 um Auskunfts- und Berichtigungsrechte der betroffenen Person über die erhobenen und verarbeiteten Daten, der diesen einen eigenen Anspruch auf Auskunft und Berichtigung eröffnet. Hierdurch soll den betroffenen Personen ein Überblick über die Kategorien der verarbeiteten Daten und etwaige Empfänger der Daten ermöglicht werden, um so die Richtigkeit und Gesetzmäßigkeit der Verarbeitung überprüfen zu können.167 Dieser Transparenzgedanke gehört zu den wesentlichen Elementen 163

EuGH, Urt. v. 13. 4. 2014, Rs. C-131/12, Rn. 62 ff., 96 ff. – Google Spain. So Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 GRCh, Rn. 20, 27; Jarass, GRCh, Art. 8 Rn. 9; Kingreen, in: Calliess / Ruffert, EUV / A EUV, Art.  8 GRCh, Rn. 13; zurückhaltender Augsberg, in: von der Groeben / Schwarte / Hatje, Europäisches Unionsrecht, Art. 8 GRCh, Rn. 12; a. A. Johlen, in: Stern / Sachs, GRCh, Art. 8 Rn. 51 ff., der in der Einwilligung einen Rechtfertigungsgrund sieht. 165 Jarass, GRCh, Art. 8 Rn. 9. 166 S. § 6 B. II. 167 EuGH, Urt. v. 17. 7. 2015, Rs. C-141/12, Rn. 60. 164

§ 4 Die Grundlagen des Datenschutzrechts

105

des Datenschutzes: Nur derjenige der um die (rechtswidrige) Verarbeitung seiner Daten weiß, kann auch hiergegen vorgehen und eine von Art. 8 Abs. 2 S. 2 GRCh ebenfalls umfasste Berichtigung bzw. Löschung der Daten erreichen. Diese Ansprüche werden gleichwohl nicht uneingeschränkt gewährt, sondern unterliegen ebenfalls der Beschränkung nach Art. 52 Abs. 1 GRCh.168 Art. 8 Abs. 3 GRCh konstituiert über die Betroffenenrechte hinaus institutionelle Vorgaben. Diese verpflichten zur Einrichtung unabhängiger Stellen, die die Einhaltung des Datenschutzes überwachen. Diese unabhängige Stelle wird vom europä­ ischen Datenschutzbeauftragen ausgefüllt, der für die Überwachung verantwortlich ist. Die verbürgte Unabhängigkeit schließt jegliche (un)mittelbare Einflussnahme auf die Stelle aus und schützt ihre institutionelle, funktionelle und materielle Unabhängigkeit.169 Mithin erweitert Absatz 3 das Grundrecht um eine institutionelle Dimension, durch die die Rechte betroffener Personen gewahrt werden sollen.170 e) Drittwirkung und staatliche Schutzpflichten Art. 51 Abs. 1 GRCh normiert den Adressatenkreis der Charta vermeintlich eindeutig. Danach gilt die Charta gegenüber staatlichen Organen bei der Durchführung des Unionsrechts unter Wahrung des Subsidiaritätsgrundsatzes, jedoch nicht gegenüber privaten Dritten. Aus Art. 51 Abs. 1 GRCh ergibt sich aus dem Wortlaut keine unmittelbare oder mittelbare Drittwirkung der Grundrechte auf den Privatrechtsverkehr, weshalb die Schutzrichtung der Grundrechte – auch von Art. 8 GRCh – primär gegenüber staatlichen Stellen besteht.171 Auch eine generelle unmittelbare Drittwirkung der Grundrechte-Charta wird weitestgehend abgelehnt.172 Sie wird als unvereinbar mit dem Wortlaut von Art. 51 Abs. 1 S. 1 GRCh angesehen, sofern das Schutzgut nicht primär durch Privatpersonen gefährdet wird, was etwa auf die die Arbeitsbedingungen schützenden Art. 30–32 GRCh zutrifft.173 Anders als bei Art. 30–32 GRCh besteht beim Schutz 168

Jarass, GRCh, Art. 8 Rn. 16. Augsberg, in: von der Groeben / Schwarte / Hatje, Europäisches Unionsrecht, Art. 8 GRCh, Rn. 8; mit Bezug auf das Sekundärrecht EuGH, Urt. v. 9. 3. 2010, Rs. C-518/07, Rn. 18, 30 – Kommission / Deutschland. 170 Durch Art. 8 Abs. 3 GRCh ist es Aufgabe der Kontrollstelle, über die Einhaltung der Datenschutzvorschriften zu wachen. Dies kann von ggf. betroffenen Personen eingeklagt werden und den Grundrechtsberechtigten steht ein generelles Beschwerderecht zu, welches die Behandlung der Beschwerde durch die zuständige Stelle beinhaltet, vgl. EuGH, Urt. v. 6. 10. 2015, Rs. C-362/14, Rn. 41 ff., 65 – Schrems; Gersdorf, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 8 GRCh, Rn. 41 f. 171 Schwerdtfeger, in: Meyer / Hölscheidt, GRCh, Art. 51 Rn. 57; Streinz / Michl, EuZW 2011, 384 (385). 172 Ehlers, in: Ehlers, Europäische Grundrechte und Grundfreiheiten, § 14. Rn. 81 m. w. N. 173 Statt vieler: Kingreen, in: Calliess / Ruffert, EUV / A EUV, Art. 51 GRCh, Rn. 21 m. w. N. 169

106

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

personenbezogener Daten die Gefährdung durch eine Datenverarbeitung zwar auch, aber nicht primär durch Private. Der Schutzgehalt ist wie oben dargestellt eher staatsgerichtet, so dass auch hinsichtlich Art. 8 GRCh im Speziellen die unmittelbare Drittwirkung abgelehnt wird.174 Auch aus der bisherigen Rechtsprechung des EuGH lässt sich keine Aussage über unmittelbare Drittwirkung oder sonstige aktive staatliche Pflichten aufgrund von Art. 8 GRCh ausmachen – sieht man von den normierten Auskunftsrechten und institutionellen Verpflichtung nach Absatz 2 und 3 ab. Eine Drittwirkung kann also höchstens aufgrund von Schutzpflichten bzw. in Form einer mittelbaren Drittwirkung bestehen. Ähnlich dem deutschen Grundgesetz ergibt sich auch aus der GrundrechteCharta eine Werteordnung, nach der sich die einzelnen Verbürgungen ihrem Wesen nach auch auf Rechtsebene unterhalb des europäischen Primärrechts auswirken. Die Grundrechte begründen für den europäischen Gesetzgeber den Auftrag, die verbuchten Rechte bei der Rechtsetzung – also dem Erlass von Sekundärrecht – im Verhältnis zwischen Privaten hinreichend zu berücksichtigen und zur Geltung zu bringen.175 Dies ergibt sich sowohl aus dem Wortlaut von Art. 8 Abs. 1 GRCh („Recht auf Schutz“)176 als auch aus der allgemeinen Dogmatik der Grundrechte.177 Eine schutzrechtliche Dimension ergibt sich daneben aus einem Zusammenspiel von Art. 8 GRCh und Art. 16 AEUV. Aus den beiden – im Wortlaut des ersten Absatzes identischen – Normen lässt sich über die zusätzlich in Art. 16 Abs. 2 AEUV normierten Gesetzgebungskompetenz eine Verpflichtung zum Erlass von wirksamen datenschutzrechtlichen Schutzkonzepten ableiten, die als Sekundärrechtakte auch Einfluss auf das Verhältnis von Privaten bei der Verarbeitung personen­ bezogener Daten nehmen können.178 Hinsichtlich des Bestehens einer mittelbaren Drittwirkung von Art. 8 GRCh hat der EuGH in der Google Spain-Entscheidung eine grundrechtskonforme Auslegung bei der Anwendung des sekundären Unionsrechts verdeutlicht.179 Die Bestimmungen der zu diesem Zeitpunkt gültigen Richtlinie 95/46/EG sind danach im Lichte des in der Grundrechte-Charta verankerten Grundrechtsschutzes auszulegen. Durch die grundrechtskonforme Auslegung können die einzelnen geschützten Rechte mittelbar in den Bereich des Privatrechts einwirken.

174

Augsberg, in: von der Groeben / Schwarte / Hatje, Europäisches Unionsrecht, Art. 8 GRCh, Rn. 9; Jarass, GRCh, Art. 8 Rn. 3. 175 Jarass, GRCh, Art. 8 Rn. 10. 176 Roßnagel, ZD 2019, 1 (3). 177 Jarass, GRCh, Art. 51 Rn. 5 und Art. 52 Rn. 17; Kingreen, in: Calliess / Ruffert, EUV /  AEUV, Art. 51 GRCh, Rn. 22 ff.; Streinz, in: Streinz, EUV / A EUV, Art. 8 GRCh, Rn. 6. 178 Spiecker gen. Döhmann / Eisenbarth, JZ 2011, 169 (172). Zu Art. 16 AEUV s. sogleich. 179 EuGH, Urt. v. 13. 4. 2014, Rs. C-131/12, Rn. 68  – Google Spain. Auch das Bundesverfassungsgericht hat explizit eine Drittwirkung von EU-Grundrechten angenommen, vgl. BVerfGE 152, 216 (254), Rn. 97 – Recht auf Vergessen II. S. hierzu vertiefend § 4 C. I.

§ 4 Die Grundlagen des Datenschutzrechts

107

Diese Ansicht wird im Schrifttum weitestgehend geteilt.180 Der Ansatzpunkt liegt in der – oben bereits beschriebenen – Gefährdung des Schutzes personenbezogener Daten durch Private, der nur durch staatliche Mindeststandards an die Datenverarbeitung begegnet werden kann. Die Mindeststandards können durch sekundärrechtliche Regelungen getroffen werden, die den Schutzgehalt des Art. 8 GRCh mittelbar zu berücksichtigen haben. Der mittelbare Schutz weist von seiner Gewichtung damit Parallelen zum deutschen Verfassungsrecht auf.181 f) Würdigung Das Datenschutzgrundrecht aus Art. 8 GRCh weist viele Parallelen zur Datenschutzrichtlinie 95/46/EG auf und ist insoweit normgeprägt. Auch lässt sich aus dem weiten Verständnis des Art. 8 GRCh eine informationelle Selbstbestimmung in das Grundrecht hineinlesen. Folglich ergeben sich viele Gemeinsamkeiten zum nationalen Grundrecht auf informationelle Selbstbestimmung. Auch Art. 8 GRCh schützt die betroffene Person in ihrer Selbstbestimmung über den Umgang mit persönlichen Daten und schafft Vorgaben an die Verarbeitung dieser Daten. Dabei geht das Grundrecht jedoch nicht spezifisch auf die Bildung von Persönlichkeitsprofilen als besondere Gefährdung der Selbstbestimmung ein. Ähnlich zum deutschen Verfassungsrecht ist auch eine mittelbare Drittwirkung sowie eine Schutzpflicht des Art. 8 GRCh bei der Datenverarbeitung durch Private anzuerkennen. Diese hat dementsprechend Auswirkungen auf den Erlass und bei der Anwendung des EU-Sekundärrechts. Diese Erkenntnis ist vor allem im Hinblick auf die DSGVO von großer Bedeutung, mit der das datenschutzrechtliche Sekundärrecht nun direkt in den Mitgliedstaaten Anwendung findet. Eine Auswirkung auf das nationale Datenschutzrecht besteht darüber hinaus indirekt durch die unionsrechtskonforme Auslegung bei der Umsetzung des Sekundärrechtsakts, welcher seinerseits durch Art. 8 GRCh geprägt ist.182 3. Datenschutz nach dem AEUV Wortgleich zu Art. 8 Abs. 1 GRCh findet sich in Art. 16 Abs. 1 AEUV eine Norm zum Schutz personenbezogener Daten. Im zweiten Absatz von Art. 16 AEUV werden Europäisches Parlament und Rat zum Erlass von Vorschriften über den Schutz 180

Hierzu umfangreich Szczekalla, Die sog. grundrechtlichen Schutzpflichten im deutschen und europäischen Recht, S. 549 ff.; zustimmend Augsberg, in: von der Groeben / Schwarte /  Hatje, Europäisches Unionsrecht, Art. 8 GRCh, Rn. 10 m. w. N.; Jarass, GRCh, Art. 8 Rn. 3, 10; Kingreen, in: Calliess / Ruffert, EUV / A EUV, Art. 8 GRCh, Rn. 12. 181 S. hierzu vertiefend Greve, in: FS Kloepfer, S. 665 (673, 676 f.); Streinz / Michl, EuZW 2011, 384 (385 ff.). 182 Zur genauen Wechselwirkung der nationalen und europäischen Grundrechte s. § 4 C.

108

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

natürlicher Personen bei der Verarbeitung personenbezogener Daten durch EUOrgane und die Mitgliedstaaten sowie über den freien Datenverkehr ermächtigt, womit eine ausdrückliche und umfassende Gesetzgebungskompetenz zum Schutz persönlicher Daten geschaffen wird. Zuvor wurde die Kompetenz zum Erlass datenschützenden Sekundärrechts nur aus der Binnenmarktkompetenz (Art. 95 EGV) hergeleitet.183 Über diese Gesetzgebungskompetenz hinaus könnte Art. 16 AEUV auch die grundrechtliche Bedeutung des Datenschutzes beeinflussen. Systematisch findet sich Art. 16 AEUV in Teil II, den „Allgemein geltende Bestimmungen“ des Vertrags. Diese prominente, für den Rest des Vertrags allgemein gültige Stellung des Art. 16 AEUV spricht für die besondere Bedeutung der Norm. Anders als durch Art. 8 Abs. 2 sowie Art. 52 Abs. 1 GRCh ergeben sich für den Schutz personenbezogener Daten nach dem Wortlaut von Art. 16 Abs. 1 AEUV im Übrigen keine Schrankenvorbehalte. Durch die systematische Stellung und die fehlenden Schranken könnte man von einer stärkeren Schutzwirkung als in Art. 8 Abs. 1 GRCh ausgehen. Dem steht jedoch die eher symbolische Bedeutung von Art. 16 Abs. 1 AEUV entgegen. Es ist nicht von einem gezielten Wertungswiderspruch des europäischen Gesetzgebers auszugehen, wonach alle in der Grundrechte-Charta verbuchten grundrechtlichen Abwehrrechte einem Schrankenvorbehalt unterliegen, während der in Art. 16 Abs. 1 AEUV normierte Schutz personenbezogener Daten mit einer im nächsten Absatz folgender Kompetenzregelung schrankenfrei gewährt wird. Vielmehr wurde der erste Absatz aus Gründen der Sichtbarkeit, Betonung und Lesbarkeit des Textes übernommen.184 Der zur Grundrechte-Charta wortgleiche Absatz 1 unterliegt also keinen geringeren Schranken als die Charta und schafft keine inhaltlich über diese hinausgehende Schutzwirkung. Daher begrenzt sich die Wirkung von Art. 16 AEUV auf dessen Gesetzgebungskompetenz und beinhaltet keine zusätzliche Wirkung. Die Norm steht mit ihrer symbolischen Bedeutung vielmehr an solch prominenter Stelle, um auch im Legislativprozess, der in EUV und AEUV geregelt ist, die Bedeutung des Datenschutzes aufzuzeigen.185 Ferner verstärkt Art. 16 AEUV die aus Art. 8 GRCH erwachsende Schutzpflicht zum Erlass eines wirksamen sekundärrechtlichen Datenschutzkonzepts. Abgesehen davon ist die Bedeutung von Art. 16 für die vorliegende Arbeit allerdings zu vernachlässigen und spielt in der weiteren Erörterung insoweit keine Rolle.

183

Wolff, in: Pechstein / Nowak / Häde, Frankfurter Kommentar EUV / GRC / A EUV, Art.  16 AEUV, Rn. 1. 184 Brühann, in: von der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 AEUV, Rn. 31; zustimmend Kingreen, in: Calliess / Ruffert, EUV / A EUV, Art. 16 AEUV, Rn. 3; ­Sobotta, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, Art. 16 AEUV, Rn. 8. 185 Spiecker gen. Döhmann / Eisenbarth, JZ 2011, 169 (172).

§ 4 Die Grundlagen des Datenschutzrechts

109

III. Grundrechtspositionen der Datenverarbeiter Die verfassungsrechtliche Betrachtung wird dadurch verkompliziert, dass neben dem Grundrecht auf Datenschutz (bzw. auf informationelle Selbstbestimmung) der betroffenen Personen den Anbietern datenfinanzierter Angebote selbst Grundrechte zustehen. Bereits Big Data-Analysen werden zumeist durch private Stellen bzw. Unternehmen durchgeführt. Auch die allermeisten datenfinanzierten Apps werden von privaten Unternehmen vertrieben und auch die Datenverarbeitung findet dementsprechend durch Private statt. Die Datenverarbeiter sind deshalb selber nicht grundrechtsgebunden, sondern vielmehr grundrechtsberechtigt. Durch die eigene Grundrechtsberechtigung unterliegen die Datenverarbeiter bei der Verarbeitung personenbezogener Daten aus verfassungsrechtlicher Sicht keinem Gesetzesvorbehalt. Der Umgang mit den Daten stellt bei privaten Unternehmen vielmehr selbst eine Grundrechtsausübung dar. Privaten Unternehmen kann so nicht auf grund- bzw. primärrechtlicher Basis vorgeschrieben werden, aufgrund welcher Zwecke sie sich für welche Daten interessieren dürfen, selbst wenn dahinter ein kommerzielles Interesse steht.186 Folglich kann eine gesetzliche Regelung, die die Verarbeitung von personenbezogenen Daten reguliert oder einschränkt, selbst einen rechtfertigungsbedürftigen Eingriff in die grundrechtlich geschützten Rechtsgüter der Datenverarbeiter darstellen. Denn anders als bei der Beschränkung der Datenverarbeitung staatlicher Stellen wird mit einer datenschutzrechtlichen Regulierung privater Datenverarbeiter deren grundrechtliche Freiheitssphäre und Privatautonomie beschränkt.187 Der Gesetzgeber muss also die grundrechtlichen Belange aller Betroffenen in Rechnung stellen, so dass der Gestaltungsspielraum in beide Richtungen begrenzt ist.188 Neben einer Unterlegung der Grundrechtsberechtigung sollen nachfolgend die potentiell einschlägigen Grundrechte der Datenverarbeiter aus nationaler (1.) und europäischer (2.) Sicht betrachtet werden. 1. Nationales Verfassungsrecht Die Grundrechtsberechtigung der handelnden Datenverarbeiter – unabhängig ihrer Gesellschaftsform juristische Personen des Privatrechts – ergibt sich nach deutschem Verfassungsrecht aus Art. 19 Abs. 3 GG, soweit die jeweiligen Grundrechte ihrem Wesen nach auf diese Anwendung finden. Vorweggenommen wird dieser Schutz juristischer Personen unisono durch die nachfolgend dargestellten 186

Masing, NJW 2012, 2305 (2307). Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 61. Vertiefend zu den Grenzen der Privatautonomie im Datenschutzrecht Bunnenberg, Privates Datenschutzrecht, S. 185 ff. Zu den einzelnen verbürgten Rechten sogleich. 188 BVerfGE 81, 242 (261). 187

110

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Grundrechte gewährleistet, da nicht auf die natürlichen Qualitäten des Menschen bzw. das „Menschsein“, sondern auf eine wirtschaftliche Tätigkeit durch das Unternehmen abgestellt wird. Darüber hinaus eröffnet sich die Grundrechtsberechtigung nach Art. 19 Abs. 3 GG lediglich für „inländische“ juristische Person. Dieses Inlandskriterium ist nach dem Cassina-Beschluss des Bundesverfassungsgerichts jedoch im Wege einer unionsrechtskonformen Auslegung über juristische Personen mit Sitz in Deutschland hinaus auf solche mit Sitz in der EU zu erweitern.189 a) Art. 12 Abs. 1 GG Bei der Abgrenzung der Grundrechtspositionen tritt zunächst die wirtschaft­liche und unternehmerische Freiheit der Datenverarbeiter in den Vordergrund. Denn die Datenverarbeitung stellt bei datenfinanzierten Angeboten  – oder allgemein bei datengetriebenen Geschäftsmodellen – deren maßgebliche unternehmerische Tätigkeit dar. National schützt Art. 12 Abs. 1 GG die unternehmerische Freiheit von Unternehmen. Dabei stellt die Berufsfreiheit aus Art. 12 Abs. 1 GG als einheitliches Grundrecht alle Teilbereiche und Phasen beruflicher Betätigung unter Schutz und sichert abstrakt die den Erwerbszwecken dienende Tätigkeit vor unberechtigten staatlichen Eingriffen.190 Die unternehmerische Freiheit ist im deutschen Verfassungsrecht einer der nicht strikt voneinander abgrenzbaren Teilbereiche der Berufsfreiheit aus Art. 12 Abs. 1 GG. Sie bezieht sich auf die selbstständige berufliche Tätigkeit, bei juristischen Personen vor allem das berufsbezogene Verhalten am Markt sowie eine Möglichkeit zur Teilhabe am Wettbewerb.191 Die unternehme­ rische Freiheit schützt die gesamte Bandbreite unternehmerischer Tätigkeit, angefangen mit der äußeren rechtlichen Erscheinungsform bis zur Wahl und Ausgestaltung des Geschäftsmodells.192 Dabei umfasst sie ebenfalls die Tätigkeit in untypischen und neuartigen Berufsbildern.193 Somit unterfallen auch vergleichsweise „neue“ Berufsbilder bzw. Unternehmenstätigkeiten, wie das Angebot datenbasierte Geschäftsmodelle, dem Grundrecht. Die Datenverarbeitung im Rahmen 189

BVerfGE 129, 78 (94 ff.). Nach Ansicht des BVerfG lässt sich diese Erweiterung der Grundrechtsberechtigung allerdings nicht schon mit dem Wortlaut „inländische juristische Person“ in Art. 19 Abs. 3 GG begründen, sondern ergibt sich aufgrund der Grundfreiheiten im EU-Binnenmarkt sowie aus dem allgemeinen Diskriminierungsverbot wegen der Staatsangehörigkeit. Zur Diskussion um die Erweiterung und Fortentwicklung des Begriffs „inländisch“ in Art. 19 Abs. 3 GG bei hinreichender Tätigkeit im Inland umfangreich Müller-Terpitz, JZ 2020, 1080 (1080 ff.). Vgl. ferner § 7 für die datenschutzrechtlichen Auswirkungen einer Datenverarbeitung durch europäische oder außereuropäische Datenverarbeiter. 190 Scholz in: Maunz / Dürig, GG, Art. 12 Rn. 1, 22 ff. 191 BVerfGE 115, 205 (229); 50, 290 (363). 192 Manssen, in: v. Mangoldt / K lein / Starck, GG, Art. 12 Rn. 69. Darunter fallen auch die freie Nutzung ihrer Produktions-, Vertriebs- und Investitionsmittel, die Form der Außendarstellung sowie unternehmerische Leitungs- und Planungsfunktionen. 193 Manssen, in: v. Mangoldt / K lein / Starck, GG, Art. 12 Rn. 45.

§ 4 Die Grundlagen des Datenschutzrechts

111

datenbasierter, unternehmerischer Tätigkeit von App-Anbietern ist also als Teilbereich der Berufsfreiheit durch Art. 12 Abs. 1 GG geschützt. Zur Bestimmung des Schutzgehalts der einzelnen Teilbereiche der Berufsfreiheit hat das Bundesverfassungsgericht – wenn auch in neuerer Rechtsprechung nicht mehr mit trennscharfer Unterteilung – die sog. Stufentheorie entwickelt, nach der das gesamte Berufsleben bzw. seine freiheitsrechtlichen Gewährleistungen als bestimmte Stufen der einheitlichen Grundgewährleistung des Art. 12 Abs. 1 GG anerkannt werden. Der Schranken- und Regelungsvorbehalt der Berufsfreiheit beschränkt sich dadurch nicht auf die Stufe der im Wortlaut von Art. 12 Abs. 1 GG genannten Berufsausübung, sondern umfasst auch die Stufe der Berufswahl.194 Somit gilt der Gesetzesvorbehalt des Art. 12 Abs. 1 S. 2 GG als einheitlicher Schrankenvorbehalt für die gesamte Berufsfreiheit. Wird nun durch Gesetz die Datenverarbeitung von Unternehmen eingeschränkt und unter besondere Anforderungen gestellt, können die Datenverarbeiter ihre Geschäftsmodelle nicht mehr uneingeschränkt durchführen. Bei einer solchen, die Datenverarbeitung einschränkenden Regulierung handelt es sich vornehmlich um Berufsausübungsregelungen – jedenfalls soweit regulierend der Umgang mit den Daten nicht vollständig verboten oder eingeschränkt wird. Datenbasierte Geschäftsmodelle können nach den obigen Ausführungen, die die Bedeutung von datenfinanzierten Angeboten dargelegt haben195, als eigenständiges Unternehmensbild angesehen werden. Somit läge in einem vollständigen Verbot datenfinanzierter Geschäftsmodelle eine Berufswahlregelung aufgrund der daraus resultierenden Unmöglichkeit zur Ausübung dieser Tätigkeit. Ein solches Verbot ist allerdings weder nach dem aktuellen Datenschutzregime noch nach einer potentiellen Regulierung de lege ferenda ersichtlich. Berufsausübungsregelungen haben grundsätzlich die geringsten Rechtfertigungs-Anforderungen. Es sind zur Rechtfertigung bereits sachgerechte und vernünftige Erwägungen des Gemeinwohls ausreichend, so dass hier grundsätzlich ein weiter gesetzlicher Gestaltungsspielraum bei der Umsetzung datenschutzrechtlicher Regelungen besteht.196 Aufgrund der Aufweichung der vom Bundesverfassungsgericht entwickelten Stufenlehre muss auch eine Berufsausübungsregelung einer umfassenden Verhältnismäßigkeitsprüfung unterzogen werden, die hinsichtlich der Schwere des Eingriffs Kriterien wie Intensität, Wirkungsziel, Zentrali 194 Innerhalb der Stufen wird danach unterschieden, mit welcher Intensität und zu welchen Zwecken in die Berufsfreiheit eingegriffen wird, wobei Eingriffe in die freie Berufswahl als eingriffsintensiver als die freie Berufsausübung gewichtet werden. Vgl. ausgehend vom Apotheken-Urteil, BVerfGE 7, 377 (401 ff.); und folgend als st. Rspr. bestätigt, unter anderem BVerfGE 19, 330 (337); 46, 120 (138); zum Teil unter Aufweichung der starren Stufenabgrenzung, BVerfGE 102, 197 (216 f.); 115, 276 (304 ff.). Die Stufentheorie wird daneben auch in der Literatur größtenteils anerkannt, vgl. Mann, in: Sachs, GG, Art. 12 Rn. 125 ff.; Scholz in: Maunz / Dürig, GG, Art. 12 Rn. 26 f., 335 ff. m. w. N. 195 S. § 2 B. II. 196 Kämmerer, in: von Münch / Kunig, GG, Art. 12 Rn. 61 f.

112

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

tät und zeitliche Dimension der einschränkenden Maßnahme zu berücksichtigen hat.197 Es darf insoweit keine unverhältnismäßige Einschränkung der unternehmerischen Handlungsfreiheit im Interesse der Allgemeinheit bzw. zum Schutze der informationellen Selbstbestimmung stattfinden.198 Der legislative Gestaltungsspielraum verbleibt dabei gleichwohl groß. b) Die Meinungs- und Informationsfreiheit aus Art. 5 GG Bei der kommerziellen Erhebung, Verarbeitung und Übermittlung von Daten ist neben den wirtschaftlichen Grundfreiheiten zur Umsetzung der eigenen Geschäftsmodelle auch der Informationsgehalt der Daten von Bedeutung. Somit könnte die Meinungs- und Informationsfreiheit datenverarbeitender Unternehmen der informationellen Selbstbestimmung der betroffenen Person entgegenstehen. Im deutschen Recht wird Meinungs- und Informationsfreiheit über Art. 5 Abs. 1 GG gewährt. Die Informationsfreiheit (Art. 5 Abs. 1 S. 1 Alt. 2 GG) ermöglicht die „ungehinderte Unterrichtung aus allgemein zugänglichen Quellen“. Der Begriff der Informationsquelle im Sinne des Art. 5 Abs. 1 S. 1 Alt. 2 GG ist dabei weit zu verstehen und umfasst alle Träger von Informationen.199 Auch digital gewonnene Daten sind daher eine mögliche Informationsquelle, soweit die Daten einen Informationswert enthalten. Die Informationsfreiheit umfasst nicht nur die Unterrichtung aus Informationsquellen – das Internet ist als potentielle Informationsquelle selbstverständlich auch umfasst –, sondern auch die Unterrichtung am eigentlichen Informationsgegenstand, also an der Quelle selbst.200 Eine Beschränkung auf bestimmte Arten von Informationen findet nicht statt201, so dass auch im kommerziellen Zusammenhang gewonnene Informationen vom Grundrecht geschützt sind. Der Einzelne soll sich mithilfe der Informationsfreiheit ein Bild von seiner Umgebung und seinen Mitmenschen machen und mit den damit gewonnenen Erkenntnissen nach seinem Belieben verfahren können, auch wenn diese Erkenntnisse und Informationen andere Personen betreffen.202 Hierzu müssen die Informationen allerdings frei zugänglich sein. Allgemein zugänglich sind nach Rechtsprechung des Bundesverfassungsgerichts solche Informationsquellen, die geeignet und bestimmt sind, der Allgemeinheit, also einem individuell nicht bestimmbaren Personenkreis, Informationen zu verschaffen.203 Das Kriterium der allgemeinen Zugänglichkeit hängt von der Entscheidung des 197

Mann, in: Sachs, GG, Art. 12 Rn. 139, 142 f. Ruffert, Vorrang der Verfassung und Eigenständigkeit des Privatrechts, S. 490 f. 199 BVerfGE 103, 44 (60). 200 Degenhart, in: Bonner Kommentar GG, Art. 5 Abs. 1 und 2 Rn. 161 f.; Wendt, in: von Münch / Kunig, GG, Art. 5 Rn. 22. 201 BVerfGE 90, 27 (32). 202 Gallwas, NJW 1992, 2785 (2887). 203 BVerfGE 27, 71 (83); 90, 27 (32); 103, 44 (60). 198

§ 4 Die Grundlagen des Datenschutzrechts

113

berechtigten Trägers der Informationsquelle ab, der die Information für einen nicht bestimmbaren Personenkreis (die Allgemeinheit) bereitstellen muss.204 Fehlt es an der allgemeinen Zugänglichkeit, ist die Informationsbeschaffung nicht vom Grundrechtsschutz umfasst, worunter unter anderem schriftliche oder mündliche Aussagen, die nur an Einzelne adressiert sind, sowie private oder betriebliche Aufzeichnungen vor ihrer Veröffentlichung fallen.205 Die bei datenfinanzierten Angeboten lediglich im Rahmen der App preisgegebenen Daten sind also gerade nicht durch die Informationsfreiheit geschützt. Flankiert wird die Informationsfreiheit vom ebenfalls geschützten Recht des Informationsempfängers auf Informationsaufnahme im Rahmen der Meinungsfreiheit (Art. 5 Abs. 1 S. 1 Alt. 1 GG), welches die Informationsverbreitung im Bereich der freien Meinungsäußerung schützt.206 Das Recht der freien Meinungsäußerung ist weit zu verstehen und umfasst das „Recht zur freien Mitteilung an andere“.207 Dies dürfte wohl auf eine Vielzahl der von den Datenverarbeitern gewonnen und später verarbeiteten Daten zutreffen. Mit der Meinungsfreiheit können so wahre Behauptungen über andere aufgestellt und verbreitet werden. Zusammengenommenen erfassen diese Kommunikationsgrundrechte sämtliche Verarbeitungsformen der Daten bzw. Informationen, also zunächst das Erheben bzw. Sammeln, das Bearbeiten und Aufbereiten, das Speichern sowie die Übermittlung. Dabei gewährleistet die Informationsfreiheit als Grundlage der (späteren) freien Meinungsäußerung neben der Informationsaufnahme auch die Aufbereitung und Speicherung der Daten.208 Beide Kommunikationsrechte haben eine elementare Bedeutung für die freie Persönlichkeitsentfaltung sowie für die Aufrechterhaltung der demokratischen Ordnung, so dass sie bei der Ausgestaltung und Bewertung datenschutzrechtlicher Regelungen zwingend zu berücksichtigen sind.209 Auch im wirtschaftlichen Kontext kommt der Informationsfreiheit eine hohe Bedeutung zu, da die Informationsbeschaffung und Auswertung der Informationen die Grundlage einer Vielzahl von wirtschaftlichen Tätigkeiten bildet. Insbesondere bei den vorliegend untersuchten Big Data-Analysen und datenfinanzierten Angeboten kann ohne eine freie Aufnahme und Nutzung der Informationen keine aussagekräftige Analyse betrieben werden. Hierdurch wird ebenfalls das tätigkeitsbedingte Geschäftsmodell berührt, so dass vorliegend die Informationsfreiheit der Datenverarbeiter ihrem Inhalt nach im engen Kontext zu ihrer Unternehmerfreiheit steht. 204

BVerfGE 90, 27 (32); Degenhart, in: Bonner Kommentar GG, Art. 5 Abs. 1 und 2 Rn. 163, 170. 205 BVerfGE 103, 44 (60); 66; 116 (137); Wendt, in: von Münch / Kunig, GG, Art. 5 Rn. 26. 206 BVerfGE 90, 27 (31 f.). 207 Grabenwarter, in: Maunz / Dürig, GG, Art. 5 Abs. 1, Abs. 2 Rn. 48 ff., wo auch auf den Streit um die Einordnung von Werturteilen in den Schutzbereich des Art. 5 GG näher thematisiert wird, der für diese Arbeit ohne vertiefte Bedeutung ist. 208 Wendt, in: von Münch / Kunig, GG, Art. 5 Rn. 26. 209 Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 61.

114

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Im Rahmen von Big Data-Analysen im Allgemeinen wird schon per Definition der Informationswert aus allen möglichen Informationsquellen aggregiert, um so möglichst genaue Ergebnisse zu erlangen. Dementsprechend ist die Informationsbeschaffung aus frei zugänglichen Quellen durchaus bedeutsam. Bei der grundsätzlich auch für kommerzielle Zwecke eröffneten Informationsfreiheit erweist sich allerdings das Kriterium der allgemeinen Zugänglichkeit bei Anbietern datenfinanzierter Angebote als problematisch. So können bei der Datenverarbeitung zwar zusätzliche, frei zugängliche Informationen durchaus in ein Datenpaket mit hineinspielen, so dass die Informationsfreiheit für die Anbieter nicht vollständig bedeutungslos ist. Vermehrt liegt der Wert dieser Angebote jedoch in den generierten Nutzerdaten in der App. Diese Daten sind nach der obigen Definition gerade nicht frei zugänglich, da sie nur dem Anbieter der App als Vertragspartner zur Verfügung gestellt werden. Bei solchen Angeboten überwiegen mithin die wirtschaftlichen Grundrechte der Anbieter. c) Sonstige Grundrechte der Datenverarbeiter Die Datenverarbeitung wird auch über die allgemeine Handlungsfreiheit aus Art. 2 Abs. 1 GG geschützt. Diese gewährt die grundrechtlich verbürgte Privatautonomie, die Personen grundsätzliche Handlungsfreiheit im Privatrechtsverkehr ermöglicht. Ausgangspunkt im Privatrecht ist also die grundsätzliche Garantie individueller Freiheit.210 Die allgemeine Handlungsfreiheit umspannt einen sehr weitreichenden Schutzbereich und umfasst auch Handlungen der Datenverarbeitung, so dass das Grundrecht andere Freiheitsrechte ergänzt. So sind etwa Informationsbeschaffung, -speicherung und -weitergabe vom Schutzbereich umfasst. Dies ergänzt mithin die Informations- und Meinungsfreiheit aus Art. 5 GG – vor allem in Bereichen, wie etwa nicht frei zugänglichen Daten, die von der Informationsfreiheit nicht miterfasst werden.211 Auch berührt die allgemeine Handlungsfreiheit den Bereich wirtschaftlichen Tätigwerdens und garantiert einen angemessenen Spielraum zur Entfaltung der unternehmerischen Tätigkeit.212 In den Fällen, in denen diese Handlungsfreiheit im Bereich der Unternehmens- und Berufsfreiheit betroffen ist, wird sie jedoch von der spezielleren Gewährleistung aus Art. 12 Abs. 1 GG überlagert.213 Im kommerziellen Bereich der Unternehmen steht also der grundsätzlich zu anderen Freiheitsrechten subsidiäre Schutz aus der allgemeinen Handlungsfreiheit214 210

Zur grundrechtlich verbürgten Privatautonomie vertiefend Di Fabio, in: Maunz / Dürig, GG, Art. 2 Rn. 101 ff. 211 Gallwas, NJW 1992, 2785 (2887). 212 BVerfGE 29, 260 (267); 50, 290 (366). 213 BVerfGE 77, 84 (118). 214 Di Fabio, in: Maunz / Dürig, GG, Art. 2 Rn. 103. Diese Subsidiarität greift, wenn ein Eingriff in das jeweils speziellere Freiheitsgrundrecht besteht.

§ 4 Die Grundlagen des Datenschutzrechts

115

hinter den spezielleren Freiheitsrechten der beruflichen bzw. wirtschaftlichen Tätigkeit sowie der Meinungs- und Informationsfreiheit zurück. Dies betrifft auch Unternehmen, die Big Data-Analysen durchführen oder datenfinanzierte Angebote bereitstellen. Der Schutz der allgemeinen Handlungsfreiheit verbleibt einzig zur Lückenfüllung bei nicht abgedeckten Tätigkeitsbereichen der Freiheitsrechte. Die Anbieter von datenfinanzierten Angeboten sind in ihrer unternehmerischen Tätigkeit bereits vollständig durch das diesbezügliche Grundrecht geschützt, so dass keine solche Lücke erkennbar ist. 2. Europäischer Primärrechtsschutz Im europäischen Primärrecht findet sich in der Grundrechte-Charta keine spezielle Norm, die die Grundrechtsfähigkeit von juristischen Personen belegt. Gleichwohl ergibt sich auch im europäischen Kontext – zum Teil explizit wie in Art. 42 GRCh, zum Teil durch Auslegung des Schutzbereichs der Normen – eine vergleichbare Wertung zu Art. 19 Abs. 3 GG.215 Danach schützen die ihrem Wesen nach auf juristische Personen anwendbaren Grundrechte Unternehmen unabhängig ihres Sitzes ebenfalls.216 a) Europäischer Schutz der unternehmerischen Freiheit Durch die Grundrechte-Charta besteht ein grundrechtlicher Schutz der unternehmerischen Tätigkeit. Die Berufsfreiheit wird in Art. 15 Abs. 1 GRCh durch „das Recht, zu arbeiten und einen frei gewählten oder angenommenen Beruf auszuüben“, gewährleistet. Daneben statuiert Art. 16 GRCh die separate Garantie der unternehmerischen Freiheit, die zu einer Trennung der selbständigen beruflichen Tätigkeit in Art. 16 GRCh von unselbständiger Arbeit in Art. 15 GRCh führt. Insgesamt besteht so – auch aufgrund vieler inhaltlicher und systematischer Überschneidungen der Grundrechte sowie durch die nachfolgende Eigentumsfreiheit in Art. 17 GRCh – eine umfassende und eigenständige europäische Gewährleistung der wirtschaftlichen Betätigungsfreiheit.217 Die unternehmerische Tätigkeit selbst wird darüber hinaus über die Grundfreiheiten des AEUV geschützt. 215

Gundel, in: Grabenwarter, Europäischer Grundrechteschutz, § 2 Rn. 17 ff. m. w. N. Vgl. zu ähnlichen Wertungsmaßstäben in der EMRK Meyer-Ladewig / Nettesheim, in: Meyer-­ Ladewig / Nettesheim / Raumer, HK-EMRK, Art.  1 Rn.  25. 216 Jarass, GRCh, Art. 51 Rn. 52; Grabenwarter / Pabel, Europäische Menschenrechtskonvention, § 17 Rn. 2. 217 Kühling, in: Pechstein / Nowak / Häde, Frankfurter Kommentar EUV / GRC / A EUV, Art.  16 GRCh, Rn. 2 f.; Ruffert, in: Calliess / Ruffert, EUV / A EUV, Art. 15 GRCh, Rn. 4. Zuvor wurde die unternehmerische Freiheit vom EuGH – ähnlich wie in Art. 12 Abs. 1 GG – als Teilgewährleistung der Berufsfreiheit eingeordnet, vgl. EuGH, Urt. v. 21. 2. 1991, Rs. C-143/88 und C-92/89, Rn. 72.

116

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

aa) Art. 16 GRCh Art. 16 GRCh schützt die selbständige wirtschaftliche Betätigung, worauf sich sowohl natürliche wie auch juristische Personen unabhängig von ihrer Rechtsform berufen können.218 Diese Freiheit erlaubt die eigenverantwortliche Wirtschafts- und Geschäftstätigkeit, womit nach Ansicht des EuGH „das Recht jedes Unternehmens, in den Grenzen seiner Verantwortlichkeit für seine eigenen Handlungen frei über seine wirtschaftlichen, technischen und finanziellen Ressourcen verfügen zu können“, erfasst ist.219 Darüber hinaus umfasst der weitgefächerte Schutzbereich des Art. 16 GRCh auch die Wettbewerbs- und Vertragsfreiheit der Unternehmen.220 Durch die Grundrechte-Charta wird damit wie nach Art. 12 Abs. 1 GG die wirtschaftliche Tätigkeit von Datenverarbeitern mit dem weitreichenden Gewährleistungsbereich von Art. 16 grundrechtlich geschützt. Beschränkungen des Schutzes der unternehmerischen Freiheit sind – vergleichbar zur oben dargestellten Beschränkungsmöglichkeit von Art. 8 GRCh – anhand von Art. 52 Abs. 1 GRCh zu messen. Hierzu betont der EuGH, dass die unternehmerische Freiheit im allgemeinen Interesse einer Vielzahl von Eingriffen durch die öffentliche Hand unterworfen werden kann und mit kollidierenden Rechten – unter expliziter Nennung des Schutzes personenbezogener Daten – angemessen auszugleichen ist.221 Wiederum besteht eine Vergleichbarkeit zum nationalen Verfassungsrecht, als dass Beschränkungen der unternehmerischen Freiheit verhältnismäßig ausfallen müssen, der Legislative aber ein weitreichender Gestaltungsspielraum verbleibt. bb) Schutz über Grundfreiheiten Neben der Unternehmerfreiheit sind aber auch die in den Verträgen und damit ebenfalls im Primärrecht verankerten Grundfreiheiten zu beachten. Bei der Betrachtung datenfinanzierter Angebote ist vor allem die Dienstleistungsfreiheit nach Art. 56 ff. AEUV von Bedeutung. Auch die Grundfreiheiten sind mit widerstreitenden Grundrechten anderer Privater – vorliegend dem Grundrecht auf Datenschutz der betroffenen Personen aus Art. 8 I GRCh – in einen angemessenen Ausgleich zu bringen und insoweit bei der Abwägung zu beachten.222 218

Wollenschläger, in: v. der Groeben / Schwarze / Hatje, Europäisches Unionsrecht, Art. 16 GRCh, Rn 6. 219 EuGH, Urt. v. 27. 3. 2014 – Rs. C-314/12, Rn. 49. 220 Blanke, in: Stern / Sachs, GRCh, Art. 12 Rn. 7 f.; Kühling, in: Pechstein / Nowak / Häde, Frankfurter Kommentar EUV / GRC / A EUV, Art. 16 GRCh, Rn. 9 ff. 221 EuGH, Urt. v. 17. 10. 2013, Rs. C-101/12, Rn. 28; Urt. v. 22. 1. 2013, Rs. C-283/11, Rn. 46. Zum angemessenen Ausgleich kollidierender Rechte vgl. EuGH, Urt. v. 22. 1. 2013, Rs. C-283/11, Rn. 45; erstmals in Urt. v. 14. 5. 1974, Rs. 4/73, Rn. 14. 222 Vgl. etwa EuGH, Urt. v. 12. 6. 2003, Rs. C-112/00, Rn. 64, 74 – Schmidberger; EuGH, Urt. v. 14. 10. 2004, Rs. C-36/02, Rn. 35 – Omega.

§ 4 Die Grundlagen des Datenschutzrechts

117

Die Dienstleistungsfreiheit umfasst nach Art. 57 AEUV Leistungen, die in der Regel gegen Entgelt erbracht werden und nicht den sonstigen Grundfreiheiten unterliegen. Die Entgeltlichkeit der Leistung zielt dabei auf den wirtschaftlichen Charakter der Dienstleistung und muss sich nicht zwingend zwischen Dienstleistungserbringer und -empfänger verwirklichen.223 Insoweit können auch die im Verhältnis zwischen App-Anbieter und Nutzer zunächst monetär kostenfreien Leistungen aufgrund ihres wirtschaftlichen Charakters unter die Dienstleistungsfreiheit fallen und werden von dieser abgedeckt. b) Art. 11 GRCh Die Grundrechte-Charta garantiert in Art. 11 Abs. 1 GRCh (ebenso Art. 10 Abs. 1 EMRK) ebenfalls die Meinungs- und Informationsfreiheit. Art. 11 GRCh ist dabei in enger Anlehnung an Art. 10 EMRK konzipiert worden224 und Satz 1 und 2 des ersten Absatzes fallen sogar wortgleich zur EMRK aus. Hinsichtlich der Informationsfreiheit ist der Schutzumfang des Art. 11 GRCh dem des Grundgesetzes vergleichbar. Der EGMR hat zu Art. 10 EMRK ausdrücklich klargestellt, dass hierunter auch Informationen kommerzieller Natur fallen225, was insoweit auch für Art. 11 GRCh gelten sollte. Bei der Meinungsfreiheit wird vom Schutzumfang schon bei der Begriffsdefinition der Meinung nicht zwischen Tatsachen- und Meinungsäußerung unterteilt. Die Grundrechte-Charta umfasst (sogar unwahre) Tatsachenbehauptungen, so dass in diesem Punkt der Schutzumfang den des Art. 5 Abs. 1 GG übersteigt.226 Auch nach Art. 11 GRCh wird allerdings nur die Unterrichtung aus allgemein zugänglichen Quellen geschützt, obwohl dies im Wortlaut der Normen nicht angedeutet ist.227 Ansonsten sind beide Grundreche den Garantien des Grundgesetzes vergleichbar, so dass auch Art. 11 GRCh keine Bedeutung für die weiteren Ausführungen dieser Arbeit aufweist.

223

Haltern / Stein, in: Pechstein / Nowak / Häde, Frankfurter Kommentar EUV / GRC / A EUV, Art. 57 AEUV, Rn. 20 f. 224 Cornils, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 11 GRCh, Rn. 3. 225 EGMR, Urt. v. 20. 11. 1989, Nr. 10572/83 – markt intern; s. hierzu vertiefend Degenhart, in: Bonner Kommentar GG, Art. 5 Abs. 1 und 2 Rn. 79. 226 von Coelln, in: Stern / Sachs, GRCh, Art. 5 Rn. 13, wonach der Wahrheitsgehalt der Tatsachenbehauptung erst auf der Schranken-Ebene hinsichtlich des Maßes des Grundrechtsschutzes berücksichtigt wird. 227 Cornils, in: Gersdorf / Paal, BeckOK Informations- und Medienrecht, Art. 11 GRCh, Rn. 32. Vgl. daneben ergänzend zur EMRK Grote / Wenzel, in: Dörr / Grote / Marauhn, EMRK / GG, Kap. 18 Rn. 50.

118

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

3. Würdigung Aus der Betrachtung der Grundrechtspositionen der Datenverarbeiter hat sich gezeigt, dass Anbieter von datenfinanzierten Angeboten selbst grundrechtsberechtigt sind. Für die App-Anbieter sind dabei insbesondre die unternehmerischen Freiheiten aus Art. 12 Abs. 1 GG bzw. Art. 16 GRCh einschlägig. Hinzu kommen bei der jeweiligen Datenverarbeitung noch die Dienstleistungsfreiheit aus Art. 56 ff. AEUV. Die Meinungs- und Informationsfreiheit hat für die wirtschaftliche Tätigkeit der App-Anbieter hingegen keine vertiefte Bedeutung. Die Regulierung und Begrenzung der Datenverarbeitungsmöglichkeit durch das Datenschutzrecht stellt einen Grundrechtseingriff in die unternehmerische Freiheit der betroffenen Datenverarbeiter dar, die jeweils einer umfassenden Verhältnismäßigkeitsprüfung bedarf. Stellt der Gesetzgeber – etwa zur Umsetzung der oben beschriebenen Schutzpflichten  – Schranken für die private Datenverarbeitung auf, sind die jeweils entgegenstehenden, betroffenen Grund- und Primärrechte in einem angemessenen Verhältnis zu berücksichtigen, wobei jeweils ein Ausgleich zwischen den verschiedenen Grundrechtspositionen geschaffen werden muss. Dieser Ausgleich der widerstreitenden Interessen ist nicht durch einen strikten Vergleich der Grundrechtspositionen, ihrer Reichweite oder ihrer Wirkung möglich. Vielmehr hängt ihre Wirkung im Rahmen der praktischen Konkordanz von verschiedenen, miteinander abzuwägenden Faktoren ab – wie etwa der Bedeutung und des Schutzgehalts des jeweiligen Grundrechts, den betroffenen Allgemeinbelangen sowie den entgegenstehenden Grundrechten.228 Die dargestellten Grundrechtspositionen der Datenverarbeiter sind daher nur ein abstrakter Ausgangspunkt für die Bewertung der kollidierenden Grundrechte. Es muss anhand der konkreten gesetzlichen Regelungen sowie anhand des Einzelfalls die Verhältnismäßigkeit der jeweiligen Regulierung überprüft werden. Auf diesen konkreten Abwägungsprozess wird jeweils bei einzelnen Aspekten der datenschutzrecht­ lichen Regulierung im Rahmen dieser Arbeit zurückzukommen sein. Gleichwohl verbleibt dem Gesetzgeber bei der Ausgestaltung des Datenschutzrechts eine weite Einschätzungsprärogative.

B. Die sekundärrechtliche und einfachgesetzliche Ausgestaltung des Datenschutzes Aus den verfassungs- bzw. primärrechtlichen Grundsätzen hat sich national das einfachgesetzliche sowie europäisch das sekundärrechtliche Datenschutzrecht entwickelt. Das erste nationale Bundesdatenschutzgesetz (BDSG) datiert schon aus dem Jahre 1977229 und wurde somit bereits vor der Schaffung und Eingliederung 228 229

Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 56 f. BGBl. I Nr. 7 S. 201.

§ 4 Die Grundlagen des Datenschutzrechts

119

der informationellen Selbstbestimmung durch das Bundesverfassungsgericht erlassen. Das BDSG a. F. wurde folgend mehrfach novelliert und angepasst – unter anderem aufgrund der Entwicklungen der Rechtsprechung zur informationellen Selbstbestimmung. Seit den 1990er-Jahren unterliegt das Datenschutzrecht einem immer größer werdenden europäischen Einfluss. Diese Europäisierung fand in ihren Grundzügen durch den Erlass der Datenschutzrichtlinie 95/46/EG im Jahr 1995 statt. Die Richtlinie hatte nicht einzig den Datenschutz um seiner selbst willen, sondern auch die Wahrung des Binnenmarktes innerhalb der EU (bzw. damals der EG) als Zielsetzung.230 Um diese Binnenmarktintegration zu gewährleisten und gleichzeitig die Wahrung der Grundrechte durch die Datenschutzrichtlinie sicher zu stellen, bestätigte der EuGH in der ASNEF-Entscheidung231 eine vollharmonisierende Wirkung der Richtlinie. Dadurch wurde diese zum Datenschutzstandard innerhalb der EU und die Regelungen des BDSG sind seit diesem Zeitpunkt europäisch geprägt. Gleichwohl orientierte sich die Datenschutzrichtlinie selbst am deutschen Grundkonzept des Datenschutzrechts, so dass sich inhaltlich zum bisherigen – bis 1995 gültigen – Datenschutzrecht kaum Veränderungen ergaben.232 Zum Zeitpunkt des Richtlinienerlasses war an datenbasierte Geschäftsmodelle jedoch noch nicht zu denken, so dass sich die Datenschutzrichtlinie in ihrer Konzeption aus heutiger Sicht mit nicht mehr zeitgemäßen (meist analogen) Problemen auseinandersetzte. Eine kolossale Veränderung im Konstrukt des einfach­ gesetzlichen Datenschutzrechts vollzog sich deshalb zum 25. Mai 2018: Zu diesem Zeitpunkt wurde die schon 2016 in Kraft getretene DSGVO wirksam, die für die EU-Mitgliedsstaaten einheitliche Datenschutzregelungen setzte. Zeitgleich hat das „neue“, am 30. Juli 2017 erlassene BDSG233 das zuvor auf die Datenschutzrichtlinie Gestützte abgelöst. Mithin bestehen national drei datenschutzrechtliche Regelungsbereiche: Die DSGVO, das neue BDSG sowie bereichsspezifischer Datenschutz. Aus deren Zusammenspiel ergibt sich das aktuelle Datenschutzregime und je nach Art der Datenverarbeitung sind unterschiedliche gesetzliche Vorgaben einschlägig. Bei der Regulierung von datenfinanzierten Angeboten kommen hierbei die DSGVO (I.), das BDSG (II.) und sonstige Rechtsquellen (III.) in Betracht. Hinsichtlich einer abstrakten Betrachtung des vergleichsweise neuen Datenschutzregimes sei an dieser Stelle allerdings vorweggenommen, dass an dieser Stelle lediglich eine Darstellung und Abgrenzung der Grundzüge des Datenschutzregimes stattfindet. Eine darüberhinausgehende abstrakte Darstellung würde am Themenzuschnitt dieser Arbeit vorbeigehen. Stattdessen soll die Analyse konkret auf die für die Bewertung von datenfinanzierten Angeboten relevanten Regelungen eingehen. 230

Vgl. ErwG 3 der RL 95/46/EG. EuGH, Urt. v. 24. 11. 2011, Rs. C-468/10 und C-469/10, Rn. 29. 232 Gola, NJW 1995, 3283 (3290). 233 BGBl. I S. 2097. 231

120

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

I. Die Datenschutz-Grundverordnung Der Erlass der Datenschutz-Grundverordnung verfolgte verschiedene Zielsetzungen, die sich in Art. 1 DSGVO wiederfinden. Nach Art. 1 Abs. 1 soll die Verordnung neben dem Schutz personenbezogener Daten auch den freien Verkehr von Daten fördern. So soll nach Art. 1 Abs. 2 DSGVO über die Verordnung sowohl der Schutz von Grundrechten als auch der Grundfreiheiten der Union sichergestellt werden. Dabei stellt die DSGVO den Grundrechtsschutz auf eine Stufe mit dem Schutz des freien Verkehrs personenbezogener Daten und dem Schutz der Grundfreiheiten generell, vgl. Art. 1 Abs. 3 DSGVO, so dass der Verordnung eine Doppelrolle als individualgeprägtes Schutzrecht für betroffene Personen sowie gleichzeitig als Ordnungsrecht für den Datenaustausch zukommt.234 Damit verändert die DSGVO den vormals engen Fokus der Datenschutzrichtlinie. War dort die Zielrichtung auf ein einheitliches europäisches Datenschutz­ regime zur Umsetzung des Binnenmarktes gerichtet, wird diese Zielsetzung durch die DSGVO weiterverfolgt. Zusätzlich wird unionsweit das Datenschutzniveau harmonisiert, um einen „kohärenten und durchsetzbaren Rechtsrahmen“ zu schaffen.235 Das Datenschutzregime soll angesichts der technischen Entwicklungen mithilfe der DSGVO modernisiert und den neuen Herausforderungen der Digitalisierung angepasst werden, gerade um auch den Grundrechtsschutz der betroffenen Personen zu verbessern.236 Die DSGVO beinhaltet mithin umfangreichere Zielsetzungen als die vorangegangene Datenschutzrichtlinie. Der Schutz personenbezogener Daten stellt kein uneingeschränktes Recht dar, sondern muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Den bereits dargestellten Konflikt zwischen den verschiedenen widerstreitenden Interessen adressiert die DSGVO also bereits prominent zu Beginn der Verordnung. Denn auch der freie Verkehr von Daten sowie die Verwirklichung des Binnenmarktes sind Zielsetzungen der DSGVO.237 Um diese Zielsetzungen zu erreichen wurde die DSGVO, anders als das bisherige sekundärrechtliche Datenschutzrecht, als Verordnung i. S. v. Art. 288 Abs. 2 AEUV erlassen und hat damit bereits ohne nationalen Umsetzungsakt allgemeine Geltung. Die DSGVO gilt in allen ihren Teilen als verbindlich und unmittelbar anwendbares Recht in jedem Mitgliedsstaat der EU. Der zuvor gewählte Regelungsansatz in Form einer Richtlinie hatte zwar den Vorteil einer flexibleren Einpassung in den nationalen Rechtrahmen. Gleichzeitlich schufen die verschiedenen Umsetzungen der Mitgliedstaaten ob deren Unterschiedlichkeit oft Rechts­unsicherheit. Hinzu kamen Unklarheiten über das Zusammenspiel von nationalem und uniona 234

Albrecht / Janson, CR 2017, 500 (501); vertiefend Klement, JZ 2017, 161 (163 f.). DSGVO, ErwG 3, 5, 7 und 10. 236 DSGVO, ErwG 1, 2 und 6. 237 DSGVO, ErwG 4. 235

§ 4 Die Grundlagen des Datenschutzrechts

121

len Recht sowie eine möglicherweise divergierende Regelungsdichte bei grenzüberschreitend tätigen Datenverarbeitern.238 Dies erklärt den nun gewählte Rechtsakt in Form einer Verordnung, der die Vollharmonisierung des europäischen Datenschutzrechts anstrebt.239 Trotz der angestrebten Vollharmonisierung beschreitet die DSGVO im Vergleich zu „herkömmlichen“ Verordnungen einen gewissen Sonderweg, indem sie in bestimmten national geprägten Bereichen Öffnungsklauseln für den nationalen Gesetzgeber und damit diesem einen Handlungsspielraum belässt.240 Mithin entstehen in diesen Bereichen je nach nationaler Ausgestaltung unterschiedliche Harmonisierungsgrade und die DSGVO wird als ein „atypischer Hybrid aus Verordnung und Richtlinie“ bewertet.241 Den Inhalt der DSGVO ergänzen und präzisieren im Übrigen zahlreiche Erwägungsgründe. Diesen kann zwar kein Gesetzesrang zugesprochen werden. Gleichwohl sind sie als amtliche Auslegungshilfe für den Telos der DSGVO von Bedeutung, vgl. Art. 296 S. 2 AEUV.242 Dementsprechend werden die Erwägungsgründe bei der nachfolgenden Untersuchung immer wieder berücksichtigt. 1. Der Anwendungsbereich Um die Bedeutung und Tragweite der DSGVO zu ermitteln, ist zunächst der Anwendungsbereich der Verordnung zu bestimmen. Der sachliche und räumliche Anwendungsbereich bemisst sich nach Art. 2 bzw. Art. 3 DSGVO. a) Sachlich Ausgangspunkt der Anwendbarkeit der DSGVO ist nach Art. 2 Abs. 1 DSGVO – wie zuvor – die Verarbeitung personenbezogener Daten. Im genauen Wortlaut erfasst dies die „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte – d. h. die manuelle – Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert 238

Kühling, Die Europäisierung des Datenschutzrechts, S. 13. Vgl. DSGVO ErwG 9, 10 und 13. 240 Vgl. zur Qualifizierung der verschiedenen Öffnungsklauseln, die für diese Arbeit keine gesonderte Bedeutung aufweisen, Roßnagel, DuD 2017, 277 (279). Zur detaillierten, i. E. vergleichbaren Klassifizierung Kühling / Martini, EuZW 2016, 448 (449). 241 Kühling / Martini, EuZW 2016, 448 (449). Zu dieser Begrifflichkeit kritisch Albrecht /  Janson, CR 2017, 500 (501), die die Verordnung aufgrund der Einheitlichkeit der grundsätzlichen Regelungenmehr als einen Hybriden qualifizieren. Bei der am verbreiteten Möglichkeit der optionalen Regelungskompetenzen der Mitgliedsstaaten können abstrakte Regelungen der Verordnung präzisiert, konkretisiert sowie Regelungslücken ausgefüllt werden (z. B. in Art. 85–91 DSGVO). 242 Kühling / Raab, in: Kühling / Buchner, DSGVO / BDSG, Einführung, Rn.  84. 239

122

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

werden sollen“. Eine Verarbeitung umfasst nach der Begriffsbestimmung in Art. 4 Nr. 2 DSGVO alle möglichen Verarbeitungsprozesse als Sammelbegriff, der eine nicht abschließenden Liste zusammenfasst. Personenbezogene Daten stellen nach der Legaldefinition in Art. 4 Nr. 1 DSGVO alle Informationen dar, „die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen“. Der im Datenschutz verwendete Begriff der Daten ist nicht komplett deckungsgleich mit demjenigen, der am Anfang dieser Arbeit kurz definiert wurde.243 Die DSGVO versteht unter Daten weitgefasst Informationen und Wissen, ohne dass es hierfür einer bestimmen Form oder spezifischen Speicherart bedarf.244 Dieses (weite) Verständnis von Daten soll auch in der weiteren Arbeit Anknüpfungspunkt sein. Auf die Verarbeitung und den Personenbezug – gerade im Hinblick auf die hierzu viel diskutierten Fragen zu Anonymisierung und Pseudonymisierung – wird in Teil 2 näher eingegangen.245 Art. 2 Abs. 2 DSGVO ergänzt Ausschlüsse des sachlichen Anwendungsbereichs. Diese betreffen vornehmlich staatliche Stellen (lit. a), b) und d))246 sowie die ausschließlich persönliche oder familiäre Datenverarbeitung (lit. c)), so dass diese Ausschlüsse für die vorliegende Betrachtung der Datenverarbeitung durch (zumeist) private kommerzielle App-Anbieter keine Relevanz aufweisen. Anders als im BDSG a. F. unterscheidet die DSGVO im Anwendungsbereich – und damit verbunden auch in der Regelungstiefe – nicht mehr zwischen der Datenverarbeitung von öffentlichen und nicht-öffentlichen Stellen, so dass sowohl öffentliche Stellen wie auch nicht öffentliche Stellen (lies: Private) den Regelungen gleichsam unterworfen sind. Dies war allerdings bereits in der dem BDSG a. F. zugrundeliegenden Richtlinie 95/46/EG der Fall und lediglich im deutschen Recht wurde insoweit unterschieden.247 Hieraus ergibt sich ein Unterschied zur grundrechtlich garantierten informationellen Selbstbestimmung bzw. dem europäischen Datenschutzgrundrecht, nach denen grundsätzlich nur die öffentlichen Stellen verpflichtet sind. Art.6 Abs. 3 DSGVO fordert allerdings bei öffentlichen Stellen zusätzlich einen Gesetzesvorbehalt in Form einer europäischen oder nationalen gesetzlichen Grundlage für die Datenverarbeitung, wohingegen Private sich zwar an die Vorgaben der DSGVO halten müssen, es für die Verarbeitung aber keiner weiteren Grundlage bedarf. Aufgrund der sich aus den Grundrechten ergebenden Schutzpflichten sowie der Einschätzungsprärogative des Gesetzgebers erscheint eine grundsätzliche Gleich 243

S. § 2 A. Arning / Rothkegel, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  4 Rn.  7; Polenz, in: Taeger / Pohle, Computerrechts-Handbuch, § 131 Rn. 84; Zierbarth, in: Sydow, DSGVO, Art. 4 Rn. 8. 245 S. § 5 A. 246 Die allgemeine Formulierung „nicht im Anwendungsbereich des Unionsrechts“ nach lit. a) betrifft insbesondere die den Mitgliedstaaten selbst überlassenen Tätigkeiten, z. B. Schutz der nationalen Sicherheit, vgl. Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  2 Rn.  11. 247 Vgl. § 28 BDSG a. F. 244

§ 4 Die Grundlagen des Datenschutzrechts

123

behandlung innerhalb der DSGVO sowohl nach deutschem Verfassungs- wie auch nach europäischem Primärrecht ein generell gangbarer Weg der Umsetzung. Es muss ggf. an den einzelnen Stellen der Verordnung geprüft werden, inwieweit eine Gleichbehandlung von öffentlichen und privaten Datenverarbeitern gerechtfertigt und angemessen ist.248 b) Räumlich Als räumlichen Anwendungsbereich umfasst die Verordnung gemäß Art. 3 Abs. 1 DSGVO die Verarbeitung, „soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet“. Dies entspricht der bisherigen Rechtslage der Richtlinie 95/46/EG. Ergänzend schließt Art. 3 Abs. 2 DSGVO „die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen“ Datenverarbeiter mit ein, wenn dieser hierdurch Waren oder Dienstleistungen anbieten (lit. a)) oder das Verhalten von betroffenen Personen beobachten will (lit. b)). Mit diesen Regelungen kommt durch Absatz 1 das sog. Sitzprinzip zur Geltung, während in Absatz 2 dem sog. Marktortprinzip folgt.249 Grob zusammengefasst ist der räumliche Anwendungsbereich danach in Fällen eröffnet, in denen entweder der Verarbeiter oder die betroffene Person einen räumlichen Bezug zur EU aufweisen. Im Rahmen des Kapitels zur internationalen Datenverarbeitung wird auf Sitz- und Marktortprinzip noch näher einzugehen sein.250 2. Sonstige Grundzüge der DSGVO In der DSGVO ist generell festzustellen, dass sich die Zielsetzung und die Grundsätze zum bisherigen nationalen Datenschutzrecht und zur Richtlinie 95/46/ EG kaum verändert haben.251 Vor allem die Grundzüge der Datenverarbeitung werden weitestgehend übernommen (vgl. Art. 5, 6 DSGVO). Es gilt nach Art. 6 Abs. 1 DSGVO weiterhin das Verbot unter Erlaubnisvorbehalt als Ausgangspunkt der Datenverarbeitung.252 Das Verbot untersagt grundsätzlich die Verarbeitung personenbezogener Daten auch für private Datenverarbeiter, was einen grundlegenden Unterschied zu der dem Zivilrecht allgemein gültigen Privatautonomie darstellt. Eine Verarbeitung der Daten ist nur nach einer informierten 248

Hierzu vertiefend Kühling, Die Europäisierung des Datenschutzrechts, S. 17 m. w. N. Ernst, in: Paal / Pauly, DSGVO / BDSG, Art. 3 Rn. 3, 13. 250 S. § 7 A. 251 So auch Klement, JZ 2017, 161 (163); Roßnagel, DuD 2016, 561 (561 f.). 252 Vormals ergab sich dieses Prinzip aus § 4 Abs. 1 BDSG a. F. Zum Verbot unter Erlaubnisvorbehalt vertiefend Brendle-Weith, VuR 2018, 331 (333) m. w. N. 249

124

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

und freiwilligen Einwilligung der betroffenen Person in die Verarbeitung (Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO)253 oder einer sonstigen gesetzlichen Rechtfertigungsmöglichkeit nach Art. 6 Abs. 1 S. 1 lit. b) bis f) DSGVO möglich.254 Die in Art. 5 DSGVO niedergelegten Grundsätze der Datenverarbeitung255, die Betroffenenrechte (Art. 12 ff. DSGVO) und Anforderungen an die Datensicherheit (Art. 32 DSGVO) bleiben konzeptionell gleichermaßen identisch zur bisherige Rechtslage, wurden allerdings zum Teil präzisiert oder erweitert. Die DSGVO ändert das geltende Recht vor allem hinsichtlich der Regelungswirkung gegenüber den Adressaten. Hier unterscheidet die DSGVO nicht mehr grundsätzlich zwischen der Verarbeitung von öffentlichen und nicht-öffentlichen Stellen. Die Datenverarbeitung durch öffentliche Stellen hat dabei zur bisherigen Regelung des Datenschutzes keine größeren Änderungen erfahren. Gerade beim Handeln durch staatliche Stellen lässt die DSGVO den Mitgliedstaaten weiterhin Umsetzungsspielräume. Der öffentliche Adressat der DSGVO ist allerdings bei der Fokussierung auf Geschäftsmodelle von privaten App-Anbietern in dieser Arbeit zu vernachlässigen. Die DSGVO ergänzt die datenschutzrechtlichen Anforderungen zusätzlich um Vorgaben zur Technikgestaltung, datenschutzrechtliche Voreinstellungen (vgl. Art. 25 DSGVO) sowie um die Datenschutz-Folgenabschätzung (Art. 35 DSGVO), die die technische Ausgestaltung des Datenschutzes stärken. II. Das Bundesdatenschutzgesetz Mit dem BDSG n. F. schafft der deutsche Gesetzgeber einen Rechtsrahmen für die in der DSGVO niedergelegten Öffnungsklauseln, um hierüber nationale Ergänzungen oder Abweichungen zu normieren. Anders als das BDSG a. F. ist das BDSG kein in sich geschlossenes Gesetz, sondern muss im Zusammenhang mit der DSGVO gelesen werden. In der Anwendung ist also zunächst auf die DSGVO zu rekurrieren, um im Anschluss anhand des BDSG potentielle nationale Veränderungen und Ergänzungen zu entnehmen. Dies beruht vor allem auf dem vom EuGH festgelegten Normenwiederholungsverbot256, wonach der europäische Normentext im ergänzenden nationalen Gesetz nicht übernommen werden darf, um so der Verfälschung des vorrangigen EU-Rechts vorzubeugen. Zwar übernimmt das das BDSG an einigen Stellen ausdrücklich den Wortlaut der DSGVO. Dies ist aber zulässig, soweit es der besseren Kohärenz und Verständlichkeit des Reglungsgefüges dient.257 Aufgrund der Verweise wirkt das BDSG an vielen Stellen wie ein 253

S. hierzu vertiefend § 6 B. S. § 6 A. 255 S. § 5 B. 256 EuGH, Urt. v. 10. 10. 1973, Rs. C-34/73, Rn. 9–11. 257 Vgl. DSGO ErwG 8. Vertiefend Greve, NVwZ 2017, 737 (743). 254

§ 4 Die Grundlagen des Datenschutzrechts

125

„Flickenteppich“. Dies ist dem übergeordneten Zweck des BDSG geschuldet, der in der Ergänzung der DSGVO um Ergänzungs- und Ausnahmevorschriften liegt.258 Das BDSG n. F. findet gem. § 1 Abs. 1 Anwendung für öffentliche Stellen des Bundes und der Länder, soweit keine spezielleren Datenschutz-Vorschriften bestehen oder der Anwendungsvorrang des Unionsrechts zum Tragen kommt (vgl. § 1 Abs. 2 und 5 BDSG). Bei datenfinanzierten Angeboten handelt es sich allerdings weitestgehend um Apps privater Anbieter, so dass lediglich die vorrangigen Regelungen der DSGVO Anwendung finden, zumal die in Teil 2 des BDSG normierten Gestaltungsspielräume für die Regulierung datenfinanzierter Angebote nicht eröffnet sind. Insoweit fällt der Bedeutungsgehalt des BDSG für diese Arbeit äußerst gering aus und bedarf an dieser Stelle keiner weiteren Erörterung. III. Datenschutz aus anderen Quellen Wie bereits dargestellt, handelt es sich bei den meisten datenfinanzierten Angeboten um Telemedien-Dienste i. S. d. § 1 Abs. 1 TMG.259 Für diese regelte das TMG in den §§ 11–15 TMG a. F. datenschutzrechtliche Vorgaben, deren Verhältnis zu den Normen der DSGVO in Frage stand. Es bestand insoweit Uneinigkeit darüber, ob und inwieweit die datenschutzrechtlichen Regelungen des TMG als Spezialregelungen zur DSGVO weiterhin Anwendung fänden.260 Das am 1. Dezember 2021 in Kraft getretene Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG)261 hat diesen Konflikt aufgelöst und ersetzt die Regelungen in §§ 11–15 TMG a. F.262

258

Kremer, CR 2017, 367 (378); Greve, NVwZ 2017, 737 (744) sieht dies hingegen weniger kritisch. 259 Vgl. bereits § 3 B. 260 Hierzu vertiefend DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, S. 6; GDD, Praxishilfe Privacy I, S. 6; Jandt, ZD 2018, 405 (407 f.); Martini, in: ­Gersdorf / Paal, Informations- und Medienrecht, § 1 TMG, Rn. 26b f.; Sesing, MMR 2019, 347 (350). 261 BGBl. I S. 1982, zuletzt geändert am 12. 8. 2021, BGBl. I S. 3544 (3545). Mit dem TTDSG werden die bisher im TKG enthaltenen Bestimmungen zum Schutz des Fernmeldegeheimnisses und des Datenschutzes sowie die im TMG enthaltenen Bestimmungen zum Datenschutz in einem neuen Stammgesetz zusammengeführt. Für einen Überblick vgl. www.bmwk.de/ Redaktion/DE/Pressemitteilungen/2021/05/20210528-gesetz-zum-schutz-der-privatsphaerein-der-digitalen-welt-beschlossen.html. 262 Vgl. Art. 3 Nr. 2 des Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien vom 23. 6. 2021, BGBl. I S. 1982 (1999).

126

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

1. Datenschutz nach dem TTDSG Durch das Inkrafttreten der DSGVO hat sich für nationale Datenschutzregeln eine Schwebesituation ergeben, bei der das Verhältnis zwischen der DSGVO und diesen spezialgesetzlichen Normen in Frage steht. Aufgrund ihres Anwendungsvorrangs sind sekundärrechtliche Rechtsakte, wie die DSGVO, vorrangig gegenüber dem nationalen Recht.263 Somit verdrängt die DSGVO grundsätzlich die nationalen datenschutzrechtlichen Regelungen. Eine Ausnahme hiervon entsteht durch die Kollisionsnorm in Art. 95 DSGVO. Hiernach gehen die Regelungen der Richtlinie 2002/58/EG264 denen der DSGVO vor, wenn sie dasselbe (den Datenschutz betreffende) Ziel verfolgen.265 Diese Vorrang-Regelung erstreckt sich auch auf die nationalen Umsetzungsakte. Aufgrund von Art. 95 DSGVO findet die DSGVO also im Bereich der E-Privacy-Richtlinie keine Anwendung, sofern dort datenschutzrechtliche Spezialregelungen existieren. Genau diese Öffnungsklausel bedient das TTDSG. Das Gesetz hat die bisherigen Datenschutzbestimmungen für Telemedien und Telekommunikationsdienste an die DSGVO angepasst und die Regelung der Richtlinie 2002/58/EG in nationales Recht umgesetzt. Für den Telemediendatenschutz finden sich nun in Teil 3 des TTDSG (§§ 19–26) gesonderte Regelungen. Für die vorliegende Arbeit ist dabei vor allem § 19 TTDSG von Interesse, der technische und organisatorische Vorkehrungen für die Anbieter von Telemedien aufstellt. Auf die relevanten Aspekte wird an der jeweiligen Stelle in den Folgekapiteln einzugehen sein.266 Das TTDSG verpflichtet dabei gemäß § 1 Abs. 3 alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. Insoweit greift das TTDSG das Niederlassungs- und Marktortprinzip aus Art. 3 DSGVO auf.267

263

Grundlegend zum Anwendungsvorrang BVerfGE 75, 223 (244 f.); 85, 191 (204). Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), auch als E-Privacy-Richtlinie bezeichnet. 265 Vgl. hierzu auch DSGVO ErwG 173, der allerdings eine Überprüfung und Aktualisierung der RL 2002/58/EG nahelegt, um die Kohärenz zwischen den Vorschriften sicherzustellen. Eine solche hat allerdings durch den europäischen Gesetzgeber bisher nicht stattgefunden. 266 Vgl. § 5 B. III. 2. c). 267 Etting, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, § 1 TTDSG, Rn. 17 ff. Vgl. hierzu § 4 B. I. 1. b) sowie vertiefend § 7 A. 264

§ 4 Die Grundlagen des Datenschutzrechts

127

2. Anstehende regulatorische Veränderungen Daneben befindet sich der Entwurf der E-Privacy-Verordnung weiterhin im europäischen Gesetzgebungsprozess.268 Die Verordnung setzt sich primär mit der Regulierung von OTT-Diensten sowie mit dem Umgang mit Cookies auseinander. Laut der aktuellen Entwurfsfassung sollen hierzu einige zur DSGVO ergänzende und präzisierende datenschutzrechtliche Regelungen getroffen werden und das Datenschutzniveau soll gegenüber dem in der DSGVO in keinem Fall sinken.269 Es sollen dafür nach Art. 7 und 8 des Verordnungs-Entwurfs etwa Sondervorschriften für die Verarbeitung, Speicherung und Lösung elektronischer Kommunikationsdaten, Metadaten und Kommunikationsinhalte getroffen werden. Aufgrund des spezifischen Anwendungsbereichs der Verordnung erscheint deren generelle Bedeutung für die (singulär) datenschutzrechtliche Bewertung von datenfinanzierten Angeboten nicht sehr hoch. Gleichwohl können einzelne datenfinanzierte Angebote – allen voran OTT-Dienste – und deren Datenverarbeitung durch die Verordnung enorm betroffen sein. Insoweit bleibt im weiteren Gesetzgebungsprozess abzuwarten, ob sich aus der Verordnung auch generellere Auswirkungen für datenfinanzierte Angebote ergeben könnten.

C. Das Rangverhältnis der Gewährleistungen und dessen Auswirkungen Nach der in diesem Kapitel vorgenommene Darstellung des verfassungsrechtlich verankerten Datenschutzes (A.) sowie der sekundärrechtlichen Umsetzung in der DSGVO (B.) bleibt das Rangverhältnis zwischen dem europäischen Datenschutzgrundrecht und dem (nationalen) Grundrecht auf informationelle Selbstbestimmung noch unbeantwortet. Nachfolgend wird daher untersucht, welches dieser Grundrechte den Datenschutz zukünftig „dominieren“ wird. Dabei ist die jeweilige Wirkungsweise der Datenschutzgrundrechte auf das geltende sekundärrechtliche bzw. national einfachgesetzliche Datenschutzregime zu berücksichtigen (I.). Ergänzend werden die hiermit in Verbindung stehenden Veränderungen durch Inkrafttreten der DSGVO dargestellt – vor allem hinsichtlich der Güterabwägung zwischen den Interessen von Datenverarbeitern und betroffenen Personen (II.). Ferner sollen als Überleitung auf die detaillierte datenschutzrechtliche Analyse in den Folgekapiteln mögliche Konfliktpunkte des geltenden Datenschutzregimes zu der Nutzung datenfinanzierter Angebote aufgezeigt werden (III.).

268 269

Vgl. bereits § 3 C. Vgl. ErwG 5 des Verordnungs-Entwurfs COM(2017) 10 final.

128

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

I. Das Verhältnis der grundrechtlichen Gewährleistungen Im Datenschutz steht dem nationalen Grundrecht der informationellen Selbst­ bestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG dem Art. 8 GRCh gegenüber, der dem Schutz personenbezogener Daten auch europäisch Grundrechtsstatus einräumt. Diese Frage nach dem Rangverhältnis und der Bedeutung der Grundrechte hat vor allem durch das Inkrafttreten der DSGVO an Brisanz gewonnen.270 Als europäischer Sekundärrechtsakt haben die Gewährleistungen der Grundrechte-Charta über Art. 6 Abs. 1 EUV direkten Einfluss auf die Auslegung und Interpretation der DSGVO. Folglich ergibt sich der maßgebliche Einfluss auf die Auslegung der DSGVO aus Art. 8 GRCh. Das Grundrecht bindet nach Art. 51 Abs. 1 S. 1 GRCh auch nationale Stellen, soweit diese Unionsrecht durchführen – vorliegend die DSGVO. Ob und inwieweit darüber hinaus auch nationale Grundrechte für die Bewertung von Unionsrechtsakten von Bedeutung sind, beurteilen Bundesverfassungsgericht und EuGH hingegen aus unterschiedlichen Perspektiven. Nach der Auffassung des EuGH besteht absoluter Vorrang des Unionsrechts gegenüber dem gesamten innerstaatlichen Recht  – mitsamt nationalem Verfassungsrecht. Sekundärrechtsakte sind einzig am Maßstab des europäischen Primärrechts zu messen und der Prüfungsmaßstab ergibt sich aus den nach EU-­ Primärrecht geltenden Grundrechten (vgl. Art. 6 EUV).271 Dieser Geltungsbereich der Unionsgrundrechte erstreckt sich nach dem EuGH auch auf unionsrechtlich begründete Gestaltungsspielräume der jeweiligen Mitgliedstaaten.272 In zwar „vom Unionsrecht erfassten“, jedoch nicht vollständig harmonisierten Bereichen können europäische und nationale Grundrechte parallel Anwendung finden, soweit hierdurch weder das Schutzniveau der Grundrechte-Charta noch die Einheit oder Wirksamkeit des Unionsrechts behindert werden.273

270 Durch die Europäisierung des einfachgesetzlichen Datenschutzes hat sich in der deutschen Rechtswissenschaft zum Teil die Befürchtung ergeben, der Anwendungsbereich der informationellen Selbstbestimmung und der hierzu ergangenen Rechtsprechung des Bundesverfassungsgerichts könne zunehmend geringer ausfallen und die ausgefeilte Systematik damit bedeutungslos werden. Vgl. hierzu Greve, in: FS Kloepfer, S. 665 (667 f.); Masing, NJW 2012, 2305 (2310 f.). Zur Relevanz des nationalen Grundrechtsschutzes grundlegend Edenharter, Grundrechtsschutz im föderalen Mehrebenensystemen, S. 676 ff. 271 EuGH, Urt. v. 15. 7. 1964, Rs. C-6/64  – Costa / Enel; Urt. v. 17. 12. 1970, Rs. C-11/70, Rn. 4 – Internationale Handelsgesellschaft; Urt. v. 14. 5. 1974, Rs. C-4/73, Rn. 13 – Nold. 272 EuGH, Urt. v. 26. 2. 2013, Rs. C-617/10, Rn. 19, 21 – Akerberg Fransson. 273 EuGH, Urt. v. 26. 2. 2013, Rs. C-617/10, Rn. 29 – Akerberg Fransson; Urt. v. 26. 2. 2013, Rs. C-399/11, Rn. 60 – Melloni; Urt. v. 29. 7. 2019, Rs. C-476/17, Rn. 80 f. – Pelham.

§ 4 Die Grundlagen des Datenschutzrechts

129

1. Die Konfliktsituation vor den Entscheidungen zum Recht auf Vergessen Bis zu den Entscheidungen Recht auf Vergessen I und II sah das Bundesverfassungsgericht indes ein gegenseitiges Ausschlussverhältnis von nationaler und unionaler Grundrechtsordnung. Ausgangspunkt hierfür war das Verständnis einer eingeschränkten Prüfungskompetenz des Bundesverfassungsgerichts.274 Nach der in verschiedenen Entscheidungen vom Bundesverfassungsgericht immer wieder herangezogenen Solange II-Formel müsse im Hoheitsbereich der Europäischen Union ein Maß an Grundrechtsschutz erwachsen sein, der nach Konzeption, Inhalt und Wirkungsweise im Wesentlichen dem nach Grundgesetz gebotenen Grundrechtsschutz gleichkommt.275 Bei Unionsrecht ohne Umsetzungsspielraum werde daher eine Grundrechtskontrolle durch das Gericht nur ausgeübt, wenn dieser jeweils als unabdingbar gebotene Grundrechtsstandard generell nicht mehr gewährleistet ist.276 Der Vorbehalt eines „im wesentlichen vergleichbaren Grundrechtschutzes“ findet sich in auch in Art. 23 Abs. 1 S. 1 GG wieder. In der Lissabon-Entscheidung ergänzte das Bundverfassungsgericht die Solange II-Formel um die sog. Identitätskontrolle sowie die Utra-Vires-Kontrolle.277 Im Urteil hebt das Gericht hervor, dass der Vorrang des Unionsrecht nur einen Anwendungsvorgang und keinen Geltungsvorrang darstelle und dieser kraft (nationaler) verfassungsrechtlicher Ermächtigung bestehe, wodurch den Mitgliedstaaten die Prüfung der Grenzen der verfassungsrechtlichen Integrationsermächtigung obliege.278 Im Rahmen der Ultra-Vires Kontrolle obliegt dem Bundesverfassungsgericht mithin die Prüfung, ob sich EU-Rechtsakte unter Wahrung des unionalen Subsidiaritätsprinzips in den Schranken der ihnen im Wege der begrenzten Einzelermächtigung eingeräumten Hoheitsrechte halten.279 Mit der Identitätskontrolle überprüft das Gericht, ob der unantastbare Kerngehalt der Verfassungsidentität nach Art. 23 Abs. 1, 79 Abs. 3 GG gewahrt bleibt.280 In der Masstricht-Entscheidung281 verortete das Bundesverfassungsgericht zusätzlich aufgrund der Unionsfreundlichkeit des Grundgesetzes (Art. 23 Abs. 1 GG) und der nationalen Zustimmung zu europäischen (Änderungs-)Verträgen ein Ko 274

Vgl. generell zum Konflikt zwischen EuGH und BVerfG umfangreich Callies, in: Maunz /  Dürig, GG, Art. 24 Rn. 71 ff.; Ehlers, in: Ehlers, Europäische Grundrechte und Grundfreiheiten, § 14 Rn. 4, 38 f.; Stern / Hamacher, in: Stern / Sachs, GRCh, Einführung, Rn. 182 ff. m. w. N. 275 BVerfGE 73, 339 (386 f.) – Solange II; 89, 155 (174 ff.) – Maastricht; 102, 147 (164) – Bananenmarktordnung; 118, 79 (95 ff.): 123, 267 (399) – Lissabon. 276 BVerfGE 73, 339 (387) – Solange II. 277 BVerfGE 123, 267 (353 ff.) – Lissabon. 278 BVerfGE 123, 267 (396 ff.) – Lissabon. 279 BVerfGE 123, 267 (353) – Lissabon. Hierzu vertiefend Callies, in: Maunz / Dürig, GG, Art. 24 Rn. 201 f. m. w. N. 280 BVerfGE 123, 267 (353 ff.) – Lissabon; 135, 317 (386) – ESM; 143, 366 (386) – OMT. Wiederum vertiefend Callies, in: Maunz / Dürig, GG, Art. 24 Rn. 208 ff. m. w. N. 281 Vgl. BVerfGE 89, 155 (175) – Maastricht.

130

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

operationsverhältnis zum EuGH, ohne dieses jedoch näher zu definieren, sondern blieb hauptsächlich beim Ausschlussverhältnis von nationaler und unionaler Grundrechtsordnung. Da sich die Kompetenz der EU zum Erlass datenschutzrechtlicher Regelungen aus Art. 16 Abs. 2 AEUV eindeutig ableitet und eine Verletzung der Verfassungsidentität nicht ernstlich in Betracht zu ziehen ist, kommt es nach den dargelegten Maßstäben im Datenschutz vor allem auf den im Wesentlichen gleichzusetzen Grundrechtsschutz an. Zwar hat es der EuGH in seiner Rechtsprechung zu Art. 8 GRCh vermieden, die Entwicklung des Datenschutzgrundrechts  – vergleichbar dem Bundesverfassungsgericht – auf das allgemeine Persönlichkeitsrecht zu stützen. Dies hätte eine Nähe zur deutschen Verfassungstradition in Fragen des Datenschutzes geschaffen. Anders als nach nationalem Grundrechtsverständnis stellt der EuGH bei der Würdigung von Art. 8 GRCh auch nicht gesondert auf die Bildung von Persönlichkeitsprofilen ab. Deren Verhinderung ist nach Maßgabe des Bundesverfassungsgerichts essentiell zur Wahrnehmung der informationellen Selbstbestimmung durch die betroffenen Personen.282 Abgesehen von diesen Unterschieden ist die Regelungsreichweite von Art. 8 GRCh allerdings so umfassend, dass darin nicht nur der Schutz vor widerrechtlicher Verarbeitung persönlicher Daten gesehen werden kann. Vielmehr stellt das Grundrecht ebenfalls die informationelle Selbstbestimmung der betroffenen Personen sicher.283 Daneben wachsen die Tiefe und Präzisierung der Urteile zu Art. 8 GRCh stetig. So misst der EuGH dem Datenschutz aus Art. 8 GRCh enorme Bedeutung bei: Jenes Grundrecht hat seit Inkrafttreten des Lissabonner Vertrags erstmalig zum Verwerfen einer europä­ ischen Verordnung geführt.284 Aufgrund dieses neuen, massiven Bedeutungsgehalts sowie der erheblichen Rechtsfolgen spricht Kühling285 in diesem Zusammenhang von der Schaffung eines „scharfen Instruments“, mit dem der EuGH sogar weiter gegangen sei, als es das Bundesverfassungsgericht vermutlich getan hätte. Die den grundrechtlichen Datenschutz betreffende Rechtsprechung des EuGH ist zwar im Vergleich zu der des Bundesverfassungsgerichts (noch) nicht derart ausdifferenziert. Sie zeigt jedoch, dass auch der EuGH mittels Verhältnismäßigkeitserwägungen den (Sekundärrechts-)Gesetzgeber einer weitreichenden Kontrolle unterwirft.286 Dies befördert die Sicherstellung der Grundrechte und zeigt einen dem nationalen Grundrecht auf informationelle Selbstbestimmung gleichwertigen Grundrechtsschutz auf. 282

S. o. § 4 A. I. 1. S. o. § 4 A. II. 2. 284 So sah der EuGH die europäischen Transparenzregelungen im Rahmen der Agrarverordnung (VO (EG) Nr. 1290/2005) nicht dem Art. 8 GRCh vereinbar, EuGH, Urt. v. 9. 11. 2010, Rs. C-92/09, C-93/09 – Schecke und Eifert. Ebenso verwarf der EuGH auf diese Weise eine Vorratsdatenspeicher-RL, EuGH, Urt. v. 8. 4. 2014, Rs. C-293/12, C-594/12 – Digital Rights Irland Ldt. 285 Kühling, Die Europäisierung des Datenschutzrechts, S. 24. 286 So z. B. in EuGH, Urt. v. 9. 11. 2010, Rs. C-92/09, C-93/09; sowie Urt. v. 8. 4. 2014, Rs. C-293/12 u. C-594/12 – Digital Rights Ireland; vertiefend Kühling, NVwZ 2014, 681 (684 f.). 283

§ 4 Die Grundlagen des Datenschutzrechts

131

2. Die Beschlüsse Recht auf Vergessen I und II Mit den zwei Beschlüssen Recht auf Vergessen I und II vom 6. November 2019 hat der erste Senat des Bundesverfassungsgerichts diese Ansätze zum Rangverhältnis der nationalen und europäischen Grundrechte neu austariert.287 Dabei weicht das Gericht die bisher strikte Trennung von nationaler und unionaler Grundrechtsordnung auf.288 In Fortführung der bisherigen Rechtsprechung verdeutlicht das Bundesverfassungsgericht, dass nach dem Grundsatz des Anwendungsvorrangs des Unionsrechts vollständig durch unionsrechtliche Vorgaben determinierte Bereiche – vorliegend die DSGVO – einzig anhand die Grundrechte-Charta zu überprüfen sind.289 Eine Kontrolle am Maßstab des Grundgesetzes scheide dort in aller Regel aus. Weiterhin stehe der Anwendungsvorrang unter dem Vorbehalt, dass der jeweilige Grundrechtsschutz durch die stattdessen zur Anwendung kommenden Unionsgrundrechte hinreichend wirksam sei.290 In solchen vereinheitlichten Bereichen, in denen die nationalen Grundrechte durch den Anwendungsvorrang verdrängt werden, sieht das Bundesverfassungsgericht im „Gegenzug“ eine eigene Prüfungskompetenz der fachgerichtlichen Anwendung der Unionsgrundrechte vor.291 Diese Prüfung am Maßstab der Unionsgrundrechte bleibt jedoch explizit auf die Urteilsverfassungsbeschwerde begrenzt. Das Bundesverfassungsgericht nehme hierdurch seine aus Art. 23 Abs. 1 GG erwachsene Integrationsverantwortung wahr und ohne die eigene Prüfungskompetenz drohe eine Schutzlücke, da sich das Gericht ansonsten bei zunehmender Verdichtung des EU-Sekundärrechts aus der Grundrechtskontrolle zurückziehen müsse.292 Bei dieser Prüfung legt das Gericht allerdings die Auslegungsmaßstäbe des EuGH an.293 Auch betont das Gericht die beim EuGH verbleibende letztverbindliche Charta-Auslegung.294 Bei nationalen Gestaltungsspielräumen – wie beim BDSG n. F. – verbleibt es laut Bundesverfassungsgericht hingegen bei der primären Anwendung der nationalen Grundrechte. Zwar ergebe die Rahmensetzung durch die DSGVO eine unions 287

BVerfG 152, 152 – Recht auf Vergessen I; 152, 216 – Recht auf Vergessen II. Vgl. für eine vertiefende Bewertung etwa Kühling, NJW 2020, 275. 288 Hierzu vertiefend Wendel, JZ 2020, 157 (159 f.). 289 BVerfGE, 152, 216 (230 ff.), Rn. 33 ff. – Recht auf Vergessen II. 290 BVerfGE, 152, 216 (237 ff.), Rn. 47 – Recht auf Vergessen I. 291 BVerfGE, 152, 216 (237 ff.), Rn. 51 ff. – Recht auf Vergessen II; bestätigt durch BVerfG, Beschl. v. 1. 12. 2020 – 2 BvR 1845/18, Rn. 36 ff. Dies begrüßend Hoffmann, NVwZ 2020, 33 (34 f.); Kühling, NJW 2020, 275 (277 f.); Wendel, JZ 2020, 157 (162); aufgrund des Wortlauts von Art. 90 Abs. 1 Nr. 4a GG zurückhaltender Scheffcyk, NVwZ 2020, 977 (978); insgesamt eher kritisch Kämmerer / Kotzur, NVwZ 2020 177 (180). 292 BVerfGE, 152, 216 (241 f.), Rn. 53, 61 ff. – Recht auf Vergessen II. 293 BVerfGE, 152, 216 (271), Rn. 137. – Recht auf Vergessen II. Im Umkehrschluss sieht das Gericht bei noch nicht entschiedenen Frage eine Vorlagepflicht an den EuGH. 294 BVerfGE, 152, 216 (235, 244), Rn. 47, 69 – Recht auf Vergessen II.

132

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

grundrechtliche Ausstrahlung für die nationalen Umsetzungsspielräume.295 Diese Spielräume bewertet das Gericht gleichwohl primär am Maßstab der nationalen Grundrechte und stützt diese Annahme darauf, dass in solchen Bereichen regel­ mäßig eine Grundrechtsvielfalt zulässig sei.296 Dabei geht es von einer Vermutungswirkung aus, wonach nationale Grundrechte den unionalen Grundrechtsschutz mitgewährleisten, wobei beim Maßstab dieser Gewährleistung die Judikatur des EuGH und des EGMR zu berücksichtigen sei.297 Mit den Beschlüssen Recht auf Vergessen I und II nähern sich die Ansichten von EuGH und Bundesverfassungsgericht einander an – was angesichts der selbst zugeschriebenen Prüfungskompetenz des Bundesverfassungsgerichts hinsichtlich der Unionsgrundrechte zunächst überraschen mag. Hatte der EuGH bereits durch das mögliche Nebeneinander von nationalen und Charta-Grundrechten die Möglichkeit einer Kooperation eröffnet298, wird diese Annäherung vom Bundesverfassungsgericht durch die ausdrückliche Anerkennung der Letztentscheidungsbefugnis des EuGH und die Bestätigung der Koexistenz der Grundrechtsordnungen bestätigt.299 3. Das grundrechtliche Konfliktpotential im Datenschutz Betrachtet man die Reichweite des jeweiligen Grundrechtsschutzes, besteht im vollharmonisierten Bereich des Datenschutzes ein grundrechtliches Schutzsystem auf zwei Ebenen.300 Auf der ersten Ebene ist der Grundrechtsschutz innerhalb der DSGVO allein durch die Grundrechte-Charta begründet. In den Teilen, in denen die DSGVO unmittelbar gilt und es zu einer Vollharmonisierung kommt, findet der Maßstab der informationellen Selbstbestimmung keine Anwendung. Ein ausreichender Grundrechtschutz kann und wird einheitlich über die europäischen Grundrechte gewährleistet.301 Denn dort, wo das EU-Recht eine bindende Rechtsfolge enthält, die keiner Umsetzung bedarf und den Mitgliedstaaten keinen Spielraum für Abweichungen belässt, gelten allein die Grundrechte der Charta. 295

BVerfGE 152, 152 (169 f.), Rn. 43 ff. – Recht auf Vergessen I. BVerfGE 152, 152 (170 f.), Rn. 45 ff. – Recht auf Vergessen I. 297 BVerfGE 152, 152 (179 f., 197), Rn. 63 ff., 106 – Recht auf Vergessen I. Die Prüfung ist laut Gericht dann nicht ausreichend „wenn konkrete und hinreichende Anhaltspunkte vorliegen, dass hierdurch das grundrechtliche Schutzniveau des Unionsrechts ausnahmsweise nicht gewährleistet ist.“ Dann käme es auch in diesem Bereich zu einer Prüfung unmittelbar an der Grundrechte-Charta. 298 EuGH, Urt. v. 26. 2. 2013, Rs. C-617/10, Rn. 29  – Akerberg Fransson. S. hierzu auch ­L enaerts, EuR 2015, 3 (20 ff.). 299 BVerfGE 152, 152 (174), Rn. 54  – Recht auf Vergessen I spricht insoweit von einer „dyna­m ischen, fachrechtsakzessorischen Anlage der Unionsgrundrechte.“ Dem zustimmend ­Karpenstein / Kottmann, EuZW 2020, 185 (186, 188); Wendel, JZ 2020, 157 (160). 300 Wendel, JZ 2020, 157 (160 f.); Albrecht / Janson, CR 2017, 500 (502) gingen vor den Entscheidungen Recht auf Vergessen I und II noch von drei Ebenen aus. 301 BVerfGE, 152, 216 (230 ff.), Rn. 33 ff. – Recht auf Vergessen II. So bereits Greve, NVwZ 2017, 737 (744). 296

§ 4 Die Grundlagen des Datenschutzrechts

133

Belässt das EU-Rechtsakt auf der zweiten Ebene den Mitgliedstaaten hingegen Spielräume bei der Umsetzung – wie im Datenschutz bei den Öffnungsklauseln der DSGVO –, haben sich mit den Beschlüssen Recht auf Vergessen I und II die Ansichten von EuGH und Bundesverfassungsgericht angenähert. Nach Ansicht des EuGH hat das europäische Primärrecht aufgrund der europäischen Öffnungsspielräume einen mittelbaren Einfluss auf das nationale einfachgesetzliche Recht. Die Regelungen im BDSG oder in sonstigen nationalen Gesetzen sind auf den Inhalt der Öffnungsklauseln in der (ansonsten abschließenden) DSGVO begrenzt. Diese Öffnungsklauseln haben ihrerseits ihren Ursprung in Art. 8 GRCh. Insoweit handelt es sich um eine „Durchführung von Unionsrecht“ i. S. v. Art. 51 Abs. 1 S. 1 GRCh und Art. 8 GRCh bleibt anwendbar.302 Diese Auffassung des EuGH wird in der Literatur kritisiert, da ein supranationaler Grundrechtsschutz dem Konzept einer föderal angelegten Rechtsgemeinschaft zuwiderlaufe.303 Laut Bundesverfassungsgerichts werden gewährte nationale Spielräume hingegen vorrangig über nationales Verfassungsrecht überprüft. Hierfür sei entscheidend, dass der Gestaltungsrahmen des Unionsrechts keine so enge Vorgabe setze, das umgesetzte Recht vollständig danach zu determinieren.304 Auch bestehe die Vermutung einer (Mit-)Gewährleistung der Charta-Grundrechte, wobei die Rahmensetzung durch die DSGVO eine unionsgrundrechtliche Ausstrahlung für die nationalen Umsetzungsspielräume ergebe.305 Diese Unterscheidung hinsichtlich der primären Anwendung nationaler Grundrecht auf der zweiten Ebene ist jedoch eher akademischer Natur. Die inhaltlichen Unterschiede fallen aufgrund der bereits dargestellten Ähnlichkeit der nationalen und unionalen Grundrechte in ihrem Schutzrahmen – zumindest im Datenschutzrecht – eher gering aus. Im Übrigen ist sowohl nach Ansicht des EuGH306 wie neuerdings auch des Bundesverfassungs­ gerichts307 eine Anwendung nationaler Grundrechte neben der Grundrechte-Charta bzw. vice versa unschädlich möglich. Das tatsächliche Konfliktpotential zwischen Grundrechte-Charta und Grundgesetz und diesbezüglich divergierender Entscheidungen scheint im Datenschutz ohnehin eher gering. Die Ausgestaltung der jeweiligen Grundrechte ist  – trotz 302

EuGH, Urt. v. 27. 6. 2006, Rs. C-540/03, Rn. 104 f.; Urt. v. 26. 2. 2013, Rs. C-617/10, Rn. 17 ff. – Akerberg Fransson. 303 Voßkuhle, JZ 2016, 161 (163 f.), der ferner bei einer solchen Verlagerung Zielgenauigkeit und Sachnähe verloren gehen sieht. Zum Streit ausführlich Albrecht / Janson, CR 2017, 500 (503 ff.) m. w. N. 304 BVerfGE 152, 152 (169 f.), Rn. 41 ff. – Recht auf Vergessen I bestätigt diesen Grundsätzlichen Vorrang nationaler Grundrechte. So bereits zuvor BVerfGE 129, 78 (102 f.); 140, 317 (334 ff.). 305 BVerfGE 152, 152 (169 f.), Rn. 43 ff. – Recht auf Vergessen I. 306 EuGH, Urt. v. 26. 2. 2013, Rs. C-617/10, Rn. 29 – Akerberg Fransson; anders zum Zeitpunkt der Veröffentlichung noch Britz, EuGRZ 2009, 1 (3, 5) m. w. N. 307 BVerfGE 152, 152 (169), Rn. 43 – Recht auf Vergessen I. Ausdrücklich bekennt sich das Bundesverfassungsgericht zur Geltung der Grundrechte-Charta, auch wenn das Gericht in Bereichen mit Gestaltungsspielräumen grundsätzlich den Vorrang nationaler Grundrechte sieht.

134

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Unterschieden im Detail – in vielen Aspekten vergleichbar und folgt der gleichen Zielrichtung. Auch zeigen sich keine größeren Differenzen zwischen den jeweiligen Auslegungen der Gerichte. Diesbezüglich verweist das Bundesverfassungsgericht sogar auf das allgemeine Fundament der Rechtsgrundsätze, aus denen der EuGH die Grundrechte auf supranationaler Ebene ursprünglich entwickelt hat.308 Angesichts der inhaltlichen Übereinstimmung des europäischen Datenschutzgrundrechts und der nationalen informationellen Selbstbestimmung sowie der Entscheidungen der höchsten Gerichte im Bereich des Datenschutzes sind zukünftig keine divergierenden Entscheidungen zwischen Bundesverfassungsgericht und EuGH zu erwarten und der nationale Grundrechtsstandard nicht gefährdet.309 Dabei wird allerdings die Bedeutung des Bundesverfassungsgerichts aufgrund der Letztverantwortlichkeit des EuGH bei grundrechtsrelevanten Fragen zum Datenschutz kontinuierlich abnehmen. Nichtdestotrotz wird das Bundesverfassungsgericht in Fällen mit Datenschutzbezug über die (selbst zugeschriebene) Prüfungskompetenz von Art. 8 GRCh dessen Auslegung (mit) prägen und u. U. eigene Akzente setzen. Diese vermutliche Entwicklung wird auch in der Literatur durchaus begrüßt.310 4. Zwischenergebnis Zusammenfassend zeigt sich, dass die unionalen und nationalen Grundrechte in Verbindung mit den Sekundärrechtsakten und der nationalen einfachgesetzlichen Ausgestaltung ein Datenschutzregime bilden, in dem es zur parallelen Zusammenwirkung der Grundrechte kommt. Bei der Auslegung der DSGVO ist dabei einzig auf Art. 8 GRCh zu rekurrieren, während beim BDSG nach Ansicht des Bundesverfassungsgerichts vorrangig die nationale informationelle Selbstbestimmung zu beachten ist. Trotz der gesunkenen Bedeutung der nationalen informationellen Selbstbestimmung für die Auslegung der DSGVO bleibt die ausgefeilte Prüfungssystematik des Bundesverfassungsgerichts für datenschutzrechtliche Problemstellungen weiterhin beachtenswert. Dies hat der Beschluss Recht auf Vergessen II nochmals verstärkt, sieht das Gericht danach doch im Rahmen der Urteilsverfassungsbeschwerde eine eigene Prüfungskompetenz für die Grundrechte-Charta. Gleichwohl werden aufgrund der Ähnlichkeit der Grundrechte voraussichtlich bisherige Wertungsmaßstäbe beibehalten. Im Datenschutz besteht bisher weitestgehend Konsistenz zwischen den Entscheidungen von Bundesverfassungsgericht und EuGH, zumal die 308

BVerfGE 152, 152 (175 f.), Rn. 55 ff. – Recht auf Vergessen I. So auch Kühling, Die Europäisierung des Datenschutzrechts, S. 30, 35; ders., NVwZ 2014, 681 (684). 310 Vgl. etwa Karpenstein / Kottmann, EuZW 2020, 185 (188 f.); Kühling, NJW 2020, 275 (279). 309

§ 4 Die Grundlagen des Datenschutzrechts

135

Letztentscheidung über die Unionsgrundrechte dem EuGH obliegt. Insoweit ist bei graduellen Unterschieden – etwa bei der Fokussierung des Bundesverfassungs­ gerichts auf die Bildung von Personen- oder Nutzerprofilen – in Zweifelsfällen auf die Wertung des EuGH zur Auslegung von Art. 8 GRCh zurückzugreifen. Bezogen auf den Forschungsschwerpunkt dieser Arbeit ist zusätzlich anzumerken, dass die Entscheidungen des Bundesverfassungsgerichts weitestgehend zur Datenverarbeitung durch öffentliche Stellen und zu Sicherheitsfragen ergangen sind. Häufig betrafen diese Entscheidungen den Umfang und die Angemessenheit des Gesetzesvorbehaltes zur Datenverarbeitung.311 Zur privaten Datenverarbeitung hat das Bundesverfassungsgericht hingegen nur sehr punktuelle Entscheidungen getroffen, ebenso allerdings der EuGH. Gerade die die Zweckbindung besonders betonende Entscheidung zur Vorratsdatenspeicherung betraf ausdrücklich die Datenverarbeitung durch öffentliche Stellen. Es bleibt abzuwarten, wie sich Bundesverfassungsgericht und EuGH bei der zukünftig stärker in den Fokus geratenden privaten Datenverarbeitung positionieren werden. II. Die Umsetzung des Datenschutzes in der DSGVO Der Unionsgesetzgeber sah beim Erlass der DSGVO Handlungsbedarf bei der Harmonisierung und Anhebung des Datenschutzniveaus für die Datenverarbeitung durch private Datenverarbeiter. Der Harmonisierungsbedarf bestand vor allem aufgrund der unterschiedlichen nationalen Umsetzungen der Datenschutzrichtlinie in den Mitgliedstaaten. Die Folge war ein sehr unterschiedliches Datenschutzniveau in den einzelnen Staaten. Die Rechtsnatur der DSGVO als Verordnung und deren direkte Geltung in den Mitgliedstaaten dient somit vor allem ebendieser Harmonisierung des Datenschutzniveaus innerhalb der Union. In der Umsetzung fallen allerdings die inhaltlichen Unterschiede der DSGVO zu den wesentlichen Grundsätzen der vorher gültigen Richtlinie 95/46/EG eher gering aus.312 Insbesondere gilt weiterhin das generelle Verbot einer Datenverarbeitung, welches die Verarbeitung personenbezogener Daten lediglich unter Erlaubnisvorbehalt stellt. Erweitert haben sich die Pflichten der Datenverarbeiter um zahlreiche Informationspflichten. Die DSGVO gewährt darüber hinaus zusätzliche Betroffenenrechte und stellt weitere (eher technische) Anforderungen an die Verarbeitung 311

Hierzu vertiefend Kühling, Die Europäisierung des Datenschutzrechts, S. 27 f. Unter diesen Gesichtspunkten unterscheidet sich auch die Bewertung der DSGVO ganz grundsätzlich; von sehr Negativen aufgrund mangelnder Komplexität und Modernisierung, vgl. Roßnagel DuD 2017, 277 (281); ders., DuD 2016, 561 (564 f.); über eher zurückhaltend Klement, JZ 2017, 161 (168); demgegenüber positiv Albrecht, CR 2016, 88 (97 f.); ders. / Janson, CR 2016, 500 (501). Heuser, DSGVO – Stimmen Sie zu?, DIE ZEIT Nr. 22/2018 bezeichnet die DSGVO sogar als eine Art Weltstandard für den Datenschutz. Auf Kritikpunkte hinsichtlich der Digitalisierung und der in dieser Arbeit untersuchten Problematik wird an späterer Stelle einzugehen sein. 312

136

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

personenbezogener Daten. Somit stellt die DSGVO höhere Hürden an Eingriffe in das Datenschutzgrundrecht und die Regelungen treffen auch private Datenverarbeiter. Je nach Grad der Regelungstiefe schränkt das neue Datenschutzregime die Freiheit privater Datenverarbeiter also zunehmend ein. Damit setzt die DSGVO die sich aus Art. 8 GRCh ergebenden Schutzpflichten bei der Datenverarbeitung zwischen Privaten eindeutig und ausreichend um. Der Schutz der des Datenschutzgrundrechts wird allerdings  – nach wie vor  – nicht unbegrenzt gewährt. Dieser soll innerhalb der DSGVO einerseits mit der gesellschaftlichen (und ökonomischen) Teilhabe an benötigten Informationen, andererseits mit anderen Grundrechten und Grundfreiheiten abgewogen werden.313 Dies entspricht der Zielsetzung der DSGVO, neben dem Datenschutz betroffener Personen gleichzeitig den Datenverkehr innerhalb des Binnenmarktes zu fördern (vgl. Art. 1 Abs. 3 DSGVO). Ein Fokus der DSGVO besteht mithin in der Abwägung des Schutzes personenbezogener Daten mit den Grundrechten privater Datenverarbeiter. Zur Rechtfertigung der Datenverarbeitung dienen dabei die gesetzlichen Erlaubnistatbestände und die Einwilligung der betroffenen Person, welche den Erlaubnisvorbehalt der grundsätzlich untersagten Datenverarbeitung ausgestalten. Die hier vorgenommene Güterabwägung der häufig konfligierenden Interessen der Beteiligten ermöglichen eine rechtmäßige Datenverarbeitung. Aus verfassungsrechtlicher Sicht stellen dabei die Einwilligung und die sonstigen Erlaubnistatbestände eine mögliche Rechtfertigung des Eingriffs in das Datenschutzgrundrecht dar.314 Da diese Regelungen auch für die Datenverarbeitung Privater gelten, schränkt das Verbot unter Erlaubnisvorbehalt gleichzeitig die wirtschaftliche Handlungsfreiheit der Datenverarbeiter ein. Denn dem sonstigen privatrechtlichen und wirtschaftlichen Handeln ist ein solches – einem Gesetzesvorbehalt vergleichbares – Verbot unter Erlaubnisvorbehalt fremd. Dieser Konflikt zwischen den Grundrechtspositionen bei der Datenverarbeitung wird durch die Regelungen innerhalb der DSGVO nicht direkt aufgelöst. Die Normen bleiben durch unbestimmte Rechtsbegriffe und Wertungsmöglichkeiten abstrakt. Dies schafft jedoch Grundlagen, bei denen es nur noch vereinzelt eines direkten Durchgriffs auf grundrechtliche Wertungen bedarf.315 Die jeweiligen Erlaubnistatbestände innerhalb der DSGVO sorgen dafür, dass die Rechtmäßigkeit in der Regeln von Datenverarbeitungen im Einzelfall abhängig ist. Erst durch die nachfolgende Analyse kann mithin beantwortet werden, ob die DSGVO Antworten für die technischen Herausforderungen durch Big Data und datenfinanzierte Angebote bietet und ob sie im Einzelfall eine verhältnismäßige Abwägung zwischen den divergierenden Positionen ermöglicht. Das vom Unionsgesetzgeber verfolgte Ziel eines höheren Datenschutzstandards und einer Anpassung des Datenschutz 313

Vgl. ErwG 4 der DSGVO. Roßnagel, DuD 2016, 561 (563). Zur diesbezüglichen Kritik am Verbot unter Erlaubnisvorbehalt Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn.  4 f. m. w. N. 315 Klement, JZ 2017, 161 (162). 314

§ 4 Die Grundlagen des Datenschutzrechts

137

rechts an die technischen Fortschritte ist ebenfalls hinsichtlich seiner Umsetzung zu überprüfen, die allerdings konkret auf die Verarbeitung bei datenfinanzierten Angeboten begrenzt bleiben soll. III. Konfliktebereiche datenfinanzierter Angebote Betrachtet man die bisherigen Ergebnisse vor dem Hintergrund datenfinanzierter Angebote, so bestehen in den Positionen der App-Anbieter und Nutzer aus grundrechtlicher Sicht zwei weitestgehend diametral gegenüberliegende Interessen. Durch die Innovationen im Digitalsektor – gerade durch die Entwicklungen im Bereich Big Data  – wird datenfinanzierten Geschäftsmodellen ein enormes Wirtschafts- und Zukunftspotential zugesprochen. Dies begründet wirtschaft­ liche und gesellschaftliche Interessen. Demgegenüber besteht aus Nutzer-Sicht bei vielen bereitgestellten datenfinanzierten Angeboten ein Interesse an deren Nutzung – anderenfalls würden solche Apps nicht in dieser Vielzahl installiert und genutzt werden. Die Gefahren für das Datenschutzgrundrecht der Nutzer ergeben sich insbesondere aus der Persönlichkeitsausforschung datenfinanzierter Angebote, der schweren Erkennbarkeit der konkreten Datenverarbeitung sowie den immer größeren Datenmengen. Deshalb steigt mit der wachsenden Bedeutung der Daten gleichzeitig die Schutzbedürftigkeit ebendieser Daten.316 Durch die Masse an Daten nimmt die Gefahr intransparenter Datenverarbeitungen weiter zu und es droht ein Kontrollverlusts darüber, welche Daten preisgegeben werden.317 Gleichzeitig ist die Transparenz Grundvoraussetzung für die Wahrnehmung der informationellen Selbstbestimmung.318 Wird jene Selbstbestimmung der Nutzer durch die Datenverarbeitung der Apps jedoch missachtet oder werden die Bedingungen für deren Wahrnehmung negativ verändert, führt dies potentiell zu erheblichen Beeinträchtigungen der freien Entscheidungsgewalt der betroffenen Personen über die Datennutzung.319 Geht man von dem Leitbild einer freiheitlichen, auf Selbstbestimmung fußenden Gesellschaft aus, müssen auch für datenfinanzierte Angebote und deren Nutzung die nationalen und europäischen Grundrechte zum Datenschutz den Maßstab der Bewertung bilden, selbst wenn der Nutzer im Einzelfall auf ihren Schutz freiwillig verzichten möchte. Datenfinanzierte Angebote begünstigen diese Gefahr durch eine Vielzahl von Datenverarbeitungen, welche dank der zugrundeliegenden Big Data-Technologien vor allem bei einer Offenlegung an Dritte sehr komplex ausfallen können, 316

Boehme-Neßler, DuD 2016, 419 (423). Roßnagel, DuD 2016, 561 (563). 318 Weichert, ZD 2013, 251 (258). 319 Roßnagel, ZD 2013, 562 (563) geht sogar so weit, eine fehlende Wahrnehmungsmöglichkeit des Grundrechts als grundsätzliche Gefährdung der freiheitlichen Gesellschaft zu werten. 317

138

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

und von breiten Bevölkerungsschichten nicht vollends nachvollzogen werden.320 Der Eingriffsgehalt solcher Datenverarbeitungen kann dementsprechend sehr hoch ausfallen. Ferner führt die monetäre Kostenfreiheit datenfinanzierter Angebote zu einer Marginalisierung der Bedeutung der Datenpreisgabe. Nutzer empfinden ihre persönlichen Daten abstrakt zwar durchaus als intim und schützenswert und begrüßen deren Preisgabe als Gegenleistung für die geldfreie Nutzung der Angebote nicht zwingend.321 Im Einzelfall führt die Komplexität und Intransparenz der Datenverarbeitung bei einer Vielzahl datenfinanzierter Angebote allerdings dazu, dass die Daten dennoch preisgegeben werden. Auch wächst der Markt datenfinanzierter Angebote weiter an, so dass es hier unter Umständen eines regulativen Korrektivs bedarf. Zwar beantwortet die DSGVO die dem Gesetz- bzw. Verordnungsgeber aufgelegten Schutzpflichten zur Wahrung der Grundrechte auf Datenschutz und informationelle Selbstbestimmung. Doch die eher klauselartigen Regelungen erfordern im Einzelfall stets eine Abwägung zwischen individuellem Datenschutz und den Interessen der Datenwirtschaft sowie möglichen Interessen der Allgemeinheit. Die DSGVO enthält gleichwohl keine speziell normierte Berücksichtigung daten­ getriebener oder vollständig datenfinanzierte Geschäftsmodelle, die diese Interessenabwägung möglicherweise beeinflussen oder in eine Richtung lenken könnte. Inwieweit die klauselartigen Regelungen die vorliegenden Wertungswidersprüche bei datenfinanzierten Angeboten auflösen können und ob eine hinreichende Beachtung der konfligierenden Grundrechtspositionen stattfindet, soll durch detaillierte Analyse des aktuellen Regelungsrahmens der DSGVO beantwortet werden. Dabei ist zu untersuchen, ob das geltende Datenschutzregime den geldwerten Charakter der persönlichen Daten hinreichend aufgreift und ob sich der Konflikt zwischen der Selbstbestimmung der Nutzer und der ökonomischen Verwertung durch die App-Anbieter angemessen auflösen lässt.322

§ 5 Grundsätze und Prinzipien des Datenschutzes Die bisherige Untersuchung innerhalb dieser Arbeit hat aufgezeigt, welch weitreichenden Datenverarbeitungen bei der Nutzung datenfinanzierter Angebote stattfinden und wie die Daten betroffener Personen grundrechtlich und sekundärrechtlich geschützt sind. Aus diesen Erkenntnissen ergibt sich die Fragestel 320

Steinebach / Krempel / Jung / Hoffmann, DuD 2016, 440 (440) stellen auf eine ebensolche Gefahr gerade bei der Nutzung von Big Data-Technologien und damit potentiell möglichen Profilbildungen ab. 321 Buck / Germelmann / Eymann, in: Schmidt-Kessel / Langhanke: Datenschutz als Verbraucherschutz, S. 49 (56). 322 Wandtke, MMR 2017, 6 (9) wirft diese Frage eher abstrakt auf.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

139

lung, inwieweit die Verarbeitungsvorgänge datenfinanzierter Angebote mit dem Sekundärrecht zum Datenschutz vereinbar sind. Dabei sind insbesondere die in der DSGVO niedergelegten Datenschutzgrundsätzen zu beachten, die sich weitest­ gehend direkt aus dem Datenschutzgrundrecht aus Art. 8 GRCh ergeben. Bevor dies detailliert beantwortet werden kann, muss jedoch zunächst festgestellt werden, ob die Regelungen der DSGVO überhaupt für alle Datenverarbeitungsprozesse bei datenfinanzierten Angeboten gelten, oder ob einzelne Datenverarbeitungen – etwa durch Pseudonymisierung oder Anonymisierung  – vom Regelungsbereich der DSGVO ausgeschlossen sind. Dieser Überlegung folgend, soll in diesem Kapitel zunächst der sachliche Anwendungsbereich der DSGVO erörtert werden (A.). Im Anschluss werden die verschiedenen datenschutzrechtlichen Grundsätze der Datenverarbeitung dargestellt und deren Bedeutung aufgezeigt (B.). Im gesamten Kapitel geschieht diese Untersuchung im Lichte datenfinanzierter Angebote – ggf. unter der Berücksichtigung allgemeiner Entwicklungen zu Big Data. Zum Abschluss des Kapitels werden die aus dieser Analyse gewonnenen Erkenntnisse nochmals zu Big Data und datenfinanzierten Angeboten in Verbindung gesetzt (C.).

A. Der Anwendungsbereich der DSGVO Sachlich ist der Anwendbarkeit der DSGVO gem. Art. 2 Abs. 1 DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten eröffnet.323 Bei datenfinanzierten Angeboten fallen die Datenverarbeitungen vielfältig aus und es kommt zu einer Erhebung der verschiedensten Arten von Daten. Dementsprechend erscheint für die folgende Analyse zunächst erforderlich, die Verarbeitung selbst aufzuschlüsseln (I.). Im Anschluss wird der Personenbezug bei datenfinanzierten Angeboten untersucht (II.). Die Regelungen der DSGVO verpflichten dabei im persönlichen Anwendungsbereich den „Verantwortlichen“ der Datenverarbeitung, so dass zur Feststellung der Verantwortlichkeit die spezielle (personelle) Konstellation bei der Bereitstellung datenfinanzierter Angebote zu betrachten ist (III.). Das folgende Unterkapitel dient also als abstrakte Grundlage zur Bestimmung der Anwendbarkeit des Datenschutzregimes und der Normadressaten.

323

S. bereits § 4 B. I. 1. Daneben ist auch die Speicherung bei nichtautomatisierter Verarbeitung vom Anwendungsbereich umfasst.

140

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

I. Die Datenverarbeitung Der Anwendungsbereich der DSGVO eröffnet sich gem. Art. 2 Abs. 1 lediglich bei einer Verarbeitung der personenbezogenen Daten. Die Verarbeitung dient dabei als Sammelbegriff alle möglichen Prozesse, bei denen Daten gespeichert, bearbeitet oder ausgewertet werden. Nach der Legaldefinition in Art. 4 Nr. 2 DSGVO fallen darunter „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ von personenbezogenen Daten. Eine Verarbeitung i. S. v. Art. 4 Nr. 2 DSGVO impliziert also schon, dass der Verarbeitungsprozess personenbezogene Daten als Gegenstand hat. Die Aufzählung der Verarbeitungsschritte in Art. 4 Nr. 2 DSGVO ist nicht abschließend zu verstehen, es handelt sich vielmehr um eine beispielhafte Liste möglicher Verarbeitungsprozesse.324 Eine Verarbeitung beschreibt jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, ohne dass es darauf ankommt, warum oder zu welchem Zweck dieser Vorgang durchgeführt wird oder welche Intensität die Datenverarbeitung aufweist.325 Nach dem Begriffsverständnis der DSGVO wird bei der Verarbeitung insofern nicht zwischen der (Erst-)Erhebung und der späteren Weiterverarbeitung oder Weiterleitung der Daten unterschieden. Eine Verarbeitung kann innerhalb der gesamten Bestehenszeit eines Datums stattfinden – angefangen mit der Erhebung bis hin zur Löschung.326 Der Begriff der Verarbeitung ist seinem Verständnis nach ebenso weit zu verstehen, wie bereits grundrechtlich jedwede Art der Datenverarbeitung einen Eingriff in Art. 8 GRCh darstellen kann. Die Verarbeitung bezieht nicht nur sämtliche Verarbeitungsprozesse, sondern auch unterschiedliche Verarbeitungstechniken ein. Eine Verarbeitung i. S. d. DSGVO umfasst die mit oder ohne technischen Hilfsmitteln (automatisierte Verfahren) ausgeführten Verarbeitungsschritte.327 Die DSGVO verfolgt insoweit den Grundsatz der Technikneutralität, nach dem unterschiedliche Verarbeitungstechniken unter dem gleichen allgemeinen Normen zu bewerten sind und es an technik-­ spezifischen Regelungen – etwa für die Bewertung von Big Data – fehlt.328

324

Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 2 Rn. 4; Roßnagel, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 2 Rn. 14. 325 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  21; Roßnagel, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 4 Nr. 2 Rn. 11. 326 Etwas Anderes gilt lediglich für die Informationspflichten nach Art. 13, 14 DSGVO, die nur bei der Erhebung der Daten greifen. 327 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 2 Rn. 17. 328 Vgl. DSGVO ErwG 15. Dieses Fehlen normativer Inhalte wird zum Teil als „Unterkomplexität“ scharf kritisiert, vgl. etwa Roßnagel / Nebel / Richter, ZD 2015, 455 (460).

§ 5 Grundsätze und Prinzipien des Datenschutzes 

141

Auch in dieser Arbeit wird der Terminus der Verarbeitung in diesem weiten Verständnis als Sammelbegriff verwendet. Bei datenfinanzierten Angeboten wird jede erdenkliche Datenverarbeitung mit automatisierten Verfahren durchgeführt. Unabhängig von ihrer genauen Ausgestaltung unterfallen sie dank der Technikneutralität allesamt der DSGVO. Vergegenwärtigt man sich an dieser Stelle die oben aufgestellte Kategorisierung329, bei der anhand der Art der Datenverarbeitung die datenfinanzierten Angebote datenschutzrechtlich bewertet werden sollen, so lässt sich die Notwendigkeit einer solchen Kategorisierung aufgrund des weiten Verarbeitungsbegriffs und der Technikneutralität besser fassen. Die DSGVO fasst alle Verarbeitungsprozesse und -techniken zusammen und gliedert die Verarbeitungsprozesse nicht nach ihrer Intensität. Einzig Art. 9 DSGVO stellt bei besonderen, die Privat- und Intimsphäre betreffenden personenbezogenen Daten besondere Anforderungen an deren Verarbeitung. Hierbei kommt es jedoch nicht auf den genauen Verarbeitungsprozess, sondern lediglich den „Inhalt“ der Daten an. Dass die Eingriffsintensität allerdings auch durch Faktoren wie die Anzahl der betroffenen Personen, den Umfang, die Dauer und die Bedeutung der persönlichen Beeinträchtigung, die Streubreite der Datenverarbeitung in Bezug auf unbeteiligte Dritte sowie nach den durch den Eingriff drohenden Nachteilen für die betroffenen Personen mitbestimmt wird330, wird in der DSGVO nur indirekt durch die nachfolgend betrachteten Grundsätze der Datenverarbeitung berücksichtigt. Insoweit erscheint es umso dringlicher, innerhalb dieser Arbeit  – wie durch die Kategorisierung der Datenverarbeitung geschehen – zwischen verschiedenen, unterschiedlich intensiven Verarbeitungsschritten zu differenzieren. So können datenschutzrechtlich besonders eingriffsintensive Verarbeitungsprozesse herausgestellt und eine Differenzierung in der Bewertung verschiedener Verarbeitungsschritte verdeutlicht werden. II. Der Personenbezug von Daten Der Personenbezug der Daten stellt den maßgeblichen Anknüpfungspunkt des Datenschutzrechts dar. Insofern muss bei den verschiedenen, sehr heterogenen Daten, die innerhalb datenfinanzierter Apps erhoben und verarbeitet werden, ein Personenbezug bestehen, damit die Regelungen der DSGVO zur Anwendung kommen. Der folgende Abschnitt beschreibt daher die Herstellung des Personenbezugs (1.) und untersucht mögliche Ausschlüsse (2.). Im Anschluss werden einige Besonderheiten der Bewertung des Personenbezugs bei Big Data-Analysen dargestellt, bevor eine endgültige Aussage über den Personenbezug bei datenfinanzierten Angeboten getroffen werden kann (3.).

329 330

Für die Ausgestaltung der Kategorien vgl. § 2 B. III. 4. Vgl. § 4 A. I. 1. b).

142

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO definiert. Diese Begriffsdefinition ist als Legaldefinition der Begrifflichkeiten verbindlich für die gesamte DSGVO und stellt die Grundlage des jeweiligen Begriffsverständnisses dar.331 Bei personenbezogenen Daten handelt es sich danach um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (im Folgenden auch „betroffene Person“ oder im Zusammenhang mit datenfinanzierten Angeboten „Nutzer“). Das jeweilige muss Datum eine Information über eine natürliche Person enthalten, was insoweit die grundrechtliche Wertung im Datenschutz aufgreift, wonach lediglich die Daten von natürlichen Personen vom Schutzbereich umfasst sind.332 Darüber hinaus muss ebendiese Person „identifiziert“ oder „identifizierbar“ sein. Bei personenbezogenen Daten kommt es nicht darauf an, um was für eine Art von Information es sich handelt, sondern einzig, ob die Identität der Person anhand der Daten unmittelbar hervorgeht – sie also identifiziert ist – oder über diese Daten identifiziert werden kann. 1. Identifizierbarkeit Als „identifizierbar“ wird nach der Legaldefinition in Art. 4 Nr. 1 Hs. 2 DSGVO eine „natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ Die Identifizierbarkeit wird mithin über die Zuordnung bzw. Verbindung der Identität einer Person mit einer Kennung oder verschiedensten Merkmalen dieser Person abstrakt definiert. Die Daten müssen sich auf eine Person beziehen bzw. über diese etwas aussagen. Zusätzlich muss durch die Zuhilfenahme dieser Kriterien die Verbindung zu einer konkreten Person direkt oder indirekt hergestellt werden können – durch die Daten muss dementsprechend eine irgendwie geartete, individualisierbare Wiedererkennung ermöglicht werden.333

331

So beginnt Art. 4 DSGVO mit „im Sinne dieser Versordnung bezeichnet der Ausdruck […]“; vgl. Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  1. 332 Auf die Frage nach der Berufungsmöglichkeit juristischer Personen kommt es aufgrund der Betrachtung von App-Nutzern im Rahmen dieser Arbeit nicht an, so dass es insoweit auch keiner näheren Ausführungen bedarf. Vgl. hierzu etwa Schild, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 4 Rn. 6 ff. 333 Eßer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art. 4 Rn. 10, 18; Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 Rn. 49; Schild, in: Wolff /  Brink, BeckOK Datenschutzrecht, Art. 4 DSGVO, Rn. 16 f.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

143

a) Methoden der Identifizierung Die besonderen Merkmale, die zu einer Wiedererkennung führen können, reichen von direkten Identifikationsmerkmalen (z. B. Anschrift, Geburtsdatum), äußeren Merkmalen (Erscheinungsbild, Größe, Geschlecht etc.), inneren Merkmalen (Meinungen, Wünsche etc.) bis hin zu objektiven Informationen (Vermögensverhältnisse, abgeschlossene Verträge etc.) sowie sonstigen Beziehungen einer Person zu Dritten oder zur Umwelt.334 Ein einzelnes Merkmal bzw. eine einzelne Information muss dabei nicht die Verbindung zu einer konkreten Person ermöglichen. Vielmehr genügt auch eine Kombination mehrerer Informationen und unterschiedlicher Kriterien zur Identifizierung.335 Auch spielt es für die Personenbezogenheit grundsätzlich keine Rolle, ob durch die Informationen die Person schon identifiziert ist oder ob sie hierdurch lediglich identifizierbar wird.336 Zusätzlich zur Wiedererkennung anhand der Merkmale einer Person ist die Identifizierung gem. Art. 4 Nr. 1 Hs. 2 DSGVO auch mittels Zuordnung zu einer Kennung möglich, wofür im Wortlaut die Regelbeispiele Namen, Kennnummern, Standortdaten oder eine Online-Kennung genannt werden. Zwar ist im Gegensatz Identifizierung über Merkmale dem Wortlaut nach keine Kombination von Kennungen möglich. Dem Sinn und Zweck des Personenbezugs folgend kann allerdings auch bei Kennungen eine Kombination mehrerer zu einer Identifizierbarkeit führen, wenn hierüber tatsächlich die betroffene Person festgestellt werden kann.337 Die direkte Identifizierung einer Person ist dementsprechend über Zwischenschritte wie Kontextinformationen, Verknüpfung verschiedener Aussagen und die Herstellung von Korrelationen möglich.338 b) Voraussetzungen der Identifizierbarkeit Durch wen und wann eine Identifizierung stattfinden kann, wird im Wortlaut von Art. 4 Nr. 1 DSGVO nicht näher ausgeführt.339 Diesbezüglich erläutert Erwägungsgrund 26 S. 3, dass alle Mittel berücksichtigt werden sollen, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren. Es kommt also für den Personenbezug nicht darauf an, ob diese Kombination zur Identifizierung lediglich für den Verantwortlichen möglich ist, sondern grundsätzlich kann auch ein Dritter diese Kombination durchführen. 334

Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 1 Rn. 8. Eingängig Roßnagel, ZD 2013, 562 (563). Zur DSGVO Eßer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art. 4 Rn. 19. 336 Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 1 Rn. 17. 337 Arning / Rothkegel, in: Taeger / Gabel, DSGVO / BDSG / TTDSG, Art.  4 Rn.  26 ff.; ­Zierbarth, in: Sydow, DSGVO, Art. 4 Rn. 17. 338 Karg, DuD 2015, 520 (523). 339 Piltz, K&R 2016, 557 (561); Hofmann / Johannes, ZD 2017, 221 (222). 335

144

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Beim Abstellen auf eine andere Person stellt sich die  – schon vor Erlass der DSGVO in der Literatur vielfach diskutierte – Frage, inwieweit für diese Identifizierung auch das (potentielle) Wissen und die Mittel eines beliebigen Dritten zu berücksichtigen sind. Einigkeit besteht zunächst, dass Daten dann personenbezogen sind, sofern diese für den Datenverarbeiter selbst identifizierbar sind.340 Hinsichtlich des Wissens von Dritten haben sich in der Vergangenheit maßgeblich zwei Theorien entwickelt: Nach dem relativen Ansatz kommt es einzig auf die tatsächliche oder mögliche Kenntnis des Verarbeitenden selbst an (sog. relativer Personenbezug), während nach dem objektiven Ansatz die Kombination von Daten zur Erzeugung eines Personenbezugs durch irgendeine Person – also nicht notwendig den Datenverarbeiter selbst – als Möglichkeit ausreicht (sog. absoluter Personenbezug).341 aa) Die Vorgaben der DSGVO In der DSGVO wird in Erwägungsgrund 26 S. 3 darauf abgestellt, dass zur Identifizierung alle Mittel – auch durch Dritte – berücksichtigt werden sollen, die eine Identifizierung wahrscheinlich ermöglichen. Hierunter fällt jegliches Zusatzwissen, d. h. auch mögliche technische Mittel und Methoden.342 Dieses Abstellen auf die abstrakte Möglichkeit der Identifizierung stellt also ein Kriterium dar, das sich auf die objektive Möglichkeit und nicht auf die subjektiven Fähigkeiten des Datenverarbeiters bezieht343, was für ein absolutes Verständnis sprechen würde. Einschränkend sind nach Erwägungsgrund 26 S. 4 jedoch alle objektiven Faktoren, wie die Kosten der Identifizierung, der dafür erforderliche Zeitaufwand sowie die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen, zu berücksichtigen. Es soll nach allgemeinem Ermessen anhand dieser Kriterien festgestellt werden, ob die Mittel für die Identifizierung genutzt werden können. Bei der Bewertung ist also eine Zweck-Mittel-Abwägung durchzuführen, bei der auch der Zeit- und Kostenaufwand sowie der aktuelle Stand der Technik zu berücksichtigen sind.344 Anders als beim Ansatz eines absoluten Personenbezugs wird damit nicht jedweder hypothetischen Möglichkeit zur Identifizierung Rechnung getragen. Trotz dieser Einschränkung handelt es sich nach wie vor um einen objektiven Betrachtungsansatz.345 Es hat allerdings eine Abwägung stattzufinden, ob anhand 340

Zierbarth, in: Sydow, DSGVO, Art. 4 Rn. 34. Zum Meinungsstand vor Inkrafttreten der DSGVO instruktiv Bergt, ZD 2015, 365; Herbst, NJW 2016, 902. Ferner Eßer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art. 4 Rn. 20; Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 1 Rn. 25 ff.; Zierbarth, in: Sydow, DSGVO, Art. 4 Rn. 33 ff. m. w. N. 342 Wójtowicz / Cebulla, PinG 2017, 186 (187). 343 Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 1 Rn. 23. 344 Roßnagel, ZD 2018, 243 (244). 345 Arning / Rothkegel, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  4 Rn.  31. 341

§ 5 Grundsätze und Prinzipien des Datenschutzes 

145

der technischen und rechtlichen Möglichkeiten des jeweiligen Datenverarbeiters eine Identifizierung als wahrscheinlich anzusehen ist, was für ein eher relatives Verständnis des Personenbezugs spricht.346 Diese spezifische Auslegung des Personenbezugs deckt sich mit der generellen Maßgabe der DSGVO, wonach auch der freie Verkehr der Daten weiterhin gewährleistet werden soll, vgl. Art. 1 Abs. 1, 3 DSGVO. Nach Erwägungsgrund 4 S. 2 muss der Datenschutz insoweit unter Wahrung des Verhältnismäßigkeitsprinzips mit anderen Grundrechten abgewogen werden. Bei dieser Abwägung treten vor allem die wirtschaftlichen Grundrechte der Datenverarbeiter hervor.347 Wäre nun dem Datenverarbeiter jedwedes Wissen Dritter umfassend zuzurechnen, würde dies die Handelbarkeit von Daten enorm einschränken. So würden beispielsweise auch erworbene anonymisierte Daten348 aufgrund einer potentiellen Re-Identifizierung durch den Veräußerer per se als personenbezogene Daten in den Anwendungsbereich und somit unter die strengen Regelungen der DSGVO fallen. Stattdessen erscheint ein Abstellen auf die Möglichkeiten des jeweiligen Datenverarbeiters ein überzeugenderer Weg, um das Verhältnis der verschiedenen Interessen der Beteiligten – und damit auch von deren Grundrechtspositionen – zu wahren. bb) Die Rechtsprechung des EuGH Der von der DSGVO vorgegebene Maßstab zur Einordnung der Identifizierbarkeit entspricht der bisherigen Rechtsprechung des EuGH.349 Zu deren Entscheidungszeitpunkt war zwar noch die vorhergehende Datenschutzrichtlinie 95/46/EG gültig. Diese ist jedoch in der Definition von Personenbezug und den diesbezüglich erläuternden Erwägungsgründen sehr ähnlich zum aktuellen Datenschutz-Regime. Nach der – hinsichtlich der Identifizierbarkeit über dynamische IP-Adressen ergangenen – EuGH-Entscheidung reicht schon die rechtlich theoretische Möglichkeit der Feststellung der betroffenen Person aus, um einen Personenbezug anzunehmen. Voraussetzung hierfür ist die rechtliche Möglichkeit, weitere Daten erlangen zu können, um mit diesen eine Identifizierbarkeit herstellen zu können. Gleichwohl sollen nach Ansicht des EuGH solche Mittel unberücksichtigt bleiben, durch die eine Identifizierungsmöglichkeit „de facto vernachlässigbar“ erscheint und schwer 346

Vertiefend Hofmann / Johannes, ZD 2017, 221 (223 f.). Wie hier Eßer, in: Eßer / K ramer /  v. Lewinski, Auernhammer DSGVO / BDSG, Art. 4 Rn. 20, 26; Klar / Kühling, in: Kühling /  Buchner, DSGVO / BDSG, Art. 4 Nr. 1 Rn. 26. Schild, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 4 Rn. 18 lässt insoweit eine fiktive Möglichkeit der Bestimmbarkeit nicht ausreichen. Weniger eindeutig Zierbarth, in: Sydow, DSGVO, Art. 4 Rn. 38 f. 347 Vgl. hierzu bereits § 4 A. III. 348 Dazu sogleich. 349 EuGH, Urt. v. 19. 10. 2016 – Rs. C-582/14, Rn. 38, 45 ff. – Deutschland / Breyer; In der Entscheidung handelte es sich konkret um einen Anspruch gegenüber dem Internetzugangsanbieter, der über ebendiese nötigen Zusatzinformationen zur Identifizierung verfügt, um einen Personenbezug herzustellen. Diesem Ergebnis hat sich der BGH angeschlossen, vgl. Urt. v. 16. 5. 2017 – VI ZR 135/13 = NJW 2017, 2416.

146

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

lich durchführbar ist, beispielsweise weil diese Erkenntnis in unverhältnismäßigem Aufwand zu Zeit, Kosten oder Arbeitskraft stünde.350 cc) Zeitpunkt der Datenverarbeitung Bei der Frage, wann über die Identifizierbarkeit zu entscheiden ist, stellt die jeweilige Datenverarbeitung den entscheidenden Zeitpunkt dar.351 Es kommt also auf die Wahrscheinlichkeit zum genauen Zeitpunkt der Verarbeitung an. Demgegenüber kann sich bei jedem weiteren Verarbeitungsschritt, z. B. aufgrund der Anreicherung eines Datensatzes mit neuen Daten, neuer Analysetechniken oder veränderter Datenverwendung, die Wahrscheinlichkeit zur Identifizierung verändern.352 Hier kommt also besonders dem nach Erwägungsgrund 26 S. 4 bei der Bewertung zu berücksichtigenden Stand der Technik Bedeutung zu, da gerade erweiterte Big Data-Analysemöglichkeiten zu einer veränderten Bewertung zum jeweiligen Bearbeitungszeitpunkt führen können und insoweit auch erwartbare technische Fortschritte zu berücksichtigen sind.353 dd) Zwischenergebnis Nach der eindeutigen Lesart der DSGVO und aufgrund der Entscheidung des EuGH überzeugt die strikte Einordnung nach relativem oder absolutem Verständnis nicht. Es bedarf im Ergebnis vielmehr eines Mittelwegs zwischen den zwei Ansätzen.354 Grundsätzlich ist die Identifizierbarkeit anhand der objektiven Betrachtungsweise weit auszulegen. Gleichzeitig besteht jedoch aufgrund der durchzuführenden Abwägung bei einer lediglich abstrakt theoretischen Möglichkeit der Identifizierbarkeit unter unverhältnismäßigem Aufwand kein Personenbezug. Entscheidend ist für das Vorliegen eines Personenbezugs also die Frage, ob der Datenverarbeiter zum Zeitpunkt der Verarbeitung seine Möglichkeiten zur Identifizierung aller Wahrscheinlichkeit nach nutzen kann und wird. Danach liegt entweder ein Personenbezug vor oder aufgrund einer unwahrscheinlichen Identifizierbarkeit fehlt es an diesem.

350

EuGH, Urt. v. 19. 10. 2016 – Rs. C-582/14, Rn. 46 – Deutschland / Breyer. Arning / Rothkegel, in: Taeger / Gabel, DSGVO / BDSG / TTDSG, Art.  4 Rn.  32; Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr.  1 Rn. 24; Piltz, K&R 2016, 557 (561). 352 Arning / Rothkegel, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  4 Rn.  32. 353 Piltz, K&R 2016, 557 (561); Schantz, NJW 2016, 1841 (1843). 354 Tiefere Ausführungen zum relativen und absoluten Verständnis erscheinen an dieser Stelle daher nicht notwendig. Dem Ergebnis eines Mittelwegs zustimmend Arning / Rothkegel, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  4 Rn.  35 ff.; Schild, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 4 Rn. 21a; Schreiber, in: Plath, DSGVO / BDSG, Art. 4 Rn. 8; ­Wójtowicz / Cebulla, PinG 2017, 186 (186). 351

§ 5 Grundsätze und Prinzipien des Datenschutzes 

147

c) Die Identifizierbarkeit im digitalen Kontext Bezogen auf den digitalen Kontext konkretisiert Erwägungsgrund 30 die „Kennung“ als eine Möglichkeit der Identifizierung. Eine Zuordnung des Nutzers kann danach über Online-Kennungen – etwa IP-Adressen oder Cookie-Kennungen –, die durch das Nutzergerät, die Software-Anwendung oder über Protokolle geliefert werden, oder über sonstige Kennungen – etwa Funkfrequenzkennzeichnungen – stattfinden. Die Kennungen können selbstständig oder in Kombination mit anderen Kennungen bzw. mit anderen beim Server eingehenden Informationen eine Erstellung eines Nutzerprofils zulassen, um die Person hierüber zu identifizieren. Nicht erforderlich ist bei der Kennung, dass die Person mit bürgerlichem Namen identifiziert werden kann. Vielmehr reicht eine Individualisierung der Person mit Aussagen über deren sachliche und persönliche Verhältnisse durch die Daten für einen Personenbezug aus, wenn hierdurch der Betroffene von anderen Personen ausgesondert wird und damit als Individuum betroffen ist.355 Im Einzelnen ist nach diesen Grundsätzen eine Identifizierung – sollte nicht ohnehin der tatsächliche Name des Nutzers bekannt sein – auch über eindeutige Kennungen möglich, wie etwa die ID des Endnutzer-Geräts oder die Mailadresse, soweit diese als technisch einzigartige Kennung verarbeitet wird.356 Nach der oben bereits erwähnten Google-Entscheidung können auch statische wie dynamische IP-Adressen einen Personenbezug herstellen.357 Die Möglichkeiten einer Identifizierbarkeit fallen im digitalen Kontext sehr weitreichend aus. Eine Identifizierbarkeit im datenschutzrechtlichen Sinne lässt sich über die Zuordnung von IP-Adressen, Cookies oder Geräte-ID ermöglichen. Standort- und Bewegungsdaten (Geodaten), die zur Lokalisierung in diversen datenfinanzierten Angeboten genutzt werden, können einen Personenbezug aufweisen, was sich aus ihrer Eignung zur Bestimmung von Position und Bewegungsprofilen in Verknüpfung mit dem Nutzerprofil ergibt.358 Bei Cookies lässt der Datensatz eines Cookies grundsätzlich zunächst keinen Personenbezug zu. Über andere Identifikationsmerkmale ist jedoch die Individualisierung einer Person möglich, so dass dann ein Personenbezug besteht.359 Diese Merkmale können dem Datenverarbeiter bereits bekannt sein (etwa die IP-Adresse) oder die Verarbeitung kann im Anschluss eine Verbindung des Cookies zu einer Person zulassen (etwa durch einen Registrierungsvorgang oder die Re-Identifizierung nach einer Pseudonymisierung).360

355

Karg, DuD 2015, 520 (523); ders., in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  4 Nr. 1 Rn. 49. 356 Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 DSGVO, Rn. 66. 357 EuGH, Urt. v. 19. 10. 2016 – Rs. C-582/14, Rn. 45 ff. – Deutschland / Breyer. 358 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  15. 359 Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 1 Rn. 36. 360 Karg, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 1 Rn. 66.

148

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

2. Anonymisierung und Pseudonymisierung Im Grundsatz können also beinahe alle Arten von Daten, die von Apps erhoben werden, einen Personenbezug aufweisen. Es kommt bei der jeweiligen Verarbeitung im Einzelnen darauf an, ob hierdurch die Person identifizierbar wird. Wird sie über die verarbeiteten Daten identifizierbar, liegt grundsätzlich ein Personenbezug vor. Der Personenbezug kann allerdings unter Umständen über eine Anonymisierung oder Pseudonymisierung der Daten entfallen bzw. aufgehoben werden, indem die Verknüpfung der Daten zu der betroffenen Person aufgelöst wird. Somit dienen beide Maßnahmen der Wahrung der Grundrechte und Grundfreiheiten der Betroffenen.361 Nachfolgend werden zunächst Anonymisierung (a) und Pseudonymisierung (b) näher betrachtet. a) Anonymisierung Die Anonymisierung von Daten wird in der DSGVO nicht legal definiert. Die Verordnung impliziert jedoch die Möglichkeit der Anonymisierung von Daten: Art. 89 Abs. 1 S. 4 DSGVO stellt klar, dass Daten zu wissenschaftlichen Zwecken nur ohne Personenbezug weiterverarbeitet werden dürfen. Ein solcher Verlust des Personenbezugs ist nur durch Anonymisierung möglich, ohne dass der Begriff an dieser Stelle ausdrücklich benannt oder bestimmt wird.362 Auch geht Erwägungsgrund 26 S. 5, 6 der DSGVO auf die Anonymisierung näher ein. Der Erwägungsgrund stellt mit Rückbezug auf die bei der Identifizierbarkeit vorzunehmende Abwägung fest, dass bei anonymen Daten gerade kein Personenbezug besteht, solange der Aufwand zur Re-Identifizierung unverhältnismäßig hoch ausfällt. Die Folge einer Anonymisierung von Daten besteht darin, dass mangels Personenbezug die DSGVO keine Anwendung mehr findet. Die Anonymisierung der Daten selbst stellt allerdings einen datenschutzrechtlich relevanten Verarbeitungsschritt gem. Art. 4 Nr. 2 DSGVO dar, welcher für sich genommen rechtfertigungsbedürftig ist.363

361

Hansen, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 5 Rn. 2. Hofmann / Johannes, ZD 2017, 221 (223). 363 Ob ein solcher Verarbeitungsschritt tatsächlich rechtfertigungsbedürftig ist, wird unter der Maßgabe einer möglichen teleologischen Reduktion der Verarbeitung nach Art. 4 Nr. 2 DSGVO in Frage gestellt, vgl. Hornung / Wagner, ZD 2020, 223 (224 ff.) m. w. N. Da durch eine Anonymisierung – aber auch durch eine Pseudonymisierung – das Datenschutzniveau für die betroffene Person erhöht wird, sollte sich diese jedenfalls immer im Rahmen einer Interessenabwägung gemäß Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO rechtfertigen lassen, vgl. vertiefend § 6 A. II. 362

§ 5 Grundsätze und Prinzipien des Datenschutzes 

149

aa) Anonyme Daten Anonyme Daten sind nach Erwägungsgrund 26 S. 5 solche, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die DSGVO unterscheidet insoweit zwischen von vornherein anonymen Daten und anonymisierten Daten. Bei anonymisierten Daten werden die identifizierenden Merkmale einer Person durch einen Verarbeitungsschritt aus den Datensätzen gelöscht und die Daten so verändert, dass niemand mehr in der Lage ist, die einzelne Person aus einem Datenbestand herauszugreifen und diese damit zu identifizieren. Dadurch ist keine Zuordnung zu einer bestimmten oder bestimmbaren Person mehr möglich, der Gehalt des Datums bleibt jedoch erhalten.364 Im Gleichlauf zur Frage der Identifizierbarkeit von Personen reicht es für eine (nachträgliche) Anonymisierung aus, dass aufgrund eines unverhältnismäßig großen Aufwands eine Re-Identifizierung nicht mehr möglich bzw. nicht mehr zu erwarten ist. Insoweit reicht nach der DSGVO eine faktische Anonymisierung für den Ausschluss des Personenbezugs aus.365 Diese Wertung spiegelt wider, dass im Rahmen des technischen Fortschritts keine Anonymisierungsmethode dauerhaft vollkommen sicher ist.366 Verschiedene Faktoren können zu einer Re-Identifizierung der zuvor anonymen Daten führen, etwa die Entwicklung neuer technischer Möglichkeiten, höhere Rechenleistungen, verbesserte Datenanalyse-Möglichkeiten oder das Erlangen von Zusatzwissen durch weitere Datensätze.367 Nach einer ReIdentifizierung läge folglich keine Anonymisierung mehr vor und der Personenbezug würde wieder aufleben. Eine faktische Anonymisierung steht im Kontrast zu einer nach den Maßstäben der DSGVO nicht erforderlichen absoluten Anonymisierung, bei der eine Re-Identifizierung vollständig ausgeschlossen sein muss. bb) Technische Ausgestaltung Wie die Anonymisierung technisch ausgestaltet und wann ein Maß erreicht werden kann, bei dem nicht mehr von einer Re-Identifizierbarkeit auszugehen ist, erläutern weder die DSGVO noch deren Erwägungsgründe näher. Es können also unterschiedliche Anonymisierungstechniken verwendet werden. Hierbei ist jedoch – wie auch in Erwägungsgrund 26 angedeutet – auf den aktuellen Stand der Technik abzustellen, um die Tauglichkeit der gewählten Anonymisierung fest 364

Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  49. Eßer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art.  4 Rn.  72; Hofmann / Johannes, ZD 2017, 221 (223); Wójtowicz / Cebulla, PinG 2017, 186 (190 f.); zustimmend, wenn auch kritischer Marnau, DuD 2016, 428 (430). 366 Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 7, 10. 367 Instruktiv hierzu bereits Roßnagel / Scholz, MMR 2000, 721 (728). 365

150

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

zustellen. Zur Feststellung der Tauglichkeit sind alle Mittel zu berücksichtigen, die vernünftigerweise – also mit vertretbarem Aufwand – zu einer (Re-)Identifizierung führen könnten.368 Ohne auf die verschiedenen Anonymisierungs-Möglichkeiten in voller Tiefe eingehen zu wollen, soll folgend zum besseren Verständnis ein kurzer Überblick über die technischen Möglichkeiten gegeben werden, der sich maßgeblich an der Stellungnahme der Artikel-29-Datenschutzgruppe zur Anonymisierung orientiert.369 Die Anonymisierung kann sich danach über Randomisierung oder Generalisierung vollziehen, was wiederum durch verschiedene technische Durchführungsmechanismen erreicht wird. Diese einzelnen Techniken sind unterschiedlich robust und bergen damit unterschiedliche Risiken einer Re-Identifizierung.370 „Randomisierung“ bezeichnet Techniken, die die Daten so verfälschen, dass eine direkte Verbindung zwischen Daten und betroffenen Personen entfernt wird.371 Ausreichend unbestimmte Daten können nach durchgeführter Randomisierung nicht mehr einer bestimmten Person zugeordnet werden. Gleichzeitig wird die Einzigartigkeit der einzelnen Datensätze nicht eingeschränkt, da jeder Datensatz nach wie vor eine einzige betroffene Person zum Gegenstand hat. Bedeutend ist bei der Randomisierung vor allem das Konzept von Differential Privacy, bei dem durch das Hinzufügen von zusätzlichen Daten der Datenbestand „verrauscht“ wird und hierüber eine anonymisierte Abfrage des Datensatzes durch einen Dritten erlaubt.372 Durch Differential Privacy kann erkannt werden, wie umfangreich das Hinzufügen von Daten ausfallen muss, um den erforderlichen Schutz der einer konkreten betroffenen Person – d. h. deren Nichterkennung – zu gewährleisten.373 Bei der „Generalisierung“ werden die personenbezogenen Merkmale durch die Veränderung der jeweiligen Größenskala oder -ordnung generalisiert. Sie werden durch weniger spezifische Werte ersetzt, womit zwar wirksam das Herausgreifen einzelner Personen verhindert, jedoch nicht in jedem Falle eine effektive Anonymisierung garantiert werden kann.374 Technisches Grundkonzept ist hierfür das Modell der K-Anonymität. Nach diesem werden Merkmale einer Person mit K anderen 368

Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 10. Zum Ganzen inkl. einer ausführlichen und individuellen Risikoanalyse der verschiedenen Anonymisierungs-Techniken Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 13 ff. Diese bildet die maßgebliche Grundlage, auf die sich innerhalb der Literatur bei der Bewertung von Anonymisierung bezogen wird, vgl. etwa Ernst, in: Paal / Pauly, DSGVO / BDSG, Art. 4 Rn. 51; Eßer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art.  4 Rn. 73; Hansen, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 5 Rn. 50. Allgemein zur Umsetzung der Anonymisierung Winter / Battis / Halvani, ZD 2019, 489. 370 Das Schutzniveau der jeweiligen Anonymisierungs-Methode wird technisch jeweils als Robustheit bezeichnet. 371 Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 14. 372 Marnau, DuD 2016, 428 (429). 373 Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 18. 374 Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 19. 369

§ 5 Grundsätze und Prinzipien des Datenschutzes 

151

Personen zusammengefasst, die sich durch eine Generalisierung dieses Merkmal teilen, so dass die betroffene Person von der restlichen Gruppe ununterscheidbar wird.375 Mit wachsender Aggregation – also wachsender Zahl K – steigt die Robustheit weiter an, gleichzeitig teilen sich die Mitglieder der K-Gruppe weiterhin dieses Merkmal und sind als Gruppe insoweit aussonderbar. An dieser Schwachstelle der K-Anonymität setzen deren Nachfolgekonzepte der L-Diversität und T-Closeness an, die die Zuverlässigkeit der Anonymität erhöhen.376 L-Diversität fordert, dass es keine Klassen von sensiblen Merkmalen gibt, deren Inhalt quasi identisch ist, indem in jeder Klasse mindestens L deutlich unterschiedliche Attribute vorhanden sind. T-Closeness erweitert die Robustheit noch, indem die Verteilung eines Attributes in einer Klasse zumindest ähnlich zu der Verteilung im gesamten Datensatz ist, aus der die Klasse entnommen wurde. So entstehen zwar aussonderbare Gruppen. Diese sind sich aber allesamt sehr ähnlich. Generalisierung und Randomisierung und die jeweiligen technischen Vorgänge können auch kombiniert werden, was zwar den Aufwand der Anonymisierung erhöht, in der Regel aber gleichzeitig die Robustheit der Anonymisierung stärkt. Unabhängig von der Methode muss das Ziel der Anonymisierung sein, den Aufwand für eine Re-Identifizierung durch den Verantwortlichen unverhältnismäßig groß zu gestalten.377 Die gewählte Anonymisierungs-Methode muss jedenfalls nach dem aktuellen Stand der Technik ebendiese Re-Identifizierung (wahrscheinlich) ausschließen. Nur bei einem solchen Ausschluss kann die Anonymisierung den Personenbezug entfallen lassen.378 b) Pseudonymisierung Die Pseudonymisierung wird in der DSGVO im Gegensatz zur Anonymisierung in Art. 4 Nr. 5 legaldefiniert. Danach handelt es sich bei einer Pseudonymisierung um die Verarbeitung personenbezogener Daten in einer Weise, die die Zuordnung personenbezogener Daten zu einer spezifischen betroffenen Person ohne Hinzuziehung zusätzlicher Informationen nicht mehr möglich macht. Die Pseudonymisierung stellt also wie der Anonymisierungsvorgang selbst eine erlaubnisbedürftige Form der Datenverarbeitung dar. Die zusätzlichen Informationen müssen für eine taugliche Pseudonymisierung gesondert aufbewahrt werden. Ferner müssen sie technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, 375

Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 20; Marnau, DuD 2016, 428 (428 f.). 376 Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 22 f.; Steinebach / Krempel /  Jung / Hoffmann, DuD 2016, 440 (442). 377 Hofmann / Johannes, ZD 2017, 221 (223). 378 Wójtowicz / Cebulla, PinG 2017, 186 (188). Um dies sicherzustellen sollte der jeweilige Datenverarbeiter die aktuellen, in seiner Branche üblichen Standards einhalten, was auch bereits in der Vergangenheit anonymisierte Datensätze betrifft.

152

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

dass die personenbezogenen Daten keiner identifizierten oder identifizierbaren natürlichen Person zugewiesen werden können. Ohne die Einhaltung dieser beiden Anforderungen liegt keine Pseudonymisierung im Sinne der DSGVO vor.379 Pseudonyme Daten sind damit Daten, die nicht unmittelbar – d. h. ohne zusätzliche Informationen – einer Person zugeordnet werden können. Bei der Pseudonymisierung werden identifizierende Merkmale – wie der Name einer Person – nicht einfach wie bei der Anonymisierung gelöscht, sondern stattdessen durch ein Pseudonym ersetzt. Hierdurch wird der Personenbezug anders als bei der Anonymisierung nicht irreversibel entfernt, sondern Daten werden so verändert, dass sie von der natürlichen Person entkoppelt werden.380 So kommt es zu einer Funktionstrennung, bei der auf einer Seite der Inhaber der Daten steht, welcher diese Daten allerdings keiner Person zuordnen kann. Auf der anderen Seite befindet sich der Inhaber der Zusatzinformationen, die die Zuordnung der Daten zur Person erlaubt.381 Die Pseudonymisierung wird darüber erreicht, dass ein Merkmal – in der Regel ein einzigartiges – in dem Datensatz durch ein anderes ersetzt wird. Das Ergebnis der Pseudonymisierung kann entweder unabhängig vom ursprünglichen Wert sein – vor allem im Falle einer von dem für die Verarbeitung Verantwortlichen generierten Zufallszahl oder eines vom Betroffenen gewählten Alias – oder sich von den Originalwerten eines Merkmals oder einer Reihe von Merkmalen ableiten. Für die Methode der Ableitung stehen beispielsweise die Hashfunktionen382 oder das Verschlüsselungsverfahren.383 Eine der nach Art. 4 Nr. 5 DSGVO geforderten organisatorische Maßnahmen kann in ebendiesem Ersetzen des Namens und anderer Identifikationsmerkmale durch ein anderes Kennzeichen liegen. Derjenige, der das verwendete Pseudonym kennt, kann den zur Person gehörenden Datensatz jedoch weiterhin identifizieren.384 Ferner verhindert eine Pseudonymisierung-Methode – wie die einfache Änderung der ID – im Gegensatz zur Anonymisierung nicht zwingend, dass der Datensatz noch andere, eindeutige Identifikationsmerkmale enthalten kann oder die Werte anderer Merkmale weiterhin geeignet sind, um eine Person zu identifizieren.385

379

Hansen, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 5 Rn. 33. Hansen, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 4 Nr. 5 Rn. 14. Zu geeigneten Pseudonymisierungsmethoden eingängig Schwartmann / Weiß, RDV 2020, 71 (72 f.). 381 Schleipfer, ZD 2020 284 (285). 382 Bei einer Hashfunktion wird eine große Eingabemenge (die Schlüssel) auf eine kleinere Zielmenge (die Hashwerte) abgebildet. So kann der Inhalt der Daten nahezu eindeutig dargestellt werden, ohne etwas über den Betroffenen zu verraten. 383 Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 24. 384 Steinebach / Krempel / Jung / Hoffmann, DuD 2016, 440 (443). 385 Art. 29-Datenschutzgruppe, WP 216, Stellungnahme 5/2014, S. 26. 380

§ 5 Grundsätze und Prinzipien des Datenschutzes 

153

aa) Der Personenbezug pseudonymisierter Daten Der Wortlaut von Art. 4 Nr. 5 DSGVO stellt vermeintlich klar, dass es sich bei pseudonymisierten Daten weiterhin um personenbezogene Daten handelt. Demgegenüber machen Art. 4 Nr. 1 Hs. 2 DSGVO und Erwägungsgrund 26 deutlich, dass bei der Bestimmung des Vorliegens von Personenbezug die oben dargestellten Kriterien zur Identifizierbarkeit gelten. Demnach wären auch pseudonymisierte Daten danach zu bewerten, ob für den Datenverarbeiter die Möglichkeit einer Identifizierung des (pseudonymisierten) Datums besteht. Dieser vermeintliche Widerspruch lässt sich dadurch auflösen, dass zwischen verschiedenen Datenverarbeitern unterschieden wird, für die sich unterschiedliche Wertungen hinsichtlich des Bestehens des Personenbezugs bei der Pseudonymisierung ergeben.386 Aufgrund der generellen Zuordenbarkeit über das Pseudonym, die ein Datum entschlüsselt und so der betroffenen Person zuordnet, gelten pseudonymisierte Daten als Informationen über eine identifizierbare natürliche Person.387 Es genügt daher die bloße individuelle Möglichkeit, an das Zusatzwissen  – hier die Entschlüsselung des Pseudonyms – gelangen zu können und es zur Identifizierung zu verwenden, dass ein Datenverarbeiter bei der Verarbeitung (weiterhin) die DSGVO beachten muss.388 Für denjenigen, der über den tatsächlichen Zugriff auf das Pseudonym – z. B. die Hashfunktion – verfügt, sind die Daten also personenbezogen. Wer hingen auf die Entschlüsselung des Pseudonyms keinen Zugriff hat, für den hat die Pseudonymisierung anonymisierende Wirkung.389 In diesem Fall kann die betroffene Person nicht oder nicht mehr identifiziert werden390, so dass die Daten in der Regel keinen Personenbezug (mehr) aufweisen. Dabei muss die oben beschriebene relative Betrachtungsweise auch für die Pseudonymisierung gelten. Es kommt also darauf an, ob trotz Pseudonym noch die Wahrscheinlichkeit einer Identifizierung unter vertretbarem Aufwand möglich ist. Keine anonymisierende Wirkung besteht, wenn auch ohne Kenntnis des Pseudonyms eine betroffene Person aus dem Datensatz – etwa über andere Merkmale – identifizierbar wird. In solchen Fällen liegt schon keine taugliche Pseudonymisierung im Sinne der DSGVO vor.391 Für die Anwendbarkeit des Datenschutzrechts ist es folglich von entscheidender Bedeutung, welcher Akteur über welche Zusatzinformationen verfügt und wem damit die Zuordnung tatsächlich noch möglich ist.392 Darüber entscheidet sich, ob der jeweilige Datenverarbeiter bei der Nutzung pseudonymisierter Daten an die Vorgaben der DSGVO gebunden ist. 386

Vertiefend Roßnagel, ZD 2018, 243 (244). Vgl. ErwG 26 S. 2. Zu den Möglichkeiten einer Zuordnung, die eine Entschlüsselung ermöglichen, Schleipfer, ZD 2020, 284 (286). 388 Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr.  5 Rn. 11. 389 Hansen / Walczak, RDV 2019, 53 (54); Roßnagel, ZD 2018, 243 (245). 390 Vgl. DSGVO ErwG 26. 391 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  42. 392 Hofmann / Johannes, ZD 2017, 221 (223). 387

154

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

bb) Die rechtliche Wirkung der Pseudonymisierung Da durch die Pseudonymisierung der Personenbezug für den Datenverarbeiter in aller Regel nicht entfällt, ist der Datenverarbeiter in der Folge weiterhin den Vorgaben der DSGVO unterworfen. Dies gilt nicht für denjenigen, für den die Pseudonymisierung eine anonymisierende Wirkung aufweist. Die DSGVO enthält keine Ausnahmen, die von datenschutzrechtlichen Pflichten befreien, wenn personenbezogene Daten pseudonymisiert wurden. Ein eindeutig normierter Anreiz, die Pseudonymisierung von personenbezogenen Daten vorzunehmen, fehlt somit in der DSGVO.393 Ebensolche Anreize greift allerdings Erwägungsgrund 29 auf. Danach soll mithilfe von Pseudonymisierungs-Maßnahmen eine allgemeine (weiterführende) Datenanalyse bei demselben Datenverarbeiter zulässig bleiben. Hierfür muss der Datenverarbeiter bei der Pseudonymisierung die erforderlichen technischen und organisatorischen Maßnahmen treffen, die den Schutz der betroffenen Personen bei der jeweiligen Datenverarbeitung sicherstellen. Er muss insbesondere auf die gesonderte Aufbewahrung der Informationen über das Pseudonym achten, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können. Diese Aussonderung ist dabei technisch / räumlich zu verstehen394, so dass eine solche Trennung bei der Lagerung auf demselben Server beispielsweise nicht vorläge. Zudem verweist Erwägungsgrund 28 S. 1 darauf, dass die Anwendung der Pseudonymisierung auf personenbezogene Daten die datenschutzrechtlichen Risiken für die betroffenen Personen senken kann. Über Pseudonymisierung kann der Datenverarbeiter den Datenschutzgrundsatz der Datenminimierung (Art. 5 Nr. 1 lit. c DSGVO) umsetzen. Die Pseudonymisierung stellt insoweit eine in der Verordnung vorgeschlagene „technische und organisatorische Maßnahme“ zur Gewährleistung eines angemessenen Schutzniveaus personenbezogener Daten dar (vgl. Art. 32 Abs. 1 lit. a) DSGVO). Über die Pseudonymisierung von Daten und die daraus resultierende Gewährleistung eines solchen Schutzniveaus kann der Datenverarbeiter ferner der Verpflichtung zur Umsetzung von Privacy by Design und Privacy by Default (vgl. Art. 25 DSGVO) genügen.395 Die Pseudonymisierung kann darüber hinaus zur Zulässigkeit einer Verarbeitung beitragen – etwa bei einer zweckändernden Datenverarbeitung nach Art. 6 Abs. 4 lit. e) DSGVO –, worauf im nachfolgenden Kapitel über die Rechtmäßigkeit der Datenverarbeitung näher einzugehen sein wird.

393

Piltz, K&R 2016, 557 (562). Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  43. 395 Vgl. zur Datenminimierung und Umsetzung über Art. 25 DSGVO § 5 B. III. Zur Wirkung der Pseudonymisierung vertiefend Piltz, K&R 2016, 557 (562); Schulz, PinG 2019, 238 (239 f.). 394

§ 5 Grundsätze und Prinzipien des Datenschutzes 

155

3. Besonderheiten bei datenfinanzierten Angeboten Die Frage nach der Identifizierbarkeit einer Person über die vorhandenen Daten soll nachfolgend anhand der verschiedenen Verarbeitungsschritte bei datenfinanzierten Angeboten näher betrachtet werden. Da sich die Wirtschaftlichkeit von datenfinanzierten Angeboten jedoch häufig erst über durchgeführte Big DataAnalysen ergibt und solche Analysen zumindest teilweise die Grundlage für die Verarbeitung in datenfinanzierten Angeboten bilden, soll zunächst ein Überblick über die dortigen Fragen zum Personenbezug gegeben werden. a) Vorüberlegung: Personenbezug bei Big Data Durch die Kombination verschiedener Datensatze mithilfe von Big Data-Analysen können aus der schieren Menge an miteinander verbundenen Daten neue Bedeutungen, Zusammenhänge und Muster erkannt werden. Die Verknüpfbarkeit der Daten in Bruchteilen von Sekunden sorgt dafür, dass weniger Informationen gebraucht werden, um mit der Daten-Kombination auf eine natürliche Person schließen zu können.396 Der Ansatz von Big Data setzt also auf die schiere Menge an Daten, die durch ihre Vernetzung ab einem bestimmten Punkt die Identifizierung einer natürlichen Person ermöglichen. Mithilfe solcher Big Data-Analysen können über die Kombination der Datensätze und die Anreicherung mit neuen Daten zuvor nicht personenbezogenen Daten Individuen zugeordnet werden und ein Personenbezug entsteht. Insofern bestärkt Big Data eine der schon im Volkszählungsurteil getroffenen Aussagen des Bundesverfassungsgerichts, dass es nämlich keine belanglosen Daten mehr gebe.397 Viele Stimmen in der Literatur gehen aufgrund der immer weiter wachsenden Datenmengen davon aus, dass auf kurz oder lang alle Daten zu personenbezogenen werden.398 Dies wird mit den unzähligen, beinahe unbegrenzten Möglichkeiten einer Vernetzung von Daten mit anderen Daten begründet, durch deren schiere Masse und Kumulation eine Identifizierbarkeit von Personen möglich werde. Über die Vernetzung lasse sich aus jedem Datum potentiell die Verknüpfung zu einer Person bestimmen, wobei leistungsfähige Rechenkapazitäten und Algorithmen diesen Vorgang beschleunigen und den Aufwand verringern.399 Vielen dieser Überlegungen liegt jedoch ein eher absolutes Verständnis des Personenbezugs zugrunde, wonach die Identifizierbarkeit der Daten nur durch irgend­eine Möglichkeit gegeben sein muss. Dies führt abstrakt-theoretisch zu dem 396

Krügel, ZD 2017, 455 (456). BVerfGE 65, 1 (45) – Volkszählung. 398 So als abstrakte Überlegung etwa Boehme-Neßler, DuD 2016, 419 (422); Krügel, ZD 2017, 455 (456); Roßnagel, ZD 2013, 562 (563). 399 Boehme-Neßler, DuD 2016, 419 (422). 397

156

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Schluss, dass korrelierend mit weiter anwachsenden Datenmengen auch die Verknüpfbarkeit und damit der Personenbezug zunimmt. Geht man jedoch von dem oben vertretenen – durch die Entscheidung des EuGH und die Lesart der DSGVO gestützten – Verständnis des Personenbezugs aus, so lassen sich solche Aussagen nicht in dieser Abstraktheit und Absolutheit treffen. Denn hiernach kommt es auf die Wahrscheinlichkeit der Identifizierung beim jeweiligen Datenverarbeiter und dessen Kontextwissen an. Zwar werden über Big Data-Analysen immer größere Datensätze analysiert, jedoch hat der jeweilige Verarbeiter häufig eben nicht vollständige, sondern nur bruchstückhafte Informationen. Ob diesen durch ihre Kombination folgend tatsächlich eine Identifikation oder Rückschlüsse über eine individualisierte Person zulassen, ist daher eine Frage des Einzelfalles. Dieser Frage lässt sich mit der von Roßnagel angeregten Unterscheidung von Big Data-Analysen auf Makro- und auf Mikro-Ebene näherkommen.400 aa) Makro-Ebene – Probleme der Anonymisierung Auf Makro-Ebene sollen durch Big Data-Analysen statistische Korrelationen von größeren Gruppen erkannt werden, ohne auf das jeweilige Individuum einzugehen. Es geht also um statistische Erkenntnisse, bei denen Aussagen über einzelne Individuen eher irrelevant sind. Aus diesem Grund bedürfen die Rohdaten bei einer Untersuchung auf Makro-Ebene häufig keiner besonderen persönlichen Merkmale, ohne dass sie an Qualität oder Aussagekraft verlieren.401 Eine Anonymisierung stellt hier dementsprechend ein adäquates Mittel zur Sicherstellung des Schutzes der betroffenen Personen dar. Soweit diese Anonymisierung erfolgreich ist, liegen trotz umfangreicher Datensätze keine personenbezogenen Daten mehr vor und es besteht keine datenschutzrechtliche Problematik. Die immer größer werdenden Datenmengen machen jedoch eine dauerhafte Anonymisierung bei Big Data-Analysen zunehmend schwieriger. Denn schnell zunehmende Rechenkapazitäten und sich weiter verbessernde Analytics Tools machen die Re-Identifizierung einer vormals anonymen betroffenen Person einfacher und billiger. Mit zunehmender Menge, Heterogenität, Komplexität und Dynamik von Big Data-Analysen verlieren die Randomisierung wie auch die Generalisierung von Daten an Wirksamkeit, wodurch sich die Wahrscheinlichkeit einer Re-Identifizierung je nach Umfang und Detailtiefe der Datensätze erhöht. Die Anonymisierung wird also schwieriger, je mehr qualifizierte Daten von möglicherweise unterschiedlichen Quellen bei einer Big Data-Anwendung zusammengeführt werden können.402 Technische Anonymisierungs-Maßnahmen garantieren bei wachsendem Datensatz dementsprechend keine dauerhafte Anonymisierung und mit technischem Fortschritt und wachsender Menge an verfügbaren Zusatz 400

S. o. § 2 A. II. Weichert, ZD 2013, 251 (258 f.). 402 Weichert, ZD 2013, 251 (257 f.). 401

§ 5 Grundsätze und Prinzipien des Datenschutzes 

157

informationen sollte regelmäßig überprüft werden, ob die Anonymisierung nach wie vor wirksam ist und dem Stand der Technik entspricht.403 Nur so kann die Anonymisierung auch bei hochdynamischen, multidimensionalen Datenbeständen sichergestellt werden – ansonsten droht zunehmend das Verschwinden der Grenze zwischen Anonymität und Personenbezug.404 Insgesamt stellt Anonymisierung für Big Data-Analysen auf Makro-Ebene ein taugliches Schutzkonzept dar. Durch immanente Erweiterung des Datenbestands entsteht aber de facto ein Wettlauf zwischen dem Re-Identifizierungspotential von Big Data und den Anonymisierungstechniken, die die Herstellung eines Personenbezugs verhindern.405 bb) Mikro-Ebene Auf Mikro-Ebene soll die Big Data-Analyse Auskunft über unbekannte Eigenschaften einzelner Personen gewähren, um diese besser und schneller erkennen und analysieren zu können. Die Analyse kann ferner dazu dienen, Situationen besser zu beurteilen oder deren Entwicklung zu prognostizieren und die Wahrscheinlichkeit des Verhaltens von Einzelnen und Gruppen vorherzusagen.406 Über die wachsenden Datensätze können mit der Analyse vermehrt Angaben einer bestimmten Person zugeordnet werden – auch solche, die diese gar nicht preisgeben wollte.407 Durch die Datenaggregation während der Analyse können zusätzlich Merkmale der betroffenen Personen entdeckt werden, über deren Preisgabe sich die Personen noch nicht einmal im Klaren waren und über die sie keine Kontrolle haben. Damit besteht schon ganz augenscheinlich die Gefahr, dass der Einzelne die Kontrolle über das Wissen um die eigenen Daten verliert.408 Für eine Big Data-Analyse auf Mikro Ebene ist zwar häufig der Name einer betroffenen Person für die Analyse nicht von Bedeutung, so dass der Datensatz diesbezüglich häufig anonymisiert wird. Datenschutzrechtlich genügt es für einen Personenbezug allerdings wie oben dargestellt bereits, wenn die Person durch andere Merkmale individualisiert werden kann. Die Analysen auf Mikro-Ebene bilden also schon für sich gesehen die größere datenschutzrechtliche Gefährdung im Vergleich zu Analysen auf der Makro-Ebene, da hier dauerhaft von einem Personenbezug ausgegangen werden muss. Umfangreiche Anonymisierungs-Methoden,

403

Marnau, DuD 2016, 428 (429). Marnau, DuD 2016, 428 (429). 405 So ebenfalls Boehme-Neßler, DuD 2016, 419 (422). 406 Roßnagel, DuD 2016, 561 (563). 407 Roßnagel, DuD 2016, 561 (563). 408 Zu dieser Gefahr bereits BVerfGE 65, 1 (42 f.) – Volkszählung; ähnlich auch der EuGH, Urt. v. 20. 5. 2003, Rs. C-465/00 und C-139/01, Rn. 75 – ORF. S. zum grundrechtlichen Datenschutz ausführlich § 4 A. 404

158

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

die diesen verhindern könnten, sind aufgrund des bezweckten Erkenntnisgewinns über einzelne Individuen demgegenüber nicht durchführbar. cc) Zwischenergebnis Für Big Data-Analysen lässt sich feststellen, dass bei größeren Datenmengen die Daten immer häufiger personalisierbar werden. Inwieweit bei Big Data von einem Personenbezug auszugehen ist, hängt maßgeblich mit der Zielsetzung der Datenaggregation und -analyse sowie der Nutzung der Daten zusammen. Analysen auf der Mikro-Ebene weisen aufgrund ihres Bezugs auf ein Individuum ein höheres datenschutzrechtliches Gefährdungspotential auf, während aufgrund der eher statistisch geprägten Aussagen eine Analyse auf Makro-Ebene weniger problematisch erscheint. Durch Anonymisierung kann zwar ein Personenbezug zunächst verhindert werden; auch die beste Anonymisierung kann jedoch durch das Sammeln und Auswerten weiterer Daten an einem bestimmten Punkt umgangen werden. Durch Big Data ergibt sich mithin das grundsätzliche Problem, dass – selbst bei einem Wegfall des Personenbezugs durch Anonymisierung oder Pseudonymisierung – durch die Datenaggregation und Re-Identifizierung betroffener Personen letztendlich ein Personenbezug entstehen kann. Diese abstrakt betrachtet korrekte Aussage eines jederzeit gegebenen Personenbezugs lässt sich jedoch nicht eins zu eins auf jeden Datenbestand und jede Big Data-Analyse übertragen. Wie oben beim Personenbezug erörtert, muss die Identifizierbarkeit immer zum Zeitpunkt des konkreten Verarbeitungsschrittes bewertet werden. Bei der Anreicherung der Datensätze und einem Zusammenführen der Daten über Big Data-Analysen besteht das Risiko, dass vormals nicht-personenbezogene Daten zu personenbezogenen werden. Daher stellt jeder Analyseschritt einen für sich neu zu bewertenden Verarbeitungsschritt dar, bei dem sich auch ein Personenbezug  – und damit eine datenschutzrechtliche Relevanz  – ergeben kann Die Beurteilung des Personenbezugs hat also anhand des aktuellen Wissensstands stattzufinden und eine Veränderung in der Zukunft ist gerade bei Big Data-­ Analysen jederzeit möglich.409 Ist mit dem jeweiligen Verarbeitungsschritt noch keine Identifizierbarkeit gegeben, so besteht auch kein Personenbezug. b) Der Personenbezug bei datenfinanzierten Angeboten Nach diesen Ausführungen zu Big Data stellt sich die Frage, inwieweit sich die dort getroffenen Aussagen zum Personenbezug auf datenfinanzierte Angebote übertragen lassen. Denn im Unterscheid zu Big Data-Analysen ist der Umfang 409

So ebenfalls Steinebach / Krempel / Jung / Hoffmann, DuD 2016, 440 (441).

§ 5 Grundsätze und Prinzipien des Datenschutzes 

159

der gewonnenen Daten auf die Datenerhebung in der jeweiligen App beschränkt, bis es in weiteren Verarbeitungsschritten unter Umständen zu einer Aggregation mit anderweitig gewonnen Daten kommt. Insoweit lässt sich die vorgenommene Wertung zumindest nicht grundsätzlich auf datenfinanzierte Angebote übertragen. Nachfolgend soll dementsprechend auf die konkreten Verarbeitungsschritte von datenfinanzierten Angeboten näher eingegangen werden. aa) Personenbezug in verschiedenen Konstellationen Aufgrund der vielfältigen Ausgestaltungen des Erwerbs, Vertriebs und der Datenerhebung von datenfinanzierten Angeboten410 kann das Bestehen eines Personenbezugs von vielen verschiedenen Faktoren abhängen. Gleichwohl lässt sich das Vorhandensein oder Nichtbestehen des Personenbezugs möglicherweise für die verschiedenen datenfinanzierten Apps generalisieren. Wird ein datenfinanziertes Angebot direkt beim jeweiligen App-Anbieter he­ runtergeladen, wird der Nutzer bei einer registrierungspflichtigen Nutzung dieser App in der Regel Name und E-Mail-Adresse des Nutzers übermitteln müssen.411 Auch wenn die App über einen App-Store heruntergeladen wird, werden personenbezogene Nutzerdaten an den Store-Betreiber übermittelt, bei dem der Nutzer über ein Profil verfügen muss. Der App-Store-Betreiber leitet diese Daten in der Regel aufgrund der vorliegenden Stellvertretung beim Vertragsabschluss über das datenfinanzierte Angebot an den App-Anbieter weiter.412 Möglich ist die Herstellung eines Personenbezugs auch darüber, dass ein Nutzer verschiedene Apps eines Anbieters nutzt, wenn hierbei die Daten in Profilen zusammengefasst werden und so individualisierbar sind.413 Unabhängig davon, ob ein Nutzerprofil in einem einzelnen datenfinanzierten Angebot angelegt wird oder die Verknüpfung seiner Person über das Nutzerprofil im App-Store – etwa ein Google-Konto – oder eine andere App stattfindet, weisen die innerhalb der App erhobenen Daten einen Personenbezug auf, da sie sich auf den registrierten und damit individualisierbaren Nutzer beziehen. Schwieriger ist die Bewertung des Personenbezugs in Fällen, bei denen beim Herunterladen einer App und bei der Nutzung der App der Name oder die E-MailAdresse nicht aktiv angegeben werden müssen. Würden hier keinerlei Daten über den Nutzer oder das von ihm verwendete Gerät übermittelt, auf dem die App installiert wird, läge bei den erhobenen Daten mangels Zuordenbarkeit auch kein Personenbezug vor.414 Allerdings wird regelmäßig beim Herunterladen einer App 410

S. o. § 2 B. I. 1. Taeger, in: Solmecke / Taeger / Feldmann, Mobile Apps, Kap. 5 Rn. 17. 412 S. § 3 A. II. 413 Klar / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 1 Rn. 36. 414 Taeger, in: Solmecke / Taeger / Feldmann, Mobile Apps, Kap. 5 Rn. 19. 411

160

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

die ID des Endgeräts übermittelt, worüber bereits ein individualisierbares Kriterium im Vergleich zu anderen Nutzern vorliegt. Auch wenn – beispielsweise bei einer Web-App – lediglich die IP-Adresse des Nutzers vorliegt, reicht nach dem oben dargestellten Urteil des EuGH für das Bestehen des Personenbezugs, dass der Anbieter eines Online-Dienstes (hier also der App-Anbieter) über die rechtlichen Mittel verfügt, die ihm erlauben anhand von Zusatzinformationen die IP-Adresse zur tatsächlichen Person zuordnen zu lassen.415 Dadurch bilden die Information über die Geräte-ID oder die IP des Nutzers eine Einzelangabe über die sächlichen Verhältnisse einer bestimmbaren Person, sofern es dem App-Anbieter möglich ist festzustellen, wer der Nutzer des mobilen Endgeräts mit dieser ID oder IP ist. Wird bei Navigations-App A ein Nutzerprofil angelegt, über welches die gewonnenen Daten eindeutig individualisierbar sind, handelt es sich sämtlich um personenbezogene Daten. Auch über das Tracking der IP-Adresse oder der Geräte-ID lässt sich ohne erstelltes Nutzerprofil ein Personenbezug herstellen. Bei Messenger-Dienst B bedarf es demgegenüber einer eindeutigen Nutzer-ID, um eine Verknüpfung mit anderen Nutzern herzustellen und so mit diesen kommunizieren zu können. Insofern sind bei beiden Apps alle erhobenen Daten personenbezogen.

bb) Anonymisierung und Pseudonymisierung Geht man von einem generell vorliegenden Personenbezug bei der Datenerhebung durch datenfinanzierte Angebote aus, könnte der Personenbezug wie oben dargestellt durch Anonymisierung oder die anonymisierende Wirkung einer Pseudonymisierung wieder entfallen. Berücksichtigt man, dass es für den Personenbezug auf die Wahrscheinlichkeit der Identifizierbarkeit der betroffenen Person ankommt, so muss bei datenfinanzierten Angeboten jederzeit im Blick behalten werden, welche Daten der jeweilige Datenverarbeiter bei welchem Verarbeitungsschritt konkret innehat und ob anhand dieser eine Identifizierung (weiterhin) möglich ist. Insofern erscheint es sachgerecht, den Anonymisierungs- und Pseudonymisierungs-Vorgang anhand der oben gebildeten Kategorien der Datenverarbeitung näher zu betrachten. (1) Sofortnutzung der Daten Bei der Sofortnutzung der Daten (Kategorie I) werden die Daten lediglich für die Funktionsfähigkeit der App genutzt und nicht länger gespeichert. Für die Nutzung der Daten muss zwar eine durchgehende Verbindung zwischen den Daten und dem Nutzer bestehen, da diese sonst nicht in der jeweiligen App verwendet werden können. Demgegenüber findet aber keine weitere Speicherung der Daten statt, so dass eine Anonymisierung oder Pseudonymisierung der Nutzerdaten – was 415

EuGH, Urt. v. 19. 10. 2016, Rs. C-582/14, Rn. 47, 49 – Deutschland / Breyer.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

161

für sich genommen schon einen weiteren Verarbeitungsschritt der Daten darstellt – erst gar nicht notwendig wird. (2) Speicherung der Daten Werden die Daten über die direkte Nutzung hinaus gespeichert (Kategorie II), hängt die Anonymisierungs-Möglichkeit maßgeblich vom Zweck der Speicherung ab. Über eine Anonymisierung können einzelne spätere Verarbeitungsschritte weiterhin durchgeführt werden, bei denen es auf die jeweilige Identifizierbarkeit der Nutzer gerade nicht ankommt. Will der App-Anbieter mithilfe der erhobenen und gespeicherten Daten statistische Aussagen über die App selbst treffen – um beispielsweise Verbesserungsmöglichkeiten hinsichtlich des eigenen Angebots erkennen zu können –, ermöglicht die Anonymisierung hier die spätere Auswertung der Daten, ohne dass hieraus (weitere) datenschutzrechtliche Anforderungen ergeben. Über eine Anonymisierung aller Nutzerdaten könnte der Anbieter von Navigations-App A beispielsweise Erkenntnisse über das Nutzungsverhalten hinsichtlich der Häufigkeit der Nutzung bestimmter Features der App erhalten, ohne dass hierzu personenbezogene Daten verarbeitet werden müssen. Diese Informationen können zur Optimierung der App genutzt werden, ohne dass es hierzu der Verwendung personenbezogener Daten bedarf. Sollen hingegen konkrete Nutzerdaten hinsichtlich der App-Nutzung gespeichert werden, etwa um dem Nutzer bisherige Navigationsergebnisse als Favoriten bereit zu stellen, ist eine Anonymisierung der Daten nicht möglich.

Zu einer wirksamen Anonymisierung sei an dieser Stelle angemerkt, dass sich der Datenverarbeiter bei der Anonymisierung von Daten dauerhaft einen Überblick über die branchenüblichen technischen Möglichkeiten der Anonymisierung und Re-Identifizierung verschaffen und seine diesbezüglichen Kenntnisse aktuell halten muss, solange er anonymisierte Daten verarbeitet.416 Dabei muss der Datenverarbeiter auch die ursprünglich anonym angesehenen Daten im Blick behalten, da diese aufgrund technischer Entwicklungen später gegebenenfalls identifizierbar werden können. So kann er sicherstellen, dass der aktuelle Stand der Technik bzw. darauf aufbauende absehbare Entwicklungen beachtet werden. Die vage Voraussage zukünftiger technischer Entwicklungen ist hierbei allerdings nicht notwendig. (3) Offenlegung der Daten Die Anonymisierung und Pseudonymisierung werden gerade bei der Offen­ legung der Daten (Kategorie III) bedeutsam. Durch eine vorherige Anonymisierung von Daten kann sichergestellt werden, dass sich bei der Weitergabe sowohl innerhalb des eigenen Konzerns als auch an Dritte keine weiteren datenschutz 416

Wójtowicz / Cebulla, PinG 2017, 186 (188).

162

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

rechtlichen Verpflichtungen ergeben. Dies gilt sowohl für den App-Anbieter, der die nun anonymen Daten überträgt, wie auch für den Empfänger. Dieser muss natürlich überprüfen, ob für ihn die Daten – aufgrund eventuellen Zusatzwissens – ebenfalls anonym sind, da es sich nach einer Re-Identifizierung um personenbezogene Daten handelt, die die Anwendbarkeit des Datenschutzrechts eröffnen. Bei der Offenlegung der Daten können auch die Überlegungen zur Tauglichkeit von Anonymisierungsmethoden und den Gefahren einer Re-Identifizierung bei Big Data-Analysen zum Tragen kommen. Diese lassen sich vor allem auf eine Offenlegung innerhalb eines Konzerns (Kategorie III a) übertragen. Durch eine Aggregation verschiedener Datensätze, die innerhalb der Unternehmensgruppe zusammenkommen, ist hier die Wahrscheinlichkeit einer (Re-)Identifizierung deutlich höher, als bei den singulären Datensätzen des Anbieters eines einzelnen datenfinanzierten Angebots. Findet jedoch keine Re-Identifizierung statt, handelt es sich weiterhin um anonyme Daten und es bestehen hinsichtlich der anonymisierten Daten keine datenschutzrechtlichen Verpflichtungen. Werden die gesammelten Metadaten von Messenger-Dienst B (tauglich) anonymisiert, so weisen die Daten bei der Offenlegung innerhalb des Konzerns oder an externe Dritte für diese keinen Personenbezug auf. Verfügt der Konzern F hingegen über ausreichend große Datenbestände, um die weitergegebenen Daten trotz ursprünglicher Anonymisierung zu re-identifizieren, entsteht wiederum ein Personenbezug.

Werden die Daten vor der Offenlegung hingegen lediglich pseudonymisiert, so haben diese für den App-Anbieter weiterhin Personenbezug. Bei der Datenweitergabe pseudonymisierter Daten an externe Dritte kann das Pseudonym für den erwerbenden Dritten jedoch eine anonymisierende Wirkung aufweisen. Dies gilt solange der Empfänger keinen Zugriff auf die Entschlüsselung des Pseudonyms und auch keine andere Möglichkeit hat, die Daten zu identifizieren. Schwieriger gestaltet sich diese Bewertung bei der Offenlegung innerhalb eines Konzerns oder Unternehmensverbunds. Die Vorgabe einer tauglichen Pseudonymisierung liegt wie oben dargestellt darin, dass die Daten und der Schlüssel des Pseudonyms organisatorisch getrennt voneinander aufbewahrt werden. Daran ändert sich durch die Weitergabe der Daten innerhalb des Konzern nichts, vielmehr liegt nun genau diese organisatorische Trennung zwischen pseudonymisierten Daten und dem Schlüssel des Pseudonyms vor. Besteht für ein anderes Unternehmen innerhalb des Konzerns die bloße individuelle bzw. binnenorganisato­r ische Möglichkeit, an das Zusatzwissen – also den Schlüssel des Pseudonyms – zu gelangen, handelt es sich zwar weiterhin um eine taugliche Pseudonymisierung. Für dieses Unternehmen hat das Pseudonym dann jedoch keine anonymisierende Wirkung mehr und es handelt sich auch für andere Konzern-Unternehmen um personenbezogene Daten. Pseudonymisiert Messenger-Dienst B die gewonnenen Metadaten, kann die Pseudonymisierung bei der entgeltlichen Offenlegung der Daten an externe Dritte zu einer anonymisierenden Wirkung führen. Aufgrund derer hätte der Erwerber bis zur Re-Identifizierung

§ 5 Grundsätze und Prinzipien des Datenschutzes 

163

der Daten keine datenschutzrechtlichen Vorgaben zu beachten. Schwieriger gestaltet sich die Offenlegung innerhalb des Konzerns von B. Für eine anonymisierende Wirkung muss hier binnenorganisatorisch sichergestellt werden, dass empfangende Unternehmen keinen Zugriff auf das Pseudonym erhalten.

cc) Zwischenergebnis Innerhalb von datenfinanzierten Angeboten weisen alle erhobene Daten bei der Verknüpfung mit einem Kundenkonto einen Personenbezug auf. Selbst wenn das Kundenkonto keinen Klarnamen enthält, ist der Nutzer in der Regel individuell aussonderbar. Werden die Daten ohne Verknüpfung zu einem Kundenprofil erhoben, kann ein Personenbezug auch über das Tracking des jeweiligen Endgeräts, die IP-Adresse des Nutzers oder über andere Daten hergestellt werden. Zwar lässt sich aufgrund der Vielzahl verschiedener datenfinanzierter Angebote keine eindeutige Aussage über jedwede App fällen. Es lässt sich jedoch grundsätzlich feststellen, dass in den allermeisten Fällen die innerhalb der App erhobenen Daten einen Personenbezug aufweisen. Auch in den seltenen Fällen eines nicht ohnehin bestehenden Personenbezugs ist eine spätere Herstellung ebendieses möglich  – beispielsweise über eine spätere Registrierung der App oder die Erhebung von oder Verknüpfung mit zusätzlichen Daten, die eine Identifizierung ermöglichen. Für die weitere Untersuchung ist daher davon auszugehen, dass die bei datenfinanzierten Angeboten erhobenen Daten (zunächst) einen Personenbezug aufweisen. Werden diese Daten nun (tauglich) anonymisiert, kann eine Speicherung und Weitergabe der anonymen Daten erfolgen, ohne dabei den Anwendungsbereich der DSGVO erneut zu eröffnen. Bei einer Pseudonymisierung behalten die Daten für den App-Anbieter hingegen ihren Personenbezug. Bei einer Offenlegung der Daten muss auf die anonymisierende Wirkung der Pseudonymisierung abgestellt werden, was vor allem bei der Offenlegung innerhalb eines Konzerns über binnenorganisatorische Maßnahmen sichergestellt werden muss. III. Die datenschutzrechtliche Verantwortlichkeit Liegt eine Verarbeitung personenbezogener Daten vor, betreffen die Vorgaben der DSGVO den Verantwortlichen dieser Datenverarbeitung. Bei datenfinanzierten Angeboten haben verschiedene Akteure potentiellen Zugriff auf die Daten, so dass nachfolgend zu untersuchen ist, wer die konkrete Verantwortung für die Datenverarbeitung trägt. Dies erweist sich gerade bei mehrstufigen Datenverarbeitungsprozessen oder mehreren an der Datenverarbeitung Beteiligten nicht immer als eindeutig.

164

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

1. Der Verantwortliche nach Art. 4 Nr. 7 DSGVO Die Regelungen der DSGVO verpflichten den Verantwortlichen der Datenverarbeitung i. S. v. Art. 3 Abs. 1 i. V. m. Art. 4 Nr. 7 DSGVO. Verantwortlicher ist danach die (juristische) Person, die „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.417 Die Verantwortlichkeit knüpft an jeden einzelnen Datenverarbeitungsvorgang an. Dem jeweiligen Verantwortlichen wird die Verantwortung für die Datenverarbeitung zugewiesen und er muss die Einhaltung der datenschutzrechtlichen Bestimmungen als zentraler Normadressat sicherstellen.418 Die in Art. 5 ff. DSGVO normierten materiellen Regelungen zur Rechtmäßigkeit der Datenverarbeitung nutzen den Verantwortlichen als Anknüpfungspunkt (vgl. etwa Art. 5 Abs. 2 oder Art. 7 Abs. 1 DSGVO), wobei vor allem Art. 24 DSGVO die generellen Verantwortungsbereiche des Verantwortlichen genauer aufschlüsselt. Danach muss der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der Risiken für betroffene Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen, dass die Verarbeitung ordnungsgemäß erfolgt, vgl. Art. 24 Abs. 1 S. 1 DSGVO. Bei datenfinanzierten Angeboten ist der App-Anbieter als derjenige, der innerhalb der App die Daten vom Nutzer erhebt und nutzt, in aller Regel der Verantwortliche der Datenverarbeitung. Weniger eindeutig ist die Bestimmung der Verantwortlichkeit allerdings, wenn an der Datenverarbeitung mehrere Parteien beteiligt sind – etwa die bei der Entwicklung des datenfinanzierten Angebots Beteiligten, mit der Datenverarbeitung beauftragte Externe oder andere Beteiligte, die durch Offenlegung an die Daten gelangen. Der Plattform- bzw. App-Store-­Betreiber hat demgegenüber in der Regel keine oder allenfalls sehr eingeschränkte eigene Möglichkeiten, die Datenverarbeitung innerhalb der App zu beeinflussen. Denn die App-Store Betreiber geben lediglich Vorgaben für die technische Gestaltung der Apps vor. Somit sind diese bezüglich der Datenverarbeitung innerhalb des datenfinanzierten Angebots – im Gleichlauf mit der vertragsrechtlichen Bewertung419 – auch nicht Verantwortliche i. S. d. DSGVO.420 417 In der Legaldefinition von Art. 4 Nr. 7 DSGVO werden als Adressaten ferner natürliche Personen, Behörden, Einrichtungen und andere Stellen genannt. Diese weiteren potentiellen Adressaten einer Verantwortlichkeit können im hier behandelten App-Kontext mit (privaten) App-Anbietern als Datenverarbeiter außen vor bleiben. 418 Eßer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art. 4 Rn. 76; H ­ artung, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 7 Rn. 6. 419 S. bereits § 3 A. II. 420 So auch Baumgartner, in: Baumgartner / Ewald, Apps und Recht, Rn. 192. Sehr wohl sind die App-Store-Betreiber demgegenüber Verantwortliche hinsichtlich der Nutzerdaten, die sie zu eigenen und selbst definierten Zwecken erheben und verarbeiten. Dies geschieht jedoch gewöhnlich im Rahmen der Nutzung des App-Stores selbst und nicht durch Rückgriff auf die einzelnen datenfinanzierten Angebote.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

165

2. Verantwortlichkeit im Mehrpersonenverhältnis Sind an der Datenverarbeitung mindestens zwei Parteien beteiligt, muss unter diesen die Verantwortlichkeit festgestellt werden. Eine solche Beteiligung Mehrerer kann sich zum einen daraus ergeben, dass die Datenerhebung bereits (gemeinsam) von mehreren durchgeführt wird. Der häufigere Fall liegt allerdings darin, dass die Daten nach der Datenerhebung einem anderen Datenverarbeiter offengelegt, d. h. in irgendeiner Form zur Verfügung gestellt werden. Jeder Beteiligte, dem personenbezogene Daten offengelegt werden, ist dabei ein (Daten-) Empfänger i. S. d. Art. 4 Nr. 9 DSGVO.421 Die Verantwortlichkeit der an der Verarbeitung Beteiligten – also sowohl des ursprünglichen Datenverarbeiters wie auch der späteren Empfänger – richtet sich gemäß der Legaldefinition in Art. 4 Nr. 7 DSGVO danach, wer über Zweck(e) und Mittel der Datenverarbeitung bestimmt.422 Der „Zweck“ der Datenverarbeitung ist das konkret erwartbare oder beabsichtigte Ergebnis dieser Verarbeitung.423 Unter dem „Mittel“ versteht man, wie die Datenverarbeitung (technisch) umgesetzt wird.424 Um festzustellen, wer über Mittel und Zweck bestimmt, ist eine Analyse der tatsächlich vorliegenden Gegebenheiten vorzunehmen. Anhand derer kann eine funktionale Abgrenzung getroffen werden, welcher Beteiligte im Einzelfall die Entscheidungsgewalt über die Datenverarbeitung innehat und so als Verantwort­licher die wesentlichen diesbezüglichen Entscheidungen trifft.425 Die Entscheidungsgewalt kann sich aus der rechtlichen Zuständigkeit, dem tatsächlichen Einfluss oder einer implizierten Entscheidungsgewalt ergeben.426 Für diese Bestimmung ist besonders auf die Entscheidungsmöglichkeit über das „Ob“, „Wie“ und „Wofür“ der Datenverarbeitung abzustellen.427 So entscheidet der Verantwortliche etwa über die Umsetzung und Ausgestaltung einer Anonymisierung oder Pseudonymisierung. Im Umkehrschluss liegt keine Verantwortung bei demjenigen vor, der keinen rechtlichen oder tatsächlichen Einfluss auf die Entscheidungen der Datenverarbeitung hat.428 Es kommt für die Feststellungen der Verantwortlichkeit einzig auf die tat 421

Petri, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 9 Rn. 3. Hieraus ergeben sich Informationspflichten gegenüber der betroffenen Person, die über die Identität des Empfängers informiert werden muss, vgl. Art. 13, 14 DSGVO, s. dazu § 8 C. 422 Wird hingegen gesetzlich festgelegt, wer für Zweck und Mittel verantwortlich ist, so kann das jeweilige Gesetz auch die datenschutzrechtliche Verantwortlichkeit festlegen, vgl. Art. 4 Nr. 7 Hs. 2 DSGVO. Diese Konstellation ist für die vorliegende Arbeit mangels ersichtlicher gesetzlicher Vorgaben allerdings nicht von Bedeutung, so dass es hierzu keiner näheren Ausführungen bedarf. 423 Monreal, ZD 2014, 611 (612); vertiefend Golland, K&R 2018, 433 (435 ff.). 424 Jung / Hansch, ZD 2019, 143 (144). 425 Grzesizick / Rauber, ZD 2018, 560 (562); Hartung, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 7 Rn. 13; ders., in: Kühling / Buchner, DSGVO / BDSG, Art.  28 Rn.  27; Reif, RDV 2019, 30 (32). 426 Jung / Hansch, ZD 2019, 143 (147). 427 Monreal, ZD 2014, 611 (612); Werkmeister / Brandt, CR 2016, 233 (236). 428 Eßer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art.  4 Rn.  79.

166

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

sächlichen Umstände an und gerade nicht auf das zwischen den Parteien Vereinbarte. Ob und welche Vereinbarung oder Art von Vertrag die Beteiligten hinsichtlich der Verarbeitung geschlossen haben, ist für die Bestimmung und Abgrenzung der Verantwortlichkeit also bedeutungslos.429 Allerdings kann sich als Folge der jeweiligen Art der Verantwortlichkeit die Verpflichtung ergeben, eine ebensolche Vereinbarung abzuschließen.430 Mit diesen Vorgaben zur Feststellung der Verantwortlichkeit für die Datenverarbeitung lässt sich zwischen verschiedenen Konstellationen unterscheiden: eine jeweils alleinige – voneinander unabhängige – Verantwortlichkeit der Beteiligten (Art. 4 Nr. 7 DSGVO, s. (a)), eine gemeinsame Verantwortlichkeit der Beteiligten (Art. 4 Nr. 7, Art. 26 DSGVO, s. (b)) sowie die nicht eigenverantwortliche Auftragsverarbeitung eines Beteiligten (Art. 4 Nr. 8, Art. 28 DSGVO s. (c)). Die verschiedenen Formen der Verantwortlichkeit im Mehrpersonenverhältnis sollen nachfolgend in einen Bezug zur Verarbeitung bei datenfinanzierten Angeboten gesetzt werden, wobei insbesondere auf die Kategorisierung der Verarbeitung – bei der Beteiligung Mehrerer häufig eine Offenlegung der Daten – zurückzukommen ist. a) Alleinige Verantwortlichkeit, Art. 4 Nr. 7 DSGVO Die Offenlegung der Daten kann – aufgrund eines Verkaufs des Datensatzes – so ablaufen, dass in deren Folge die Beteiligten jeweils unabhängig voneinander die Daten (weiter)verarbeiten. Sofern beide Datenverarbeiter selbstständig über Zweck(e) und Mittel der Datenverarbeitung bestimmen können, so sind die Beteiligten bei der Verarbeitung gem. Art. 4 Nr. 7 DSGVO jeweils alleinige Verantwortliche. Dies bedeutet, dass sie die Verarbeitung der anderen Beteiligten nicht beeinflussen können und es zu keiner gemeinsamen Verarbeitung kommt. Der Empfänger der offengelegten Daten ist in einem solchen Fall für den ursprünglichen Datenverarbeiter „Dritter“ im Sinne von Art. 4 Nr. 10 DSGVO und die einzelnen Beteiligten sind getrennt voneinander als jeweils Verantwortliche der Datenverarbeitung zu behandeln.431 Rechtsfolge dieser alleinigen Verantwortlichkeit ist, dass jeder Datenverarbeiter bei der Datenverarbeitung selbstständig zur Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet ist. In Bezug auf die vorliegende Untersuchung datenfinanzierter Angebote kommt es häufig bei einer Offenlegung an externe Dritte (Datenverarbeitung der Kategorie III b) zu einer alleinigen Verantwortlichkeit mehrerer Beteiligter. Werden Daten vom App-Anbieter an externe Dritte weitergegeben oder verkauft, so hat der App-Anbieter allenfalls begrenzten Einfluss auf die weitere Nutzung der of 429

Kremer, CR 2019, 225 (227). Ein solcher Fall besteht bei gemeinsamer Verantwortlichkeit (Art. 26 Abs. 1 S. 2 DSGVO) und Auftragsverarbeitung (Art. 28 Abs. 3 DSGVO), s. sogleich. 431 Hartung, in: Kühling / Buchner, DSGVO / BDSG, Art. 4 Nr. 10 Rn. 5. 430

§ 5 Grundsätze und Prinzipien des Datenschutzes 

167

fengelegten Daten. Er hat vor allem keine Beeinflussungsmöglichkeit über Mittel und Zweck der (späteren) Datenverarbeitung des Datenempfängers. So bleibt der App-Anbieter für die Verarbeitung der von ihm erhobenen Daten weiterhin verantwortlich, während dem externen Datenempfänger Verantwortung für die weitere Verarbeitung der ihm offengelegten Daten zuzuweisen ist. Veräußert Navigations-App  A die (ggf. kumulierten) Bewegungsprofile und Metadaten auf einem Datenmarkt an einen Interessenten I, so findet die spätere (Weiter-)Verarbeitung der Daten sowohl bei A wie I ohne gemeinsame Entscheidung über Mittel oder Zweck der Verarbeitung statt. Somit handeln beide als voneinander getrennt zu bewertende alleinige Verantwortliche.

b) Gemeinsame Verantwortlichkeit, Art. 4 Nr. 7, Art. 26 DSGVO Eine Offenlegung der Daten kann auch derart stattfinden, dass mehrere Datenverarbeiter die weitere Verarbeitung gemeinsam durchführen. Entscheiden sie dabei auch gemeinsam (und übereinstimmend) über Zweck und Mittel der Verarbeitung, so liegt eine gemeinsame Verantwortlichkeit gem. Art. 4 Nr. 7, Art. 26 Abs. 1 S. 1 DSGVO vor.432 Jeder Beteiligte muss hierfür – wie oben abstrakt dargestellt – eine Einflussmöglichkeit über das Ob, Wie und Wofür des Zwecks und der Mittel der Verarbeitung haben. Fehlt es entweder an der Möglichkeit zur Einflussnahme auf den Zweck oder auf das Mittel, liegt keine gemeinsame Verantwortlichkeit mehr vor. Beim Fehlen dieser gemeinsamen Willensbildung liegt entweder eine alleinige Verantwortlichkeit der Beteiligten „nebeneinander“ vor oder der nicht entscheidungsbefugte Beteiligte handelt lediglich als Auftragsverarbeiter.433 In den Entscheidungen Facebook-Fanpage, Zeugen Jehovas und Fashion ID hat der EuGH den nötigen Umfang der Zusammenarbeit weiter konkretisiert und plädiert für ein extensives Verständnis der gemeinsamen Verantwortlichkeit. Die gemeinsame Verantwortlichkeit ist demnach stets am Einzelfall festzumachen und setzt nicht zwangsläufig auch eine „gleichwertige“ Verantwortlichkeit voraus.434 Die Beteiligten müssen also nicht alle Entscheidungsschritte vollumfänglich gemeinsam treffen, sondern es kann zu individuellen Ausprägungen dessen kommen, wie umfangreich die Zusammenarbeit ausfällt und wie die Aufteilung der Verarbeitungsschritte verteilt ist.435 Auch ist es für eine gemeinsame Verantwortlichkeit nicht notwendig, dass für eine einzelne Verarbeitung jeder der Datenverarbeiter fortwährend Zugang zu den betreffenden personenbezogenen Daten haben muss.436 432

Kremer, CR 2019, 225 (227); so auch der EuGH Generalanwalt, Schlussantrag v. 19. 12. 2018, Rs. C-40/17, Rn. 100. 433 Kremer, CR 2019, 225 (228). 434 EuGH, Urt. v. 5. 6. 2018, Rs. C-210/16, Rn. 43, 44  – Facebook-Fanpages; bestätigt in EuGH, Urt. v. 10. 7. 2018, Rs. C-25/17, Rn. 66, 70 f. – Zeugen Jehovas. 435 Hartung, in: Kühling / Buchner, DSGVO / BDSG, Art.  26 Rn.  15 ff. 436 EuGH, Urt. v. 5. 6. 2018, Rs. C-210/16, Rn. 38 – Facebook-Fanpages.

168

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Insgesamt müssen gleichwohl alle gesetzlichen Pflichten der Datenverarbeitung durch die gemeinsam Verantwortlichen erfüllt werden und es muss zumindest eine Beeinflussung der einzelnen (übergeordneten) Phasen der Datenverarbeitung vorliegen. Auch dürfen bei den nicht gemeinsam getroffenen Entscheidungsprozessen der Verarbeitung keine vollständig unterschiedlichen Verarbeitungs-Zwecke zugrunde liegen, sondern die Zwecksetzung muss sich zumindest wechselseitig ergänzen.437 Ein Beteiligter kann also nur für Vorgänge der Verarbeitung personenbezogener Daten verantwortlich sein, über deren Zwecke und Mittel er – gemeinsam mit anderen – (mit)entscheidet. Für vor- oder nachgelagerte Vorgänge in der Verarbeitungskette, für die der Beteiligte weder die Zwecke noch die Mittel festlegt, besteht dagegen keine Verantwortlichkeit.438 Liegt eine gemeinsamen Verantwortlichkeit vor, haben die Beteiligten die Vorgaben aus Art. 26 DSGVO zu erfüllen, der die Zuordnung und Transparenz der Verantwortung zwischen den Datenverarbeitern regelt.439 Gemäß Art. 26 Abs. 1 S. 2 DSGVO müssen sie eine transparente Vereinbarung darüber zu treffen, wer von ihnen welche datenschutzrechtlichen Verpflichtung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer den Informationspflichten der DSGVO (vgl. Art. 13, 14) nachkommt.440 Diese Vereinbarung muss nach Art. 26 Abs. 2 DSGVO die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber der betroffenen Person gebührend widerspiegeln. Im Hinblick auf die vorliegende Untersuchung ist die Abgrenzung zwischen alleiniger und gemeinsamer Verantwortlichkeit vor allem in den Fällen notwendig, bei denen im Rahmen einer Kooperation mehrere Beteiligte – lies: der App-­ Anbieter und ein anderes Unternehmen, etwa der Plattformbetreiber – in den Verarbeitungsprozess einbezogen sind. Gerade in der arbeitsteiligen Digitalwirtschaft ist entscheidend, inwieweit die bloße Ermöglichung der Verarbeitung personenbezogener Daten ausreicht, um eine gemeinsame Verantwortlichkeit zu begründen. Nach dem eher extensiven Verständnis es EuGH braucht es hierfür keiner vollständigen gemeinsamen Entscheidung über Mittel und Zweck der Datenverarbeitung, sondern Mittel und Zwecke müssen sich lediglich wechselseitig ergänzen. Damit eine Kooperation zu keiner gemeinsamen Verantwortlichkeit führt, müssen App-Anbieter und der andere Beteiligte also darauf achten, die Verantwortung über Datenverarbeitung und Datenpools in tatsächlicher, technischer und vertraglicher Hinsicht klar voneinander abzugrenzen und insoweit eigene Entscheidungen treffen.441

437

EuGH Generalanwalt, Schlussantrag v. 19. 12. 2018, Rs. C-40/17, Rn. 105; Jung / Hansch, ZD 2019, 143 (147). 438 EuGH, Urt. 29. 7. 2019, Rs. C-40/17, Rn. 74 – Fashion ID. 439 Golland, K&R 2018, 433 (434). 440 Vertiefend hierzu Lezzi / Oberlin, ZD 2018, 398 (402). 441 Im Kontext von Big Data vergleichbar Werkmeister / Brandt, CR 2016, 233 (236).

§ 5 Grundsätze und Prinzipien des Datenschutzes 

169

c) Auftragsverarbeitung, Art. 4 Nr. 8, Art. 28 DSGVO Von der getrennten und gemeinsamen Verantwortlichkeit ist die Auftragsverarbeitung zu unterscheiden. Hierbei legt der Verantwortliche personenbezogene Daten gegenüber einem Auftragsverarbeiter offen, damit dieser die Daten im Auftrag des / der Verantwortlichen verarbeitet. Die Verarbeitung erfolgt also nicht durch den Verantwortlichen selbst, sondern findet lediglich in dessen Auftrag statt, vgl. Art. 4 Nr. 8, Art. 28 DSGVO. Nach Art. 28 Abs. 1 DSGVO hat der Verantwortliche den Auftragsverarbeiter sorgfältig auszuwählen und sicherzustellen, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Betroffenenrechte gewährleistet. Die Auftragsverarbeitung hat nach Art. 28 Abs. 3 DSGVO ferner auf Grundlage eines Vertrags oder einer anderen rechtlichen Vereinbarung zu erfolgen. Diese Vereinbarung muss den Auftragsverarbeiter an die Anweisungen des Verantwortlichen binden. Hierbei sind insbesondere der Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festzulegen. Der Vertrag muss im Übrigen eine Reihe von Anforderungen erfüllen, die allesamt dem Schutz der Daten der betroffenen Person dienen, vgl. Art. 28 Abs. 3 lit. a–h DSGVO. Zusammengefasst muss der Beauftragende über die Datenverarbeitung entscheiden und jede Einflussnahme des Auftragsverarbeiters auf den Zweck der Verarbeitung unterbinden können.442 Dem Auftragsverarbeiter werden – im Unterscheid zur alleinigen oder gemeinsamen Verantwortung – Mittel und Zweck der Datenverarbeitung durch die erforderliche Vereinbarung eindeutig vorgegeben, so dass es dem Auftragsverarbeiter an Entscheidungsgewalt hierüber fehlt. Dementsprechend ist er nicht selbst datenschutzrechtlich Verantwortlicher.443 Die Verantwortlichkeit verbleibt einzig beim Beauftragenden. In Abgrenzung dazu ist hingegen eher von einer gemeinsamen Verantwortlichkeit auszugehen, wenn sich die Dienstleistung nicht auf weisungsgebundene Tätigkeiten beschränkt, sondern auch Einfluss auf Mittel und Zwecke der Verarbeitung genommen wird.444 aa) Auftragsverarbeitung bei datenfinanzierten Angeboten Bei datenfinanzierten Angeboten kommt der Entwickler der App als Auftragsverarbeiter in Betracht, sofern dieser nicht identisch mit dem App-Anbieter ist. Gibt der App-Anbieter die technische Entwicklung einer App bei einem Dritten in Auftrag, veröffentlicht diese dann aber im eigenen Namen im App-Store, so ist 442

Monreal, ZD 2014, 611 (614). Kremer, CR 2019, 225 (229). 444 Härting / Gössling, NJW 2018, 2523 (2525). 443

170

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

der Anbieter der App der Verantwortliche i. S. d. DSGVO.445 Der Entwickler programmiert die Inhalte der App zwar, hat im Anschluss jedoch keine Möglichkeit der Beeinflussung der Datenverarbeitung – falls er auf diese überhaupt irgendeinen Zugriff erhält. So ist der App-Entwickler bei einer anschließenden Datenverarbeitung im Zusammenhang mit der Entwicklung maximal Auftragsverarbeiter. Auch nach der Entwicklung der App sind eine Vielzahl von Fällen denkbar, bei denen sich ein App-Anbieter eines Dritten zur Auftragsverarbeitung bedient – etwa, weil dem App-Anbieter für den einzelnen Verarbeitungsschritt die Expertise fehlt oder weil es sich um eine sehr spezifische Datenverarbeitung handelt, die besser durch einen spezialisierten Dienstleister durchgeführt werden kann. Auftragsverarbeiter werden häufig zur Speicherung oder externen Analyse der Daten beauftragt (Verarbeitung der Kategorie  II). Ein typisches Beispiel im Digitalbereich ist hierfür der Hostprovider, der dem App-Anbieter IT-Ressourcen (z. B. Cloud-Dienste) bereitstellt und dabei unter Umständen personenbezogene Daten verarbeitet, ohne auf diese Verarbeitung Einfluss nehmen zu können. Eine solche Auftragsverarbeitung kann auch konzernintern stattfinden, ohne dass dies für die Bewertung eine Rolle spielt. bb) Bedeutung der Auftragsverarbeitung für die folgende Untersuchung Ob die Datenverarbeitung bei einem datenfinanzierten Angebot durch den Verantwortlichen (etwa den App-Anbieter) selbst oder durch einen Auftragsverarbeiter stattfindet, ändert nichts an Zweck und Mitteln der Datenverarbeitung und dementsprechend auch nichts an den materiellen Anforderungen an die Datenverarbeitung an sich. Der App-Anbieter verbleibt der Verantwortliche, der die Einhaltung der datenschutzrechtlichen Anforderungen wahren muss. Beim Auftragsverarbeiter muss lediglich gem. Art. 28 Abs. 1 DSGVO sichergestellt werden, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Anforderungen an die Auftragsverarbeitung erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Insofern ist die Auftragsverarbeitung privilegiert. Denn werden die in Art. 28 DSGVO gestellten Anforderungen eingehalten, bedarf die Offenlegung der Daten gegenüber einem Auftragsverarbeiter keiner weiteren Erlaubnis.446 Der Auftragsverarbeiter kann mangels Entscheidungsbefugnis die Daten nicht nach eigenen Zwecken oder mit eigenen Mittel verarbeiten, so dass in der  – ordnungsgemäß

445

Baumgartner, in: Baumgartner / Ewald, Apps und Recht, Rn. 191. So inzwischen weitgehend einig Gabel / Lutz, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art. 28 Rn. 11; Hartung, in: Kühling / Buchner, DSGVO / BDSG, Art.  28 Rn.  15 ff.; Ingold, in: Sydow, DSGVO, Art. 28 Rn. 31; Kremer, CR  2019, 225 (230); Martini, in: Paal / Pauly, DSGVO / BDSG, Art.  28 Rn.  8a; Schmidt / Freund, ZD 2017, 14 (15); Thomale, in: Eßer / K ramer /  v. Lewinski, Auernhammer DSGVO / BDSG, Art. Rn. 6. 446

§ 5 Grundsätze und Prinzipien des Datenschutzes 

171

durchgeführten – Auftragsverarbeitung kein erhöhtes datenschutzrechtliches Risiko für die Nutzer besteht, dass ihre Nutzerdaten durch einen Dritten anderweitig (weiter)verarbeitet werden. Für die vorliegende Untersuchung, vor allem hinsichtlich der Kategorisierung der Datenverarbeitung, ergeben sich dementsprechend keine großen Unterschiede, ob die Datenverarbeitung durch den Verantwortlichen oder durch einen Auftragsverarbeiter als beauftragten Dritten durchgeführt wird. Bei der ordnungsgemäß durchgeführten Auftragsverarbeitung im Sinne des Art. 28 DSGVO handelt es sich mithin um keine in Sinne dieser Arbeit kategorisierte „Offenlegung an Dritte“ (Kategorie III). Unter der Kategorie der Offenlegung an Dritte ist demgegenüber zu verstehen, dass die Daten an ein anderes Unternehmen weitergeben oder veräußert werden, wobei der Empfänger der offengelegten Daten sich entweder im Konzernverbund befindet (Kategorie III a) oder aber ein vollkommen unabhängiger Dritter (Kategorie III b) sein kann. Liegt also eine Offenlegung der Daten im Sinne dieser Kategorisierung vor, ergibt sich beim Empfänger der Daten eine eigenständige oder eine gemeinsame Verantwortlichkeit. Die Intensität bzw. das datenschutzrechtliche Risiko für die betroffene Person ist bei einer solchen Offenlegung aufgrund des (mit-)verantwortlichen Dritten deutlich höher, als wenn die Daten lediglich beim App-Anbieter verbleiben und eine ordnungsgemäßen Auftragsverarbeitung stattfindet. Die Auftragsverarbeitung bedarf hingegen dann einer näheren Betrachtung, wenn die Daten vom App-Anbieter an einen Auftragsverarbeiter außerhalb der Union versendet werden. In solchen Situationen wird noch zu erörtern sein, ob und unter welchen Voraussetzungen eine solche Datenübermittlung zulässig ist.447 d) Sonderfall: Verantwortlichkeit bei konzerninterner Datenverarbeitung Da in einem Konzernumfeld häufig Kunden-Daten zwischen den einzelnen Unternehmen ausgetauscht werden, ist nach dem oben Erwogenen bei einer derartigen Offenlegung – also einer Datenverarbeitung der Kategorie III a) – in besonderem Maße zwischen alleiniger und gemeinsamer Verantwortlichkeit zu unterscheiden.448 Die Verantwortlichkeit über die Datenverarbeitung hängt (weiterhin) maßgeblich davon ab, welche Entscheidungsspielräume den beteiligten Unternehmen konzernintern verbleiben. Für die Unterscheidung ist also maßgeblich, ob über Zweck und Mittel der Datenverarbeitung gemeinsam oder wechselseitig ergänzend entschieden wird oder ob jeder Verarbeiter alleine über die Verarbeitungsprozesse entscheidet. Ein Konzernprivileg, nach dem eine konzerninterne Datenverarbeitung auch ohne konkreten Erlaubnistatbestand gestattet ist – und insoweit immer

447 448

S. hierzu ausführlich § 7 B. S. o. § 2 B. III. 4. c).

172

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

konzernweite Verantwortlichkeit besteht –, ist in der DSGVO nicht angelegt, so dass jede Offenlegung von Daten gesondert auf ihre Zulässigkeit und die zugrundeliegende Verantwortlichkeit zu prüfen ist.449 Der jeweilige Einzelfall ist hinsichtlich der Entscheidung über die Verantwortlichkeit maßgeblich. Wirken nach der Offenlegung innerhalb des Konzerns mehrere Unternehmen an der Datenverarbeitung mit, müssen zur Bewertung der Verantwortlichkeit die gesamten konzerninternen Datenflüsse und Verarbeitungsvorgänge berücksichtigt und analysiert werden.450 Dabei sind verschiedene Verarbeitungs-Konstellationen denkbar, die jeweils zu einer unterschiedlichen Verant­ wortlichkeit führen. Zunächst ist denkbar, dass verschiedene Unternehmen im Konzern in die Verarbeitungsentscheidung einbezogen werden, um mit arbeitsteiliger Datenverarbeitung übereinstimmende Zwecke zu erreichen. Setzen hierfür die Unternehmen zumindest zum Teil gemeinsame Mittel ein – etwa gemeinsam genutzte Infrastruktur wie gemeinsam genutzte IT-Services –, so liegt in der Regel auch gemeinsame Verantwortlichkeit vor. Keine gemeinsame Verantwortlichkeit ist hingegen gegeben, wenn in einer Unternehmensgruppe die Unternehmen die Datenverarbeitung nach der Offenlegung unabhängig voneinander gestalten. Hat das empfangene Unternehmen sämtliche Entscheidungsgewalt über die Datenverarbeitung, spricht dies im Verhältnis zum Offenlegenden eindeutig für eine jeweils alleinige Verantwortlichkeit.451 Andere Unternehmen, die lediglich unterstützend in die Verarbeitung einbezogen sind und keinen Einfluss auf den Zweck der Verarbeitung haben – etwa die externe IT-Abteilung des Konzerns –, sind auch konzernintern als Auftragsverarbeiter zu bewerten. Messenger-Dienst  B übermittelt die erhobenen Metadaten an ein anderes Unternehmen im Konzern F, welches diese ebenfalls verarbeitet. Die Verantwortlichkeit hängt infolge der Offenlegung davon ab, ob die beiden Datenverarbeiter gemeinsam / wechselseitig über Mittel und Zweck weiterer Verarbeitungsschritte entscheiden. Wird etwa eine auf Marketing spezialisierte Konzerngesellschaft eingeschaltet, die über die Werbenutzung der Daten mitentscheidet, handeln die beiden als gemeinsame Verantwortliche und müssen eine oben beschriebene Vereinbarung nach Art. 26 DSGVO treffen. Findet hingegen nach der Offenlegung an ein Konzernunternehmen eine voneinander (vollständig) getrennte Weiterverarbeitung statt, handeln beide als selbstständig Verantwortliche und sind dementsprechend vollumfänglich für die eigene, nicht jedoch für die Datenverarbeitung des anderen Unternehmens verantwortlich. 449

Lezzi / Oberlin, ZD 2018, 398 (401); Rath / Heins / Éles, CR 2019, 500 (501). Auch bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO kommt dieser keine Privilegierung zu, s. Reif, RDV 2019, 30 (31). 450 Rath / Heins / Éles, CR 2019, 500 (502). 451 So auch Kremer, CR 2019, 225 (228); a. A. Lezzi / Oberlin, ZD 2018, 398 (401), die auch bei der Verfolgung eigener Interesse der einzelnen Unternehmen von einer gemeinsamen Verantwortlichkeit ausgehen.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

173

B. Datenschutzrechtliche Grundsätze Fällt ein personenbezogenes Datum in den Anwendungsbereich der DSGVO, so verpflichtet diese den Verantwortlichen bei der Verarbeitung zur Beachtung der datenschutzrechtlichen Grundsätze. Die allgemeinen Grundsätze der Datenverarbeitung finden sich in Art. 5 DSGVO, der sich als übergeordnete Regelung in Kapitel 2 „Grundsätze“ systematisch auf alle weiteren Normen der DSGVO bezieht. Die Grundsätze des Art. 5 DSGVO greifen die primärrechtlichen Gewährleistungen aus Art. 8 Abs. 2 GRCh auf oder können zumindest aus Art. 8 Abs. 1 GRCh i. V. m. dem Verhältnismäßigkeitsprinzip hergeleitet werden.452 Somit dienen die Grundsätze der Gewährleistung der grundrechtlich verbrieften informationellen Selbstbestimmung bzw. des Datenschutzgrundrechts der von der Datenverarbeitung betroffenen Personen.453 Art. 5 DSGVO entspricht hierbei weitestgehend den zuvor gültigen, sekundärrechtlich verankerten Prinzipien in Art. 6 der Datenschutz-Richtlinie 95/46/EG.454 Die Grundsätze des Datenschutzes prägen als fundamentale Regelungen die folgenden Vorschriften der DSGVO, bilden Leitlinien für die Auslegung der Verordnung und dürfen aufgrund ihrer grundrechtlichen Herkunft nicht in ihrem Wesensgehalt unterlaufen werden.455 Die statuierten Grundsätze müssen bei jedweder Datenverarbeitung kumulativ beachtet werden, was der EuGH schon zur Vorgängerregelung bestätigt hatte.456 Im Unterschied zur Datenschutz-Richtlinie haben die Grundsätze der DSGVO jedoch als Bestandteil der unmittelbar anwendbaren Verordnung eine verbindliche, verpflichtende Geltung bei jeder Datenverarbeitung. Sie bilden somit eine unmittelbar geltende, objektive Ordnung für die jeweilige Datenverarbeitung.457 Die Anforderungen verpflichten den für die Datenverarbeitung Verantwortlichen. Dieser muss bei der Verarbeitung die Einhaltung der Grundsätze sicherstellen und diese im Rahmen einer Rechenschaftspflicht auch Dritten gegenüber nachweisen können, vgl. Art. 5 Abs. 2 DSGVO. Diese Rechenschaftspflicht verdeutlicht gleichzeitig nochmals, dass die Grundsätze in Art. 5 DSGVO keine rein symbolischen Zielregelungen darstellen, sondern vielmehr konkret wirksam sind.458 452

Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  28; Schantz, NJW 2016, 1841 (1843). 453 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  3; Roßnagel, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 5 Rn. 3, 20. 454 Kugelmann, DuD 2016, 566 (567). Im Einzelnen wird folgend auf ggf. auftretende, für die Arbeit relevante Unterschiede eingegangen. 455 Roßnagel, ZD 2018, 339 (342 f.); ders., in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 20, 26 ff. Die folgenden Vorschriften der DSGVO konkretisieren dabei die Grundsätze in spezifischen Zusammenhängen. 456 EuGH, Urt. v. 13. 4. 2014, C-131/12, Rn. 71 – Google Spain. 457 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  1; Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  1; Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 23 f.; Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  1. 458 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 5 Rn. 2, 6.

174

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Im folgenden Unterkapitel soll herausgearbeitet werden, ob und wie diese Grundsätze in einen Einklang mit datenfinanzierten Angeboten gebracht werden können, bei denen das auf Big Data basierende „Datensammeln“ der maßgebliche Vertragszweck ist. Nach diesem Geschäftsmodell sollen gerade möglichst viele Nutzerdaten erhoben und gespeichert werden, um sie später – in möglicherweise ganz anderem Zusammenhang – für eine Daten-Analyse zu verwenden. Ein solches Vorgehen mit vielfältigen, zum Teil sehr tiefgreifenden Datenverarbeitungen scheint im offenen Widerspruch zu den Grundsätzen zu stehen. Denn bei diesen soll etwa nach dem Grundsatz der Zweckbindung erreicht werden, dass die Daten nur zu den bei der Datenerhebung bewilligten Zwecken verwendet werden. Auch steht eine „uferlose“ Daten-Sammlung potentiell im Konflikt zur zwingenden Datensparsamkeit, Erforderlichkeit und Transparenz der Datenverarbeitung. Auf die einzelnen in Art. 5 DSGVO normierten Grundsätze soll daher nachfolgend nacheinander eingegangen werden, beginnend mit den Grundsätzen der Rechtmäßigkeit und Transparenz (I.), der Zweckbindung (II.), Datensparsamkeit (III.), gefolgt von einer kurzen Behandlung der Grundsätze der Richtigkeit, Speicherbegrenzung und Integrität / Vertraulichkeit (IV.). Bei der Analyse werden aufkommende Problematiken in Bezug auf datenfinanzierte Angebote jeweils vertieft berücksichtigt. I. Rechtmäßigkeit und Transparenz Die Aufzählung der Grundsätze beginnt in Art. 5 Abs. 1 lit. a) DSGVO mit drei einzelnen, miteinander in Verbindung stehenden Anforderungen an die Verarbeitung personenbezogener Daten. Danach müssen diese auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Es werden mithin in lit. a) der Grundsatz der Rechtmäßigkeit, die Verpflichtung zur Datenverarbeitung nach dem Grundsatz von Treu und Glauben sowie das Transparenzgebot normiert. Das enge Verhältnis der normierten Grundsätze ergibt sich schon daraus, dass die Rechtmäßigkeit eine Grundvoraussetzung für eine Verarbeitung nach Treu und Glauben und für die Transparenz darstellt, gleichzeitig aber Transparenz sowie Treu und Glauben selbst als Rechtmäßigkeitsanforderungen bewertet werden können.459 1. Der Grundsatz der Rechtmäßigkeit Jede Verarbeitung personenbezogener Daten muss zunächst gem. Art. 5 Abs. 1 lit. a) Var. 1 DSGVO auf rechtmäßige Weise stattfinden. Diese Anforderung wird in Erwägungsgrund 39 S. 1 noch einmal ohne vertiefende Ergänzung wiederholt. 459

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  13.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

175

Die Bedeutung des Grundsatzes wird schon aufgrund der Festlegung als erster Grundsatz in Art. 5 Abs. 1 DSGVO deutlich.460 Denn die Anforderung der Rechtmäßigkeit ergibt sich bereits direkt primärrechtlich aus Art. 8 Abs. 2 S. 1 GRCh, wonach eine rechtmäßige Verarbeitung personenbezogener Daten mit einer Einwilligung der betroffenen Person oder durch sonstige Rechtsgrundlage erfolgen muss. Diese Rechtsgrundlage muss danach klar, präzise und in ihrem Anwendungsbereich vorhersehbar sein.461 Die tauglichen Rechtsgrundlagen der DSGVO sind in Art. 6 Abs. 1 DSGVO konkretisiert, wonach eine Datenverarbeitung auf einer Einwilligung oder fünf sonstigen gesetzlichen Erlaubnistatbeständen zur Verarbeitung beruhen kann. Dies greift direkt die Vorgabe aus Art. 8 Abs. 2 GRCh auf, der die Einwilligung dabei gesondert herausstellt. Eine solche Rechtsgrundlage kann sich neben der DSGVO auch aus sonstigem Unionsrecht bzw. Recht der Mitgliedstaaten ergeben, soweit die DSGVO hierauf Bezug nimmt, vgl. Art. 6 Abs. 3 DSGVO.462 Die Möglichkeit der Mitgliedstaaten zur Schaffung selbstständiger Rechtgrundlagen bezieht sich jedoch vornehmlich auf den öffentlichen Bereich, was insoweit für diese Arbeit keine tiefere Bedeutung hat.463 Die Einwilligung und die sonstigen Erlaubnistatbestände aus Art. 6 DSGVO – vor allem ihre Voraussetzungen sowie die Aktualität und Praktikabilität des Einwilligungskonzepts bei datenfinanzierten Angeboten  – werden im folgenden Kapitel näher thematisiert.464 Bei einem Datentransfer ins Ausland werden die Anforderungen an die Rechtmäßigkeit der Datenverarbeitung im Übrigen um die Voraussetzungen der Art. 44 ff. DSGVO konkretisiert, welche ebenfalls an späterer Stelle tiefer aufgeschlüsselt werden.465 2. Der Grundsatz der Transparenz Nach dem Grundsatz der Transparenz müssen personenbezogene Daten in einer für die betroffenen Personen nachvollziehbaren (d. h. transparenten) Weise verarbeitet werden, vgl. Art. 5 Abs. 1 lit. a) Var. 3 DSGVO. Der Grundsatz gewährleis 460

Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 Rn. 8. EuGH, Urt. v. 20. 5. 2003, Rs. C-465/00, Rn. 77 – Österreichischer Rundfunk. 462 Diese Anforderung greift auch DSGVO ErwG 40 auf, wonach personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden müssen, die sich aus der DSGVO oder dem sonstigen Unionsrecht oder Recht der Mitgliedstaaten ergeben. ErwG 40 spricht insoweit eher für ein „enges Verständnis“ des Begriffs der Rechtmäßigkeit in Art. 5 DSGVO, welches sich lediglich auf die Notwendigkeit einer Rechtsgrundlage und nicht auf zusätzliche materielle Rechtmäßigkeitsanforderungen stützt, vgl. hierzu vertiefend etwa Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn. 8 ff.; Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  9 ff. m. w. N. 463 Die Öffnungsklauseln sind in Art. 85 ff. DSGVO normiert. 464 S. § 6. 465 S. § 7. 461

176

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

tet umfassende Informationen und Informationsmaßnahmen über die Verarbeitung der personenbezogenen Daten, damit die betroffene Person die Verarbeitung wahrnehmen und hierauf reagieren kann.466 Die Vorgaben an die Transparenz der Verarbeitung werden in Art. 12–15 DSGVO näher ausgestaltet und präzisiert, wobei der Grundsatz in Art. 5 DSGVO für deren Auslegung und Anwendung wiederum den Maßstab bildet.467 Art. 12 Abs. 1 DSGVO normiert dabei Transparenzvorgaben für die Unterrichtung der betroffenen Personen, während Art. 13 und 14 DSGVO die einzelnen Informationspflichten auflisten. Transparenz kann darüber hinaus über datenschutzgerechte Systemgestaltung und datenschutzfreundliche Voreinstellungen gewährleistet werden, vgl. Art. 25 Abs. 1, 2 DSGVO.468 Primärrechtlich wird das Transparenzgebot nicht ausdrücklich in Art. 8 GRCh erwähnt. Allerdings wird das vom Grundsatz der Transparenz mitumfasstes Auskunftsrecht der betroffenen Personen in Art. 8 Abs. 2 S. 2 GRCh abgesichert. Da dem Auskunftsrecht der Grundgedanke der Transparenz bereits immanent ist, gilt die grundrechtliche Fundierung mithin auch für die anderen Teile des Grundsatzes der Transparenz implizit.469 a) Inhaltliche Ausgestaltung Der Grundsatz der Transparenz hat zwei Zielrichtungen. Er verpflichtet zunächst zur Transparenz über die bevorstehende Verarbeitung zum Zeitpunkt der Datenerhebung. Im Anschluss gewährt der Grundsatz Bestätigungs- und Auskunftsansprüche über die bereits erfolgte Datenverarbeitung. Zur inhaltlichen Ausgestaltung des Transparenzgrundsatzes zum Zeitpunkt der Datenerhebung gibt Erwägungsgrund 39 S. 2 nähere Auskünfte. Danach soll Transparenz dahingehend bestehen, wie und in welchem Umfang personenbezogene Daten zum Zeitpunkt der Erhebung und künftig erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden. Es bestehen also bereits vor der Datenerhebung gewisse Transparenzpflichten und es soll Transparenz über das „Wie“ der Datenverarbeitung geschaffen werden.470 Das Transparenzgebot muss darüber hinaus den Zusammenhang zwischen den verschiedenen Elementen innerhalb der Datenverarbeitung herstellen, so dass im Detail über das „wer, wie, wann und warum“ der Verarbeitung informiert wird.471 Diese Vorgabe wird in Erwägungsgrund 39 S. 4 aufgegriffen, wonach die Transparenz zur Aufdeckung bestimmter Vorgänge der Datenverarbeitung verpflichtet, insbesondere hinsichtlich der Informationen über die Identität des Verantwortlichen, die Zwecke der Verarbeitung und 466

So allgemein zur Transparenz bereits BVerfGE 65, 1 (46, 59) – Volkszählung. Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  22. 468 S. hierzu vertiefend § 5 B. III. 2. 469 So auch Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  49. 470 Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  16. 471 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  21. 467

§ 5 Grundsätze und Prinzipien des Datenschutzes 

177

sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten. Den betroffenen Personen stehen ferner die (nachträglich) Bestätigungs- und Auskunftsmöglichkeiten darüber offen, welche der sie betreffenden personenbezogenen Daten verarbeitet werden.472 Dieser Teil des Transparenzgrundsatzes betrifft somit vornehmlich die Aufklärung über bereits durchgeführte Datenverarbeitungen. Laut Erwägungsgrund 39 S. 5 sollen betroffene Personen über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und über die Geltendmachung dieser bestehenden Rechte aufgeklärt werden. Diese Pflichten schlagen sich in einem (nachträglichen) Auskunftsanspruch der betroffenen Personen über die stattgefundene Datenverarbeitung nach Art. 15 DSGVO sowie in Löschungs- und Berichtigungsrechten nach Art. 16 ff. DSGVO nieder. Formell sind für alle Transparenzaspekte die erforderlichen Informationen zur Datenverarbeitung präzise, leicht zugänglich, verständlich und in klarer und einfacher Sprache abzufassen.473 Aufgrund dieser Kriterien sind für die Transparenz nur solche Informationen relevant, die der betroffenen Person situationsgerecht auch konkret helfen und zu keiner Überflutung an Informationen führen.474 Art. 12 Abs. 1 DSGVO greift diese Vorgabe des Transparenzgebots auf und verpflichtet den Datenverarbeiter zu einer leichten Zugänglichkeit der Informationen aus Art. 13 und 14 DSGVO.475 b) Konflikt mit Big Data Über das Prinzip der Transparenz soll betroffenen Personen ermöglicht werden, mit dem Wissen über die Verarbeitung ihrer personenbezogenen Daten frei und selbstbestimmt gegenüber dem Datenverarbeiter handeln und kommunizieren zu können. Nur durch die Kenntnis, welche Daten in welchem Umfang zu welchem Zweck verwendet werden, kann die betroffene Person das Ausmaß und den Wesensgehalt der erhobenen Daten einschätzen und selbstbestimmt über die Wahrnehmung seiner Rechte entscheiden.476 Bei Big Data-Analysen ist die Datenverarbeitung allerdings grundsätzlich intransparent, da sich der maßgebliche Zweck von Big Data darin niederschlägt, 472

Vgl. DSGVO ErwG 39 S. 4 Hs. 2. Vgl. DSGVO ErwG 39 S. 3, 58 S. 1. 474 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 60. So soll das Transparenzgebot etwa über den konkreten Inhalt einer Einwilligung aufklären oder die betroffene Person über sonstige zulässige Datenverarbeitungen informieren, s. auch § 6 B. II. 3. b). 475 Breyer, DuD 2018, 311 (312). Dies erfolgt in Form einer Bringschuld für den Datenverarbeiter. 476 Vgl. bereits § 4 C. III. So auch Raabe / Wagner, DuD 2016, 434 (436). 473

178

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

möglichst neue Informationen aus den bisherigen Datenbeständen zu gewinnen. Selbst der die Analyse durchführende Datenverarbeiter weiß oft nicht, auf welche Daten der Analyse-Algorithmus zugreift, und selbst bei bestehender Kenntnis sind die Datenmengen in der Regel zu groß, um alle betroffenen Personen zu informieren.477 Zum Zeitpunkt der Datenerhebung werden dem Datenverarbeiter beim BigData-Einsatz daher die Zwecke und Kontexte der nachfolgenden Auswertungen noch unbekannt sein. Dies schränkt die zu diesem Zeitpunkt erforderliche Transparenz ein, da der Datenverarbeiter über unbekannte Ergebnisse nur schwerlich informieren kann.478 Der Datenverarbeiter kann die betroffene Person insoweit nur darüber aufklären, dass alle ihn betreffenden Daten gespeichert und für vielfältige, unbekannte Zwecke verwendet werden. Ob sich dies mit dem Grundsatz einer transparenten Datenerhebung vereinbaren lässt, erscheint vor allem vor der Voraussetzung einer „klaren und verständlichen“ Information der betroffenen Person zumindest äußerst fragwürdig. 3. Treu und Glauben Aus Art. 5 Abs. 1 lit. a) DSGVO ergibt sich durch Variante 2 ein weiterer Grundsatz, der zur Verarbeitung personenbezogener Daten nach Treu und Glauben verpflichtet. Auch dieser Grundsatz greift direkt die primärrechtliche Vorgabe aus Art. 8 Abs. 2 S. 1 GRCh auf. Somit finden die Wertungen der Grundrechte-Charta Eingang in die Auslegung des Grundsatzes.479 Der Grundsatz von Treu und Glauben ist daher nicht nach dem in der deutschen Rechtstradition entwickelten Verständnis von Treu und Glauben zu verstehen, auf welches aufgrund der Autonomie und des Vorrangs des Unionsrechts ohnehin nicht zu rekurrieren ist.480 Vielmehr gewährleistet der Grundsatz inhaltlich eine „faire“ Verarbeitung der personenbezogenen Daten.481 Wie schon die Rechtmäßigkeit wird diese Anforderung nach fairer Verarbeitung in Erwägungsgrund 39 S. 1 nicht näher spezifiziert, sondern lediglich wiederholt. Der Anforderung nach einer fairen Verarbeitung bleibt begrifflich sehr offen und unpräzise, da laut den Erwägungsgründen die Fairness als Verhinderung einer unzulässigen Rechtsausübung zu verstehen ist. Dies stellt selbst wiederum keine präzise Eingrenzung des Begriffs „Fairness“ dar. Es knüpfen allerdings die Erwägungsgründe 47 S. 1 und 50 S. 6 an das Verständnis der fairen Verarbeitung an. Diese verdeutlichen für eine (Weiter-)Verarbeitung perso 477

Roßnagel, ZD 2013, 562 (563). Raabe / Wagner, DuD 2016, 434 (436). 479 Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  14. 480 So übereinstimmend Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 Rn. 9; Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  13; Jaspers / Schwartmann / Hermann, in: Schwart­mann / Jaspers / Thüsing / Kugelmann, DSGVO / BDSG, Art.  5 Rn.  26 f.; Voigt, in: Taeger /  Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  13. 481 Diese Auslegung ergibt sich v. a. aus der englischen Sprachfassung, die hier den Begriff „fairly“ verwendet, der im deutschen Normtext etwa in Art. 13 und 14 aufgegriffen wird. 478

§ 5 Grundsätze und Prinzipien des Datenschutzes 

179

nenbezogener Daten, dass die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen sind. Hierzu gehört, dass die Verarbeitung in zulässiger Weise erfolgt und der betroffenen Person keine unerwartbaren Nachteile erwachsen. Der Grundsatz verbietet also eine unzulässige Rechtsausübung des Datenverarbeiters zum Nachteil der betroffenen Person und steht damit in einem engen Verhältnis zum Grundsatz der Rechtmäßigkeit.482 Das Gebot der fairen Verarbeitung zielt ferner darauf ab, eine heimliche Verarbeitung der Daten zu verhindern. Es ergibt sich damit ebenfalls ein enges Zusammenspiel zum Transparenzgebot.483 Insoweit ist der Grundsatz eher als Auffangtatbestand zu verstehen und erfasst solche Situationen, die von den Grundsätzen der Rechtmäßigkeit und Transparenz nicht bereits abgedeckt werden.484 Herbst präzisiert den verbleibenden Anwendungsbereich prägnant. Der Grundsatz greife, wenn die Verarbeitungssituation dem in der DSGVO „etablierten Gesamtbild des Kräfteverhältnisses zwischen der betroffenen Person und dem Datenverarbeiter widerspricht“.485 Der Anwendungsbereich dürfte neben den anderen, noch zu erörternden Grundsätzen allerdings eher gering ausfallen. 4. Die Folgen für datenfinanzierte Angebote Was bedeuten diese Ausführungen zu den Grundsätzen der Rechtmäßigkeit, Transparenz sowie Treu und Glauben für datenfinanzierte Angebote? Zunächst gerät der Grundsatz der Rechtmäßigkeit durch technischen Fortschritt und die (Weiter-)Verarbeitungsmöglichkeiten der Daten unter Druck, da jede einzelne dieser vielfältigen, zum Teil automatisch durchgeführten Datenverarbeitungen nach diesem Grundsatz für sich genommen eines Rechtmäßigkeitstatbestands bedarf. Im nachfolgenden Kapitel über die verschiedenen Möglichkeiten rechtmäßiger Datenverarbeitungen ist zu untersuchen, inwieweit sich für datenfinanzierte Angebote geeignete Tatbestände für eine rechtmäßige Datenverarbeitung finden lassen.486 Gerade hinsichtlich der Weiterleitung der Daten an verschiedene Dritte ist zu berücksichtigen, ob die Einwilligung als maßgebliches Instrument zur Rechtfertigung von Datenverarbeitungen im App-Kontext noch praktikabel ist. Für die Bewertung des Transparenzgebots lässt sich in Bezug auf datenfinanzierte Angebote die generell geäußerte Kritik für Big Data-Analysen nicht vollständig auf solche Angebote übertragen. Bei der einzelnen Datenerhebung durch 482

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  13. EuGH, Urt. v. 1. 10. 2015, Rs. C-201/14, Rn. 34; s. auch Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 Rn. 10. 484 So auch Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  20; Herbst, in: Kühling /  Buchner, DSGVO / BDSG, Art. 5 Rn. 17; Kramer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art.  5 Rn.  8–10. 485 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  17. 486 S. § 6. 483

180

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

datenfinanzierte Angebote lässt sich nicht feststellen, dass die Datenmenge hier generell so groß oder deren Verwendung so undurchsichtig ist, dass hierüber nicht mehr transparent informiert werden kann. Ein solches Problem kann sich in Fällen ergeben, in denen die Verarbeitungsvorgänge oder die Datennutzung sehr komplex ausfallen. Hierzu kommt es vor allem bei einer Verarbeitung der Kategorie II, wenn massiv Daten kumuliert und aggregiert werden. Bei derart komplexen Datenverarbeitungen fällt es schwererer, die Verarbeitung für den Nutzer vollständig und verständlich transparent zu machen.487 Gerade wenn der Anbieter die Daten zusätzlich an Dritte offengelegt (Verarbeitung der Kategorie III), erhöht sich diese Gefahr nochmals. Denn je nach Größe der hierdurch entstehenden kumulierten Datensätze und der Vielzahl von Datenverarbeitern desto näher liegt die Datenverarbeitung an der einer „klassischen“ Big Data-Analyse. In diesen Situationen fällt die Gewährung von Transparenz zunehmend komplizierter aus und es besteht aufgrund der Komplexität ferner die Schwierigkeit, dem Nutzer klare und sprachlich verständliche Informationen über die Verarbeitung zu gewähren. Bei datenfinanzierten Angeboten ergibt sich darüber hinaus ein weiteres Problem, die Transparenz der Verarbeitung sicherzustellen. Denn zahlreiche Apps dienen dem Nutzer – wie bereits bei der Datennutzung datenfinanzierter Angebote dargestellt488 – in ihrer Nutzung häufig sehr singulären Zwecken und eine App dient zumeist lediglich der Nutzung in einem einzelnen Lebensbereich. Dementsprechend verwenden Nutzer häufig eine Vielzahl verschiedener Apps, um verschiedene Funktionsbereiche abzudecken, und innerhalb dieser finden sehr unterschiedliche Datenverarbeitungsprozesse statt. Deren schiere Anzahl übersteigt häufig die mögliche Aufmerksamkeit des Nutzers, die dieser den – für sich genommen als marginal wahrgenommenen – Datenverarbeitungen der einzelnen Apps entgegenbringen kann, um ein Vielfaches. Die Vielzahl an Datenverarbeitungen führt also zu einer Marginalisierung der einzelnen Verarbeitungen und es ergeben sich Schwierigkeiten, eine transparente und effektive Übersicht über die einzelnen Datenverarbeitungsprozesse zu behalten.489 Demgegenüber ist der Grundsatz von Treu und Glauben durch seine eher geringe Steuerungsfunktion490 und den Auffangcharakter durch die technische Entwicklung bei datengetriebenen Geschäftsmodellen nicht vertieft betroffen. Der Grundsatz bezieht sich eher auf einzelne Verarbeitungsvorgänge, die auf ihre Fairness zu überprüfen sind, als dass ein ganzes Geschäftsmodell hierdurch generell infrage gestellt wird. Auch ist nicht erkennbar, dass einer der kategorisierten Verarbeitungsvorgänge bei datenfinanzierten Angeboten – unabhängig der konkreten Ausgestaltung – als generell „unfair“ gegenüber dem Nutzer zu bewerten ist.

487

Vgl. hierzu auch DSGVO ErwG 58 S. 3. S. o. § 2 B. II. 1. b). 489 Ähnlich Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  62. 490 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  48. 488

§ 5 Grundsätze und Prinzipien des Datenschutzes 

181

Alle drei Grundsätze haben für sich genommen eine eher abstrakte Wirkung. Daher fällt ihre Wirkung bezüglich der datenschutzrechtlichen Bewertung der einzelnen App zumeist eher indirekt aus. Es muss an späterer Stelle überprüft werden, wie sich die Grundsätze der Rechtmäßigkeit und Transparenz durch die vertiefenden, präzisierenden Regelungen in Art. 6 bzw. Art. 12–15 DSGVO auf datenfinanzierte Angebote auswirken. Erst hierüber lässt sich schlussendlich feststellen, ob sich die Datenverarbeitung in datenfinanzierten Angeboten mit diesen Grundsätzen in Einklang zu bringen lässt. II. Der Grundsatz der Zweckbindung Der Grundsatz der Zweckbindung knüpft die Verarbeitung personenbezogener Daten an einen vorher festzulegenden Zweck. Abstrakt wird der Datenverarbeiter nach diesem Grundsatz verpflichtet, schon bei der Erhebung personenbezogener Daten die Zwecke der Datenverarbeitung festzulegen und jede nachfolgende Verarbeitung nur zu ebenjenen festgelegten Zwecken durchzuführen. Es soll hierdurch dem Umstand Rechnung getragen werden, dass die Daten nicht unabhängig von ihrer ursprünglichen Erhebung in einem geänderten Kontext weiterverarbeitet und genutzt werden können.491 Der Grundsatz stellt durch die Bindung der Verarbeitung an den ursprünglichen Verarbeitungszweck die grundrechtlich verbuchte informationelle Selbstbestimmung der betroffenen Person als wesentliches Instrument sicher. Die Zweckbindung ist dabei direkter Ausfluss aus Art. 8 Abs. 2 S. 1 GRCh, nach dem die Daten nur für „festgelegte Zwecke“ verarbeitet werden dürfen.492 Gleichzeitig beschränkt eine enge Zweckbindung aber auch die Grundrechte (privater) Datenverarbeiter, da sie hierdurch in ihrer Datenverarbeitung beschränkt werden.493 Die Zweckbindung wird in der Literatur überwiegend als der wichtigste bzw. zentrale Grundsatz des Datenschutzrechts eingeordnet. Denn die der Zweckbindung immanente Festlegung auf einen Verarbeitungszweck hat direkte Auswirkungen auf viele maßgebliche Indikatoren der datenschutzrechtlichen Bewertung wie die Erforderlichkeit, die Angemessenheit, die Vollständigkeit und die Dauer der Datenverarbeitung.494

491

Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  22. Auch in der deutschen Verfassungstradition ist der Grundsatz der Zweckbindung bereits seit dem Volkzählungsurteil grundrechtlich verankert, vgl. BVerfGE 65, 1 (46, 51) – Volkszählung. Später wird der Grundsatz auch in BVerfGE 100, 313 (360 f.); 109, 279 (375 ff.); 110, 33 (69); 115, 320 (350); 118, 168 (187 f.); 130, 1 (33 f.) sowie 133, 277 (323 f.) bekräftigt. 493 Eichenhofer, PinG 2017, 135 (137). 494 Vgl. etwa Dammann, ZD 2016, 307 (311); Kramer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art. 5 Rn. 16; Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn. 21; Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  63. 492

182

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

1. Die Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO In der DSGVO ist der Grundsatz der Zweckbindung in Art. 5 Abs. 1 lit. b) DSGVO normiert und gleicht vom Wortlaut im Wesentlichen der Vorgängervorschrift in Art. 6 Abs. 1 lit. b) der Datenschutzrichtlinie 95/46/EG. Nach der Zweckbindung müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Der Zweck der Datenverarbeitung wird definiert als der Zustand, der das Ziel und den Grund der Verarbeitung benennt und durch die Verarbeitung erreicht werden soll.495 Es wird somit die Frage des „Wozu“ einer Datenverarbeitung beantwortet und diese als rechtlicher Anknüpfungspunkt verwendet.496 Das Prinzip der Zweckbindung ist wie die anderen allgemeinen Grundsätze für alle folgenden Vorschriften der DSGVO bindend und somit systematisch „vor die Klammer“ gezogen.497 Auf die Zwecke der Verarbeitung nehmen nachfolgend viele Regelungen Bezug, etwa die Erlaubnistatbestände in Art. 6 DSGVO und die Transparenzvorschriften in Art. 12–15 DSGVO. a) Voraussetzungen an eine zweckgebundene Datenverarbeitung Die Zweckbindung der DSGVO stellt drei Anforderungen an die Datenverarbeitung: Bereits bei der Erhebung der personenbezogenen Daten müssen die Zwecke der Datenverarbeitung legitim, eindeutig und festgelegt sein. Zeitlicher Anknüpfungspunkt ist bei der Zweckbindung mithin bereits die Erhebung der Daten.498 aa) Festlegung des Zwecks Die „Festlegung“ auf einen (oder mehrere) Zweck(e) stellt die erste Voraussetzung dar, wonach der Zweck spätestens zum Zeitpunkt der Erhebung feststehen muss und sich dementsprechend eine Datenerhebung zu noch unbekannten Zwecken verbietet.499 Eine bestimmte Form der Festlegung ist nicht gesetzlich vorgeschrieben und der Zweck kann sich auch aus einem Rückgriff auf den bisherigen, den erwartbaren oder den üblichen Kontext der Verarbeitung erschließen.500 Zur 495

Grundsätzlich hierzu Hoffmann, Zweckbindung, S. 28, 31 f. und 83. Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  68 f. 497 Im Gegensatz dazu fand sich die Zweckbindung nach dem BDSG a. F. nicht als allgemeine Vorschriften, sondern stellte eine der Voraussetzungen der einzelnen gesetzlichen Erlaubnistatbestände zur Datenverarbeitung dar, vgl. § 4 BDSG a. F. 498 Vgl. auch DSGVO ErwG 39 S. 6. 499 Schantz, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 5 Rn. 13 f.; Voigt, in: Taeger /  Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  23. 500 Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  23. 496

§ 5 Grundsätze und Prinzipien des Datenschutzes 

183

Sicherstellung einer ordnungsgemäßen Festlegung, die für die betroffene Person erkennbar ist, bietet sich allerdings die schriftliche Fixierung des Zweckes an – allein schon, um den Anforderungen der Transparenz Genüge zu tun.501 bb) Eindeutigkeit des Zwecks Mit der „Eindeutigkeit“ als zweiter Voraussetzung wird die Festlegung der Zwecke ergänzt und materiell ausgestaltet. Der durch den Verantwortlichen festgelegte Zweck muss danach hinreichend konkret bestimmt sein und so klar zum Ausdruck kommen, dass Zweifel an diesem ausgeschlossen sind.502 Gleichwohl schließt der Begriff der Eindeutigkeit keine Mehrheit von Zwecken aus.503 Der Zweck kann dabei durchaus mit einem unbestimmten Begriff beschrieben werden, solange dieser im Einzelfall den nötigen Detailgrad zur Bestimmbarkeit aufweist.504 Eine Datenerhebung für abstrakte und allgemeine Zwecke oder eine Erhebung lediglich auf Vorrat ist hingegen nicht mit der Eindeutigkeit vereinbar.505 Beispielhaft stellt eine allgemeine Angabe wie „für Marketingzwecke“ oder „zur Sicherung der Kundenzufriedenheit“ mangels notwendiger Detailtiefe keinen hinreichend deutlichen Zweck dar.506 Für eine Eindeutigkeit des Zweckes reicht folglich auch eine generelle Erhebung und Speicherung für „spätere Big DataAnalysen“ ohne genauere Spezifizierung nicht aus. Eindeutig genug erschiene hingegen die Darstellung der konkreten Marketingmaßnahmen, für die die Daten genutzt werden. Stellt Navigations-App A bei der Datenerhebung darauf ab, dass die Such-Anfragen des Nutzers (neben der konkreten Navigation) auch zum Vorschlag vergleichbarer Ergebnisse genutzt werden – etwa konkret zur „Darstellung alternativer Angebote“ bei der Suche nach einem Restaurant – läge hierin wohl ein hinreichend eindeutiger Zweck.

Die Eindeutigkeit und die Festlegung des Zweckes stehen in Wechselwirkung zu anderen Grundsätzen des Datenschutzrechts.507 Die betroffene Person kann durch den immanenten Informationscharakter einer eindeutig festgelegten Zweckbestimmung die Zielrichtung der Datenverarbeitung erkennen, weshalb die Anforderungen gleichzeitig – in Ergänzung zu Art. 5 Abs. 1 lit. a) DSGVO – der Transparenz dienen. Auch der nachfolgend erörterte Grundsatz der Datenminimierung setzt am Zweck der Datenverarbeitung an und wird mithin durch einen eindeutig festgelegten Zweck vereinfacht. 501

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  27. Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  27; Kramer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art. 5 Rn. 19; Monreal, ZD 2016, 507 (509). 503 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  36. 504 Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  24. 505 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  72. 506 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 Rn. 14; Roßnagel, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 5 Rn. 88 m. w. N. 507 Vertiefend Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 80 m. w. N. 502

184

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

cc) Legitimität des Zwecks Als dritte Voraussetzung muss der Zweck der Datenerhebung „legitim“ sein. Hinsichtlich dieser Voraussetzung hat sich in der DSGVO der Wortlaut zu Art. 6 der Richtlinie 95/46/EG geändert, nach der die Daten für „rechtmäßige“ Zwecke erhoben werden mussten. Diese Änderung hat jedoch eher redaktionellen Charakter und funktional sind die beiden Begriffe als gleichwertig zu betrachten.508 So erwähnt auch Erwägungsgrund 39 S. 6 weiterhin die „rechtmäßigen“ Zwecke der Verarbeitung und die textliche Fassung ist in der englischen und französischen Version der DSGVO unverändert geblieben. Inhaltlich verlangt die Erhebung zu legitimen Zwecken, dass bei festgelegtem und eindeutigem Zweck der Datenerhebung eine einschlägige Rechtsgrundlage zur Verarbeitung existiert.509 Die betroffene Person muss also entweder einwilligen oder es muss ein sonstiger gesetzlicher Tatbestand für eine rechtmäßige Datenverarbeitung vorliegen. Wie schon der Grundsatz der Rechtmäßigkeit knüpft dieser Teil der Zweckbindung maßgeblich an Art. 6 DSGVO an. Im Unterscheid zum allgemeinen Grundsatz der Rechtmäßigkeit, der wie oben dargestellt auf die allgemeine Vereinbarkeit mit Art. 6 DSGVO abstellt, kommt es für eine legitime Datenerhebung darauf an, dass gerade der festgelegte Zweck für eine rechtmäßige Datenverarbeitung zulässig ist. Der Zweck darf also auch nicht im Konflikt zu anderen Rechtsnormen – etwa dem Verbraucherrecht – stehen.510 Hinsichtlich der Legitimität des Zwecks wird an späterer Stelle zu untersuchen sein, ob die jeweilige Datenverarbeitung innerhalb von datenfinanzierten Angeboten infolge einer Einwilligung oder einer sonstigen gesetzlichen Rechtfertigung aus Art. 6 DSGVO zulässig ist.511 Eine Unvereinbarkeit mit sonstigen Rechtsnormen ist jedenfalls per se nicht zu erkennen.512 b) Die Zweckbindung bei der Weiterverarbeitung Eine Weiterverarbeitung der Daten darf gemäß Art. 5 Abs. 1 lit. b)  DSGVO nur in einer mit den bei der Erhebung festgelegten Zwecken zu vereinbarenden Weise stattfinden. Der bei der Datenerhebung festgelegt Zwecke wird als der Pri 508

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  28. Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  28. 510 Monreal, ZD 2016, 507 (509); Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn. 37. 511 Diese Frage stellt sich insoweit auch für die anderen Kategorien der Datenverarbeitung und wird im folgenden Kapitel näher untersucht, s. § 6. 512 Hier sei wiederum darauf verwiesen, dass einzelne datenfinanzierte Angebote selbstredend in Konflikt mit anderen Rechtsnorm stehen können. Im Rahmen dieser Arbeit wird – wie bereits in § 3 C. dargelegt – aber gerade eine abstrakte Analyse und nicht die Rechtmäßigkeitsprüfung konkreter Apps durchgeführt. 509

§ 5 Grundsätze und Prinzipien des Datenschutzes 

185

märzweck bezeichnet und erstreckt sich auf alle nachfolgenden Verarbeitungsschritte.513 Der Zweck zum Erhebungszeitpunkt beeinflusst also auch den weiteren Umgang mit den Daten.514 Die Zweckbindung umfasst alle (Weiter-)Verarbeitungsschritte und dauert bis zur Zweckerfüllung an, d. h. der Erreichung des jeweiligen festgelegten Zwecks.515 Anhand des Primärzwecks ist festzustellen, welche Weiterverarbeitung mit diesem noch vereinbar ist. Durch den Bezug auf den Primärzweck soll gewährleistet werden, dass die Daten der betroffenen Person nicht für Zwecke verarbeitet werden, die dieser bei der Erhebung nicht ersichtlich waren.516 Insoweit spiegelt sich hier der Grundgedanke, dass eine betroffene Person einen Überblick über bei anderen vorhandenen Daten über die eigene Person behält und bestimmen kann, wem welche Informationen preisgegeben werden.517 Es besteht mithin ein Verbot von nicht mit dem Primärzweck vereinbaren Verarbeitungen, die zu einer Zweckänderung führen. Die Zulässigkeit einer Weiterverarbeitung richtet sich jeweils anhand des Einzelfalles danach, ob sie mit dem Primärzweck vereinbar ist.518 Besteht eine Vereinbarkeit mit dem Primärzweck, so bedarf die Datenverarbeitung auch keiner neuen Rechtsgrundlage, da diese Weiterverarbeitung bereits von der bestehenden Rechtsgrundlage gedeckt ist.519 Mit der Zweckbindung bei der Weiterverarbeitung soll in der DSGVO also eine zweckändernde Datenverarbeitung grundsätzlich untersagt, gleichzeitig aber eine mit dem Zweck zu vereinbarende Datenverarbeitung erleichtert werden.520 Die Anforderungen der Zweckbindung verpflichten dabei nicht nur den bei der Datenerhebung Verantwortlichen, sondern auch Dritte, denen die Daten über 513

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  30. Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  92. 515 Pötters, in: Gola, DSGVO, Art. 5 Rn. 17. 516 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  94. 517 So schon BVerfGE 65, 1 (43) – Volkszählung. 518 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art. 5 Rn. 27, 43, der aufgrund der Prüfung der Vereinbarkeit auch den Begriff „Zweckvereinbarkeit“ für treffender hält. Ferner Eichenhofer, PinG 2017, 135 (139); Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn. 97. 519 So eindeutig DSGVO ErwG  50 S. 2. Zustimmend Culik / Döpke, ZD 2017, 226 (230); Eichenhofer, PinG 2017, 135 (139); Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  31; Kühling / Martini, EuZW 2016, 448 (451); Monreal, ZD 2016, 507 (510); Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1590); Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn. 98. A. A. hingegen Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 Rn. 20; Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  48 ff.; Schantz, NJW 2016, 1841 (1844), nach denen eine Weiterverarbeitung trotz des umfassten Zwecks noch einer eigenständigen Erlaubnisgrundlange (Art. 6 DSGVO) bedarf. 520 Ob in Sonderfällen eine Zweckänderung möglich ist, wird nachfolgend eruiert. Die Darlegungslast der Vereinbarkeit mit dem Primärzweck trifft – trotz der doppelten Verneinung im Wortlaut von Art. 5 Abs. 1 lit. b) Hs. 2 – den Verantwortlichen der Datenverarbeitung, was sich schon aus der Dokumentationspflicht in Art. 30 DSGVO sowie DSGVO ErwG 50 S. 1 und 6 ergibt, s. hierzu Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  99 f. m. w. N. 514

186

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

mittelt wurden und die die erhobenen Daten weiterverarbeiten.521 In Fällen einer Offenlegung der Daten muss der ursprünglich Verantwortliche die festgelegten Zweckvorgaben dem Dritten übermitteln und der Dritte hat diese zu berücksichtigen und sicherzustellen.522 Das führt dazu, dass der Dritte bei Unklarheiten die festgelegten Zwecke ggf. erfragen muss. Da für den Dritten die gleichen Vorgaben hinsichtlich der festgelegten Zwecke gelten, sollte dieser die Zwecke für die weitere Verarbeitung dokumentieren. c) Die Bedeutung für datenfinanzierte Angebote Praktisch führen die Anforderungen der Zweckbindung dazu, dass ein datenverarbeitendes Unternehmen, das gespeicherte Daten weiterverarbeiten will, die nunmehr verfolgten Zwecke unter die festgelegten Primärzwecke subsumieren muss. Der Zweckbindungsgrundsatz ist nur dann gewahrt, wenn sich die Zwecke decken oder der Zweck der nachfolgenden Verarbeitung zumindest als Teil des ursprünglich festgelegten Zwecks verstanden werden kann.523 Bezüglich datenfinanzierter Angebote muss der Verarbeitungszweck also eindeutig festgelegt werden. Bei der weiteren Verarbeitung bedarf es der Vereinbarkeit mit diesem Zweck. Bei einer Datenverarbeitung zur Sofortnutzung und direkten Verwendung innerhalb der App (Kategorie I) kann bei der Datenerhebung in der Regel eindeutig festgelegt werden, wofür die Daten erhoben werden. Hierzu kann als Zweck der Datenverarbeitung die jeweilige Funktion der App genannt werden. Bei einer Speicherung und späteren Nutzung der Daten (Kategorie  II) muss mit der Erhebung der Daten der Zweck für die spätere Nutzung der Daten bereits eindeutig festgelegt werden. Da allgemeine Aussagen für eine Eindeutigkeit des Zweckes nicht ausreichen, muss der Datenverarbeiter bereits klare Primärzwecke definieren und eine stattfindende Weiterverarbeitung mit diesen abgleichen. Der Datenverarbeiter muss bereits mit der Erhebung der Daten den späteren Verarbeitungszweck deutlich machen. So muss etwa bereits erklärt werden, dass die Datenverarbeitung zur „Personalisierung von Werbebotschaften“ oder zur „Auswertung / Verbesserung der eigenen Algorithmen“ stattfindet, anstatt eine nicht eindeutige oder abstrakte Formulierung, wie für „Marketingzwecke“ oder zur „Produktoptimierung“, zu verwenden. Schwieriger wird die geforderte Festlegung des eindeutigen Verarbeitungszwecks bei einer Offenlegung der Daten (Kategorie III). Zunächst muss die Offenlegung der Daten selbst eindeutig festgelegt werden, etwa durch eine Formulierung 521

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  29; Roßnagel, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 5 Rn. 93. Dies spiegelt sich insoweit auch in der Mitteilungspflicht in Art. 19 DSGVO wider. 522 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  23. 523 Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1589).

§ 5 Grundsätze und Prinzipien des Datenschutzes 

187

wie „personenbezogene Daten werden an Unternehmen, Organisationen oder Personen außerhalb [des Datenverarbeiters] in folgenden Fällen weiter gegeben…“.524 Bei einer solchen Festlegungen sind allerdings ebenfalls die Zwecke zu nennen, zu denen die Daten nach der Offenlegung verwendet werden. Hierbei können sich bei einer Offenlegung an unabhängige Dritte (Kategorie III b) offensichtliche Probleme ergeben, da dem App-Anbieter die Zwecke der Weiternutzung durch den Dritten häufig nicht bekannt sind.525 Gleichwohl muss auch der Dritte die Daten für die bei Erhebung benannten Zwecke verarbeiten, da anderenfalls eine Zweckänderung vorliegt, die nachfolgend untersucht wird. Wenn Navigations-App A die Daten ausschließlich zur Standortbestimmung und Funktionsfähigkeit der App verwendet, kann diese Datenverarbeitung – etwa in der Datenschutzerklärung – eindeutig betitelt werden und weist aufgrund des singulären Zwecks der Erhebung keinerlei Probleme hinsichtlich der Zweckbindung auf. Werden die Standort-Daten des Nutzers hingegen zusätzlich gespeichert, so muss der Zweck der Speicherung – wie die Erhebung von Bewegungsprofilen – dem Nutzer ebenfalls deutlich gemacht werden. Bei einer Offenlegung an Dritte muss neben der Offenlegung selbst bei der Erhebung auch der Zweck angegeben werden, für den der Empfänger die Daten nutzen will, z. B. die Auswertung dieser Bewegungsprofile für personalisierte Werbung.

2. Zweckänderungen Brisanz erlangt der Grundsatz der Zweckbindung vor allem bei der Frage, inwieweit eine Zweckänderung im weiteren Verarbeitungskontext zulässig ist. Das generelle Vorliegen einer Zweckänderung hängt davon ab, wie weit der festgelegte Primärzweck auszulegen ist und ob sich der (veränderte) Zweck der Weiterverarbeitung unter den Primärzweck subsumieren lässt.526 Lassen sich diese beiden nicht vereinbaren, geschieht die Weiterverarbeitungen zu einem Sekundärzweck und es liegt eine Zweckänderung vor. Im Grundsatz stellt eine zweckändernde Datenverarbeitung eine „neue“ Verarbeitung dar, für die alle Voraussetzungen wie bei einer erstmaligen Datenverarbeitung erfüllt sein müssen527; d. h. die Verarbeitung muss von einer Einwilligung oder einem sonstigen Erlaubnistatbestand aus Art. 6 DSGVO gedeckt sein. Für Zweckänderungen sieht der Grundsatz der Zweckbindung jedoch bereits direkte „Einfallstore“528 in Art. 5 Abs. 1 lit. b) Hs. 2 DSGVO vor, nach denen die Daten 524

So etwa in der Datenschutzerklärung von Google, abrufbar unter https://policies.google. com/privacy?hl=de#infosharing. 525 Diese Problematik ebenfalls skizzierend Buck / Germelmann / Eymann, Datenweitergabe als Bedrohung?, in: Schmidt-Kessel / Langhanke: Datenschutz als Verbraucherschutz, S. 49 (55). 526 Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1590). 527 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 5 Rn. 19; Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn. 47; Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 96. 528 Buchner, DuD 2016, 155 (157).

188

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

auch für andere Zwecke als den festgelegten Primärzweck verwendet werden können. Diese Ausnahmetatbestände gelten trotz Zweckänderungen als vereinbar mit dem ursprünglichen Zweck, so dass es keines neuen Erlaubnistatbestands bedarf. Dabei rekurriert Art. 5 Abs. 1 lit. b) Hs. 2 DSGVO direkt auf Art. 89 Abs. 1. Darüber hinaus ergibt sich aus Art. 6 Abs. 4 DSGVO eine weitere Durchbrechung des Zweckbindungsgrundsatzes. Da beide Ausnahmetatbestände das Potential haben, das Prinzip der Zweckbindung erheblich auszuhöhlen, sind diese jeweils restriktiv und eng auszulegen.529 Im Umkehrschluss bestätigen die Ausnahmen, dass eine den Primärzweck wahrende Datenverarbeitung in jedem Fall zulässig ist, denn die Ausnahmevorschriften gelten lediglich für die Verarbeitung „zu einem anderen Zweck“.530 Aufgrund dieser Besonderheiten soll die Ausgestaltung beider Ausnahmetatbestände nachfolgend näher beleuchtet werden. a) Art. 89 Abs. 1 DSGVO Art. 5 Abs. 1 lit. b) Hs. 2 DSGVO greift die in Art. 89 Abs. 1 DSGVO genannten Sekundärzwecke auf, welche als mit dem Primärzweck vereinbar erkannt werden. Danach wird qua gesetzlicher Fiktion die Weiterverarbeitungen für vier Zwecke zugelassen, im Einzelnen für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche und historische Forschungszwecke sowie für statistische Zwecke.531 Die Vorrangigkeit dieser Sekundärzwecke ergibt sich nicht daraus, dass die Zwecke als besonders bedeutsam im Vergleich zu anderen Zwecken zu bewerten sind.532 Vielmehr sind die privilegierten Zwecke allesamt darauf ausgerichtet, dass sie sich nicht auf die Person selbst beziehen, deren Daten verarbeitet werden, sondern die personenunabhängigen wissenschaftlichen oder statistischen Ergebnisse öffentlichen Interesses im Vordergrund stehen.533 Solche wissenschaftlichen oder statistischen Ergebnisse ergeben sich häufig aus der Kumulation vieler Datensätze und den daraus gewonnenen Erkenntnissen, wobei der Aussagekraft häufig auch bei einer Pseudonymisierung oder Anonymisierung der Daten besteht. Bei Letzterer bestünde ohnehin kein Personenbezug mehr, so dass auch keine Zweckbindung mehr gegeben wäre. Auf die Möglichkeit einer Pseudonymisierung nimmt Art. 89 S. 3 DSGVO direkten Bezug, der eine Pseudonymisierung bereits gesetzlich als taugliche Maßnahme zur Wahrung der Rechte der betroffenen Personen vorsieht.

529

Buchner, DuD, 2016, 155 (157); Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 103; Schantz, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 5 Rn. 22; ­Voigt, in: Taeger / Gabel, DSGVO / BDSG / TTDSG, Art.  5 Rn.  26; Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1589). 530 Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1589). 531 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  32. 532 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  104. 533 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  32; Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  52; Johannes / Richter, DuD 2017, 300 (301).

§ 5 Grundsätze und Prinzipien des Datenschutzes 

189

Für die vorliegende Untersuchung von datenfinanzierten Angeboten sind die privilegierten Zwecke in Art. 5 Abs. 1 lit. b) Hs. 2 und Art. 89 Abs. 1 DSGVO – abgesehen von der wiederkehrenden Erkenntnis, dass die DSGVO Pseudonymisierung und Anonymisierung als taugliche Datenschutzkonzepte ansieht – allerdings von eher geringer Bedeutung: Die zuvörderst privilegierte Verarbeitung zu Archivzwecken umfasst „Aufzeichnungen von bleibendem Wert für das allgemeine Interesse“.534 Die Verarbeitung für private Zwecke fällt dementsprechend nicht unter diese Fiktion, so dass der Tatbestand für private Datenverarbeiter von datenfinanzierten Angeboten nicht relevant ist. Auch historische Forschungszwecke erscheinen bei datenfinanzierten Angeboten eher fernliegend. Näher liegt demgegenüber eine Verarbeitung für wissenschaftliche Zwecke, zumal wissenschaftliche Zwecke nach Erwägungsgrund 159 S. 2 weit auszulegen sind und auch privat finanzierte Forschung umfassen. Denkbar wäre eine Datenauswertung eines datenfinanzierten Angebots dergestalt, dass die Daten über den daraus resultierenden Erkenntnisgewinn eine wissenschaftliche Relevanz aufweisen könnten. Durch wissenschaftliche Forschung im Sinne der DSGVO sollen allerdings in methodischer, systematischer und nachprüfbarer Weise neue Erkenntnisse für die Allgemeinheit gewonnen, nicht lediglich bereits gewonnene Erkenntnisse angewendet werden.535 Gerade größere Apps könnten durch die Daten das Verhalten der Nutzer aufzeigen und wissenschaftlich aufbereiten. Viele Anbieter datenfinanzierter Angebote werten ihre Daten allerdings schon nicht in einer solchen wissenschaftlichen Weise aus. Auch von Datenverarbeiter durchgeführte Big DataAnalysen fallen nicht unter diese Anforderung einer neuen Erkenntnisgewinnung, wenn sie nur durch Korrelationen und Zufälligkeit Ergebnisse erzielen und keine statistische Auswertung und Forschung betreiben.536 Bei den verbliebenen Datenverarbeitungen, bei denen Anbieter datenfinanzierte Angebote ihre Daten tatsächlich wissenschaftlich auswerten, wird es in der Regel am öffentlichen Interesse fehlen, da die gewonnen Informationen gerade dem wirtschaftenden Unternehmen und nicht der Allgemeinheit zu Gute kommen sollen. Auch dienen die Geschäftsmodelle von Privatunternehmen gerade keinen öffentlichen Forschungszwecken.537 So verbleibt eine mögliche Datenverarbeitung für statistische Zwecke. Unter statistischen Zwecken versteht man gem. Erwägungsgrund 162 S. 3 jeden für die Durchführung statistischer Untersuchungen und die Erstellung statistischer Ergebnisse erforderlichen Vorgang der Erhebung und Verarbeitung personenbezogener Daten. Diese zunächst sehr weit erscheinende Privilegierung legt eine Vergleichbarkeit zu Big Data-Analysen nahe, bei denen ebenfalls Erkenntnisgewinne auf Basis einer statistischen Auswertung heterogener Datensätze erreicht werden. Die 534

Vgl. DSGVO ErwG 158 S. 2. Johannes / Richter, DuD 2017, 300 (301); Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 106. 536 Eichler, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 89 Rn. 6. 537 So auch Richter, DuD 2016, 581 (584). 535

190

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

weite Auslegung statistischer Zwecke wird jedoch durch Erwägungsgrund 162 S. 5 eingeschränkt, wonach die privilegierte Zweckänderung statistischer Daten nur für solche Datensätze gelten soll, bei denen nicht mit personenbezogenen Daten gearbeitet wird und die nicht für Aussagen gegenüber einzelnen natürlichen Personen verwendet werden. Statistische Zwecke haben also nur als Ausgangspunkt personenbezogene Daten, das Ergebnis ist hingegen nicht mehr personenbezogen.538 Ferner sind die verschiedenen Privilegierungen in Art. 89 DSGVO systematisch vergleichbar und allesamt nicht auf kommerzielle Zwecke gerichtet.539 Die allermeisten Verarbeitungsprozesse von App-Anbietern fallen daher aufgrund ihrer Ausrichtung auf die Auswertung der personenbezogenen Daten einzelner Nutzer und die dahinterstehenden kommerziellen Interessen trotz der Nutzung statis­ tischer Methoden nicht unter die privilegierte Datenverarbeitung.540 Der Privilegierung statistischer Zwecke kommt mithin ebenfalls keine vertiefte Bedeutung für die vorliegende Untersuchung von privatwirtschaftlich angebotenen, daten­ finanzierten Angeboten zu. Hat Navigations-App A am Markt eine gewisse Größe erreicht, ließen sich aus den Navigationsdaten sicherlich wissenschaftliche Erkenntnis über das Bewegungsverhalten der Nutzer ziehen. Werden diese allerdings nicht der Allgemeinheit bereitgestellt, sondern dienen sie lediglich der wirtschaftlichen Nutzung des App-Anbieters, eröffnet sich – selbst bei der Verwendung für statistische Zwecke  – gerade keine Privilegierung über Art. 89 Abs. 1 DSGVO.

b) Art. 6 Abs. 4 DSGVO Neben den relativ zielgerichteten Ausnahmetatbeständen in Art. 89 Abs. 1 DSGVO schafft der Ausnahmetatbestand in Art. 6 Abs. 4 DSGVO die Möglichkeit von (rechtmäßigen) Datenverarbeitungen zu bestimmten Sekundärzwecken. Hierzu wird die Zweckbindung zugunsten dieser Sekundärzwecke gelockert.541 Art. 6 Abs. 4 DSGVO betrifft Fälle, in denen der Sekundärzweck nicht von einem Erlaubnistatbestand aus Art. 6 Abs. 1 DSGVO gedeckt ist.542 In solchen Fällen stellt 538

Johannes / Richter, DuD 2017, 300 (301). Dies ergibt sich auch aus der historischen Auslegung der Ausnahmen, die bereits in der Richtlinie 95/46/EG nicht für kommerzielle Zwecke gedacht waren. Vgl. zur systematischen und historischen Auslegung Culik / Döpke, ZD 2017, 226 (230) m. w. N. 540 Zu kommerziellen Interessen gehören die Big Data-Analysen mit personenbezogenen Daten, Profiling oder die Auswertung von Kundenprofilen zu Marketing-Zwecken. Ebenso Buchner, DuD 2016, 155 (157); Culik, in: Hoeren / Kolany-Raiser, Big Data zwischen Kausalität und Korrelation, S. 36 (42); Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 107. A. A. Paal / Hennemann, NJW 2017, 1697 (1700), die – ohne vertiefe Begründung – eine Einschlägigkeit des Ausnahmetatbestands bei Big Data für möglich erachten. 541 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  46. 542 S. zu den verschiedenen Erlaubnistatbeständen § 6. Neben dem Vorliegen einer Einwilligung bedarf es einer Vereinbarkeitsprüfung nach Art. 6 Abs. 4 DSGVO ohnehin nicht, wenn eine nationale oder unionale Rechtsvorschrift eine Zweckänderung aufgrund der höherrangi 539

§ 5 Grundsätze und Prinzipien des Datenschutzes 

191

Absatz 4 einen Katalog auf, nach dem die Verarbeitung trotz der Zweckänderung weiterhin als mit dem ursprünglichen Zweck vereinbar angesehen werden kann. Mit dieser Privilegierung soll dem Datenverarbeiter ein flexiblerer Umgang mit den erhobenen Daten ermöglicht werden.543 aa) Die Voraussetzungen von Art. 6 Abs. 4 DSGVO Die Vereinbarkeit des Sekundärzwecks bestimmt sich gem. Art. 6 Abs. 4 DSGVO nach einem Kompatibilitätstest, bei dem die „Qualität“ der Daten, die Umstände des Primärzwecks sowie dessen Verhältnis zum Sekundärzweck abzuwägen sind.544 Je weiter der Sekundärzweck vom Primärzweck oder die Beziehung des Datenverarbeiters von der betroffenen Person entfernt ist und je bedeutsamer die verarbeitenden Daten für die betroffene Person sind, desto schwieriger ist eine nach Absatz 4 zulässige Zweckänderung zu rechtfertigen. Eine Zweckänderung ist hingegen eher möglich, wenn der Personenbezug der Daten – etwa durch Anonymisierung oder Pseudonymisierung – verringert oder für die betroffene Person weniger bedeutsam wird.545 Im Einzelnen entscheiden nach Absatz 4 folgende Parametern über die Vereinbarkeit der Zweckänderung: – die Verbindung und der Zusammenhang zwischen Primär- und Sekundärzweck der Datenverarbeitung (lit. a)), – der Kontext, in dem die Daten erhoben wurden, insbesondere die Beziehung und Erwartungen zwischen betroffener Person und Verantwortlichem (lit. b)), – die Art und Sensibilität der zu verarbeiteten Daten nach Art. 9 und 10 DSGVO (lit. c)), – die Folgen der Nutzung für den Sekundärzweck für die betroffene Person (lit. d)) sowie – das Vorhandensein geeigneter Datensicherheitsgarantien (lit. e)). gen, in Art. 23 DSGVO aufgelisteten Zwecke gesetzlich zulässt, vgl. ErwG 50 S. 7. Eine solche nationale Regelung findet sich in §§ 23, 24 BDSG. Da Art. 23 DSGVO solche Regelungen aber ohnehin nur für das Betroffensein nationaler oder öffentlicher Sicherheit oder vergleichbare Fälle vorsieht und §§ 23, 24 BDSGO ebensolche Fälle abdecken, kann mangels Relevanz für private Datenverarbeiter und App-Anbieter auf nähere Ausführungen innerhalb dieser Arbeit verzichtet werden. 543 Culik / Döpke, ZD 2017, 226 (229). 544 Culik / Döpke, ZD 2017, 226 (229); Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art. 6 Rn. 168. Anhand der Parameter in Art. 6 Abs. 4 DSGVO hat insoweit eine Interessen­ abwägung stattzufinden, auch wenn aufgrund von Kritik während des Gesetzgebungsprozesses auf die explizite Nennung dieses Begriffes verzichtet wurde. Vgl Culik, in: Hoeren / KolanyRaiser, Big Data zwischen Kausalität und Korrelation, S. 36 (42) m. w. N. Zu dieser Kritik Bergemann, Besorgte Reaktionen auf Leaks zur EU-Datenschutzreform, abrufbar unter: netzpolitik.org/2015/besorgte-reaktionen-auf-leaks-zur-eu-datenschutzreform/. 545 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  50.

192

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Der Ausnahmetatbestand schafft mithin einen beispielhaften, nicht abschließenden Kriterienkatalog, anhand dessen eine Interessenabwägung stattfinden kann, die zu einer zulässigen Zweckänderung vom Primärzweck ohne zusätzliche Einwilligung führen kann.546 Bei der Interessenabwägung wird auf die Perspektive des Verantwortlichen abgestellt und vor allem auf dessen Möglichkeit, die Verarbeitung für einen Sekundärzweck zuvor von der betroffenen Person legitimieren zu lassen.547 Erhebt Messenger-Dienst B personenbezogene Daten für den oben als tauglich festgestellten Zweck der „Personalisierung von Werbebotschaften“, so ließen sich andere kommerzielle Zwecke der Datenauswertung mangels Zusammenhang zum genannten Zweck und der Kunden-Erwartung schwerlich mit dem ursprünglichen Zweck vereinbaren.548

Führt die Interessenabwägung zu einer Kompatibilität zwischen Primärzweck und Sekundärzweck, ist die Verarbeitung weiterhin als mit dem ursprünglichen Zweck vereinbar anzusehen. Die Verarbeitung muss also nicht die Anforderungen einer „neuen“ Datenverarbeitung erfüllen – also unter anderem eine erneute Zweckfeststellung und Einwilligung der betroffenen Person oder sonstige gesetzliche Rechtsgrundlage.549 Ein weit vom Primärzweck entfernter Sekundärzweck bedarf demgegenüber einer neuen Ermächtigung nach Art. 6 Abs. 1 DSGVO. In solchen Fällen spricht bereits die Interessenabwägung nach Absatz 4 nicht für eine vereinbare Zweckänderung. bb) Auswirkungen auf den Grundsatz der Zweckbindung Eine Zweckbindung kann grundsätzlich starr oder eher flexibel ausgestaltet werden. Bei starrer Zweckbindung ist es dem Datenverarbeiter in keiner Weise gestattet, eine Datenverarbeitung über die ursprüngliche Zweckbestimmung hinaus durchzuführen. Demgegenüber lässt ein flexiblerer Zweckbindungsgrundsatz dem Datenverarbeiter gewisse Entscheidungsspielräume.550 Der Zweckbindungsansatz 546

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  48; Piltz, K&R 2016, 557 (566). Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 6 Rn. 47, 49; Roßnagel, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 6 Abs. 4 Rn. 48. Buchner / Petri, in: Kühling / Buchner, DSGVO /  BDSG, Art. 6 Rn. 188 sehen als Ausgangspunkt demgegenüber eher die Sicht der betroffenen Person. Dieser Unterschied im Ansatzpunkt dürfte für die Interessenabwägung bei Heranziehung der Parameter jedoch eher von untergeordneter Bedeutung sein. 548 Für andere (kontextunabhängige) Beispiele zur (Un-)Vereinbarkeit der Zweckänderung s. Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 4 Rn. 37 f. 549 Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  183; Culik / Döpke, ZD 2017, 226  (230); Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  6 Abs.  4 Rn. 11 f. Anknüpfend an die Frage nach der Notwendigkeit einer Rechtsgrundlage bei der Weiterverarbeitung zu den bei der Erhebung festgestellten Zwecken – s. o. § 5 B. II. 1. b) aa) – verlangt Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 48 auch beim Ausnahmetatbestand des Art. 6 Abs. 4 eine Rechtsgrundlage nach Art. 6 Abs. 1. Hierdurch würde die Ausnahmeregelung des Abs. 4 jedoch faktisch obsolet werden. 550 Eichenhofer, PinG 2017, 135 (137). 547

§ 5 Grundsätze und Prinzipien des Datenschutzes 

193

im Rahmen der DSGVO ist durch die Ausnahmetatbestände eher flexibel ausgestaltet. Durch den Ausnahmetatbestand in Art. 6 Abs. 4 lassen sich bei der Bewertung der Zweckbindung relevante materiell-rechtliche Verschiebungen gegenüber dem bisherigen deutschen Datenschutzrecht feststellen, welches von einem eher starren Verständnis der Zweckbindung geprägt war.551 Gleichwohl verbleiben durch die Ausnahmeregelung in Art. 6 Abs. 4 DSGVO einige offene Fragen. So sind die in Art. 6 Abs. 4 DSGVO angeführten Parameter für die Interessenabwägung sehr abstrakt und konturlos.552 Die Ausfüllung der für sich genommen schon wertungsbedürftigen Parameter entscheidet künftig also über die Reichweite der Privilegierung zweckändernder Weiterverarbeitungen – und somit über den Grad der Flexibilität der Zweckbindung.553 Da die Verordnung unmittelbare Wirkung entfaltet, autonom auszulegen ist und nicht mehr national ausgestaltet werden kann554, müssen diese vorzunehmenden Wertungen auch einheitlich europäisch geprägt werden. Es bedarf folglich einer ausdifferenzierten Kasuistik der europäischen Rechtsprechung, um Unsicherheiten über Reichweite von Zweckänderungen nach Art. 6 Abs. 4 DSGVO begegnen zu können.555 Da eine solche aber bisher kaum stattgefunden hat, birgt die Möglichkeit von Zweckänderungen für die datenverarbeitenden Unternehmen in der Praxis ein (zurzeit noch) hohes Maß an Rechtsunsicherheit.556 Denn allein anhand einer selbstständig vorgenommenen Interesseabwägungen kann die Rechtmäßigkeit einer Weiterverarbeitung zu Sekundärzwecken auf Grundlage von Art. 6 Abs. 4 DSGVO nicht sicher vorhergesagt werden. Die Möglichkeit einer Zweckänderung nach Art. 6 Abs. 4 DSGVO kann im Übrigen im Konflikt zur Anforderung des Zweckbindungsgrundsatzes nach Eindeutigkeit bei der Zweckfestlegung stehen. Im Rahmen von Art. 6 Abs. 4 DSGVO kann ein Sekundärzweck durch eine Interessenabwägung mit dem Primärzweck vereinbar sein, so dass Primär- und Sekundärzweck durchaus unterschiedlich ausfallen können. Die beiden Zwecke müssen lediglich einen gewissen Zusammenhang zueinander aufweisen und die Rechte der betroffenen Person nicht zu sehr belasten bzw. beschränken. Dies ermöglicht grundsätzlich eine Verarbeitung zu zahlreichen Sekundärzwecken, die sich nicht mehr eindeutig aus dem Primärzweck herauslesen lassen. Es wird also entscheidend darauf ankommen, wie strikt die 551

Eichenhofer, PinG 2017, 135 (140); Kühling / Martini, EuZW 2016, 448 (451). Dass das Vorliegen von starren Grenzen, wie sie das BDSG a. F. noch normierte, lässt sich durch die Ausnahmeregelung in Art. 6 Abs. 4 DSGVO nur noch schwerlich vertreten. 552 Buchner, DuD 2016, 155 (159); Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 4 Rn. 35. 553 Kühling / Martini, EuZW 2016, 448 (451). 554 Die bereits erwähnte nationale Öffnungsklausel, vgl. Art. 30 DSGVO, hat insoweit in diesem Zusammenhang keine Relevanz für die Auslegung der Parameter in Art. 6 Abs. 4 DSGVO. 555 Culik, in: Hoeren / Kolany-Raiser, Big Data zwischen Kausalität und Korrelation, S. 36 (42). 556 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 4 Rn. 35; Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1591).

194

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Anforderung der Eindeutigkeit des festzulegenden Primärzwecks bewertet wird. Denn je präziser und eindeutiger der Primärzweck festgelegt werden muss, desto weniger weitreichend werden über Abs. 4 noch „vereinbare“ Zwecke umfasst werden können.557 Auch diese Frage kann bisher mangels einschlägiger Rechtsprechung nicht eindeutig beantwortet werden. Anhand dieser zwei noch offenen Fragen über den Umfang der Zweckbindung wird beispielhaft deutlich, dass der Kern der Frage im Aufeinandertreffen und der Bewertung grundrechtlich geprägter widerstreitender Interessen liegt. So besteht aus grundrechtlicher Sicht zum einen das Interesse der betroffenen Personen nach einer möglichst tauglichen Zweckbindung zum Schutz ihrer informationellen Selbstbestimmung und auf der anderen Seite das Interesse der datenverarbeitenden Unternehmen nach flexiblen Verarbeitungsmöglichkeiten.558 Um dieses Spannungsverhältnis aufzulösen, muss im Wege der praktischen Konkordanz ein primärrechtskonformer Ausgleich zwischen den gegenläufigen Interessen stattfinden.559 Für den Ausgleich der widerstreitenden Interessen wird innerhalb der DSGVO weitgehend ein risikobasierter Ansatz zugrunde gelegt, wonach der Verantwortliche die jeweilige Datenverarbeitung abwägen, begründen und dokumentierten muss.560 Dieser zeigt sich auch in der Ausnahmeregelung von Art. 6 Abs. 4 DSGVO, der die Möglichkeit einer Zweckänderung in einen Abwägungsprozess einbettet. Es kommt also weniger auf eine generelle Zulässigkeit oder Unzulässigkeit aufgrund des Zweckbindungsgrundsatzes an, sondern es wird die Umsetzung der datenschutzrechtlichen Vorgaben bei der einzelnen Datenverarbeitung in den Vordergrund gestellt. Gleichwohl muss beachtet werden, dass die Ausnahmen zur Zweckbindung eng auszulegen sind und somit der Anwendungsbereich von Art. 6 Abs. 4 DSGVO eher schmal bliebt.561 Der risikobasierte Ansatz bei gleichzeitig enger Auslegung der Privilegierung führt dazu, dass die Aufweichung des Zweckbindungsgrundsatzes durch Art. 6 Abs. 4 DSGVO eine durchaus legitime und primärrechtskonforme Ausgestaltung des Gesetzgebers bildet.562 Der Zweckbindungsgrundsatz wird nicht aufgegeben, gleichzeitig der Datenverarbeitung in der veränderten Realität einer voranschreitenden Digitalisierung  – trotz der restriktiven Auslegung der Ausnahmetatbestände – eine gewisse Flexibilität ermöglicht. So können ausgehend vom Einzelfall im Rahmen eines Abwägungsprozesses die konfligierenden Grundrechteinteressen

557

Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1590). Vgl. zu den Grundrechtspositionen der Datenverarbeiter § 4 A. III. 559 EuGH, Urt. v. 6. 10. 2015, Rs. C-362/14, Rn. 38 ff. – Schrems. 560 Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn.  175. 561 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  46. 562 Zu einem ähnlichen Ergebnis kommt auch Eichenhofer, PinG 2017, 135 (137, 140), auch wenn er den Zweckbindungsgrundsatz in seiner aktuellen Form als zu konturlos bezeichnet. Kritisch demgegenüber etwa die Konferenz der Datenschutzbeauftragten des Bundes und der Länder, DuD 2015, 722. 558

§ 5 Grundsätze und Prinzipien des Datenschutzes 

195

in Einklang gebracht werden. auch wenn dies zunächst zu einer gewissen Rechtsunsicherheit führen mag. 3. Die Zweckbindung bei datenfinanzierten Angeboten Anhand der vorgenommenen Analyse der Zweckbindung nach Art. 5 DSGVO sowie dessen Aufweichung in Art. 6 Abs. 4 DSGVO sind nun die Auswirkungen der Zweckbindung auf die Datenverarbeitung bei datenfinanzierten Angeboten zu untersuchen. Hierzu sollten jedoch zunächst Big Data-Analysen im Allgemeinen betrachtet werden, die in einem sehr konfliktträchtigen Verhältnis zu dem Grundsatz der Zweckbindung stehen. Dieses Konfliktverhältnis strahlt auf datenfinanzierte Angebote aus, deren Datenverarbeitungsansatz zumindest in Teilen mit klassischen Big Data-Analysen vergleichbar ist. Anhand dieser Analyse lassen sich folgend vertiefte Aussagen über die Bewertung der Zweckbindung bei datenfinanzierten Angeboten ableiten. Diese gehen über die bereits erörterten Probleme mit der Zweckbindung hinaus, die sich bei den verschiedenen Kategorien der Datenverarbeitung ergeben563, so dass die Bedeutung der Zweckbindung für datenfinanzierte Angebote noch weitreichender ausfällt. a) Die Grundproblematik bei Big Data Der Grundgedanke von Big Data-Anwendungen und -Analysen besteht gerade darin, aus unterschiedlichen Quellen, zu unterschiedlichen Zeitpunkten, in unterschiedlichen Kontexten und zu unterschiedlichen Zwecken erhobene Daten miteinander zu verknüpfen.564 Die Daten werden gespeichert und aggregiert, um über den Einsatz verschiedener Analyse-Algorithmen neue Erkenntnisse zu gewinnen, die bei der Erhebung der Daten noch nicht absehbar waren. Den Zweck der Datenverarbeitung flexibel zu halten, ist also gerade Wesensmerkmal der Analysen, so dass die Begrenzung auf einen bei der Erhebung festgelegten Zweck schwierig erscheint.565 aa) Widerspruch zur Zweckbindung Der Zweckbindungsgrundsatz fordert vom Datenverarbeiter, sich im Voraus Gedanken über die Verwendung der Datenverarbeitung und mithin auch über das zugrundeliegende Geschäftsmodell zu machen.566 Big Data-Analysen sollen dem 563

S. § 5 B. II. 1. c). Vgl. vertiefend § 2 A. 565 Culik / Döpke, ZD 2017, 226 (230); Specht, GRUR Int. 2017, 1040 (1043). 566 Culik, in: Hoeren / Kolany-Raiser, Big Data zwischen Kausalität und Korrelation, S. 36 (40). 564

196

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

gegenüber für noch offene, zukünftige Zwecke erfolgen, wofür möglichst viele Daten auf Vorrat gespeichert werden, um hieraus neue Erkenntnisse zu gewinnen.567 Eine Zweckbindung ist also gerade nicht vorgesehen. Auch handelt es sich bei Big Data-Analysen häufig um die Verarbeitung personenbezogener Daten. Haben die Datensätze den Umfang einer für Big Data tauglichen Datenmenge erreicht, kann in der Regel spätestens durch die Kumulation und Auswertung der Daten ein Personenbezug hergestellt werden.568 Finden Analysen mit personenbezogenen Daten statt, so widersprechen dessen Grundsätze also diametral dem grundlegenden Prinzip der Zweckbindung.569 Die datenverarbeitenden Unternehmen, die Big Data-Analysen nutzen möchten, haben aufgrund der noch unbestimmten Nutzung der Daten ein großes Interesse daran, die Verarbeitungszwecke weit zu formulieren und sich hierdurch Raum für eine möglichst freie Weiterverarbeitung zu schaffen.570 Wie bereits dargestellt, besteht allerdings keine klare Kasuistik, wie konkret und eindeutig der Primärzweck festzulegen ist. Je nachdem, wie eindeutig und eng der Erhebungszweck zu formulieren ist, hat dies Auswirkungen auf die Bewertung, inwieweit es sich bei einem nicht konkret beschriebenen Verarbeitungszweck um eine Zweckänderung handelt. Der reine – noch vollkommen offene – Zweck des „Erkenntnisgewinns“ ist allerdings eindeutig zu unbestimmt. Geht man nach den dargestellten Anforderungen an die Eindeutigkeit des Zweckes davon aus, dass eine reine Festlegung für „Marketingzwecke“ der Eindeutigkeit ebenfalls nicht genügt, so lässt sich schwerlich eine Vereinbarkeit mit Big Data-Analysen feststellen, zumal die Analysen häufig einen über das reine Marketing hinausgehenden Zweck verfolgen.571 Sollen also durch Big Data-Analysen neue Korrelationen erkannt und aus diesen neue, zweckfremde Erkenntnisse gewonnen werden, lässt sich dies rechtlich nur durch eine Aufweichung des Zweckbindungsgrundsatzes erreichen.572 bb) Ausnahmen von der Zweckbindung Eine solche Aufweichung des Zweckbindungsgrundsatzes könnte sich über die Ausnahmen in Art. 89 Abs. 1 sowie Art. 6 Abs. 4 DSGVO ergeben, die gewisse Zweckänderungen privilegieren. Eine Privilegierungsmöglichkeit für zweck­ 567

Zur Problematik vertieft Roßnagel, ZD 2013, 562 (564 f.). Roßnagel, ZD 2013, 562 (564). 569 Roßnagel, ZD 2013, 562 (564); ders., in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 115; Specht, GRUR Int. 2017, 1040 (1044). 570 Richter, DuD 2016, 581 (585). 571 S. hierzu auch Specht, GRUR Int. 2017, 1040 (1044), die sich insb. mit der Problematik um die Erstellung von Persönlichkeitsprofilen auseinandersetzt. 572 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 115 sieht die Vereinbarkeit Big Data-Analysen gar nur bei einer vollständigen Außerachtlassung der Zweckbindung. 568

§ 5 Grundsätze und Prinzipien des Datenschutzes 

197

ändernde Datenverarbeitungen zu statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO liegt bei Big Data-Analysen allerdings nicht vor, da die Datenverarbeitung in dem dieser Arbeit zugrundeliegende Verständnis von Big Data durch Private zu privaten wirtschaftlichen Zwecken durchgeführt wird. Demgegenüber könnte die Öffnungsklausel des Art. 6 Abs. 4 DSGVO trotz restriktiver Auslegung Raum für zulässige Big Data-Analysen lassen. Hierfür obliegt dem Verantwortlichen nach Art. 6 Abs. 4 eine Interessenabwägung zur Verhältnismäßigkeit der Zweckänderung, um deren Zulässigkeit festzustellen. Bei Weiterverarbeitungen zu statistischen Zwecken, die nicht schon unter die Ausnahme des Art. 89 DSGVO fallen, ist der Eingriff in die Rechte der betroffenen Personen häufig nicht sehr schwerwiegend und der statistische Zweck steht in der Regel in einem engen Verhältnis zum ursprünglichen Erhebungszweck. Art. 6 Abs. 4 DSGVO bietet daher die Möglichkeit, die Vereinbarkeit vieler zweckändernder, statistischer Weiterverarbeitungen mit dem Primärzweck herzustellen.573 Eine Übertragbarkeit dieser Überlegungen auf Big Data-Analysen erscheint in dem Sinne naheliegend, wie diese einen eher statistischen Charakter aufweisen. Ein grundlegender Unterschied zu einer klassischen statistischen Datenverarbeitung besteht bei diesen Analysen zunächst darin, dass in der Regel kein enger Zusammenhang zwischen Primär- und dem geänderten Sekundärzweck für die Big Data-Analyse besteht, da dieser bei Big Data dem Wesen nach gerade noch völlig offen ist. Bei der Frage nach den Folgen der Zweckänderung für die betroffenen Personen ist zu unterscheiden, ob die Analyse auf der Makro-Ebene oder der Mikro-Ebene durchgeführt wird.574 Auf Makro-Ebene geht es um die Erkennung statistischer Korrelationen und um allgemeingültige Aussagen, die nicht das einzelne Individuum, sondern seine abstrakte soziale Position und Rolle erfassen. Insoweit sind Folgen der Datenverarbeitung für die betroffene Person häufig nicht tiefgreifend, da gerade keine Analyse der persönlichen Eigenschaften im Vordergrund steht und persönliche, sensitive Informationen nicht mit der betroffenen Person verbunden werden. Gerade wenn eine Pseudonymisierung oder Verschlüsselung der Daten durchgeführt wird, ist das Gefährdungspotential der Verarbeitung für die betroffenen Personen gesenkt und gleichzeitig die Datensicherheit erhöht.575 So erscheint eine Privilegierung von Big Data-Analysen zu Makro-Zwecken denkbar. Findet die Big Data-Analyse demgegenüber auf der Mikro-Ebene statt, sollen durch die Analyse bestimmte, vorher unbekannte Eigenschaften von betroffenen Personen erkannt, bewertet und hierdurch präzise Persönlichkeitsprofile erstellt 573

Richter, DuD 2016, 581 (585). Vgl. zu dieser Unterscheidung § 2 A. II. 1. 575 Marnau, DuD 2016, 428 (432). Bei einer (tauglichen) Anonymisierung der Daten besteht schon ohnehin kein Personenbezug, soweit es aufgrund der Big Data-Analyse zu keiner ReIdentifizierung kommt. 574

198

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

werden. Bei einer solchen Art der Analyse ist nicht nur der Zusammenhang zwischen Primär- und geändertem Sekundärzweck völlig offen, sondern die Erkenntnisse gewähren die Möglichkeit der Bildung ganzer Persönlichkeitsprofile, die unter Umständen Einblick in sensitive Informationen über die betroffene Person erlauben und deren Nutzung für diese nicht absehbar ist.576 Solche Zweckänderungen stellen eröffnen mithin die Gefahr eines schwerwiegenden Eingriffs in das Datenschutzgrundrecht (Art. 8 GRCh) der betroffenen Person. Dementsprechend erscheint eine solche Nutzung nur schwerlich mit dem Privilegierungstatbestand vereinbar. Je nach Art der Analyse bietet der Tatbestand des Art. 6 Abs. 4 DSGVO also einen gewissen Spielraum für eine Privilegierung von Zweckänderungen. So besteht bei einer Analyse auf Makro-Ebene eine große Ähnlichkeit zu einer klassischen statistischen Datenanalyse und eine Privilegierung erscheint denkbar, auch wenn es hierfür häufig einer Anonymisierung oder Pseudonymisierung der Daten bedarf.577 Gleichzeitig muss immer eine Abwägung anhand des Einzelfalls durchgeführt werden, die auch dem Kontext zwischen Datenverarbeiter und betroffener Person Rechnung trägt. cc) Bewertung Der Grundsatz der Zweckbindung steht in massivem Widerspruch zu datengetriebenen Geschäftsmodellen, die durch Big Data-Analysen darauf beruhen, erhobene Daten zu möglichst vielen Zwecken zu verwenden. Dabei wird der Informationsgehalt der Daten  – und daraus resultierend der Zweck der Datenverarbeitung – oftmals erst nach der Erhebung deutlich und unterliegt über die Bestehenszeit der Daten Veränderungen.578 Aufgrund dieser Unvereinbarkeit wird der Grundsatz der Zweckbindung zum Teil als praxisuntauglich und kontrafaktisch kritisiert.579 Die obige Analyse hat jedoch gezeigt, dass keineswegs alle Big Data-Analysen mit personenbezogenen Daten durch den Zweckbindungsgrundsatz per se verhindert werden. Die Flexibilisierung der Zweckbindung gegenüber der Rechtslage vor Inkrafttreten der DSGVO hat die Möglichkeiten für mit der Zweckbindung vereinbare Big Data-Analysen erhöht. Denn nach dem risikobasierten Ansatz zielen 576

Hinsichtlich des erhöhten Gefährdungspotential abstrakt Weichert, ZD 2013, 251 (257). Mit ähnlicher Bewertung Culik / Döpke, ZD 2017, 226 (230). 578 Eichenhofer, PinG 2017, 135 (138). 579 Vgl. etwa Richter, DuD 2015, 739, 740. Kritisch zur Technologieoffenheit des aktuellen Datenschutzregimes ebenfalls Culik / Döpke, ZD 2017, 226 (230). Darüber hinaus wird als Kritik an der aktuellen Ausgestaltung der Zweckbindung eingewendet, dass selbst bei einer streng vorgeschriebenen Zweckbindung eine solche nicht in eine Welt passe, in der Informationstechnik für vielfältige und grenzenlose Zwecke genutzt werden soll, vgl. Roßnagel, DuD 2016, 561 (564). 577

§ 5 Grundsätze und Prinzipien des Datenschutzes 

199

die Regelungen zur Zweckbindung auf eine Abwägungsfrage zwischen den Belangen der Betroffenen und dem Datenverarbeiter ab, so dass hierüber eine mögliche Privilegierung von Zweckänderungen erreicht werden kann. Dies entspricht auch der Zielrichtung der DSGVO, die neben dem Schutz personenbezogener Daten auch der Ermöglichung des freien Datenverkehrs dient, vgl. Art. 1 Abs. 3 DSGVO. Insgesamt steht der Grundsatz der Zweckbindung durchaus in Konflikt zu einer Vielzahl von auf Big Data-Analysen beruhenden Datenverarbeitungen, vor allem wenn die Analysen auf Mikro-Ebene genauere Informationen über eine einzelne betroffene Person liefern sollen. Dies erscheint – gerade aufgrund der vorhandenen Ausnahmetatbestände, die den Ansatz einer strikten Zweckbindung aufgeben – als eine durchaus vertretbare gesetzliche Wertung. Diese trägt dem hohen Stellenwert des Datenschutzgrundrechts aus Art. 8 GRCh Rechnung580, behindert gleichzeigt durch die Aufgabe einer strikten Zweckbindung auch den freien Verkehr von Daten nicht übermäßig. Es steht den Datenverarbeitern darüber hinaus frei, über eine taugliche Anonymisierung den Personenbezug im Vorfeld zu verhindern, womit weitreichendere Datenanalysen durchgeführt werden können. Diese können auf der Kehrseite mangels Personenbezug jedoch nur detaillierte Ergebnisse auf der Makro-Ebene liefern. b) Die Übertragbarkeit auf datenfinanzierte Angebote Anhand dieser Abwägung lässt sich der Bogen zu datenfinanzierten Angeboten spannen. Wie bereits bei der Einordnung datenfinanzierter Angebote ausgeführt, beruhen die Geschäftsmodelle und die Werthaftigkeit der hierbei verarbeiteten Daten häufig auf den Modellen von Big Data. Gleichwohl finden in einzelnen datenfinanzierten Angeboten häufig keine „klassischen“ Big Data-Analysen statt.581 Nichtsdestotrotz lässt sich auch für einzelne datenfinanzierte Angebote ein Bezug auf Big Data feststellen. Denn je umfangreicher die Datenverarbeitung in datenfinanzierten Angeboten ausfällt, desto eher finden dort Big Data-Analysen vergleichbare Verarbeitungsprozesse statt. Somit wird bei zunehmendem Umfang der Datenverarbeitung auch die Vereinbarkeit mit dem Zweckbindungsgrundsatz immer problematischer. Dies lässt sich anschaulich anhand der Kategorisierung der Datenverarbeitung verdeutlichen, bei denen die Datenverarbeitungsprozesse je nach Kategorie umfangreicher und intensiver ausfallen.

580

Insoweit wäre im Ergebnis wohl auch der nationalen informationellen Selbstbestimmung hinreichend Rechnung getragen, nach der die Bildung vollständiger Persönlichkeitsprofile einen besonders schwerwiegenden Eingriff darstellt. 581 S. o. § 2 B. II. 1. b).

200

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

aa) Die Sofortnutzung der Daten Bei einer Sofortnutzung der Daten (Kategorie I) kann wie oben dargestellt der Zweck meist eindeutig festgelegt werden. Dementsprechend bedarf es zur Funktionsfähigkeit der App zumeist auch keiner Zweckänderungen. Ist in Einzelfällen – etwa aufgrund eines Updates einer App, die zu veränderten App-Funktionen führt – eine Zweckänderung notwendig, ist fraglich ob eine solche über Art. 6 Abs. 4 DSGVO zu rechtfertigen ist. Häufig besteht bei der reinen Sofortnutzung der Daten ein enger Zusammenhang zwischen Primär- und Sekundärzweck der Datenverarbeitung, da beide der Funktionsfähigkeit der App dienen. Ferner besteht zwischen dem App-Anbieter und der betroffenen Person ein Vertragsverhältnis über die Nutzung der App, so dass ihre Beziehung in direktem Zusammenhang zur Zweckänderung steht. Werden die Daten zudem lediglich weiter zur Funktionsfähigkeit der App genutzt, sind die Folgen der Sekundärnutzung auch keine weitreichenderen für die betroffene Person. Folglich ist eine Privilegierung der Zweckänderung denkbar, wenn sich durch die Zweckänderung keine weitreichenden Änderungen der Datenverarbeitung ergeben. Wird bei der Navigations-App A die Datennutzung so verändert, dass die Standortdaten des Nutzers nicht nur zur Navigation des Nutzers, sondern auch zum Abgleich mit Verkehrsdaten verwendet, um dem Nutzer eine Prognose über die Zeit zum Zielort zu geben, so liegt diese Zweckänderung sehr nah am Primärzweck der Verarbeitung. Auch besteht eine (Vertrags-)Beziehung zwischen App-Anbieter und Nutzer, so dass insgesamt eine Privilegierung dieser Zweckänderung naheliegt.

bb) Die Speicherung und Nutzung der Daten Werden die Daten darüber hinaus gespeichert, um diese später anderweitig zu nutzen (Kategorie II), so ist schon im Primärzweck die spätere Weiterverarbeitung eindeutig festzulegen und Speicherung / Weiterverarbeitung müssen einem legitimen Zweck dienen. Da die Zwecke einer Speicherung mit anschließender Weiterverarbeitung äußerst vielfältig sein können, muss bei einer Zweckänderung die Möglichkeit einer Privilegierung nach Art. 6 Abs. 4 DSGVO immer anhand des Einzelfalles bewertet werden. Bei den Parametern der hierzu durchzuführenden Interessenabwägung ist die Beziehung zwischen App-Anbieter als Verantwortlichem und dem Nutzer – wie bei der Sofortnutzung – in der Regel eine vertragliche. Je nach Zweck der Weiterverarbeitung können jedoch vor allem der Zusammenhang zwischen Primär- und Sekundärzweck sowie die Folgen der Nutzung für die betroffene Person enorm variieren, weshalb sich abstrakt nur schwerlich eine Aussage über die Möglichkeit einer Privilegierung treffen lässt. Findet bei der Navigations-App A eine Zweckänderung dergestalt statt, dass die Standortdaten ohne vorherige Einwilligung für die Anlegung von Bewegungsprofilen genutzt

§ 5 Grundsätze und Prinzipien des Datenschutzes 

201

werden, so steht der Kontext des Sekundärzwecks kaum im Zusammenhang zu erdenk­ lichen Erhebungszwecken und auch die Folgen für die betroffene Person sind erheblich. Eine Privilegierung einer solchen Zweckänderung ist folglich in keinem Falle zulässig. Ist die Erstellung von Bewegungsprofilen hingegen als Primärzweck aufgrund einer diesbezüglichen Einwilligung allgemein legitim, so könnte eine Zweckänderung in einer anderen Nutzung dieses Bewegungsprofils liegen. Kommt diese Nutzung dem Nutzer zugute, etwa, weil die App hierdurch weitergehende Funktionen bietet, so liegt aufgrund des Zusammenhangs der Zwecke, dem Vertragsverhältnis und den (eher positiven) Folgen der Datenverarbeitung aus Nutzersicht eine Privilegierung deutlich näher.

cc) Die Offenlegung der Daten Bei einer Offenlegung der Daten (Kategorie III) muss nicht nur die Offenlegung selbst, sondern auch die spätere Weiterverarbeitung innerhalb des Konzerns oder durch den Dritten bei der Erhebung bereits bestimmt sein, was bei einer Offenlegung an unabhängige Dritte mangels Kontrollmöglichkeit durch den App-Anbieter zu offensichtlichen Schwierigkeiten führt. Auch der Dritte kann die Daten nach der Zweckbindung nur für die durch den App-Anbieter festgelegten Zwecke verarbeiten; anderenfalls liegt eine Zweckänderung vor. Eine Privilegierung dieser Zweckänderung durch den Dritten erscheint zumindest fragwürdig – unabhängig davon, ob der Empfänger der Daten in einem konzerninternen Verhältnis zum App-Anbieter steht oder es sich um einen externen Dritten handelt. Hierbei hängt der Zusammenhang zwischen Primär- und Sekundärzweck der Datenverarbeitung zwar wiederum vom Einzelfall ab. Da der Dritte jedoch häufig aufgrund völlig andere (monetäre) Interessen als der App-Anbieter handelt, liegt ein geänderter Sekundärzweck beim Dritten in der Regel weiter vom ursprünglichen Erhebungszweck entfernt, als wenn die Zweckänderung durch den AppAnbieter selbst stattfindet. Auch sind die Folgen der Sekundär-Nutzung für die betroffene Person nur schwer abzuschätzen. Im Unterschied zu den obigen Kategorien befinden sich die betroffene Person und derjenige, dem die Daten offengelegt werden, im Übrigen in keinem vertraglichen Verhältnis, welches eine privilegierte Zweckänderungen rechtfertigen könnte. Willigt ein Nutzer gegenüber der Navigations-App  A grundsätzlich in die Offenlegung der erhobenen Metadaten an externe Dritte ein, könnte dieser Dritte an einer Verarbeitung dieser Daten für andere als die festgelegten Zwecke interessiert sein. Jedoch steht der Dritte keinerlei (vertraglichen) Verhältnis zum Nutzer und die Folgen sind für den Nutzer nur schwerlich erkennbar, so dass eine Privilegierung einer Nutzungsänderung durch den Dritten nicht denkbar erscheint.

202

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

dd) Fazit Praktisch kann der derzeit noch bestehenden Ungewissheit über die Reichweite der Ausnahmetatbestände aus Art. 89 Abs. 1 und 6 Abs. 4 DSGVO dergestalt entgegen getreten werden, dass bereits bei der Datenerhebung eine Reihe konkreter Zwecke festgelegt werden, auf die bei der Weiterverarbeitung zurückgegriffen werden kann und somit Zweckänderungen auf ein Minimum begrenzt werden.582 Dieser Ansatz einer direkten Zweckfestsetzung lässt sich zwar mit dem Grundgedanken von Big Data und daraus resultierenden Erkenntnisgewinnen nicht vereinen, erscheint für einzelne datenfinanzierte Geschäftsmodelle – gerade bei Datenverarbeitungen der Kategorie I und II – aber durchaus möglich, ohne sofort die Werthaftigkeit der erhobenen Daten zu gefährden. Kommt es doch zu einer Zweckänderung, so muss immer anhand des Einzelfalles die Möglichkeit einer Privilegierung untersucht werden. Für eine für den App-Anbieter „positive“ Interessenabwägung, sollte dieser vor allem Folgendes beachten: – der Kontext und Zusammenhang des Sekundärzwecks sollte sich aus dem Primärzweck zumindest in gewissem Maße herauslesen lassen, d. h. der Sekundärzweck darf keine vom Primärzweck vollkommen gegensätzlichen Ziele verfolgen, – der Datenverarbeiter sollte für ausreichende Datenschutzgarantien sorgen, d. h. er sollte die Daten nach Möglichkeit verschlüsseln, pseudonymisieren oder ano­ nymisieren, – die Folgen der Zweckänderungen sollten für die betroffene Person weder weitreichend noch überraschend sein, vor allem keine sensitiven Daten dieser betreffen. Insgesamt hat die Lockerung der Zweckbindung über den Privilegierungstatbestand des Art. 6 Abs. 4 DSGVO dazu geführt, dass bei weniger intensiven Datenverarbeitungen häufig die Möglichkeit einer Zweckänderung besteht. Diese Möglichkeit besteht vor allem im Falle der Sofortnutzung der Daten. Je intensiver der Verarbeitungsprozess der Daten ausfällt, d. h. wenn die Komplexität der Datenverarbeitung und / oder – wie bei einer Verarbeitung der Kategorie III – Dritte an der Verarbeitung beteiligt sind, kommt demgegenüber keine Privilegierung in Betracht. Für eine solche Zweckänderung bedarf es einer erneuten Rechtfertigung der (nun zweckveränderten) Datenverarbeitung. Dieses Ergebnis gleicht mithin den Überlegungen zu Big Data, nach denen Zweckänderungen zu statistischen – und damit in die Persönlichkeitsrechte nur schwach eingreifenden – Zwecken eher möglich sind als solche, die tiefer in die Persönlichkeitsrechte der betroffenen Person eingreifen. Je komplexer und umfangreicher die Datenverarbeitung ausfällt, desto schwieriger ist der Zweck zu benennen und desto eher steht sie im Konflikt zum Zweckbindungsgrundsatz. 582

Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  26.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

203

III. Der Grundsatz der Datenminimierung Art. 5 Abs. 1 lit. c) DSGVO regelt den Grundsatz der Datenminimierung. Der Grundsatz beschränkt den Verantwortlichen darin, in welcher Tiefe und in welchem Umfang er Daten der betroffenen Person verarbeiten, vor allem erheben und speichern darf.583 Grund- bzw. primärrechtlich ergibt sich der Grundsatz daraus, dass ein Eingriff in das Datenschutzgrundrecht der betroffenen Person möglichst gering zu halten ist. Dies lässt sich direkt aus Art. 52 Abs. 1 S. 2 GRCh sowie dem Grundsatz der Verhältnismäßigkeit ableiten.584 Nach Art. 5 Abs. 1 lit. c) DSGVO muss der Umfang der zweckgebundenen verarbeiteten Daten angemessen und erheblich sein sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt werden. Der Grundsatz weist einen engen Bezug zum Grundsatz der Zweckbindung auf und ergänzt diesen, indem die Minimierung beim festgelegten Zweck der Datenverarbeitung ansetzt.585 Nachfolgend soll der Inhalt des Grundsatzes der Datenminimierung genauer erläutert werden (1.), bevor auf dessen Umsetzung (2.), insbesondere bei datenfinanzierten Angeboten (3.) eingegangen wird. 1. Der Inhalt der Datenminimierung Der Grundsatz der Datenminimierung vereint drei zueinander in Bezug stehende Anforderungen unter einen Grundsatz: die Angemessenheit, die Erheblichkeit sowie die Beschränkung der Verarbeitung personenbezogener Daten in Bezug zu ihrem Erhebungszweck („für die Zwecke der Verarbeitung auf das notwendige Maß beschränkt“).586 Diese drei Anforderungen sind – wie viele Anforderungen, die sich aus den datenschutzrechtlichen Grundsätzen ergeben – anhand des jeweiligen Einzelfalles zu bewerten. Der Grundsatz strebt eine qualitative und quantitative Begrenzung der erhobenen und verarbeiteten Daten an, wobei die drei Anforderungen unterschiedliche Bereiche dieser Begrenzung abdecken.587 Mit der „Begrenzung auf das notwendige Maß“ ist eine Datenverarbeitung insoweit zu begrenzen, als keine Verarbeitung der Daten stattfinden darf, wenn der 583

Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  Rn. 116. EuGH, Urt. v. 8. 4. 2014, Rs. C-293/12 und C-594/12, Rn. 45 ff. – Digital Rights Ireland; EuGH, Urt. v. 6. 10. 2015, Rs. C-362/14, Rn. 94 ff. – Schrems. Auch national ist dies anerkannt, vgl. BVerfGE 65, 1 (43, 46). 585 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  56; Roßnagel, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 116. 586 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 117 sieht in der Aufzählung demgegenüber drei Gründe, die das „Minimierungsgebot begründen können“. Inhaltlich bedeutet dies zur Deutung als Anforderungen, was insoweit kongruent zur dogmatischen Ausgestaltung der restlichen Grundsätze ist, keine Änderung. Vgl. zur Bedeutung der Datenminimierung auch Bunnenberg, Privates Datenschutzrecht, S. 248 ff. 587 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  34. 584

204

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Zweck auch ohne sie erreicht werden kann. Ohne die Daten muss der Zweck also überhaupt nicht, nicht rechtzeitig oder nicht vollständig erreicht werden können, anderenfalls kommt die Begrenzung des Inhalts zum Tragen.588 Daneben fällt unter die Begrenzung die Verringerung der Genauigkeit der Daten – etwa durch Aggregation –, wenn der Zweck der Verarbeitung auch mit weniger präzisen Daten erreicht werden kann.589 Eine „Erheblichkeit“ der Datenverarbeitung als weitere Anforderung der Datenminimierung setzt voraus, dass die Verarbeitung geeignet sein muss, den festgelegten Zweck zu fördern. Die Erheblichkeit ist dabei objektiv und nicht aus der subjektiven Sicht des Verantwortlichen zu bestimmen.590 Ferner muss die Verarbeitung aufgrund der Erheblichkeit für einen bestimmten Aspekt des Zweckes entscheidend sein.591 Als zusätzliche Anforderung muss eine Angemessenheit zwischen Art und Umfang der Datenverarbeitung und dem Zweck ebendieser bestehen. Eine Verarbeitung ist dann angemessen, wenn die Zuordnung der Daten hinsichtlich Funktion, Inhalt und Umfang sachgerecht zum bestimmten Zweck ist.592 Hierfür müssen die Daten zur Erreichung des jeweiligen Zwecks tatsächlich erforderlich sein, also funktional, inhaltlich, modal und zeitlich auf das für den zulässigen Zweck Erforderliche begrenzt bleiben.593 Gleichzeitig ist auch die Anzahl der Datenverarbeitungen und der Datenverarbeiter auf das erforderliche Maß zu beschränken.594 Das angemessene Maß ist gleichwohl nicht immer eine Beschränkung auf das absolute Minimum der Datenverarbeitung, sondern der Umfang muss lediglich in einem zum Verarbeitungszweck angemessenen Verhältnis stehen und der Personenbezug innerhalb der Verarbeitung auf ein Minimum reduziert werden.595 Im Umkehrschluss bedeutet dies, dass personenbezogene Daten nur dann verarbeitet werden sollten, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere, mildere Mittel erreicht werden kann.596 Die drei einzelnen Anforderungen sind inhaltlich nicht trennscharf voneinander abzugrenzen, sondern überschneiden sich zum Teil.597 So wird durch die Angemessenheit und Erheblichkeit der Daten hinsichtlich des Zweckes die Begrenzung auf 588

Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  121. Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  57. 590 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 5 DSGVO, Rn. 36. 591 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  57. 592 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  35; Roßnagel, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 5 Rn. 119. 593 Roßnagel, ZD 2013, 562 (564). 594 Pötters, in: Gola, DSGVO, Art. 5 Rn. 22; Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 130. 595 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 120, 125; Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  27. 596 Vgl. DSGVO ErwG 39 S. 9. 597 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  57. 589

§ 5 Grundsätze und Prinzipien des Datenschutzes 

205

das notwendige Maß regelmäßig konsumiert, da eine Verarbeitung nicht notwendiger Daten in der Regel auch nicht erheblich oder angemessen ist.598 Demgegenüber kann eine Abgrenzung der Angemessenheit zur Erheblichkeit darüber stattfinden, dass die Erheblichkeit die Bedeutung der Verarbeitung für die Zweckerreichung überprüft, während die Angemessenheit die Erforderlichkeit des Umfangs der Datenverarbeitung zur Zweckerreichung zum Gegenstand hat.599 Aufgrund der Datenminimierung muss der App-Anbieter von Navigations-App A bei einer jeweiligen Datenverarbeitung – etwa die Erhebung von Standortdaten zum Zweck der Navigation des Nutzers – sicherstellen, dass die Verarbeitung angemessen, erheblich und auf das notwendige Maß beschränkt bleibt. Bei einer reinen Nutzung der Standortdaten zur sofortigen Navigation (Verarbeitung der Kategorie  I) kann ohne die Erhebung der Standortdaten der Zweck nicht erreicht werden und fördert diesen, so dass die Verarbeitung erheblich und notwendig ist. Auch ist die Nutzung der Daten ohne zusätzliche, dauerhafte Speicherung der Daten funktional, inhaltlich, modal sowie zeitlich für den Zweck erforderlich und damit angemessen. Ein Zugriff auf die Kontaktdaten des Nutzers wäre in diesem Verarbeitungszusammenhang hingegen weder erheblich und mangels Zusammenhang zur konkreten Verarbeitung auch nicht angemessen. Sollen die Standortdaten nach dem Zweck der Verarbeitung auch gespeichert werden, um etwa ein Bewegungsprofil für den Nutzer zu erstellen (Kategorie II), so wäre auch die dauerhafte Speicherung für den Zweck der Verarbeitung erheblich und angemessen.

Insgesamt lässt sich feststellen, dass durch die drei Anforderungen eine dem nationalen Verwaltungs- und Verfassungsrecht vergleichbare Verhältnismäßigkeitsprüfung der Verarbeitung stattfindet, bei der die Notwendigkeit der Datenverarbeitung mit dem Schutz der Daten der betroffenen Person abgewogen wird. 2. Die Umsetzung der Datenminimierung Eine konkrete Ausprägung erfährt der Grundsatz der Datenminimierung durch Art. 25 DSGVO, der in Absatz 1 den Datenschutz durch Technikgestaltung (Privacy by Design) und in Absatz 2 datenschutzfreundliche Voreinstellungen (Privacy by Default) in die DSGVO implementiert. Beides sind Regelungen, die den Datenverarbeiter zeitliche bereits lange vor der konkreten Datenverarbeitung zum Schutz dieser Daten über Voreinstellungen und technische Gestaltung verpflichten und über die maßgeblich die Grundsätze der Datenminimierung und Zweckbindung sichergestellt werden sollen. Insbesondere die bereits erörterte Anonymisierung und Pseudonymisierung können dabei zur Datenminimierung beitragen. 598

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 5 Rn. 37. Es verbleibt allerdings eine Anwendungslücke hinsichtlich der Begrenzung auf das notwendige Maß. Eine solche besteht in den Fällen, in denen eine Vielzahl von Daten für sich genommen angemessen und erheblich für den Zweck der Datenverarbeitung sind, es jedoch keiner Kumulation dieser Vielzahl bedarf. In diesen Fällen ist die Kumulation und Aggregation der Daten auf das notwendige Maß zu begrenzen. 599 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 120. Nach beiden Anforderungen darf wiederum der notwendige Umfang nicht überschritten werden, nach dem Daten zur Zweckerreichung verarbeitet werden.

206

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

a) Datenschutz durch Technikgestaltung Dem Gebot von Privacy by Design folgend muss der Verantwortliche gem. Art. 25 Abs. 1 DSGVO im Vorfeld der Datenverarbeitung geeignete technische und organisatorische Maßnahmen treffen, um die Grundsätze des Datenschutzes wirksam umzusetzen. Die Regelung greift die Erkenntnis auf, dass ein adäquater Datenschutz bereits bei der Programmierung und Konzipierung der einzelnen Datenverarbeitungsvorgänge berücksichtigt werden muss.600 Ein adäquater Schutz ist ohne solche technischen Maßnahmen aufgrund der Vielzahl von Datenverarbeitungsvorgängen bei datenbasierten Geschäftsmodellen nur schwerlich zu gewährleisten. Mögliche Datenschutzverstöße werden über die Umsetzung im besten Falle bereits präventiv verhindert und damit zeitgleich das Vertrauen in die Verarbeitungsprozesse gestärkt.601 Über die Vorgaben sind die Datenverarbeiter in der Pflicht, bei den zu treffenden Maßnahmen alle Vorgänge, die mit einer Datenverarbeitung zusammenhängen, zu berücksichtigen. Die Regelung belässt den Datenverarbeitern allerdings den Spielraum, die konkreten Umstände – wie den Stand der Technik, die Implementierungskosten oder auch die konkrete Gefahr für die betroffenen Personen aus der Datenverarbeitung – kontextbezogen in den Abwägungsprozess zur Wahl der geeigneten Maßnahme einzubeziehen.602 Für diesen Abwägungsprozess lässt sich als Faustregel feststellen, dass je größer die Risiken für die Rechte der betroffenen Person ausfallen, desto weitreichendere Maßnahmen hat der verantwortliche Datenverarbeiter zu treffen.603 Gleichzeitig sind auch die jeweiligen Implementierungskosten im Abwägungsprozess zu berücksichtigen, ob eine jeweilige Maßnahme verhältnismäßig ausfällt.604 Die Wahl der Maßnahme kann vielfältig ausfallen. Als geeignete Maßnahmen kommen aber insbesondere eine Anonymisierung oder Pseudonymisierung der Daten in Betracht.605 Durch Anonymisierung entfällt der Personenbezug der Daten, womit die Verarbeitung personenbezogener Daten minimiert wird. Gleichzeitig unterliegt die Verarbeitung der anonymisierten Daten – bis zu einer möglichen Re-Identifizierung – nicht mehr der Datenminimierung. 600

Cavoukian, Privacy by Design – The 7 Foundational Principles, S. 3; Martini, in: Paal /  Pauly, DSGVO / BDSG, Art. 25 Rn. 10. 601 Cavoukian, Privacy by Design – The 7 Foundational Principles, S. 1. 602 Martini, in: Paal / Pauly, DSGVO / BDSG, Art.  25 Rn.  36; Paulus, in: Wolff / Brink, ­BeckOK Datenschutzrecht, Art. 25 Rn. 4. 603 Martini, in: Paal / Pauly, DSGVO / BDSG, Art.  25 Rn.  37c. 604 Hartung, in: Kühling / Buchner, DSGVO / BDSG, Art.  25 Rn.  22; Martini, in: Paal / Pauly, DSGVO / BDSG, Art.  25 Rn.  41 f. 605 Die DSGVO schafft abgesehen von ErwG 78 keine spezifischen Vorgaben. Neben der Pseudonymisierung nennt ErwG 78 S. 3 als weitere taugliche Maßnahmen die Herstellung von Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten, die der betroffenen Person die Überwachung der Daten ermöglicht. Auf die notwendige Transparenz der Verarbeitung wird in der Untersuchung der Verarbeitungstatbestände (s. § 6 B. II. 3.) sowie in § 8 C. näher eingegangen.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

207

Hinsichtlich der Pseudonymisierung wird in Erwägungsgrund 78 S. 3 beispielhaft ausgeführt, dass zur Minimierung der personenbezogenen Daten diese schnellstmöglich pseudonymisiert werden können. Die Pseudonymisierung stellt damit ein wesentliches Konzept zur Umsetzung der Datenminimierung dar. Gleichzeitig wird durch die Nennung der Pseudonymisierung innerhalb der DSGVO ausdrücklich eine Form des Datenschutzes privilegiert, bei der ein Personenbezug der Daten bestehen bleibt.606 So verbleiben die nicht-pseudonymen Merkmale – also der Schlüssel zur Herstellung des Personenbezugs – beim Verantwortlichen, der Schlüssel muss aber für eine taugliche Pseudonymisierung in geeigneter Weise von den pseudonymen Daten getrennt gespeichert werden.607 Hierdurch eröffnet sich die Möglichkeit einer Nutzung nicht zwingend erforderlicher Daten – etwa für datengetriebene Geschäftsmodelle –, die nach dem Grundsatz der Datenminimierung ansonsten ausgeschlossen bzw. maßgeblich beschränkt wäre. b) Datenschutzfreundliche Voreinstellungen Über datenschutzfreundliche Voreinstellungen soll gem. Art. 25 Abs. 2 DSGVO vergleichbar zum Privacy by Design organisatorisch und technisch sichergestellt werden, dass eine Datenverarbeitung lediglich zu erforderlichen Zwecken erfolgt. Die Vorgabe zu datenschutzrechtlichen Voreinstellungen greift die allgemeinen Anforderungen der Datenminimierung auf und verlagert deren Umsetzung auf die organisatorische Ebene des Verantwortlichen. Die Pflicht verlangt im Grundsatz, dass ein Dienst für den Nutzer bereits ohne eigenes Handeln beim Erstgebrauch die datenschutzfreundlichsten Einstellungen aufweisen soll, die zuvor vom verantwortlichen Datenverarbeiter festzulegen sind.608 So kann sichergestellt werden, dass die Datenverarbeitung angemessen, erheblich und für auf das notwendige Maß beschränkt bleibt. Der maßgebliche Unterschied zu Privacy by Design besteht darin, dass nicht die organisatorischen Maßnahmen Gegenstand der Pflicht sind. Vielmehr stellt die verpflichtende Umsetzung datenschutzrechtlicher Voreinstellung auf die konkrete Verarbeitung personenbezogener Daten ab, die unter Umständen bereits durch Privacy by Design Maßnahmen verhindert werden kann.609 Die konkrete Verarbeitung muss von vornherein möglichst datenschutzfreundlich gestaltet werden und die Erheblichkeit und Erforderlichkeit der Verarbeitung beachten.610

606

Zur Pseudonymisierung bereits ausführlich § 5 A. II. 2. b). Marnau, DuD 2016, 428 (431). 608 EDPB, Guidelines 4/2019 Article 25, Rn. 40 f.; Hartung, in: Kühling / Buchner, DSGVO /  BDSG, Art. 25 Rn. 24. 609 Detailliert zum Konkurrenzverhältnis von Art. 25 Abs. 1 und 2 Hartung, in: Kühling /  Buchner, DSGVO / BDSG, Art. 25 Rn. 29. 610 Umfassender zu Privacy by Default etwa Bieker / Hansen, RDV 2017, 165 (167 ff.). 607

208

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

c) Konkretisierungsansätze in § 19 Abs. 2 TTDSG § 19 Abs. 2 TTDSG verpflichtet Anbieter von Telemedien die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Wie bereits erörtert, handelt es sich bei datenfinanzierten Angeboten in aller Regel um Telemedien.611 Insoweit erstreckt sich die Verpflichtung des § 19 Abs. 2 TTDSG auf die jeweiligen App-Anbieter. Die Regelung präzisiert den Grundsatz der Datenminimierung für Telemedien.612 Sie darf dabei allerdings nicht zu weitreichend verstanden werden. Aufgrund von § 19 Abs. 2 muss keineswegs ein zwingendes anonymes oder pseudonymes Vertragsverhältnis mit dem jeweiligen Nutzer geschaffen werden.613 Die Regelung bezieht sich lediglich auf die Datenminimierung bei der Nutzung der jeweiligen Telemedien. Sie verbietet hingegen keinesfalls, dass die Nutzung von Telemedien von einer Registrierung oder Personalisierung abhängig gemacht wird – insbesondere bei entgeltfreien Telemedien wie datenfinanzierten Angeboten.614 Die tatsächlichen Unterschiede zu den Regelungen in der DSGVO fallen daher eher gering aus, belegen jedoch gleichzeitig den Stellenwert der Datenminimierung als Grundsatz im Datenschutz. Auch unterstreicht die Regelung die Bedeutung von Pseudonymisierung und Anonymisierung als taugliche Maßnahmen zur Sicherstellung ebendieser Datenminimierung. 3. Die Datenminimierung bei datenfinanzierten Angeboten Durch die Ausrichtung des Grundsatzes der Datenminimierung an den Zwecken der Verarbeitung ergeben sich bei datengetriebenen Geschäftsmodellen ähnliche Umsetzungsprobleme wie beim Grundsatz der Zweckbindung. Über die Datenminimierung werden die einzelnen zweckgebundenen Datenverarbeitungen auf ihre Verhältnismäßigkeit hinsichtlich der Eingriffstiefe für die betroffene Person überprüft. Der Grundsatz dient damit einer Verringerung der Eingriffsintensität von Datenverarbeitungen auf das erforderliche Maß, indem die Reduzierung des Personenbezugs von Daten oder zumindest ein geeigneter Schutz über Pseudonymisierung angestrebt wird. Die Datenminimierung zielt ferner über die Anforderung der Erforderlichkeit auf eine Reduzierung der Anzahl von Verarbeitungs 611

Vgl. § 3 B. und § 4 B. III. 1. Moos, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, § 19 TTDSG, Rn.  12. 613 Moos, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, § 19 TTDSG, Rn. 13 m. w. N. So zur gleichlautenden Vorgängervorschrift in § 13 Abs. 6 TMG a. F. bereits LG Frankfurt / M, Urt. v. 3. 9. 2020 – 2-03 O 282/19 = MMR 2021, 269 (270); OLG Hamburg, Urt. v. 4. 2. 2009 – 5 U 18/07 = ZUM 2009, 417 (419); OLG Düsseldorf, Urt. v. 7. 6. 2006  – I-15 U 21/06 = MMR 2006, 618 (620); a. A. wohl DAV, Stellungnahme 7/21, S. 6. 614 Moos, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, § 19 TTDSG, Rn.  13; Schwartmann /  Benedikt / Reif, MMR 2021, 99 (100). 612

§ 5 Grundsätze und Prinzipien des Datenschutzes 

209

vorgängen. Trotz der Bezeichnung als Minimierung wird hierüber gleichwohl keineswegs eine Reduzierung der Datenmenge an sich gefordert.615 a) Vorüberlegungen zu Big Data Durch Big Data sollen möglichst viele (zumeist personenbezogene) Daten auf Vorrat aus möglichst vielen Quellen gespeichert werden, um diese in Analysen zu noch offenen Zwecken auszuwerten.616 Dem Konzept von Big Data steht es entgegen, eine Begrenzung der zu erhebenden Daten durchzusetzen und die Einbeziehung von Daten aus unterschiedlichsten Quellen zu beschränken.617 Eine Vereinbarkeit mit der Anforderung der Datenminimierung erscheint insoweit äußerst fraglich, wenn Big-Data-Konzepte durch Zugriff auf bereits vorhandene Daten sowie Sammlung und Speicherung zusätzlicher Daten eine umfassende Analyse ermöglichen sollen. Im Detail fällt bereits die Erheblichkeit der Datenverarbeitung fraglich aus, da bei Big Data-Analysen noch keine Gewissheit über die spätere Nutzung der Daten besteht. Wenn alle Daten für noch ungewisse Zwecke gespeichert werden sollen, ist die Verarbeitung gerade nicht zwingend geeignet, den festgelegten Zweck zu fördern. Sollen Daten in Analysen für alle denkbaren Zwecke verarbeitet und genutzt werden, wären die Daten für die Verarbeitung im Übrigen immer erheblich, weil sie für unbestimmte, künftige Zwecke benötigt werden könnten. Die aus der Erforderlichkeit der Datenverarbeitung folgende zeitliche Begrenzung der Speicherdauer läuft bei Big Data insoweit ins Leere.618 Die zusätzliche Anforderung der Angemessenheit zum Zweck der Datenverarbeitung fordert darüber hinaus, das technische System zur Datenverarbeitung so zu gestalten, dass die Verarbeitung (vor allem die Speicherung) personenbezogener Daten auf das erforderliche Maß zu beschränken ist. Nach dem Konzept von Big Data sollen hingegen möglichst viele Daten ausgewertet werden, um dadurch die Ergebnisse zu verbessern, so dass hier wiederum ein diametraler Widerspruch besteht. Somit bestehen an der Vereinbarkeit von Big Data-Analysen mit dem Grundsatz der Datenminimierung im gleichen Maße Zweifel wie schon bei der Vereinbarkeit mit der Zweckbindung.619 Hierbei steht insbesondere die Zielrichtung des Privacy by Default-Ansatzes in Art. 25 Abs. 2 DSGVO dem Zweck entgegen, über Big Data-Analysen möglichst viele Daten zu sammeln.620 615

Roßnagel et al., Datensparsamkeit oder Datenreichtum?, S. 4 f.; Roßnagel, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 125. 616 S. hierzu ausführlich § 2 A. 617 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  133. 618 Roßnagel, ZD 2013, 562 (564). 619 So im Ergebnis auch Raabe / Wagner, DuD 2016, 434 (435 f.); Roßnagel, ZD 2013, 562 (564). 620 Becker, JZ 2017, 170 (172); Martini, in: Paal / Pauly, DSGVO / BDSG, Art.  25 Rn.  44.

210

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Ein Lösungsansatz dieser zunächst unüberbrückbar erscheinenden Problematik liegt allerdings in der Anonymisierung und Pseudonymisierung der Daten, die taugliche Maßnahmen zur Umsetzung der Datenminimierung darstellen. Durch Pseudonymisierung kann der Verantwortliche die Rohdaten weiter vorhalten, die Analysen aber mit davon getrennt gespeicherten, pseudonymisierten Daten durchführen. Bei einer tauglichen Pseudonymisierung genügt ein solcher Schutz den Anforderungen der Datenminimierung. Gleichwohl beschränkt diese Datentrennung unter Umständen die Nutzbarkeit personenbezogener Daten in bestimmten Analysen, wenn etwa in Echtzeit nicht ausreichend pseudonymisiert werden kann oder sich eine taugliche Pseudonymisierung als schwierig erweist.621 Darüber hinaus ist bei der Verwendung von Pseudonymen die Identifizierbarkeit über umfassende Profilbildung aufgrund der oft großen Datenbestände zu bedenken.622 Bei einer Anonymisierung ist aus Big Data-Perspektive zu beachten, dass für die Bestimmung der Re-Identifizierungswahrscheinlichkeit die dem zeitlichen Wandel unterliegenden Faktoren, wie Stand der Technik oder Kosten-Nutzen-­Relationen, einzubeziehen sind.623 Hierdurch kann festgestellt werden, ob vermeintlich anonymisierte Daten auch tatsächlich anonym sind oder ob weiterhin ein Personenbezug besteht. Zusammengefasst sollten Big Data-Analysen nach dem Grundsatz der Datenminimierung auf Ergebnisse zielen, die möglichst wenig personenbezogene Daten beinhalten oder auf möglichst wenig individuelle Personen angewendet werden.624 Es sind mithin die Gestaltungsmöglichkeiten einer Verarbeitung unter Verzicht auf personenbezogene Daten durch Pseudonymisierung und Anonymisierung zu prüfen, um einen Einklang der Analysen mit dem Grundsatz der Datenminimierung zu gewährleisten. Dies begünstigt im Ergebnis – wie schon bei der Zweckbindung – die Vereinbarkeit von Analysen auf der Makro-Ebene gegenüber solchen auf der Mikro-Ebene. b) Die Übertragbarkeit auf datenfinanzierte Angebote Zunächst ist festzustellen, dass sich die Anforderungen der Datenminimierung aufgrund der notwendigen Einzelfallbetrachtung auf die verschiedenen, sehr heterogenen Datenverarbeitungen datenfinanzierter Angebote unterschiedlich auswirken. Schaut man aber auf die verschiedenen Kategorien der Datenverarbeitung, lassen sich durchaus Unterschiede feststellen, ob und in welchem Maße der Grundsatz der Datenminimierung betroffen ist. Dies verändert damit auch die im Rahmen von Privacy by Design zu ergreifenden Maßnahmen. 621

Marnau, DuD 2016, 428 (431). Raabe / Wagner, DuD 2016, 434 (436). 623 Raabe / Wagner, DuD 2016, 434 (436). 624 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  128. 622

§ 5 Grundsätze und Prinzipien des Datenschutzes 

211

Bei einer Datenverarbeitung zur Sofortnutzung der Daten (Kategorie I) ergeben sich in der Regel keine Probleme mit der Datenminimierung, da lediglich Daten verwendet werden, die für die Funktion der App essentiell sind. Dies zeigt sich bereits sehr deutlich im obigen Beispiel zur Sofortnutzung der Standortdaten. Bei einer Speicherung und späteren Weiterverarbeitung und Analyse der Daten (Kategorie  II) ist anhand einer Verhältnismäßigkeitsprüfung im Einzelfall zu prüfen, ob insbesondere die Speicherung in einem angemessenen Verhältnis zum Zweck der Verarbeitung steht und den Schutz der Nutzerdaten ausreichend berücksichtigt. Die Anforderung der Erheblichkeit der Verarbeitung führt zumeist noch zu keinem Problem, da der App-Anbieter ohne die Speicherung und anschließende Weiterverarbeitung den intendierten Zweck der Verarbeitung häufig nicht erreichen kann. Diffiziler ist hingegen die Bewertung der Angemessenheit. Es muss berücksichtigt werden, ob die Verarbeitung funktional, inhaltlich, modal und zeitlich auf das für den zulässigen Zweck Erforderliche begrenzt bleibt. Die Daten dürfen also nur in dem Umfang und Zeitraum gespeichert werden, wie diese auch tatsächlich für den späteren Verarbeitungszweck benötigt werden. Allerdings ist bei dieser Angemessenheitsprüfung immer zu berücksichtigen, ob der Nutzer aus der Datenspeicherung auch Vorteile zieht – sei es durch die generelle Nutzung der App oder gar durch den konkreten Funktionsgewinn dank der Speicherung der Daten. Noch kritischer gestaltet sich vor dem Hintergrund der Datenminimierung die Offenlegung der Daten gegenüber Dritten (Kategorie III). Wie bereits zur Zweckbindung angeklungen, muss nicht nur die Offenlegung selbst als Zweck der Datenerhebung benannt werden, sondern vielmehr auch die Zwecke, zu denen der Empfänger die Daten zu verarbeiten beabsichtigt. Dies stellt den App-Anbieter gerade bei einer Offenlegung an externe Dritte – vor allem wenn die Daten auf Datenmärkten angeboten werden – vor enorme Schwierigkeiten, da die Datennutzung des Dritten durch den App-Anbieter nicht final beeinflusst werden kann. Werden die Daten dennoch offengelegt, kann sich die Offenlegung mangels eindeutig möglicher Festlegung des Zwecks kaum als erforderlich darstellen.625 Diese Wertung ist dabei mit den Ausführungen zu Big Data vergleichbar, da eine durch den AppAnbieter nicht kontrollierbare Speicherung und Nutzung der Daten so in Konflikt zur Angemessenheit des Zweckes der Verarbeitung gerät. Kann der Zweck hingegen trotz Offenlegung an den Dritten, etwa aufgrund einer konzerninternen Offenlegung, eindeutig festgelegt werden, so ist die Verarbeitung wiederum für den Zweck erheblich, da eine Offenlegung der Daten für die Verarbeitungszwecke des Empfängers notwendig ist. Die Angemessenheit richtet sich danach, welche Daten offengelegt werden und ob diese tatsächlich für die spätere Nutzung des Dritten erforderlich sind.

625 Ob eine Erforderlichkeit für die Offenlegung besteht, wenn die Daten als Gegenleistung zum datenfinanzierten Angeboten deklariert und im Anschluss weiterveräußert werden, ist im Rahmen des „Kopplungsverbots“ der Einwilligung zu eruieren, vgl. § 6 B. II. 4. b).

212

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Werden innerhalb der Navigations-App A Bewegungsprofile der Nutzer erstellt, so hängt deren Vereinbarkeit mit dem Grundsatz der Datenminimierung maßgeblich von der Nutzung der Bewegungsprofile ab. Dient der Zweck des angelegten Profils zahlreichen Funktionen innerhalb der App, so kann eine Speicherung und Nutzung durchaus erheblich für deren Nutzung und diesbezüglich erforderlich sein. Dabei muss die Speicherung funktional, inhaltlich, modal und zeitlich für die spätere Nutzung tatsächlich notwendig sein. Findet die Speicherung der Daten demgegenüber lediglich zum (kommerziellen) Nutzen des AppAnbieters oder eines Dritten statt, dem die Daten offengelegt werden, so erscheint diese Verarbeitung schwerlich als erheblich oder angemessen für die Funktionszwecke der App. Diese Wertung verändert sich allerdings, wenn bei der Zweckbestimmung bei der Daten­ erhebung die kommerzielle Nutzung der Bewegungsprofile eindeutig festgelegt wird, da dann – sofern sich dieser kommerzielle Zweck ansonsten als legitim erweist – die jeweilige Datenerhebung im Sinne der Datenminimierung durchaus als erheblich und angemessen angesehen werden kann. Ähnlich ist eine Speicherung von Metadaten durch Messenger-Dienst B zu bewerten. Sind diese für eine Funktion innerhalb der App notwendig, ergibt sich kein Widerspruch zur Datenminimierung. Werden diese allerdings ohne einen solchen Bezug gespeichert, kann nur von einer Erforderlichkeit im Sinne einer funktionalen, inhaltlichen, modalen sowie zeitlichen Notwendigkeit ausgegangen werden, wenn dieser (kommerzielle) Zweck bereits bei der Erhebung eindeutig festgelegt ist.

Die Bewertung von Verarbeitungen der Kategorie II und III hängt also maßgeblich davon ab, wie konkret der Verarbeitungszweck angegeben wird. Dies betrifft vor allem Fälle, in denen die Daten nicht zum Vorteil des Nutzers, sondern für kommerzielle Zwecke des App-Anbieters verarbeitet werden. Ist der Verarbeitungszweck hinreichend genau bestimmt, ergeben sich zumeist keine Probleme mit dem Grundsatz der Datenminimierung. Lässt sich die Datenverarbeitung hingegen nicht präzise durch den festgelegten Zweck abschätzen, ist die Datenverarbeitung zumeist auch nicht angemessen. Vergleichbar zu Big Data kann eine komplexere Datenverarbeitung der Kategorie II oder III über eine taugliche Anonymisierung oder Pseudonymisierung der Nutzerdaten so abgesichert werden, dass eine anschließende Weiterverarbeitung, die nicht dem Nutzer selbst dient, nicht im Konflikt zum Grundsatz der Datenminimierung steht und vor allem die Vorgaben nach Art. 25 Abs. 1 DSGVO und § 19 Abs. 2 TTDSG erfüllt. IV. Weitere Datenschutzgrundsätze Neben den vertieft betrachteten Grundsätzen enthält Art. 5 Abs. 1 DSGVO die Grundsätze der Richtigkeit (lit. d)), der Speicherbegrenzung (lit. e)) sowie der Integrität und Vertraulichkeit (lit. f)). Diese sollen kurz dargestellt werden, bevor begründet wird, warum diese Grundsätze für die Bewertung datenfinanzierter Angebote keine hohe Bedeutung aufweisen.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

213

1. Der Grundsatz der Richtigkeit Nach dem Grundsatz der Richtigkeit (Art. 5 Abs. 1 lit. d) DSGVO) müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Hierfür sind nach der Konkretisierung in Halbsatz 2 alle angemessenen Maßnahmen zu treffen, durch welche personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Erwägungsgrund 39 S. 11 ergänzt diese Anforderung dahingehend, dass für angemessene Maßnahmen alle vertretbaren Schritte aufseiten des Verarbeiters unternommen werden sollten. Sachliche Richtigkeit ist ein objektives Kriterium, nach dem die Informationen personenbezogener Daten auch mit der Realität übereinstimmen müssen und bezieht sich insoweit inhaltlich nur auf Tatsachenangaben.626 Die Anforderung nach Richtigkeit steht dabei nach Hs. 2 in enger Verbindung zum Verarbeitungszweck; die Information muss sich also auch hinsichtlich des konkreten Zweckes als richtig erweisen. Die zusätzliche Anforderung, die erforderlichenfalls Daten „auf dem neusten Stand“ verlangt, setzt eine Aktualität der Daten für solche Fälle voraus, bei denen der Verarbeitungszweck ebenjene Aktualität erfordert – etwa, wenn für eine Datenverarbeitung die aktuellen Eigenschaften der betroffenen Person bedeutsam sind und sich aus der Verarbeitung ggf. negative Konsequenzen für diese ergeben könnten.627 Zusammenfassend bezieht sich der Grundsatz der Richtigkeit auf den (Informations-)Inhalt der einzelnen Daten. Datenfinanzierte Angebote betreffen mit ihren Inhalten und Funktionen allerdings viele verschiedene Lebensbereiche, womit sich auch der Inhalt der verarbeiteten Daten als äußerst heterogen erweist. Dementsprechend lassen sich aus der Anforderung nach der Richtigkeit der verarbeiteten Daten nur schwerlich Rückschlüsse auf die allgemeine datenschutzrechtliche Bewertung datenfinanzierter Angebote ziehen. Im Übrigen sind unrichtige oder nicht aktuelle Daten in der Regel für eine Verarbeitung weder erheblich, noch auf das notwendige Maß beschränkt, so dass unrichtige Daten ohnehin schon mit der Datenminimierung in Konflikt stehen.628 Aus diesen Gründen hat der Grundsatz für die abstrakte Bewertung datenfinanzierter Angebote keine vertiefte Bedeutung und wird folglich nicht näher untersucht. Gleichwohl sollten App-Anbieter sicherstellen, dass ihre Daten – soweit erkennbar – sachlich richtig sind und auf die Aktualität der Daten geachtet wird, wenn diese mit konkretem Bezug zur betroffenen Person weiterverarbeitet werden.

626

Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  60; Roßnagel, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 5 Rn. 140. 627 Roßnagel, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  5 Rn.  141. 628 EuGH, Urt. v. 13. 4. 2014, Rs. C-131/12, Rn. 93 – Google Spain; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  39.

214

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

2. Der Grundsatz der Speicherbegrenzung Der Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO) verlangt für personenbezogene Daten eine Speicherung in einer Form, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Die Speicherbegrenzung greift die Zweckbindung und Datenminimierung auf und ergänzt beide Grundsätze um eine zeitliche Begrenzung der Speicherung auf den für die zweckgerichtete Verarbeitung erforderlichen Zeitrahmen.629 Die Begrenzung hat damit Konsequenzen für die Verarbeitung zu Sekundärzwecken. Denn nach Erfüllung des Primärzwecks ist die Speicherung grundsätzlich aufzuheben bzw. der Personenbezug zu entfernen, unabhängig davon, ob der Sekundärzweck bereits erfüllt ist.630 Darüber hinaus fokussiert die Speicherbegrenzung die Datenminimierung auf den Bereich der Speicherdauer. Die Speicherfrist soll nach Erwägungsgrund 39 S. 8 auf das unbedingt erforderliche Mindestmaß begrenzt werden und greift mithin die Anforderungen der Datenminimierung spezifisch für die Speicherdauer auf. Die Anforderung der Speicherbegrenzung kann dadurch erfüllt werden, dass die Daten nach ihrer für die Verarbeitung erforderlichen Speicherung entweder gelöscht werden oder aber der Personenbezug entfernt wird, was insoweit wiederum durch Anonymisierung oder Pseudonymisierung erreicht werden kann.631 Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche hierfür Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen.632 Durch die Normierung der Speicherbegrenzung innerhalb der DSGVO als eigenständiger Grundsatz wird deutlich, dass es sich hierbei um einen wesentlichen Teilbereich zur Umsetzung einer tauglichen Zweckbindung und Datenminimierung handelt. Indessen kann die notwendige Speicherdauer bei datenfinanzierten Angeboten aufgrund Variabilität dieser Angebote so unterschiedlich ausfallen, wie es die verarbeiteten Daten selbst sind.633 Daher erscheint es vorzugswürdig, die allgemeineren Grundsätze von Datenminimierung und Zweckbindung für die Bewertung von datenfinanzierten Angeboten heranzuziehen und die Speicherbegrenzung, bei der die Speichergründe häufig sehr technisch geprägt und vom Einzelfall abhängig sind, nicht näher zu untersuchen.

629 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  65; Schantz, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 5 Rn. 32 f. 630 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  43. 631 Herbst, in: Kühling / Buchner, DSGVO / BDSG, Art.  5 Rn.  66. 632 Vgl. DSGVO ErwG 39 S. 10. 633 Zu verschiedenen Faktoren der Speicherdauer Voigt, in: Taeger / Gabel, DSGVO / BDSG /  TTDSG, Art. 5 Rn. 36.

§ 5 Grundsätze und Prinzipien des Datenschutzes 

215

3. Der Grundsatz der Integrität und Vertraulichkeit Der Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO) erfordert eine Verarbeitung personenbezogener Daten in einer Weise, die eine angemessene Sicherheit der Daten gewährleistet. Hiervon umfasst ist der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen. Der Grundsatz beinhaltet nach Erwägungsgrund 39 S. 12 ferner, dass Unbefugte keinen Zugang zu den Daten erhalten und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, nutzen können. Um die hierzu erforderliche Sicherheit zu erfüllen, trifft die Verantwortlichen eine Schutzpflicht zur Abwehr von Gefahren für die Daten.634 Dies gilt auch unternehmensintern, so dass selbst innerhalb eines Unternehmens der Schutz vor unberechtigtem Zugriff gewährleistet werden muss. Der Grundsatz wird dabei durch die Regelungen in Art. 32 Abs. 1 lit. b) und Art. 28 Abs. 3 S. 2 lit. b)) DSGVO substantiiert, welche die Verantwortlichen und dessen Auftragsverarbeiter zur Ergreifung technischer und organisatorischer Maßnahmen verpflichten, um Integrität und Vertraulichkeit sicherzustellen.635 Diese Anforderung an Integrität und Vertraulichkeit bilden insgesamt einen eher systemischen bzw. technischen Ansatz zum Datenschutz und zur Datensicherheit. Der Grundsatz betrifft hingegen nicht die konkrete Verarbeitung der Daten durch die Unternehmen und insofern bestehen keine Besonderheiten für datenfinanzierte Angebote und die verantwortlichen App-Anbieter. Auf die eher technisch geprägte Ausgestaltung eines solchen systemischen Datenschutzes soll innerhalb dieser Arbeit nicht näher eingegangen werden.

C. Folgen für die Verarbeitung innerhalb datenfinanzierter Angebote Aus dieser Untersuchung zur sachlichen Anwendbarkeit der DSGVO sowie der Gestaltung der Datenschutzgrundsätze lassen sich zusammenfassend einige Schlüsse für die Datenverarbeitung in Big Data-Analysen sowie insbesondere bei datenfinanzierten Angeboten ziehen. I. Vorüberlegung: Big Data Ohne an dieser Stelle nochmals vertieft auf die Vereinbarkeit der einzelnen Datenschutzgrundsätze mit Big Data-Konzepten einzugehen, lässt sich feststellen, dass die Prinzipien der Datenminimierung und Zweckbindung im eindeutigen 634 635

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  5 Rn.  47. Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  39.

216

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Gegensatz zu einer auf Big Data beruhenden Analyse stehen. Denn eine Sammlung möglichst vieler Daten und die Verwendung für vielfältige Zwecke ist der Ansatzpunkt von Big Data und mit diesen Grundsätzen gerade nicht zu vereinbaren. Diese Grundsätze – und damit auch das Konzept des Datenschutzes an sich – werden zum Teil dafür kritisiert, dass hierdurch technische Entwicklung sowie wissenschaftliche wie ökonomische Vorteile ausgebremst werden und die Daten der Betroffenen dadurch ohnehin nur unzureichend geschützt werden.636 So werden zum Teil Grundzüge des Datenschutzrechts wie Datenminimierung oder der Personenbezug an sich kritisiert. Allerdings versucht sich der europäische Datenschutzansatz daran, in bestimmten Bereichen die Anforderungen an die Datennutzung zu verringern, um eine datengetriebene Datenwirtschaft zu ermöglichen. So bedeutet das inzwischen wohl als feststehend anzusehende eher relative Verständnis des Personenbezugs von Daten durch die DSGVO bzw. die vorherige Entscheidung des EuGH, dass für Big Data-Anwendungen durchaus Raum gelassen wird: Wann immer Daten im Kontext einer Big Data-Analyse einen Personen­bezug aufweisen, greifen zwar die Vorgaben des Datenschutzrechts und schränken den Raum von Big Data insoweit enorm ein. Gleichzeitig bekommen allerdings Pseudonymisierung und Anonymisierung eine bedeutsame Rolle, da sie als taugliche Datenschutzkonzepte die Anwendung des Datenschutzrechts (teilweise)  verhindern. Für Big Data-Geschäftsmodelle ist häufig nicht der Einzelfall und damit das einzelne persönliche Datum, sondern der Wert der Erkenntnisse aus der Aggregation der Daten von Bedeutung.637 Solche Geschäftsmodelle werden zwar durch eine Pseudonymisierung und Anonymisierung der Daten verkompliziert, jedoch keinesfalls unmöglich gemacht. Insoweit wird hierdurch insbesondere ein Einsatz von Big Data-Analysen auf der Makro-Ebene ermöglicht, bei denen die Individualisierbarkeit der Erkenntnisse keine tragende Rolle spielt. Wird hingegen über Big Data-Analysen versucht, möglichst treffsichere Informationen über eine individualisierbare Person herauszufinden, wofür dementsprechend ein Personenbezug bestehen muss, erscheint zum Schutz der betroffenen Person die Bindung an die Grundsätze der DSGVO durchaus sachgerecht, auch wenn hierdurch möglicherweise einige Analysen vor enorme datenschutzrecht­ liche Probleme gestellt werden.

636

Vgl. etwa Mantelero, Defining a new paradigm for data protection in the world of Big Data analytics, S. 2 ff.; Tene / Polonetsky, Big Data for All: Privacy and User Control in the Age of analytics, S. 19 ff. 637 Raabe / Wagner, DuD 2016, 434 (436 f.).

§ 5 Grundsätze und Prinzipien des Datenschutzes 

217

II. Datenfinanzierte Angebote Bei datenfinanzierten Angeboten hat der App-Anbieter als Verantwortlicher die Einhaltung der datenschutzrechtlichen Vorgaben und damit auch die datenschutzrechtlichen Grundsätze zu gewährleisten. Bei einer Offenlegung der Daten ist zusätzlich auch der Empfänger der Daten für die weitere Verarbeitung verantwortlich, so dass für ihn die Grundsätze ebenfalls gelten. Häufig sind die datenschutzrechtlichen Grundsätze in ihrer Regelungswirkung eher abstrakt, so dass sich aufgrund der Heterogenität verschiedener Apps und der sich hieraus ergebenden sehr weiten Definition datenfinanzierter Angebote kaum generelle Aussagen zur Vereinbarkeit mit den Grundsätzen tätigen lassen. Denn in der Regel hängt die Bewertung vom Einzelfall ab und es sind die Besonderheiten der einzelnen App und ihrer Datenverarbeitung einzubeziehen. Gleichwohl lassen sich – gerade hinsichtlich einer unterschiedlichen Intensität der Datenverarbeitung – durchaus Tendenzen feststellen, ob und inwieweit die datengetriebenen Geschäftsmodelle datenfinanzierter Angebote im Widerspruch zu den Grundsätzen stehen.

1. Die Problematik der einzelnen Grundsätze Im Einzelnen ergeben sich durch die Funktionsweise datengetriebener Geschäftsmodelle je nach datenschutzrechtlichem Grundsatz sehr unterschiedlich weitgehende Zweifel an der Vereinbarkeit. Zum Gebot der Transparenz steht die Datenverarbeitung datenfinanzierter Angebote vor allem dann im Widerspruch, wenn die Verarbeitungsprozesse sehr komplex ausfallen. Bei komplexen Datenverarbeitungen fällt es schwererer, die Verarbeitung für den Nutzer vollständig und verständlich transparent zu machen. Ein weiteres Problem ergibt aus der Nutzung einer Vielzahl verschiedener Apps. Hierdurch erwächst beim Nutzer die Schwierigkeit, die einzelnen Verarbeitungsprozesse zu überblicken und die einzelnen Verarbeitungen nicht gedanklich zu marginalisieren. Die Vereinbarkeit der Verarbeitung datenfinanzierter Angebote mit dem Grundsatz der Zweckbindung fällt je nach Komplexität des Verarbeitungsvorgangs, der innerhalb einer App durchgeführt wird, unterschiedlich problematisch aus. Werden Daten längerfristig gespeichert oder Dritten offengelegt, so müssen nach dem Zweckbindungsgrundsatz schon mit der Datenerhebung die späteren Verarbeitungszwecke festgelegt werden. Dies gestaltet sich vor allem für umfangreichere bzw. intensive Datenverarbeitung schwierig. Bei einer Offenlegung der Daten muss zudem beachtet werden, dass zum Zeitpunkt der Datenerhebung sowohl die Offenlegung selbst wie auch die Verarbeitungszwecke des Empfängers feststehen müssen, was eine Offenlegung an externe Dritte vor große Schwierigkeiten stellt. Ist die Datenverarbeitung mit dem Erhebungszweck nicht vereinbar, liegt in der Verarbeitung eine Zweckänderung. Bei einer solchen bedarf die Verarbeitung in

218

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

der Regel einer erneuten Rechtsgrundlage, da die Verarbeitung nicht mehr vom ursprünglich festgelegten Zweck gedeckt ist. Ausgenommen hiervon sind privilegierte Zweckänderungen, wobei eine solche Privilegierung am ehesten bei einer – nach den Zweckbindungsgrundsatz ohnehin eher unproblematischen – Nutzung der Daten zum Vorteil des Nutzers denkbar ist. Bei einer Offenlegung der Daten scheidet eine Privilegierung demgegenüber beinahe vollständig aus. Der Grundsatz der Datenminimierung knüpft weitestgehend an die Zweckbindung an und so ergeben sich immer dann Probleme mit der Vereinbarkeit, wenn der Verarbeitungszweck nicht umfangreich und vollständig angegeben wird oder die Vorgaben an Privacy by Design und Privacy by Default nicht berücksichtigt werden.

2. Ansätze zur Vereinbarkeit mit den Grundsätzen Es lässt sich abstrakt feststellen, dass je umfangreicher und komplexer die Datenverarbeitung innerhalb der datenfinanzierten Angebote ausfällt, desto eher ergeben sich Probleme hinsichtlich der Vereinbarkeit mit den Datenschutzgrundsätzen. Demensprechend stehen vornehmlich Verarbeitungen der Kategorie III, bei denen die Daten Anderen offengelegt werden, im Konflikt mit den Grundsätzen der Transparenz, Zweckbindung und Datenminimierung, und bei einer solchen Verarbeitung eröffnen sich Schwierigkeiten mit einer datenschutzkonformen Umsetzung. Diese Problematik weist insoweit Ähnlichkeiten zur Vereinbarkeit von Big Data-Analysen mit diesen Grundsätzen auf. Schwierigkeiten ergeben sich insbesondere bei einer kommerziellen Nutzung der Daten. Diese muss schon zum Zeitpunkt der Datenerhebung eindeutig festgelegt werden und kann über diese Festlegung nicht hinausgehen. Da jedoch gerade bei einer Offenlegung der Daten an Dritte oder bei der eigenen Nutzung für auf Big Data beruhenden Geschäftsmodellen die Zweckbestimmung bei der Datenerhebung noch nicht präzise formuliert werden kann, stehen dieser Verarbeitung sowohl der Grundsatz der Zweckbindung als auch der Datenminimierung entgegen. Ob eine kommerzielle Nutzung, die ansonsten in keinem Verhältnis zur Funktion der App steht, überhaupt eine mit der Selbstbestimmung des Nutzers vereinbare Datenverarbeitung dargestellt, ist an dieser Stelle lediglich als Prämisse angenommen und bedarf unter Umständen noch einer kritischen Würdigung. Sowohl praktisch als auch von der DSGVO vorgesehen, ermöglichen verschiedene Datenschutzkonzepte einen Weg, um das Spannungsverhältnis zwischen den Grundsätzen und dem Geschäftsmodell datenfinanzierter Angebote zu verringern. Hierfür bietet sich insbesondere eine Anonymisierung und Pseudonymisierung der erhobenen personenbezogenen Daten an, wodurch sich eine Unvereinbarkeit mit den Grundsätzen der Zweckbindung und Datenminimierung vermeiden lässt. Hierfür ausschlaggebend ist vor allem der inzwischen feststehende eher relative

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

219

Ansatz des Personenbezugs. Erst über diesen ergibt sich eine Pseudonymisierung als taugliches Datenschutzkonzept, da eine taugliche Pseudonymisierung eine ano­nymisierende Wirkung entfalten kann. Auch erleichtert der relative Ansatz die Bewertung von Daten als anonym, da nicht eine generelle Re-Identifizierungsmöglichkeit, sondern lediglich eine Re-Identifizierung durch den entsprechenden Datenverarbeiter entscheidend ist, was die taugliche Anonymisierung enorm erleichtert. Insgesamt lässt sich hierdurch zwar das Spannungsverhältnis zwischen möglichst vielfältiger Datennutzung durch den App-Anbieter und dem zu gewährenden Datenschutz über die datenschutzrechtlichen Grundsätze nicht vollständig lösen. Nicht alle personenbezogenen Daten können immer tauglich anonymisiert oder pseudonymisiert werden und zum Teil ergibt sich die Werthaftigkeit der Daten gerade aus dem konkreten Personenbezug. Gleichwohl wird grundsätzlich ein regulativer Weg eröffnet, auch datenfinanzierte Geschäftsmodelle mit der DSGVO vereinbar zu gestalten. Im folgenden Kapitel ist anhand dieser Ergebnisse zu untersuchen, wann und inwieweit sich eine konkrete Datenverarbeitung innerhalb datenfinanzierter Angebote tatsächlich als rechtmäßig erweisen kann und wie hierbei die kommerzielle Nutzung der Daten zu bewerten ist.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung Wie sich schon aus dem Rechtmäßigkeits-Grundsatz in Art. 5 Abs. 1 lit. a) Var. 1 DSGVO ergibt, bedarf jede Verarbeitung personenbezogener Daten einer tauglichen Rechtsgrundlage. Der primär- bzw. grundrechtliche Hintergrund der Notwendigkeit einer rechtmäßigen Verarbeitung liegt in Art. 8 Abs. 2 GRCh, wonach personenbezogene Daten nur mit der Einwilligung der betroffenen Person oder aufgrund einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Die DSGVO listet diese Anforderungen an die Rechtmäßigkeit der Datenverarbeitung als zentrale Vorschrift in Art. 6 DSGVO auf und normiert die Tatbestände, die zu einer Rechtmäßigkeit der Verarbeitung führen können.638 Eine Datenverarbeitung ist aufgrund der Ausgestaltung von Art. 6 DSGVO nur in den Fällen rechtmäßig, in denen einer der abschließenden Erlaubnistatbestände aus

638 In Art. 6 Abs. 1 UAbs. 1 DSGVO werden dabei die Zulässigkeits-Tatbestände aufgezählt. Dies wird in Abs. 2, 3 insoweit ergänzt, als den Mitgliedstaaten Öffnungsklauseln zum Erlass zusätzlicher spezifischer Bestimmungen ermöglicht werden. Ferner ergibt sich auch aus Art. 6 Abs. 4 die Möglichkeit einer (zweckändernden) Datenverarbeitung, s. o. § 5 B. II. 2. b). Den ergänzenden Vorschriften in den Abs. 2–4 ist gemein, dass sich die Sonderregelungen auf das Vorliegen eines Tatbestands in Abs. 1 beziehen und ein solcher insofern immer vorliegen muss. Vgl. hierzu vertiefend Albrecht, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Rn. 2.

220

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Absatz 1 zur Verarbeitung vorliegt.639 In dieser Ausgestaltung zulässiger Datenverarbeitung materialisiert sich das – schon in bisherigen europäischen Datenschutzregelungen gültige – Prinzip des Verbots mit Erlaubnisvorbehalt. Dieses untersagt die Verarbeitung personenbezogener Daten grundsätzlich, gestattet diese aber beim Vorliegen eines Erlaubnistatbestands. Das Verbot mit Erlaubnisvorbehalt betrifft neben öffentlichen Stellen auch die private Datenverarbeitung – vor dem Hintergrund dieser Arbeit also die Datenverarbeitung privater App-Anbieter. Insoweit sind über die Ausgestaltung der einzelnen Erlaubnistatbestände in Art. 6 DSGVO die widerstreitenden Interessen zwischen privatem Datenverarbeiter und betroffener Person in einen angemessenen Ausgleich zu bringen.640 Für eine rechtmäßige Verarbeitung muss mindestens einer der Tatbestände des Art. 6 Abs. 1 DSGVO erfüllt sein, wobei hierin lediglich eine Aussage über die Zulässigkeit als solche – das „Ob“ der Datenverarbeitung – und nicht über die weitere Ausgestaltung des „Wie“ dieser Verarbeitung steckt, welche in den nachfolgenden Regelungen der DSGVO normiert wird.641 Der prominenteste Tatbestand zur Rechtmäßigkeit der Verarbeitung liegt in der Einwilligung der betroffenen Person nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO, dessen Voraussetzungen folgend in Art. 7 DSGVO näher ausgestaltet werden. Aus Art. 6 Abs. 1 UAbs. 1 lit. b) bis f) DSGVO ergeben sich die sonstigen Tatbestände, nach denen die Daten rechtmäßig verarbeitet werden können, wobei die Verarbeitung bei diesen ohne Zutun oder Zustimmung der betroffenen Person qua Gesetz möglich ist. An dieser Stelle sei ergänzt, dass der dem Geschäftsmodell von datenfinanzierten Angeboten häufig zugrundeliegende Datenhandel – anders als noch im BDSG a. F. – in der DSGVO nicht speziell geregelt ist. Die Zulässigkeit des Datenhandels richtet sich nach den allgemeinen Vorschriften und Rechtmäßigkeits-Tatbeständen der DSGVO.642 Wie auch bisher gilt, dass die Rechtsgrundlagen alternativ nebeneinander bestehen und insbesondere kein Rangverhältnis zwischen diesen geschaffen wird.643 639

Albrecht, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  6 Rn.  2; Schulz, in: Gola, DSGVO, Art. 6 Rn. 1, 9. A. A. Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 6 Rn. 1, nach dem es sich aufgrund der Öffnungsklauseln um keine abschließende Regelung in Abs. 1 handele. 640 Vgl. zu den verschiedenen Zielrichtungen der DSGVO abermals Art. 1 Abs. 1 und 3 DSGVO. Vertiefend hierzu Schulz, in: Gola, DSGVO, Art. 6 Rn. 3 f. 641 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  7. 642 Brendle-Weith, VuR 2018, 331 (333). Der Datenhandel ist insbesondere bei einer Offenlegung der Daten an externe Dritte (Kategorie III b) relevant. 643 Vgl. ErwG. 40 DSGVO; zustimmend Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 19; Krusche, ZD 2020, 232 (233); Piltz, K&R 2016, 557 (562); Schulz, in: Gola, DSGVO, Art. 6 Rn. 10; Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn.  20 f. Etwas zurückhaltender, im Ergebnis aber wohl zustimmend Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 474 f.; ders., in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 11, 88 ff. A. A. Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 6 Rn. 26, der den Anwendungsbereich einer Interessenabwägung nach lit. f) enger und lediglich als „Ausnahmetatbestand“ für Fälle bewertet, in denen eine Verarbeitung aufgrund der sonstigen Erlaubnistatbestände in lit. a) bis e) nicht möglich ist.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

221

Dies ergibt sich sowohl historisch aus den Vorläufern der DSGVO, die allesamt kein Rangverhältnis beinhalteten, als auch aus der Systematik in Art. 6 Abs. 1 DSGVO, in dem die Rechtsgrundlagen nicht abgestuft aufgezählt werden. Hierfür spricht ebenfalls, dass schon in der primärrechtlichen Grundlage aus Art. 8 Abs. 2 GRCh der Einwilligung zu sonstigen Erlaubnistatbeständen keine hervorgehobene Stellung zugewiesen wird.644 In diesem Kapitel soll daher zunächst untersucht werden, inwieweit sonstige Erlaubnistatbestände für die Verarbeitung in datenfinanzierten Angeboten relevant sind (A.). Liegt ein solcher Erlaubnistatbestand vor, bedarf es zur Datenverarbeitung nicht zusätzlich einer Einwilligung. Im Anschluss wird die Einwilligung, die trotz der Gleichrangigkeit der Erlaubnistatbestände weiterhin die maßgebliche Rechtsgrundlage zur Datenverarbeitung bildet, auf ihre Praktikabilität hinsichtlich der verschiedenen Verarbeitungsformen bei datenfinanzierten Angeboten untersucht (B.). Auch die Frage, was bei Wegfall eines Erlaubnistatbestands geschieht und ob in solchen Fällen ein anderer Tatbestand „einspringen“ kann, analysiert dieses Kapitel anhand der Widerruflichkeit der Einwilligung an späterer Stelle.

A. Gesetzliche Erlaubnistatbestände In Art. 6 Abs. 1 UAbs. 1 lit. b) bis f) DSGVO werden die Tatbestände normiert, durch die die Daten aufgrund einer legitimen Rechtsgrundlage auch ohne Einwilligung der betroffenen Person verarbeitet werden können. Gemein ist allen Tatbeständen das Kriterium der Erforderlichkeit der Datenverarbeitung, nach dem für eine rechtmäßige Verarbeitung deren Zweck nicht ohne die Verarbeitung erfüllt werden kann.645 Die Tatbestände in Art. 6 Abs. 1 UAbs. 1 lit. c) und lit. e) DSGVO ermöglichen eine Verarbeitung, die der Erfüllung einer rechtlichen Verpflichtung dient (lit. c)) oder die für die Wahrnehmung einer Aufgabe erforderlich ist, welche im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (lit. e)). Den Tatbeständen ist gemein, dass die Verarbeitungen jeweils im direkten Zusammenhang zu öffentlichen Stellen stehen, indem sich entweder eine direkte (öffentlich-rechtliche) gesetzliche Verpflichtung zur Datenverarbeitung ergibt oder die Datenverarbeitung der öffentlichen Hand dient.646 Auch für App-Anbieter als

644

Albers / Veit, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 6 Rn. 22; Piltz, K&R 2016, 557 (562). 645 Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  15; Frenzel, in: Paal /  Pauly, DSGVO / BDSG, Art. 6 Rn. 9; Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn. 23. 646 Art. 6 Abs. 2 und 3 DSGVO ergänzen die Tatbestände in lit. c) und e) und ermöglichen über Öffnungsklauseln den Erlass spezifizierender oder ergänzender europäischer oder nationaler Bestimmungen.

222

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

private Datenverarbeiter können sich Situationen ergeben, in denen sie aufgrund einer gesetzlichen Verpflichtung Daten oder im öffentlichen Interessen Daten verarbeiten.647 Solche Anforderungen treffen allerdings nicht bloß die Anbieter datenfinanzierter Angebote, so dass im Vergleich zu sonstigen für eine Datenverarbeitung Verantwortlichen kein Unterscheid besteht. Auch ergeben sich hieraus keine Besonderheiten für die datenschutzrechtliche Bewertung solcher Angebote. Aufgrund des Zuschnitts dieser Arbeit ist dementsprechend eine vertiefe Auseinandersetzung mit den Erlaubnistatbeständen aus Art. 6 Abs. 1 UAbs. 1 lit. c) und e) DSGVO nicht erforderlich. Etwas Ähnliches ergibt sich für die Rechtmäßigkeit der erforderlichen Verarbeitung, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen (lit. d)). Zu einer solchen Datenverarbeitung zum Schutz bestimmter höchstpersönlicher Rechtsgüter kann es im Rahmen von datenfinanzierten Angeboten zwar durchaus kommen. Aufgrund der Vielfältigkeit datenfinanzierter Angebote soll im Betrachtungsansatz dieser Arbeit aber nicht die Rechtmäßigkeit einzelner spezieller Apps überprüft werden, sondern vielmehr die datenschutzrechtliche Vereinbarkeit solcher Angebote abstrakt überprüft werden. Daher kann auch von einer vertieften Untersuchung des Rechtmäßigkeits-Tatbestands in Art. 6 Abs. 1 UAbs. 1 lit. d) DSGVO, der sich auf sehr spezielle Fälle der Datenverarbeitungen bezieht, abgesehen werden. Damit verbleiben die Erlaubnistatbestände in Art. 6 Abs. 1 UAbs. 1 lit. b) und f)  bei der Datenverarbeitung durch App-Anbieter als private Unternehmen bedeutsam. Hierbei handelt es sich um Verarbeitungen, die für die Erfüllung eines Vertrags (lit. b)) oder im Rahmen eines Abwägungsprozesses zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (lit. f)) erforderlich sind. Diese beiden bilden gemeinsam mit der Einwilligung eine Trias an Erlaubnistatbeständen, auf die im wirtschaftlichen Kontext zurückgegriffen werden kann.648 Nachfolgend soll untersucht werden, ob und inwieweit sich die Datenverarbeitung in datenfinanzierten Angeboten durch die Erfüllung des Vertrags (I.) oder die Wahrung berechtigter Interessen (II.) rechtfertigen lässt, wofür auch die Anforderung der Erforderlichkeit der Datenverarbeitung näher aufgeschlüsselt wird. I. Die Verarbeitung zur Erfüllung eines Vertrags Für die Erfüllung, Abwicklung oder Beendigungen von Verträgen kann eine Verarbeitung personenbezogener Daten notwendig sein. Aus diesem Grund ist gemäß Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO die Verarbeitung rechtmäßig, wenn

647 Ein erwerbswirtschaftlicher Zweck ist dabei allerdings niemals als im öffentlichen Interesse liegend zu bewerten, vgl. Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  24. 648 Schulz, in: Gola, DSGVO, Art. 6 Rn. 6.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

223

sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist.649 Die Legitimation für die Verarbeitung liegt also einzig in dem Vertrag zwischen betroffener Person und Datenverarbeiter, die beide beim Vertragsschluss autonome (Willens-)Entscheidungen abgeben und auf deren Inhalt insoweit abzustellen ist.650 Die von der Verarbeitung betroffene Person muss hierfür selbst Vertragspartei sein, da es sonst zu keiner Willensentscheidung ihrerseits kommt. Bei dieser Willensentscheidung handelt es sich jedoch um keine Einwilligung im datenschutzrechtlichen Sinne, sondern vielmehr die rechtsgeschäftliche Bewilligung des Vertrags. Ist die Person, von der im Rahmen des Vertrags personenbezogene Daten verarbeitet werden, hingegen nicht selbst Partei, so kommt die Rechtmäßigkeit der Verarbeitung über lit. b) nicht in Betracht.651 1. Zur Erfüllung eines Vertrags Ein Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO zugrundeliegender Vertrag betrifft ein mindestens zweiseitiges Rechtsgeschäft, wobei auch unentgeltliche Verträge vom Begriff umfasst werden.652 Somit fallen alle Vertragsschlüsse über datenfinanzierte Angebote unter den Begriff des Vertrags nach lit. b). Der Vertrag muss zusätzlich wirksam sein, so dass die zivilrechtliche Wirksamkeit unmittelbare Bedeutung für die datenschutzrechtliche Bewertung erlangt.653 Ist ein Vertrag aufgrund einer zivilrechtlichen Wertung unwirksam, so kann in diesem Verhältnis keine Datenverarbeitung über Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO gerechtfertigt werden. Liegt ein per se wirksamer Vertrag vor, sind darüber hinaus ggf. die einzelnen vertraglichen Regelungen auf ihre Wirksamkeit zu überprüfen.654 649 Neben den Maßnahmen zur Erfüllung des Vertrags umfasst Art. 6 Abs. 1 UAbs. 1 lit. b)  Alt. 2 DSGVO auch solche Datenverarbeitungen, die zur Durchführung vorvertrag­ licher Maßnahmen erforderlich sind. Mit der „Durchführung vorvertraglicher Maßnahmen“ umschreibt der Gesetzgeber solche Verarbeitungen, die für den geplanten Abschluss eines Vertrags erforderlich sind, vgl. DSGVO ErwG 44. Da der Vertrags-Anbahnungsprozess bei datenfinanzierten Angeboten aufgrund der Kostenfreiheit jedoch zumeist sehr kurz ausfällt und folglich in diesem Zeitraum kaum Datenverarbeitungen stattfinden, hat dieser Teil des Rechtmäßigkeits-Tatbestands für diese Arbeit keine gesonderte Bedeutung. 650 Bucher, Informationelle Selbstgefährdung, S. 257 f.; Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  26; Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 15. 651 Möglich ist in solchen Fällen stattdessen eine Verarbeitung auf Basis einer Einwilligung oder aufgrund einer legitimen Interessenabwägung nach lit. f), vgl. Schantz, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 20; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 545. 652 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  13; Taeger, in: Taeger / Gabel, DSGVO /  BDSG / T TDSG, Art.  6 Rn.  62. 653 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 13; Heinzke / Engel, ZD 2020, 189 (190). 654 Heinzke / Engel, ZD 2020, 189 (191).

224

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Regelt Navigations-App A alle Datenverarbeitungen hinsichtlich der Speicherung von Daten im Rahmen einer Klausel innerhalb einer Datenschutzerklärung655 und stellt sich diese Klausel etwa aufgrund eines Verstoßes gegen das Gebot der Datenminimierung als unwirksam heraus, so kann hierüber keine Datenverarbeitung dieser Art zur „Erfüllung eines Vertrags“ stattfinden.

Unter einer „Erfüllung“ des – unionsrechtlich auszulegenden – Vertrags versteht man jede erforderliche Datenverarbeitung, die in Zusammenhang mit dem Vertragsverhältnis und seinen Haupt- und Nebenpflichten und deren Herbeiführung steht.656 Der Umfang dieser Pflichten hängt vom einzelnen Vertragsverhältnis und den darin vereinbarten Leistungen ab und kann insoweit potentiell sehr eng oder weitreichend sein.657 Die Beendigung des Vertrags ist vom Wortlaut von Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO zwar nicht direkt erfasst. Die Erfüllung des Vertrags ist aber wohl so weit zu verstehen, dass auch die Beendigung – sozusagen als letzter Teil der vertraglichen „Erfüllung“ – von lit. b) erfasst wird.658

2. Die Erforderlichkeit der Datenverarbeitung Die Datenverarbeitung muss als zweite Anforderung zur Erfüllung des Vertrags „erforderlich“ sein, was eine im Kern bereits zuvor in Art. 7 lit. b) Richtlinie EG/95/46 bzw. § 28 Abs. 1 S. 1 Nr. 1 BDSG a. F. normierte Anforderung darstellt.

a) Die Erforderlichkeit bei privatrechtlichen Verträgen Eine Verarbeitung ist in den Fällen zur Vertragserfüllung erforderlich, in denen sie für die Erfüllung der konkreten Vertragszwecke notwendig ist.659 Das Merkmal der Erforderlichkeit beinhaltet bei der Datenverarbeitung durch Private keine

655

Bei einer solchen handelt es sich um AGB, vgl. § 6 B. III. 2. Es ist hierunter nicht nur das „Erfüllungsgeschäft“ zu verstehen, da es kein unionseinheitliches schuldrechtliches Verständnis von „Verträgen“ gibt und so das deutsche Trennungs- und Abstraktionsprinzip nicht auf die DSGVO zu übertragen ist, vgl. Schantz, in: ­Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 16, 24; Taeger, in: Taeger /  Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn.  59 ff. 657 Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 25. 658 So auch Schulz, in: Gola, DSGVO, Art. 6 Rn. 28; a. A. Schantz, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 30. Sieht man die Beendigung als nicht mitumfasst, so lässt sich eine diesbezügliche Datenverarbeitung aber wohl problemlos auf eine legitime Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO stützen, weshalb dieser Streit im Zweifel kaum praktische Relevanz für die untersuchte Thematik aufweist. 659 So abstrakt Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 13; Schulz, in: Gola, DSGVO, Art. 6 Rn. 36. 656

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

225

Verhältnismäßigkeitsprüfung im Sinne einer Interessenabwägung.660 Dieser Interessenabwägung bedarf es nicht, da der informationellen Selbstbestimmung der betroffenen Person dadurch Rechnung getragen wird, dass sie als Vertragspartner des Datenverarbeiters auftritt und sich hierin die Privatautonomie sowohl des Datenverarbeiters als auch der betroffenen Person äußert. Der (freiwillige) Abschluss des Vertrags hat zur Folge, dass die betroffene Person schwerlich die für die Erfüllung dieses Vertrags erforderliche Datenverarbeitung ausschließen kann, ohne dass hierin ein treuwidriges Verhalten läge.661 Insofern bringt die DSGVO an dieser Stelle den Schutz personenbezogener Daten und die Vertragsfreiheit in praktische Konkordanz, wobei im Rahmen des Vertragsschlusses von einem durch die Vertragsparteien stattfindenden, vernünftigen Interessensausgleich ausgegangen wird.662 Durch diesen bedarf es keiner späteren zusätzlichen Interessenabwägung mehr, die diese Annahme erneut hinterfragt. b) Die Reichweite der Erforderlichkeit Für das Vorliegen einer Erforderlichkeit muss ein unmittelbarer sachlicher Zusammenhang zwischen der Datenverarbeitung und dem konkreten Zweck des Vertrags bestehen.663 Eine Verarbeitung durch Private ist (jedenfalls dann) erforderlich, wenn das Schuldverhältnis ohne Verarbeitung der Daten in dem geltend gemachten Umfang nicht zumutbar erfüllt werden könnte, was anhand objektiver Maßstäbe festzustellen ist.664 Das Kriterium der Erforderlichkeit verlangt dabei nicht, dass der Vertragsschluss oder die Vertragserfüllung vollständig unmöglich wird oder die Verarbeitung unverzichtbar ist, sondern der Vertrag muss durch die Verarbeitung lediglich sinnvoll gefördert werden.665 Gleichwohl soll durch lit. b) dem Datenverarbeiter nicht die Möglichkeit gegeben werden, einseitig Datenverarbeitungen festzulegen. Vielmehr muss die Datenverarbeitung aus Sicht der 660

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  14; Taeger, in: Taeger / Gabel, DSGVO /  BDSG / T TDSG, Art. 6 Rn. 52 f. Eine solche Interessenabwägung ist demgegenüber in der nachfolgend behandelten Rechtmäßigkeit zur Verwirklichung legitimer Interessen aus Art. 6 Abs. 1 lit. f) DSGVO notwendig. Etwas anders gilt im Übrigen für die Erforderlichkeit bei der Datenverarbeitung durch staatliche Stellen, welche hinsichtlich der Rechtmäßigkeit strenger auszulegen und bei der eine Verhältnismäßigkeitsprüfung durchzuführen ist. 661 Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 15. 662 Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1588). 663 Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  39. 664 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  14; Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1588). 665 Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  45; Taeger, in: Taeger /  Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn.  57; zurückhaltender Schantz, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 32. A. A. Art. 29-Datenschutzgruppe, WP 217, Stellungnahme 6/2014, S. 21; Dieckhoff, Datenschutz und Smartphone-Nutzung im Konflikt, S. 267, die demgegenüber von einer restriktiven Auslegung der Erforderlichkeit auf das absolut notwendige ausgehen.

226

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

betroffenen Person für die Vertragszwecke notwendig erscheinen, was regelmäßig der Fall ist, wenn sie mit der Datenverarbeitung rechnen musste.666 Soll dem Nutzer von Navigations-App A (als Zweck des Nutzungs-Vertrags) sein Standort oder die Entfernung zum Zielort angezeigt werden, kann eine solche Datenverarbeitung ohne die Erhebung der Standortdaten über GPS (oder ein sonstiges technisches Mittel) nur schwerlich durchgeführt werden. Dementsprechend ist die Verarbeitung der Standortdaten für die Vertragserfüllung erforderlich.

Im Einzelfall ist der erforderliche Umfang maßgeblich davon abhängig, was die Vertragsparteien vereinbart haben und welcher Zweck sich hieraus ergibt.667 Bei Apps handelt es sich zumeist um Massengeschäfte, so dass sich der jeweilige Verarbeitungszweck zumeist eindeutig aus der Leistungsbeschreibung herauslesen lässt. Gleichwohl kann eine weitreichende Vereinbarung über den Leistungsumfang einer App auch die hierfür notwendige Datenverarbeitung erweitern, wohingegen ein enger vereinbarter Nutzungszweck auch die hierfür erforder­liche Datenverarbeitung beschränkt. Denkbar wäre hiernach die Erforderlichkeit einer Datenverarbeitung, durch die aus objektiver Sicht eine massive Effizienzsteigerung des Vertrags erreicht wird oder eine notwendige Entscheidungs- bzw. Kalkulationsgrundlage gelegt wird, sofern es an einer zumutbaren Alternative zu dieser Verarbeitung fehlt und die Datenverarbeitung für die betroffene Person klar erkennbar ist. Nicht umfasst von der Erforderlichkeit sind demgegenüber Datenverarbeitungen, welche lediglich einen besseren Service, günstigere Preise oder eine schnellere Abwicklung des Vertrags ermöglichen sollen.668 Ferner sind nicht unmittelbar dem Vertragsverhältnis dienende interne Zwecke, bei denen die Verarbeitungen vornehmlich dem Datenverarbeiter nützlich sind und / oder diesem zugutekommen, keine für den Vertrag erforderlichen.669 So ist etwa die Speicherung von Kundenpräferenzen für Marketingzwecke nicht zur Vertragserfüllung erforderlich, da sie dem Abschluss neuer Verträge und nicht dem bestehenden Vertragsverhältnis dienen – selbst wenn durch diese der Datenverarbeiter seine Einnahmen aus dem Vertrag verbucht.670 Soll Navigations-App A hingegen auf einer Karte nur abstrakt eine Route anzeigen, verbessert der aktuelle Standort des Nutzers zwar unzweifelhaft den Service. Die Erhebung der Standortdaten ist für die Verarbeitung aber nicht zwingend erforderlich. 666 Art. 29 Datenschutzgruppe, WP217, Stellungnahme 6/2014, S. 21 f.; Schantz, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 32. 667 Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art. 6 Rn. 65. Zur Zulässigkeit von in AGB festgelegten Leistungsbeschreibungen, auf die an dieser Stelle nicht näher eingegangen wird, vgl. Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 27 f. 668 Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  43. 669 KG Berlin, Urt. v. 27. 12. 2018 – 23 U 196/13 = ZD 2019, 272 (274); Schantz, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 37; Taeger, in: Taeger / Gabel, DSGVO /  BDSG / T TDSG, Art.  6 Rn.  65. 670 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 13; Schantz, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 31.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

227

c) Transparenz der erforderlichen Verarbeitung Obgleich bei einer Datenverarbeitung auf Basis von Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO die betroffene Person nicht aktiv einwilligen muss, gilt gleichwohl das in Art. 5 Abs. 1 lit. a) normierte Transparenzgebot, welches durch Art. 12 Abs. 1 DSGVO präzisiert wird.671 Das Transparenzgebot sichert die Informationspflichten aus Art. 13, 14 DSGVO. Nach diesen muss die betroffene Person hinsichtlich der Verarbeitung des Verantwortlichen (Art. 13) bzw. eines Dritten (Art. 14) darüber informiert werden, welche Daten zu welchen Zwecken auf welcher Rechtsgrundlage – in diesem Falle Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO – verarbeitet werden. Es muss für die betroffene Person im Sinne einer fairen und transparenten Datenverarbeitung also deutlich werden, welche Datenverarbeitungen im konkreten Einzelfall für welche Zwecke der Vertragserfüllung erforderlich werden. Bei datenfinanzierten Angeboten kann eine solche Information entweder bereits beim Vertragsschluss über eine Datenschutzerklärung oder separate Information erfolgen.672 Alternativ wäre auch eine Information vor einzelnen Verarbeitungen möglich, in der Praxis aber wohl aufgrund der Fülle der damit einhergehenden Informationen während des App-Betriebs kaum praktikabel umsetzbar. 3. Die Bedeutung für datenfinanzierte Angebote Ob eine Datenverarbeitung zur Erfüllung des Vertrags über datenfinanzierte Angebote erforderlich ist, hängt je nach Funktion der App von verschiedenen Faktoren ab. Speziell aufgrund der monetären Kostenfreiheit von datenfinanzierten Angeboten erscheint es überlegenswert, inwieweit bereits die Preisgabe der Daten an sich eine für den Vertrag erforderliche Datenverarbeitung darstellt. Dieser Überlegung folgend wäre das „Bezahlen mit Daten“ als Gegenleistung durch den Nutzer notwendig für die Bereitstellung der App durch den App-Anbieter. Denn zur Umsetzung dieses Geschäftsmodells wäre die Verarbeitung der personen­ bezogenen Daten erforderlich, um hierüber die Verwertung der Daten als Gegenleistung zu ermöglichen. a) Die Erforderlichkeit aufgrund der Datenverarbeitung als Gegenleistung Eine solche Deutung des Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO, die die einseitig vom Datenverarbeiter als Geschäftsmodell festgelegte Datenverarbeitung rechtfertigen kann, wird in der Literatur unterschiedlich bewertet.

671 672

S. o. § 5 B. I. 3. S. vertiefend § 6 B. III. sowie § 8 C.

228

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Die überwiegende Ansicht hält eine solche Datenverarbeitung, die in erster Linie darauf abzielt, Daten über die betroffenen Personen zu sammeln und kommerziell zu nutzen, nicht für die Vertragserfüllung erforderlich.673 Im Rahmen einer teleologischen Reduktion bzw. engen Auslegung sei eine vertragliche Erforderlichkeit stets dann abzulehnen, wenn die Datenverarbeitung „zu Zwecken der Werbung, des Erstellens von Persönlichkeits- und Nutzerprofilen, des Datenhandels oder zu vergleichbaren kommerziellen Zwecken“ erfolge.674 Liegt eine Kommerzialisierung der personenbezogenen Daten vor, so könne aufgrund des Schutzniveaus der DSGVO der einschlägige Erlaubnistatbestand lediglich in der Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO liegen. Auf andere Weise würden sämtliche Anforderungen umgangen, die nach Art. 7 DSGVO für eine taugliche Einwilligung vonnöten sind.675 Eine solche Umgehung der Schutzvorschriften der Einwilligung durch Rückgriff auf die Rechtfertigungsmöglichkeit in lit. b) könne vom Sinn und Zweck der Regelung in den Fällen nicht umfasst sein, in denen die Datenverarbeitung nicht zur Erfüllung eines Vertrags als Nebenzweck erfolgt, sondern die Datenverarbeitung gerade Gegenstand des Vertrags ist, insbesondere weil die Bereitstellung der Daten eine „Entgeltfunktion“ aufweise.676 Daraus folge, dass vom Tatbestand des lit. b) nur Konstellationen umfasst seien, in denen die Verarbeitung der Daten akzessorisch der Erfüllung der vertraglich vereinbarten Leistung dienen, wohingegen die Verarbeitung der Daten als Entgelt nur über die Einwilligung möglich sei.677 Demgegenüber wird von anderer Seite eingewandt, dass zwar das Telos der vorgebrachten Kritik durchaus vernünftig sei, sich eine solche Deutung aber zu weit vom Normtext entferne.678 So unterscheide lit. b) gerade nicht zwischen einer akzessorischen Datenverarbeitung und einer Datenverarbeitung als Gegenleistung, weshalb diese auch nicht unterschiedlich zu werten seien. Ferner sei der Nutzer bei Abschluss eines wirksamen Vertrags durch das Vertragsrecht, insbesondere durch dort stattfindende AGB-Kontrollen, ausreichend geschützt.679 Der Ablehnung einer für den Vertrag erforderlichen Datenverarbeitung bei Daten mit Entgeltfunktion ist auch bei der spezifischen Betrachtung datenfinan 673

Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  40 ff.; Frenzel, in: Paal /  Pauly, DSGVO / BDSG, Art. 6 Rn. 13; Langhanke / Schmidt-Kessel, EuCML 2015, 218 (220); Sattler, JZ 2017, 1036 (1039 f.); Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 33; Wendehorst / v. Westphalen, NJW 2016, 3745 (3747, 3750). 674 Wendehorst / v. Westphalen, NJW 2016, 3745 (3747), die diese Wertung an § 2 Abs. 2 Nr. 11 UKlaG anlehnen. 675 Zu den Anforderungen der Einwilligung, s. § 6 B. I. 676 Wendehorst / v. Westphalen, NJW 2016, 3745 (3749 f.); dies., BB 2016, 2179 (2185). 677 Langhanke / Schmidt-Kessel, EuCML 2015, 218 (220). 678 Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 544. 679 So deuten es Wendehorst / v. Westphalen, NJW 2016, 3745 (3750) an, sollte der hinsichtlich dieser Frage entscheidungsbefugte EuGH eine enge Auslegungen ablehnen. In einem solchen Fall müsse sich ein Schutz über eine AGB-Kontrolle erreicht werden, auf die nachfolgend bei der Untersuchung der Einwilligung näher eingegangen wird.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

229

zierter Angebote zuzustimmen. Wenn nur durch die kostenlose Bereitstellung von Dienstleistungen als Gegenleistung plötzlich eine Datenerhebung erforderlich würde, ließe sich hiermit das Datenschutzrecht weitreichend aushebeln und sehr leicht Missbrauch mit den Daten betreiben. Einzelne Apps könnten unter dem Deckmantel des Austauschverhältnisses „Daten gegen Leistung“ beliebig personenbezogene Daten erheben und weiterverarbeiten, da sie je nach Leistungsvereinbarung als Gegenleistung für das Vertragsverhältnis erforderlich wären. Hierdurch könnten die Datenschutzgrundsätze der Datenminimierung und Zweckbindung de facto außer Kraft gesetzt werden, da eine Datenerhebung, deren Erhebungszweck einzig in der Erbringung einer Gegenleistung liegt, in ihrem Umfang und hinsichtlich ihrer weiteren Verarbeitungszwecken beliebig erweiterbar wäre. Durch ein solches Ergebnis stünden die divergierenden Grundrechtspositionen von AppNutzer und App-Anbieter jedoch keineswegs mehr in praktischer Konkordanz. Daher ist eine Erforderlichkeit zur Vertragserfüllung bei einer Datenverarbeitung als Gegenleistung abzulehnen und die Erforderlichkeit der Datenverarbeitung einzig daran zu messen, ob neben den kommerziellen Interessen die Datenverarbeitung auch für Leistungen des App-Anbieters gegenüber dem Nutzer (akzessorisch) zur Vertragsverwirklichung notwendig ist. Es bedarf also zusätzlicher Gründe, die eine Datenverarbeitung zur Erfüllung des Vertrags rechtfertigen. b) Die Erforderlichkeit sonstiger Datenverarbeitung Eine Datenerhebung und -preisgabe mit reiner Entgeltfunktion, selbst wenn sie der Bereitstellung eines datenfinanzierten Angebots dient, verkörpert also nicht bereits eine erforderliche Verarbeitung zur Vertragserfüllung im Sinne von Art. 6 Abs. 1 UAbs. 1 lit. b)  DSGVO. Gleichwohl können bei datenfinanzierten Angeboten durchaus Datenverarbeitungen stattfinden, die für die Vertragserfüllung erforderlich sind. Eine Datenverarbeitung, die direkt für die Funktionsfähigkeit der App notwendig ist (Kategorie I), greift beinahe direkt den vorliegenden Rechtmäßigkeitstatbestand auf, da hier die Datenverarbeitung offensichtlich zur vertraglich geschuldeten Leistung erforderlich ist. So lässt sich ein solche Datenverarbeitung zumeist über den Rechtmäßigkeitstatbestand von Art. 6 Abs. 1 UAbs. 1 lit. b)  DSGVO rechtfertigen. Eine Speicherung der Daten (Kategorie II) – etwa über eine Anlegung von Kundenprofilen – dient in der Regel nicht direkt der vertraglichen Erfüllung, da die Verarbeitung nicht auf die Erbringung konkreter Leistungen gerichtet ist.680 Dann ließe sich die Verarbeitung nicht über lit. b) rechtfertigen. Etwas anderes kann sich im Einzelfall dadurch ergeben, dass die Speicherung der Daten in der konkreten 680

Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 31.

230

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

App für vertraglich zugesicherte Funktionsweisen direkt notwendig ist, wozu etwa Vorgänge der Serviceverbesserung oder der Personalisierung von Inhalten gehören können.681 Ein Indiz für die Zulässigkeit ist es dabei, wenn der Nutzer beim Vertragsschluss berechtigterweise mit der Datenverarbeitung hätte rechnen müssen, weil diese akzessorisch zum Funktionsumfang der App sind. Die Erforderlichkeit ist hierbei gewahrt, wenn ohne die Verarbeitung gerade dieser Daten, die berechtigten Interessen des App-Anbieters am Vertragsverhältnis und an der Vertragsabwicklung auf andere Weise nicht oder nicht angemessen gewahrt werden können.682 Eine Datenverarbeitung in Form einer Offenlegung und Übermittlung der Daten an Dritte (Kategorie III) ist in solchen Fällen nach lit. b) zulässig, wenn nur hierdurch Vertragspflichten erfüllt werden können. Da für die betroffene Person nicht nur die Art der Datenverarbeitung sondern auch die Person des Verarbeiters entscheidend sein kann, muss der Dritte – oder zumindest die konkrete Weiterleitung an einen Dritte – zum Zeitpunkt des Vertragsschlusses feststehen und der Datenverarbeiter muss die betroffene Person hierüber informieren.683 In den allermeisten Fällen dient die Offenlegung aber gerade eigenen kommerziellen Interessen des App-Anbieters. Eine solche Offenlegung dient dementsprechend nicht der Erfüllung des Vertrags gegenüber dem App-Nutzer und ist mithin nicht über lit. b) zu rechtfertigen. Die Datenerhebung von Navigations-App  A lässt sich über Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO nicht schon damit rechtfertigen, dass das Angebot kostenfrei ist und der App-­ Anbieter im Gegenzug Daten vom Nutzer erhebt. Demgegenüber ist die Abfrage von Standortdaten zwingend für den Zweck „Navigation des Nutzers“ erforderlich und dementsprechend über lit. b) zu rechtfertigen. Nicht über die Erforderlichkeit zu rechtfertigen wäre hingegen die zusätzliche Speicherung zur Anlegung von Nutzerprofilen – soweit diese nicht ein ausdrücklich vereinbartes und vom Nutzer akzeptiertes „Feature“ der App sind – oder die Erhebung zur kommerziellen Weitergabe an Dritte durch eine gewöhnliche Navigations-App. Ein solches Feature könnte hingegen bei einer App aber etwa darin bestehen, dass die App ausdrücklich die vom Nutzer zurückgelegten Strecken etwa im Sport-Kontext aufzeichnet, damit diese vom Nutzer hinterher dauerhaft eingesehen werden können. Bei einer solchen Handhabe wäre auch die Speicherung der Daten für die Nutzung der App erforderlich, nicht hingegen die Weitergabe an Dritte.

II. Die Verarbeitung zur Verwirklichung berechtigter Interessen Art. 6 Abs. 1 UAbs. 1 lit. f)  DSGVO gestattet die Verarbeitung personenbezogener Daten, wenn die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und keine schutzwürdigen In 681

Heinzke / Engel, ZD 2020, 189 (192 f.). Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 581. 683 Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 22. 682

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

231

teressen, Grundfreiheiten oder Grundrechte der betroffenen Person überwiegen. Die Regelung betrifft aufgrund von Art. 6 Abs. 1 UAbs. 2 DSGVO lediglich die Datenverarbeitung Privater684, was aber insoweit die Anwendungsmöglichkeit der Rechtsgrundlage für datenfinanzierte Angebote nicht verringert. Der Erlaubnistatbestand des „berechtigten Interesses“ fand sich bereits in Art. 7 lit. f) Richtlinie EG/95/46 und wurde national durch § 28 Abs. 1 S. 1 Nr. 2 BDSG a. F. umgesetzt. Ferner wurde über § 29 Abs. 1 BDSG a. F. „das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung“  – in Ansätzen vergleichbar mit einer Datenverarbeitung der Kategorie III b) – gesondert geregelt. Eine solche Unterscheidung fehlt in der DSGVO. Die Datenverarbeitungen für die Interessen Dritter bleibt grundsätzlich weiterhin erlaubt, was sich schon am Wortlaut der Regelung zeigt, das berechtigte Interesse fungiert aber als sektor- und situationsunspezifischer Erlaubnistatbestand.685 Der Tatbestand aus Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO ist gegenüber den anderen Rechtsgrundlagen in Art. 6 DSGVO wie dargestellt gleichrangig. Gleichwohl dürfen durch lit. f)  die Begrenzungen der anderen Rechtfertigungsgründe nicht ausgehöhlt werden. Besteht etwa ein Vertragsverhältnis, darf auf lit. f) nur zurückgegriffen werden, wenn hierin keine Umgehung der Reglungen aus Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO liegt.686 1. Interessenabwägung Nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO ist eine Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen oder eines Dritten möglich. Aus dem Wortlaut ergeben sich hierfür als kumulative Anforderungen, dass berechtigte Interessen bestehen, die Datenverarbeitung für das Interesse erforderlich sein und mit den schutzwürdigen Interessen der betroffenen Person abgewogen werden müssen. Bei der Feststellung der Berechtigung und anschließenden Interessenabwägung handelt es sich um Wertungen, die sich maßgeblich an den allgemeinen Datenschutzprinzipien aus Art. 5 DSGVO orientieren.687

684

S. vertiefend Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  26. Härting / Gössling / Dimov, ITRB 2017, 169 (169); Ziegenhorn / v. Heckel, NVwZ 2016, 1585 (1588). 686 Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 642. Schantz, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 91 sieht den Übergang zwischen den Erlaubnistatbeständen als „fließend“ an. Kramer, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art. 6 DSGVO, Rn. 41 misst dem Erlaubnistatbestand aus lit. f) überragende Bedeutung im Wirtschaftsverkehr zu und deutet den Anwendungsbereich dementsprechend wohl weiterreichender. 687 Härting / Gössling / Dimov, ITRB 2017, 169 (170). 685

232

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

a) Das berechtigte Interesse Für die Festlegung des berechtigten Interesses des Verantwortlichen oder eines Dritten muss zunächst das Interesse an der Verarbeitung festgestellt werden. Dieses wird maßgeblich durch den verfolgten Zweck der Verarbeitung zum Zeitpunkt der Erhebung geprägt. Der Zweck kann dabei alle rechtlichen, wirtschaftlichen oder ideellen Interessen des Verantwortlichen umfassen, wobei auch die Datenverarbeitung selbst – etwa eine Offenlegung aus kommerziellem Interesse – den Zweck darstellen kann.688 Neben den Interessen des Verantwortlichen können angesichts des eindeutigen Wortlauts von lit. f) auch Drittinteressen an der Datenverarbeitung verfolgt werden. Für ein taugliches Interesse muss der Zweck als Zielsetzung des Verantwortlichen allerdings hinreichend konkretisiert sein.689 Aufgrund der heterogenen Natur datenfinanzierter Angebote und den sehr unterschiedlichen Zielrichtungen verschiedener Datenverarbeiter kann der Zweck dabei sehr vielfältig ausfallen. Der festgelegte Zweck muss durch den Verantwortlichen im Rahmen seiner Rechenschafts- und Informationspflichten nach Art. 5 Abs. 2 DSGVO sowie Art. 13 Abs. 1 lit. d) und Art. 14 Abs. 2 lit. b) DSGVO der betroffenen Person – neben allgemeinen Pflichten etwa aus Art. 14 Abs. 1 DSGVO – bekannt gegeben werden. Ferner muss eine Berechtigung dieses festgelegten Zweckes bestehen. Ein Interesse ist in den Fällen berechtigt ist, in denen die Zwecke in Einklang mit den datenschutzrechtlichen Grundsätzen der DSGVO sowie der sonstigen Rechtsordnung der Mitgliedstaaten sowie der EU stehen.690 So können häufig den Datenverarbeiter zustehende Grundrechtspositionen die Berechtigung des Interesses begründen. Mithin ist das berechtigte Interesse weit zu verstehen, was sich schon aus Erwägungsgrund 47 S. 2, 6, 7 ergibt.691 Es umfasst etwa auch eine Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung.692 In einem rein kommerziellen Interesse des Datenverarbeiters kann also durchaus eine solche Berechtigung im Sinne von lit. f) liegen.

688 Gierschmann, MMR 2018, 7 (10); Schulz, in: Gola, DSGVO, Art. 6 Rn. 57; Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art. 6 Rn. 129. So zum bisherigen Recht bereits Art. 29-Datenschutzgruppe, WP 217, Stellungnahme 6/2014, S. 31. 689 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 25. 690 Brendle-Weith, VuR 2018, 331 (333); Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 25; Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 98 f. 691 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  28; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 643. Zum bisherigen Recht Art. 29-Datenschutzgruppe, WP 217, Stellungnahme 6/2014, S. 31. 692 Vgl. DSGVO ErwG 47 S. 7.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

233

b) Die Erforderlichkeit der Verarbeitung Die Datenverarbeitung muss neben der Verfolgung eines berechtigten Interesses für diesen Zweck auch erforderlich sein. Hierzu müssen die berechtigten Interessen auf keinem anderem, zumutbarem Wege ebenso effektiv verwirklicht werden und die Rechte der betroffenen Person dabei weniger beeinträchtigt werden; es dürfen also keine anderen Mittel zur Zweckverwirklichung zur Verfügung stehen.693 Hierbei bieten vor allem die Grundsätze der Zweckbindung und Datenminimierung taugliche Ansatzpunkte um festzustellen, ob die jeweilige Verarbeitung erforderlich ist.694 So ist an dieser Stelle etwa abzuwägen, ob mit einer Pseudonymisierung und Anonymisierung der Daten der festgelegte Zweck noch erreicht werden oder über die technische Ausgestaltung der Datenverarbeitung die Beeinträchtigung geringer ausfallen kann. Angesichts des sehr weit zu fassenden Begriffs des berechtigten Interesses, worunter auch eine höhere Wirtschaftlichkeit durch die Datenverarbeitung fallen kann, ist auch die Anforderung der Erforderlichkeit weit weniger streng als noch beim Erlaubnistatbestand lit. b)  auszulegen.695 Besteht gerade ein (berechtigtes) kommerzielles Interesse an der Datenverarbeitung, kann dem Datenverarbeiter diese aufgrund wirtschaftlicher Zwecke stattfindende Datenverarbeitung nicht bei der Anforderung der Erforderlichkeit entgegengehalten werden. Die Speicherung von Metadaten und konzerninterne Übermittlung durch MessengerDienst B zur Erstellung konzerninterner Kundenprofile könnte ein berechtigtes wirtschaftliches Interesse darstellen, wenn sich hierüber etwa kommerzielle Interessen oder eine Effizienz­steigerung erreichen lassen. Die Erforderlichkeit der Datenverarbeitung bleibt dabei gewahrt, da die Verarbeitung aufgrund der Zusammenführung der Daten einzelner Kunden auch nicht mit anonymisierten oder pseudonymisierten Daten erreicht werden kann. Ob diese Datenverarbeitung allerdings auch nach lit. f) rechtmäßig ist, ergibt sich erst nachfolgend im Rahmen einer Interessenabwägung mit den Interessen des Kunden.

c) Abwägung mit den Interessen der betroffenen Person Nach der Feststellung des zur Verarbeitung berechtigten Interesses hat eine Interessenabwägung mit den schutzwürdigen Interessen der betroffenen Person stattzufinden, wobei das Überwiegen letzterer eine rechtmäßige Datenverarbeitung ausschließt. Werden berechtigte Interessen eines Dritten verfolgt, sind diese in gleicher Weise mit den Interessen der betroffenen Person abzuwägen.696 693

Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 100; Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn.  139. 694 Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  29. 695 Dieckhoff, Datenschutz und Smartphone-Nutzung im Konflikt, S. 267 spricht sich demgegenüber für eine generell äußerst restriktive Anwendung des Erforderlichkeitsmaßstabs aus. 696 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 26.

234

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Aufseiten der betroffenen Person sind deren schutzwürdige Interessen vor allem an ihren Grundrechten und Grundfreiheiten – insbesondere Art. 8 GRCh – zu bemessen, ohne dass der private Datenverarbeiter grundsätzlich selbst an diese gebunden wäre. Die Grundrechte und Grundfreiheiten wirken also trotz des privaten Charakters in die Rechtsgrundlage hinein.697 Aufgrund der fehlenden Einwilligung hinsichtlich der Datenverarbeitung ist zunächst die Kontrolle über die Verarbeitung ihrer personenbezogenen Daten und somit das Grundrecht aus Art. 8 GRCh eingeschränkt.698 Daneben können auch weitere schutzwürdige Interessen betroffen und somit bei der Abwägung zu beachten sein. Es sind bei der Interessenabwägung allerdings nicht jedwede sonstigen Interessen der betroffenen Person zu berücksichtigen, sondern lediglich solche, die sich aus „vernünftigen“ Erwartungen ergeben.699 Die Bezugnahme auf vernünftige Erwartungen spricht dafür, dass die Interessen der betroffenen Person jeweils nicht aus der subjektiven Sicht, sondern nach objektiven Gesichtspunkten zu bewerten sind.700 Stehen die berechtigten Interessen des Verantwortlichen bzw. Dritten sowie die entgegenstehenden objektiven Interessen der betroffenen Person fest, müssen diese miteinander abgewogen werden. Der Ansatzpunkt dieser Bewertung ergibt sich aus den jeweils einschlägigen Grundrechten der Beteiligten sowie den datenschutzrechtlichen Grundsätzen aus Art. 5 DSGVO. Die Interessenabwägung muss immer anhand der konkreten, im Einzelfall divergierenden Interessen bewertet werden, so dass auch unterschiedliche Verarbeitungsschritte für sich gesondert zu bewerten sind. Auch darf die Abwägung nicht als ein lediglich formaler Akt verkommen, sondern der Datenverarbeiter muss die konkreten Interessen und Rechte der betroffenen Person und die datenschutzrechtlichen Grundsätze konkret miteinbeziehen, um unverhältnismäßige Folgen für die betroffene Person zu vermeiden.701 Eine konkrete Abwägung der jeweiligen Interessen lediglich anhand der entgegenstehenden Grundrechte verbleibt jedoch häufig vergleichsweise unkonkret. Daher bieten sich als zusätzliche Abwägungs-Kriterien eine Berücksichtigung der Art der verarbeiteten Daten und der Datenverarbeitung sowie die Berücksichtigung der verschiedenen Akteure in einer konkreten Situation an.702 Die Art der verarbeiteten Daten hat ebenfalls Auswirkungen auf die Interessenabwägung. So

697

Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  30 f. Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 101. 699 Vgl. DSGVO ErwG 47 S. 1. 700 Schulz, in: Gola, DSGVO, Art. 6 Rn. 57; Taeger, in: Taeger / Gabel, DSGVO / BDSG /  TTDSG, Art. 6 Rn. 140. Es handelt sich also um Erwartungen, die aus objektiver Sicht rational, sinnvoll und / oder realistisch sind, vgl. Piltz, K&R 2016, 557 (565). 701 Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn.  146 ff. 702 S. vertiefend Herfurth, ZD 2018, 514 (515 ff.). In dieser Arbeit soll allerdings nicht gesondert auf das von ihm vorgestellte „3x5-Modell“ eingegangen werden, welches die Kategorien näher aufschlüsselt und deren Belastung für die betroffene Person systematisiert. Dieses liefert gleichwohl einen sehr tauglichen Abwägungsrahmen für eine Bewertung der Vereinbarkeit einer einzelnen Datenverarbeitung in der Praxis. 698

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

235

kann bei der Abwägung das Interesse der betroffenen Person insbesondere dann in hohem Maße überwiegen, wenn erhobenen Daten keine direkte Aussagekraft für die bezweckte Datenverarbeitung haben.703 Ebenfalls müssen der Aussagegehalt der Daten und die mit der Datenverarbeitung verbundenen Risiken beachtet werden, die für die betroffene Person durch die Art der Daten entstehen können.704 Die Aussagekraft der Daten ist etwa bei Standortdaten besonders groß, da diese Rückschlüsse auf Lebensgewohnheiten und Interessen der betroffenen Person ermöglichen. Für die bei der Verarbeitung auftretenden Risiken nennt Erwägungsgrund 75 S. 1 beispielhaft Diskriminierung, Identitätsdiebstahl, finanzielle Verluste oder eine Rufschädigung der betroffenen Person.705 Für die betroffene Person besonders sensible Daten nach dem Katalog in Art. 9 Abs. 1 DSGVO sind ohnehin weitestgehend der allgemeinen Interessenabwägung entzogen.706 Hinsichtlich der Akteure der Datenverarbeitung ist bei der Abwägung vor allem die Anzahl der betroffenen Personen und der involvierten Datenverarbeiter bedeutsam.707 Ferner ist auch die Beziehung des Verantwortlichen zur betroffenen Person einzubeziehen.708 So kann etwa ein Vertragsverhältnis über ein datenfinanziertes Angebot ein engeres Verhältnis und damit eher eine Abwägung zugunsten des Datenverarbeiters begründen, als wenn es sich bei der Datenverarbeitung um einen externen Dritten handelt, dem die Daten offengelegt wurden. Für die Bewertung der Datenverarbeitung selbst und die sich hieraus ergebende Belastung sind insbesondere die Häufigkeit und der Umfang der Verarbeitung sowie die Dauer der Verarbeitung – d. h. insbesondere die Speicherdauer – von Bedeutung.709 Ferner muss die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen die Verarbeitung erfolgt, vernünftigerweise absehen können, welche Verarbeitung für welchen Zweck erfolgen wird.710 In diesem Abstellen auf die vernünftigen Erwartungen der betroffenen Person spiegelt sich neben dem Transparenzgebot maßgeblich der Grundsatz von Treu und Glauben wider.711 Ist die Situation für die betroffene Person nicht abseh- bzw. erwartbar, so überwiegen zumeist ihre Interessen und Grundrechte.712 Zieht man zur Interessenabwägung all diese, zum Teil entgegenstehenden Interessen heran, lässt sich anhand dieser zusätzlichen Kriterien zumeist eine für die

703

Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  151. Herfurth, ZD 2018, 514 (515 f.); Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 105, 107. 705 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 28 greift diese Risiken ebenfalls auf. 706 Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  149. 707 Herfurth, ZD 2018, 514 (517). 708 Vgl. DSGVO ErwG 47 S. 2. 709 Herfurth, ZD 2018, 514 (519). 710 Vgl. DSGVO ErwG 47 S. 3. 711 Heberlein, in: Ehmann / Selmayr, DSGVO, Art. 6 Rn. 28; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 658. 712 Vgl. DSGVO ErwG 47 S. 4. 704

236

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

konkrete Situation taugliche Abwägung durchführen. Die Interessenabwägung orientiert sich also stark am Einzelfall und lässt sich kaum über generalisierter Maßstäbe bestimmen. Erstellt und speichert Navigations-App  A ein Bewegungsprofil des Nutzers, um dieses kommerziell gegenüber einem externen Dritten offenzulegen, könnte dieser Verarbeitungsprozess über lit. f) zu rechtfertigen sein. Geht man grundsätzlich von einem berechtigten kommerziellen Interesse dieser Verarbeitung(en) aus, so muss dieses mit den Nutzerinte­ ressen abgewogen werden. Die Erstellung eines Bewegungsprofils, welches genaue Rückschlüsse über das Verhalten des Nutzers zulässt, greift zunächst schwerwiegend in die Rechte des Nutzers aus Art. 8 GRCh ein. Zwar besteht zwischen App-Anbieter und Nutzer ein Vertragsverhältnis und damit ein näheres Verhältnis; durch die Verarbeitung und Offenlegung erhält allerdings auch ein externer Dritter Zugriff auf die sensiblen Daten. Ferner ist auch die Dauer der Speicherung und Nutzung durch den Dritten nicht absehbar, so dass sich eine solche für den Nutzer besonders belastende Verarbeitung keineswegs über lit. f) rechtfertigen lässt. Anders läge der Fall, wenn zwar Bewegungsprofile erstellt werden, diese aber lediglich zur internen Verbesserung des Algorithmus verwendet werden. Denn hier wäre die Datenverarbeitung bei Weitem weniger eingriffsintensiv, da die Daten nicht in den wirtschaftlichen Verkehr gebracht werden.

d) Transparenz und Widerspruchsrecht Bei dem Abwägungsprozess trägt der Verantwortliche – kongruent zum allgemeinen risikobasierten Ansatz der DSGVO – die Darlegungslast, dass die Inte­ ressen der betroffenen Person nicht überwiegen, und er muss diese nachvollziehbar und transparent darstellen.713 Die Interessenabwägung wird maßgeblich durch den Transparenzgrundsatz (Art. 5 Abs. 1 lit. a), Art. 12 Abs. 1 DSGVO) und die Informationspflichten aus Art. 13 und 14 DSGVO beeinflusst, nach denen der Datenverarbeiter seine Zwecke darlegen muss und der betroffenen Person ein Überblick über die Datenverarbeitung gewährt wird.714 Der betroffenen Person steht bei der Datenverarbeitung aufgrund einer Interessenabwägung gem. Art. 21 Abs. 1 DSGVO ein Widerspruchsrecht zu. Essentielle Voraussetzung für die praktische Ausübung des Widerspruchs ist die Informationspflicht der betroffenen Person aus Art. 13 und 14 DSGVO, da hierüber die Möglichkeit zur Kenntnisnahme der Interessenabwägung geschaffen wird. Durch das Widerspruchsrecht kann die betroffene Person aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten Widerspruch einlegen. Der eingelegte Widerspruch 713

Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  149; Schantz, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 104; Taeger, in: Taeger / Gabel, DSGVO /  BDSG / T TDSG, Art.  6 Rn.  150; Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 662; a. A. Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art. 6 Rn. 31, der die Darlegungslast bei der betroffenen Person sieht. 714 Brendle-Weith, VuR 2018, 331 (335).

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

237

steht der weiteren Verarbeitung gemäß Art. 21 Abs. 1 S. 2 DSGVO entgegen, außer der Verantwortliche kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Das Widerspruchsrecht spricht im Übrigen wiederum für die Gleichrangigkeit der Verarbeitungsgrundlagen in Art. 6 DSGVO. Denn kann eine Einwilligung jederzeit widerrufen werden715, so steht der betroffenen Person durch den Widerspruch ein vergleichbares Instrument zur Wahrung ihrer Interessen bei Datenverarbeitungen auf der Grundlage von lit. f) zu, wodurch die beiden Verarbeitungsgrundlagen auf eine „Stufe“ gestellt werden. 2. Die Bedeutung für datenfinanzierter Angebote Die Rechtsgrundlage aus Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO ermöglicht durch eine Interessenabwägung eine Datenverarbeitung auch ohne ausdrückliche Einwilligung der betroffenen Person – obschon auch hier die betroffene Person tauglich über die Verarbeitung informiert werden muss. Es steht jedoch noch die Untersuchung aus, ob und inwieweit sich hierüber das Bezahlen mit Daten per se und die verschiedenen Arten der Datenverarbeitung bei datenfinanzierten Angeboten mit einer Interessenabwägung rechtfertigen lassen. a) Die Verarbeitung von Daten als Gegenleistung Zunächst könnte bei datenfinanzierten Angeboten schon das Bezahlen mit Daten im Rahmen einer Interessenabwägung die Datenverarbeitung aufgrund ihrer Funktion als Gegenleistung rechtfertigen. Die Bezahlung von monetär kostenlosen Diensten durch die Preisgabe personenbezogener Daten zur Nutzung des App-­ Anbieters könnte zulässig sein, weil diese Form der Refinanzierung als berechtigtes Interesse gemäß lit. f) angesehen würde.716 Dabei müssten bei der Abwägung dieses Interesse jedoch die schutzwürdigen Interessen des Nutzers überwiegen. Lediglich wirtschaftliche Interessen haben nach der Lesart der DSGVO zwar eine Berechtigung, allerdings keinen allzu hohen Stellenwert bei der Interessenabwägung.717 Gerade in Fällen, in denen die Bereitstellung und Nutzungsmöglichkeit einer App selbst bereits jedwede (zweckfremde) Datenverarbeitung rechtfertigen soll, sind die persönlichkeitsbezogenen Grundrechtsinteressen der Nutzer insoweit höher zu bewerten. Auch sind bei einer Entgeltfunktion der Daten insbesondere 715

S. § 6 B. I. 4. So schon Roßnagel, DuD 2016, 561 (563). 717 Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 659 f. 716

238

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

die Folgen der Datenverarbeitung für den Nutzer häufig nicht absehbar und die Verarbeitung der Daten steht in keinem direkten Zusammenhang zur Nutzung der App, die als Gegenleistung gewährt wird. Wenn also schon hinsichtlich der Erfüllung des Vertrags die Entgeltfunktion der Daten keine taugliche Rechtsgrundlage zur Verarbeitung bietet, so erscheint dies erst recht bei der auf einer zusätzlichen Interessenabwägung basierenden Rechtsgrundlage aus lit. f) fernliegend. Folglich spricht Vieles dafür, dass eine kommerzielle Nutzung der Daten lediglich aufgrund ihrer Entgeltfunktion bei datenfinanzierten Angeboten keine Verarbeitung aufgrund einer Interessenabwägung nach lit. f) rechtfertigen kann. b) Die direkte Verarbeitung und Speicherung der Daten Betrachtet man hingegen die einzelnen Kategorien der Datenverarbeitung, lässt sich eine Datenverarbeitung, die direkt für die Funktionsfähigkeit des datenfinanzierten Angebots notwendig ist (Kategorie I), in den allermeisten Fällen bereits über den Erlaubnistatbestand zur Erfüllung des Vertrags in lit. b) rechtfertigen. Somit bedarf es der Interessenabwägung bei einer solchen Verarbeitung grundsätzlich nicht mehr. Sollte in einzelnen Fällen der Tatbestand aus lit. b) allerdings nicht greifen, besteht in der Erfüllung seiner vertraglichen Pflichten ein berechtigtes Interesse des App-Anbieters zur Verarbeitung. Da die Daten direkt für die Funktion der App notwendig sind, welche vom Nutzer (freiwillig) verwendet wird, ist die Datenverarbeitung in dieser Hinsicht vollumfänglich erwartbar. Es lässt sich daher abstrakt feststellen, dass in solchen Fällen die Interessen des App-Anbieters – sofern die Funktionsweise der App eine per se rechtmäßige ist – diejenigen des Nutzers immer überwiegen und die Datenverarbeitung folglich über lit. f) zu rechtfertigen ist. Schwieriger wird die Bewertung bei der zusätzlichen Speicherung der Nutzerdaten (Kategorie II). Zunächst stellt die Speicherung je nach Zweckrichtung in den allermeisten Fällen ein berechtigtes Interesse dar, sei es zur Verbesserung der App für potentielle, sich aus der Datenspeicherung ergebenden zusätzlichen Funktionen. Aber selbst kommerzielle Interessen durch personalisierte Werbung können aufgrund des weit zu verstehenden berechtigten Interesses ein solches darstellen. Bei der folgenden Interessenabwägung kommt es vor allem darauf an, mit welchen Zwecken die Daten gespeichert werden (d. h. ob diese Speicherung etwa auch dem Nutzer zugutekommt) und um was für Daten es sich handelt (sich direkt aus der Nutzung ergebende Daten gegenüber Daten – etwa aus Browserverläufen –, die nichts mit der eigentlichen Funktion der App zu tun haben). Zusätzlich erhöht sich die Schwere des Eingriffs, wenn der App-Anbieter durch die Datenspeicherung Personenprofile erstellen kann.718 718

Zu Personenprofilen vertiefend Roßnagel, ZD 2013, 562 (565); Schantz, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 121.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

239

Das Interesse an der Speicherung kann insgesamt bei einer solchen Verarbeitung durchaus die Interessen der betroffenen Personen überwiegen. Dies hängt allerdings stets vom Einzelfall ab, der nach den bereits erarbeiteten Maßstäben zu beurteilen ist. Dient die Speicherung auch dem Nutzer und ist die Speicherung in vollem Umfang absehbar, überwiegen häufig die Interessen des App-Anbieters an der Speicherung. Demgegenüber überwiegen die schutzwürdigen Interessen des Nutzers zumeist, wenn die mit der Speicherung einhergehende Auswertung der Daten für ihn nicht vorhersehbar ist oder die Daten seine Persönlichkeitsrechte tiefgreifend betreffen, was vor allem bei einer Erstellung von Personenprofilen der Fall ist. In diesen Fällen lässt sich die Verarbeitung nicht über eine Interessenabwägung nach lit. f) rechtfertigen und bedarf folglich einer Einwilligung des Nutzers. c) Die Offenlegung der Daten Auch die Offenlegung der Daten (Kategorie III) lässt sich unter Umständen über eine Interessenabwägung rechtfertigen. Bei einer Offenlegung innerhalb eines Konzerns (Kategorie III a) ist zunächst festzuhalten, dass mit dem Inkrafttreten der DSGVO – vergleichbar zur bisherigen Rechtslage – kein Konzernprivileg einherging.719 Eine konzerninterne Offenlegung ist im Grundsatz also nicht anders zu bewerten ist, als jede andere Datenverarbeitung. Nichtsdestotrotz können interne Verwaltungsprozesse ein gerechtfertigtes Interesse darstellen und Erwägungsgrund 48 erkennt das Interesse an einer konzerninternen Datenverarbeitung ausdrücklich als ein berechtigtes an.720 Hierunter fallen vor allem Zentralisierungen zur Effizienzsteigerung, etwa eine Offenlegung für interne Verwaltungszwecke oder eine Zentralisierung von IT-Dienstleistungen, demgegenüber nicht die Werbe­ zwecke für Produkte anderer Konzernunternehmen.721 Gleichzeitig wird durch diese angedachte Berechtigung des Interesses eine Abwägung mit den Interessen des Nutzers selbstverständlich nicht obsolet. Durch die Offenlegung ohne Einwilligung des Nutzers erhalten (wenn auch konzerninterne) Dritte Zugriff auf die Daten, was jedenfalls einen Eingriff in sein Recht aus Art. 8 GRCh darstellt. Das Überwiegen der Interessen des App-Anbieters – und damit die Rechtfertigung der Verarbeitung – hängt in solchen Fällen maßgeblich davon ab, ob der Nutzer mit der Offenlegung rechnen musste und ob hierin zusätz-

719

Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  168; Schantz, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 116; Taeger, in: Taeger / Gabel, DSGVO /  BDSG / T TDSG, Art. 6 Rn. 137; zurückhaltender Wolff, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 664. 720 Buchner / Petri, in: Kühling / Buchner, DSGVO / BDSG, Art.  6 Rn.  168; Rath / Heins / Éles, CR 2019, 500 (501). Insoweit wird an dieser Stelle davon ausgegangen, dass die konzerninterne Offenlegung innerhalb des Geltungsbereichs der DSGVO stattfindet. Wie eine Offenlegung der Daten im Nicht-EU-Ausland zu bewerten ist, wird in § 7 näher untersucht. 721 Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 116 f.

240

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

liche Risiken für ihn entstehen.722 Daher können ergänzende Schutzmaßnahmen wie die Pseudonymisierung, eine vertragliche Vereinbarung zur Datensicherheit oder ergänzende Zweckvereinbarungen723 die Beeinträchtigung des Nutzers verringern und so die Abwägung zugunsten des Interesses an der konzerninternen Datenverarbeitung ausschlagen lassen. An der oben bereits betrachteten Speicherung von Metadaten und ihrer konzerninternen Übermittlung durch Messenger-Dienst B zur Erstellung konzerninterner Kundenprofile besteht wie dargestellt ein berechtigtes Interesse. Bei der Offenlegung werden die Daten grundsätzlich jedoch weder anonymisiert noch pseudonymisiert. Auch ist die Zweckrichtung der konzerninternen Kundenprofile für den Nutzer nicht absehbar, da ihm über Zweckbindung und Informationspflichten zwar die Speicherung an sich, die Bildung des Profils und die Offenlegung im Konzern durch den ursprünglichen App-Anbieter dargelegt werden müsste, die genaue Verwendung beim konzerninternen Dritten allerdings nicht. Gleichwohl entsteht bei Kundenprofilen eine erhöhte Beeinträchtigung für das Recht des Nutzers aus Art. 8 GRCh, so dass sich eine solche umfangreiche Speicherung und Offenlegung nicht über eine Interessenabwägung rechtfertigen lässt. Es bedarf stattdessen der Einwilligung des Nutzers.

Eine Offenlegung an Dritte (Kategorie III b)  ist demgegenüber datenschutzrechtlich ungemein problematischer. Grundsätzlich können durch die Interessenabwägung zwar auch die Interessen externer Dritter adressiert werden und diesen eine Berechtigung zukommen, weshalb auch diese Interessen zu berücksichtigen sind. Hierbei sind die Risiken aus der Datenverarbeitung bei einer Offenlegung an externe Dritte, die in keinem Vertragsverhältnis zum Nutzer stehen, ungleich höher. Für den Nutzer ist die folgende Verarbeitung durch den Dritten – vor allem hinsichtlich der Speicherdauer – nicht absehbar. Ferner besteht auch gerade kein Nähe-Verhältnis zwischen Nutzer und Drittem, welches eine Interessenabwägung zugunsten des Datenverarbeiters ausschlagen lassen könnte. III. Fazit Bei datenfinanzierten Angeboten kann eine Datenverarbeitung, bei der die Daten Entgeltfunktion aufweisen und als Gegenleistung zur Nutzung der App dienen, mangels überwiegender Interessen des App-Anbieters und mangels Erforderlichkeit zur Vertragserfüllung nicht ohne Einwilligung des Nutzers gerechtfertigt werden. Demgegenüber lassen sich einzelne Arten der Datenverarbeitung durchaus über diese Tatbestände rechtfertigen. Die Erfüllung eines Vertrags gem. Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO kann zweifelsfrei lediglich eine Verarbeitung zur direkten Funktionsfähigkeit der App (Kategorie I) rechtfertigen. Bei den anderen Arten der Datenverarbeitung fehlt es zumeist an der direkten Erforderlichkeit einer solchen 722

Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 116; Schulz, in: Gola, DSGVO, Art. 6 Rn. 171. 723 S. hierzu vertiefend Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn.  137.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

241

Verarbeitung. Beim Vorliegen von berechtigten Interessen des Datenverarbeiters kann Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO neben der Verarbeitung der ersten Kategorie auch für eine zusätzliche Speicherung der Daten (Kategorie II) sowie eine Offenlegung innerhalb des Konzerns (Kategorie III a) als Rechtsgrundlage dienen. Eine dort stattfindende Interessenabwägung fällt allerdings in der Regel nur bei einer geringen Beeinträchtigung der Rechte des Nutzers und bei einer für ihn erwartbaren Verarbeitung zugunsten des App-Anbieters aus und ist nur in diesen Fällen als rechtmäßig anzusehen. Wie schon bei der Untersuchung der datenschutzrechtlichen Grundsätze zeigt sich mithin, dass eine Datenverarbeitung bei datenfinanzierten Angeboten, die einen eher geringen Eingriff in das Recht der informationellen Selbstbestimmung der Nutzer darstellt, mit den Vorgaben der DSGVO vereinbar und auch ohne ausdrückliche Einwilligung des Nutzers zulässig ist. Demgegenüber kann über die Erlaubnistatbestände von lit. b)  und f)  eine Verarbeitung, die potentiell auch in Konflikt zur Transparenz, Datenminimierung und Zweckbindung steht und eingriffsintensiv ausfällt, nicht gerechtfertigt werden.

B. Die Einwilligung als Legitimationstatbestand Nachdem alternative Rechtmäßigkeitstatbestände auf ihre Tauglichkeit zur Datenverarbeitung bei datenfinanzierten Angeboten untersucht worden sind, soll in diesem Kapitel die Einwilligung näher betrachtet werden. Die Einwilligung stellt schon aus grundrechtlicher Sicht ein wesentliches Instrument dar, mit dem betroffene Personen über den Umgang ihrer personenbezogenen Daten entscheiden können. Mit einer Einwilligung in die Datenverarbeitung kann eine betroffene Person aus verfassungsrechtlicher Sicht sicherstellen, dass eine Datenverarbeitung selbstbestimmt stattfindet und ihre personenbezogenen Daten nicht gegen ihren Willen geschützt werden, was insoweit selbst ein Ausdruck ihrer Freiheit ist.724 Schon grund- bzw. primärrechtlich stellen Art. 8 Abs. 2 GRCh und die nationale Ausformung der informationellen Selbstbestimmung so die Einwilligung als maßgebliche Möglichkeit heraus, mit der die betroffene Person selbstständig über die Preisgabe und Verwendung ihrer Daten entscheiden kann.725 Das Verfassungsrecht stellt auch bereits generelle Voraussetzungen an die Einwilligung, allen voran, dass diese freiwillig, bewusst und hinreichend konkret erfolgen muss. Sekundärrechtlich ergibt sich die Tauglichkeit der Einwilligung als Erlaubnistatbestand zur Datenverarbeitung aus Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO, wonach eine Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke ermöglicht wird. Der Begriff der Einwilligung selbst wird in Art. 4 Nr. 11 DSGVO definiert. Über die 724 725

Sandfuchs, Privatheit wider Willen?, S. 158, 251. S. § 4 A. I. 1. sowie § 4 A. II. 2. b).

242

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

dort formulierten Voraussetzungen hinaus, deren Vorliegen Grundbedingung einer tauglichen Einwilligung ist, enthält Art. 7 DSGVO weitere Anforderungen an die Rechtmäßigkeit der Einwilligung. Nach einem kurzen Überblick zur generellen Tauglichkeit der Einwilligung (I.) sollen daher die verschiedenen Voraussetzungen der Einwilligung aufgezeigt und auf ihre Umsetzbarkeit bei datenfinanzierten Angeboten untersucht werden (II.). Der nachfolgende Abschnitt geht auf die Besonderheiten von Einwilligungen im Rahmen von Datenschutzerklärungen ein (III.). Vor diesem Hintergrund soll mitberücksichtigt werden, dass die Einwilligungserklärung bei digitalen Angeboten häufig Teil einer umfangreichen Datenschutzerklärung ist, die über die gesamte stattfindende Datenverarbeitung informiert Den Abschluss des Unterkapitels bildet die Zusammenfassung über die Tauglichkeit der Einwilligung bei datenfinanzierten Angeboten (IV.). I. Die Grundproblematik des Einwilligungskonzepts Aus praktischer Sicht bildet die gewillkürte Einwilligung, trotz der grundsätzlichen Gleichrangigkeit der verschiedenen Erlaubnistatbestände innerhalb der DSGVO726, nach wie vor die maßgeblich genutzte Möglichkeit zur Rechtfertigung von Datenverarbeitungen und somit den zentralen Erlaubnistatbestand.727 Trotzdem wird über die Tauglichkeit einer so geregelten Einwilligung zur Rechtfertigung von Datenverarbeitungen schon seit geraumer Zeit grundlegend debattiert. So gab es schon vor Inkrafttreten der DSGVO die Kritik, dass eine auf einer Einwilligung des Einzelnen basierende Konzeption des Datenschutzrechts angesichts von wachsender Bedeutung und Umfangs der Datenverarbeitung nicht mehr zeitgemäß sei.728 Die Einwilligung könne bei komplexeren Datenverarbeitungs-Prozessen nur noch eine „Legitimationsfiktion“ herstellen, da der Inhalt vom Datenverarbeiter einseitig vorgegeben werde und der betroffenen Person keine wirklich freie Entscheidung ob der Datennutzung verbleibe.729 Dies führe dazu, dass die betroffenen Personen vielfach blind in eine Datenverarbeitung einwilligen, ohne darüber eine bewusste, freie und informierte Entscheidung zu treffen, um hierdurch die – häufig kurzfristigen – Vorteile aus der Datenpreisgabe zu erhalten.730 726

S. o. § 6. Buchner / Kühling, DuD 2017, 544 (545); dies., in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 9; Ernst, ZD 2017, 110 (110); Wendehorst / v. Westphalen, NJW 2016, 3745 (3745). 728 Vgl. etwa Schneider / Härting, ZD 2011, 63 (64); Simitis, DuD 2000, 714 (721); Veil, NVwZ 2018, 686 (688). 729 Kamp / Rost, DuD 2013, 80 (82 f.); Katko / Babaei-Beigi, MMR 2014, 360 (363); Simitis, in: Simitis, BDSG Kommentar (a. F.), 8. Aufl., § 4a Rn. 3 ff. 730 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 17; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 10 f. sehen dies als grundlegendes Problem der Einwilligung. Zur Problematik der Datenpreisgabe bei datenfinanzierten Angeboten s. bereits § 2 B. II. 1. b). 727

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

243

Dem wird von Vertretern der gegensätzlichen Ansicht entgegengehalten, dass eine auf Selbstbestimmung basierende Gesellschaft auch bei zunehmender Digitalisierung einer Entscheidungsmacht bedürfe, die dem Einzelnen über das Ausmaß der Datenverarbeitung Auskunft gibt – die Einwilligung also nach wie vor ein taugliches Instrument sei. Die Frage nach der Rechtmäßigkeit in einem grundrechtsrelevanten Bereich könne nicht anhand abstrakter Wertungsmaßstäbe, lediglich staatlicher Regulierung oder dem Mehrheitsgefühl des Kollektivs entschieden werden.731 Auch sei durch die Einwilligung die verfassungsrechtlich gewährleistete Privatautonomie sichergestellt.732 Dies spiegele sich in der Formulierung in Art. 8 Abs. 2 GRCh wider, der die Datenverarbeitung für festgelegte Zwecke primär mit der Einwilligung der betroffenen Person ermöglicht. Hierin verdeutliche sich, dass die Einwilligung als zentraler Pfeiler in der grundrechtlichen Ausgestaltung verstanden werden muss.733 Anstatt sich im Rahmen dieser Arbeit lediglich abstrakt mit der (Un-)Tauglichkeit des generellen Einwilligungskonzepts bei zunehmender Digitalisierung auseinanderzusetzen, soll im Folgenden der Tatbestand der Einwilligung im Regelungskontext der DSGVO konkret im Hinblick auf datenfinanzierte Angebote untersucht werden. Das Unterkapitel widmet sich der Frage ob und inwieweit das Konzept der Einwilligung – insbesondere bei datenfinanzierten Angeboten – trotz zunehmender Datenmengen ermöglicht, die Datenverarbeitung praktikabel und rechtmäßig zu gestalten und gleichzeitig die informationelle Selbstbestimmung der betroffenen Person zu verwirklichen. So kann eruiert werden, ob bei daten­ finanzierten Angeboten in der Praxis tatsächlich blind und ohne Berücksichtigung der Konsequenzen in die Datenverarbeitung eingewilligt wird, was in der Literatur den zentralen Kritikpunkt am Einwilligungskonzept darstellt. II. Die Voraussetzungen der Einwilligung Die Legaldefinition der Einwilligung wird in Art. 4 Nr. 11 DSGVO normiert. Eine Einwilligung der betroffenen Person ist danach jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. In Art. 4 Nr. 11 DSGVO finden sich die grundlegenden, kumulativen Anforderungen an die Einwilligung.734 Der schon grundrechtlich vorgegebene Inhalt der Einwil 731

Hornung, ZD 2012, 99 (101). Hoeren, ZD 2011, 145 (145). 733 Roßnagel / Pfitzmann / Garstka, Modernisierung des Datenschutzrechts, S. 15, 72 betiteln es etwa im Jahr 2001 als „genuinen Ausdruck der informationellen Selbstbestimmung“. Ferner Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 472. 734 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  62. 732

244

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

ligung als freiwillig, bewusst und hinreichend konkret wird in dieser Definition also aufgegriffen. Die Einwilligung muss über die Anforderungen der Definition hinaus gem. Art. 6 Abs. 1 UAbs. 1 lit. a)  DSGVO für einen oder mehrere bestimme Zwecke erteilt werden. Die Anforderungen werden ferner durch Art. 7 DSGVO ergänzt, der weitere Einzelheiten einer tauglichen Einwilligung bestimmt; im Detail die Beweislast des Datenverarbeiters (Abs. 1), die Unterscheidbarkeit zu anderen Sach­verhalten (Abs. 2), das Widerrufsrecht (Abs. 3) sowie Einzelheiten zur Freiwilligkeit (Abs. 4). Besonders geregelt ist im Übrigen die Einwilligung bei Minderjährigen, vgl. Art. 8 Abs. 1 DSGVO, auf die innerhalb dieser Arbeit mangels Bezug auf eine konkrete Nutzergruppe von Apps allerdings nicht näher eingegangen wird.735 Die folgenden Abschnitte analysieren die einzelnen Voraussetzungen der Einwilligung und untersuchen die Besonderheiten bei der Datenverarbeitung von datenfinanzierten Angeboten. Wenn dabei im Folgenden die „Einwilligung“ thematisiert wird, bezieht sich der Begriff auf den Inhalt ebenjener. Kommt es hingegen auf die Abgabe der Einwilligung durch die betroffene Person an, wird auf die Einwilligungserklärung oder die Erteilung der Einwilligung abgestellt. 1. Die Erteilung der Einwilligung durch Willensbekundung Die von der Datenverarbeitung betroffene Person erteilt die Einwilligung gemäß Art. 4 Nr. 11 DSGVO durch Willensbekundung. Eine solche gründet, aufgrund der abzugebenden Erklärung oder sonstigen bestätigenden Handlung, auf einer aktiven Tätigkeit des Erklärenden. Hierin besteht der maßgebliche Unterschied der Einwilligung zu den Erlaubnistatbeständen aus lit. b) und f), die gerade keine aktive Tätigkeit der betroffenen Person voraussetzen. Mit der Willensbekundung tritt als Rechtsfolge die Rechtmäßigkeit der Datenverarbeitung ein, so dass die Einwilligung zumindest einen rechtsgeschäftlichen Charakter aufweist.736 Jede betroffene Person hat – schon zur Durchsetzung ihres Rechts auf informationelle Selbstbestimmung – selbstständig über die Preisegabe ihrer Daten zu entscheiden und muss insofern auch freiwillig und informiert selbst einwilligen.

735

Bei der Einwilligung durch Minderjährige ergeben sich zahlreiche Besonderheiten, etwa was die Erklärung der Einwilligung angeht. Eine Betrachtung dieser sehr spezifischen Pro­ bleme würde jedoch den Rahmen dieser Arbeit sprengen, ohne für die Bewertung datenfinanzierter Angebote einen besonderen Erkenntnisgewinn zu liefern. 736 Die genaue dogmatische Einordnung der Einwilligung (rechtsgeschäftliche Erklärung, geschäftsähnliche Handlung oder Realakt) ist für die weitere Untersuchung dieser Arbeit nicht von Bedeutung und wird insoweit an dieser Stelle nicht näher untersucht, vgl. vertiefend etwa Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  6 Rn.  10; Heckmann / Paschke, in: Ehmann /  Selmayr, DSGVO, Art. 7 Rn. 29 f. m. w. N.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

245

Deshalb hat die Willensbekundung grundsätzlich höchstpersönlich durch die betroffene Person selbst zu erfolgen, so dass gerade kein Stellvertreter über die Einwilligung entscheiden kann.737 Im Kontext datenfinanzierter Angebote ist davon auszugehen, dass das jeweilige (mobile) Endgerät, auf dem die App installiert wird, in der Regel einem bestimmten Nutzer zuzuordnen ist. Dieser nimmt auch die jeweilige Einwilligung vor. Bestehen hingegen mehrere Konten, über die auf ein Gerät zugegriffen wird, so müssen für die App-Nutzung und Datenverarbeitung auf den verschiedenen Konten grundsätzlich auch separate Einwilligungen erfolgen. Wird das Gerät im Einzelfall von einer anderen Person genutzt (etwa einem Familienmitglied), so läuft die Datenverarbeitung weiter über das Nutzerkonto des ursprünglichen Nutzers und es handelt sich weiter um „seine“ persönlichen Daten, denen es dann unter Umständen an Richtigkeit fehlt (vgl. Art. 5 Abs. 1 lit. d) DSGVO). a) Durch Erklärung oder sonstige bestätigende Handlung Die Einwilligung muss nach Art. 4 Nr. 11 DSGVO „unmissverständlich […] in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ erfolgen. Eine Einwilligung ist also sowohl durch ausdrückliche und aktive Erklärung der betroffenen Person, wie auch auf andere eindeutige Arten möglich. Jedenfalls setzt die Erteilung eine aktive Handlung und insoweit Erklärungsbewusstsein des Erklärenden voraus.738 Mit dieser Erklärung gibt die betroffene Person zu verstehen, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist. Die Frage nach dem Vorliegen der Einwilligungserklärung ist durch Auslegung nach dem Empfängerhorizont zu ermitteln, wobei im Zweifel aufgrund der Formulierung „unmissverständlich“ keine Einwilligungserklärung anzunehmen ist.739 Jedenfalls können Schweigen oder Untätigkeit in keinem Fall als eine Einwilligungserklärung bewertet werden.740 Die bloß einseitige Verlautbarung bestimmter Datenverarbeitungspraktiken – etwa im Rahmen umfangreicher Datenschutzerklärungen – durch den Datenverarbeiter stellt noch keine eindeutige Bestätigung der Einwilligung durch die betroffene Person dar. Es besteht folglich keine Erklärung, wenn im Text lediglich über die Verarbeitungspraktiken unterrichtet wird und die betroffene Person diese nur

737

Ernst, ZD 2017, 110 (111); ders., in: Paal / Pauly, DSGVO / BDSG, Art. 4 Rn. 65; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 34. Andere Personen können im Einzelfall lediglich botenähnlich die Einwilligung für den Nutzer erklären, wenn dieser alle sonstigen Anforderung selbst erfüllt. 738 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art.  7 Rn.  56 f.; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 33; Tinnefeld / Conrad, ZD 2018, 391 (393). 739 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  36. 740 Vgl. DSGVO ErwG. 32 S. 3.

246

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

zur Kenntnis nehmen kann, ohne dass eine Ablehnungsmöglichkeit besteht.741 Die bloße Kenntnisnahme ersetzt insoweit nicht die Erklärung der betroffenen Person. Zeitlich hat die Erteilung der Einwilligung nach dem Wortlaut des Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO („hat […] gegeben“) sowie dem Charakter als Zulässigkeitstatbestand im Vorhinein der Datenverarbeitung – jedoch erst nach Informierung der betroffenen Person – zu erfolgen und kann nicht durch eine nachträgliche Genehmigung der Verarbeitung ersetzt werden.742 Wenn nicht zeitlich befristet, wirkt die Einwilligung grundsätzlich nach der Erteilung auf unbestimmte Zeit. Gleichwohl sind in zeitlicher Hinsicht die Grundsätze der Zweckbindung und Daten­ minimierung zu berücksichtigen.743 b) Die Nachweispflicht bei einer Erklärung Die Einwilligung kann zunächst durch eine Erklärung der betroffenen Person erfolgen. Hierfür schreibt die DSGVO im Gegensatz zu § 4a Abs. 1, 3 BDSG a. F., der die Schriftform bei der Einwilligung verlangte, keine besondere Form für die Einwilligungserteilung vor. Die Erklärung kann also auf beliebige Art erfolgen. Beispielhaft werden in Erwägungsgrund  32 S. 1 die schriftliche Erklärung, die auch elektronisch erfolgen kann, sowie die mündliche Erklärung genannt. Dies ist bei zunehmender Digitalisierung nur konsequent, zumal die Form der Erklärung nur bedingt etwas darüber aussagt, ob die Erklärung materiell auch informiert, freiwillig und bestimmt erfolgt.744 Gleichzeitig haben sich die Nachweisanforderungen im Vergleich zur bisherigen Regelung im BDSG a. F. deutlich erhöht. Der Datenverarbeiter muss gem. Art. 7 Abs. 1 DSGVO nachweisen können, dass der Betroffene in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat. Um dieser Pflicht nachkommen zu können, muss der Datenverarbeiter den Inhalt der Einwilligungserteilung zu einem späteren Zeitpunkt verkörpern und bereithalten können.745 Das Nachweiserfordernis in Art. 7 Abs. 1 DSGVO beinhaltet damit so für sich genommen keine eigene Anforderung an die Wirksamkeit der Einwilligung, sondern verlagert vielmehr die Beweislast über das Vorliegen einer Einwilligung vollständig auf die Seite des Datenverarbeiters.746 Es stellt ferner eine Konkretisierung der allgemeinen 741

KG Berlin, Urt. v. 27. 12. 2018 – 23 U 196/13 = ZD 2019, 272 (274); Urt. v. 23. 3. 2019 – 23 U 268/13 = K&R 2019, 414 (415, 417). 742 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 30; Ernst, ZD 2017, 110 (111); ders., in: Paal / Pauly, DSGVO / BDSG, Art. 4 Rn. 64. 743 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 43. Zu den Grundsätzen § 5 B. II., III. 744 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 35. 745 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  44. 746 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art.  7 Rn.  22; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 68; a. A. Klement, in: Simitis / Hornung / 

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

247

Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO dar, indem vom Datenverarbeiter konkret ein verlässlicher Nachweis über die Grundlage zur Verarbeitung verlangt wird.747 Durch diese Nachweispflicht wird die zwar grundsätzlich formfreie Erklärung der Einwilligung durch die betroffene Person in der Regel schriftlich oder elek­ tronisch erfolgen müssen. Nur hierdurch kann der Datenverarbeiter die Einwilligung speichern bzw. archivieren und so seiner Nachweispflicht nachkommen.748 c) Sonstige eindeutige bestätigende Handlung Im digitalen Kontext häufiger anzutreffen, kann die Einwilligung auch in Form einer sonstigen eindeutigen bestätigenden Handlung erfolgen. Häufigster Fall ist hierfür im App-Kontext das Anklicken der Aussage „ich bin mit der Datennutzung einverstanden“, die mit einem Hyperlink auf die eigentliche Einwilligung verlinkt ist. Hiermit erklärt der Nutzer durch aktive Handlung eindeutig die Einwilligung in die Datennutzung, ohne dass er selbst sein Einverständnis durch Unterschrift bestätigt. Eine solche Handlung wird nach Erwägungsgrund 32 S. 2 als taugliche bestätigende Handlung anerkannt, solange die betroffene Person im jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung signalisiert. Insoweit fällt der Unterschied zur vollständig schriftlichen Erklärung marginal aus. aa) Die Tauglichkeit von Opt-Out-Lösungen Aufgrund dieser vermeintlich eindeutigen Formulierung in Erwägungsgrund 32 S. 2 stellt sich die Frage, inwieweit Opt-Out-Lösungen zur Erteilung der Einwilligung zulässig sind. Unter einem „Opt-Out“ werden verschiedene Gestaltungen gefasst, bei denen die betroffene Person aktiv werden muss, um zu verhindern, dass er mit der weiteren Nutzung seine Einwilligung erteilt; das Passiv-Bleiben führt demgegenüber zu einer vermeintlichen Einwilligungserklärung.749 Typisches Beispiel ist hierfür ein bereits angekreuztes Häkchen auf die Frage, ob der Nutzer mit der Datenverarbeitung einverstanden ist. Bei einer Opt-In-Lösung muss der Nutzer demgegenüber aktiv in die Datenverarbeitung einwilligen und so etwa aktiv ein Kreuzchen zur Erteilung der Einwilligung setzen. Die bisherige, nationale Rechtsprechung hatte Opt-Out-Lösungen akzeptiert und war von der Tauglichkeit einer Einwilligungserklärung bei einer solchen GeSpiecker, Datenschutzrecht, Art. Rn. 45 f., der darin eine selbständige Verfahrensvorschrift und somit durchaus eine (formelle) Anforderung sieht. 747 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  42. 748 Thüsing / Schmidt / Forst, RDV 2017, 116 (121). 749 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 492.

248

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

staltung ausgegangen.750 Demgegenüber hält der überwiegende Teil der Literatur die bloße Kenntnisnahme einer Datenverarbeitung – selbst nach einem vorherigen, deutlichen entsprechenden Hinweis – mit möglichem Opt-Out nicht mehr für eine zulässige Form der Erteilung.751 Diese Auffassung wird mit Verweis auf Erwägungsgrund 32 und der Feststellung begründet, dass bei einem bereits angekreuzten Kästchen eben keine aktive Handlung des Nutzers erfolge. Die Frage über die Zulässigkeit von Opt-Out-Lösungen wurde schlussendlich dem EuGH vorgelegt.752 Dieser stellte übereinstimmend mit der überwiegenden Meinung in der Literatur fest, dass eine Einwilligungserklärung durch ein voreingestelltes Ankreuzkästchen, das ein Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht als wirksam Erteilung gilt.753 Opt-Out-Lösungen mit vorangekreuztem Kästchen bieten mithin keine „aktive sonstige bestätigende Handlung“ zur Erteilung einer Einwilligung. Der Nutzer muss der Datenverarbeitung immer aktiv zustimmen – etwa durch das Anklicken eines Buttons –, was insoweit einer Opt-In-Lösung entspricht. bb) Die Nachweispflicht bei bestätigenden Handlungen Die Nachweispflicht nach Art. 7 Abs. 1 DSGVO umfasst nicht nur die Einwilligungserklärung, sondern auch die bestätigende Handlung, mit der die betroffene Person ihre Einwilligung erteilt hat. Die Beweislast umfasst dabei auch alle weiteren Wirksamkeitsvoraussetzungen der Einwilligung, etwa, dass der Betroffene „informiert“ und selbstständig eingewilligt hat. Die Informiertheit kann vor allem in Fällen fraglich sein, in denen der Nutzer eines datenfinanzierten Angebots dieses lediglich über Angabe einer Mail-Adresse „personalisiert“. Hier kann der tatsächliche Nutzer unter Umständen nicht mit dem Inhaber der Mail-Adresse übereinstimmen, wenn dieser eine fremde Adresse angibt. Aus diesem Grund hat sich zur Bestätigung digitaler Angebote das sog. DoubleOpt-In-Verfahren ergeben, bei dem nach Eingabe der Daten zur Verarbeitung der betroffenen Person eine Mail an ihre angegebene Adresse zur Bestätigung des Verarbeitungsverlangens übermittelt wird.754 Mit dem Double-Opt-In-Verfahren 750

BGH, Urt. v. 16. 7. 2008  – VIII ZR 348/06 = NJW 2008, 3055; Urt. v. 11. 11. 2009  – VIII ZR 12/08 = NJW 2010, 864 (865 f.); OLG Frankfurt, Urt. v. 17. 12. 2015 – 6 U 30/15 = MMR 2016, 245. 751 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art.  7 Rn.  58; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 69; Krohm, ZD 2016, 368 (372 f.); Kühling /  Martini, EuZW 2016, 448 (451); Schantz, NJW 2016 1841 (1844). Zurückhaltender demgegenüber Piltz, K&R 2016, 557 (563); Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 36. 752 BGH, Beschl. v. 5. 10. 2017 – I ZR 7/16 = GRUR 2018, 96. 753 EuGH, Urt. v. 1. 10. 2019, Rs C-673/17, Rn. 63 – Planet49. 754 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 70; Schantz, in: Schantz /  Wolff, Das neue Datenschutzrecht, Rn. 490.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

249

wird der Nachweispflicht gem. Art. 7 DSGVO damit in der Praxis genüge getan. Durch die doppelte Erklärung und aktive Handlung des Nutzers wird dem Nachweiserfordernis hinreichend Rechnung getragen. d) Die Einwilligungserteilung bei datenfinanzierten Angeboten Eine Erteilung der Einwilligung zur Datenverarbeitung kann bei datenfinanzierten Angeboten an verschiedener Stelle erfolgen. Klassischerweise kommt es entweder bei Download, Installation, Registrierung oder erstmaligem Start dazu, dass der Nutzer zur Einwilligung in die Datenverarbeitung aufgefordert wird. Dies erfolgt in der Regel dadurch, dass der Nutzer nach dem (vorgeblichen) Lesen der Datenschutzerklärung diese mit dem Setzen eines Häkchens bestätigt. Hierin liegt dementsprechend eine aktive, eindeutig bestätigende Handlung des Nutzers. Die reine Inanspruchnahme etwa durch das Herunterladen oder die Installation eines datenfinanzierten Angebots kann demgegenüber niemals zu einer Einwilligung in die Datenverarbeitung führen.755 Bei datenfinanzierten Angeboten ist die Einwilligungserklärung vom Datenverarbeiter in aller Regel bereits vor dem Download oder der Nutzung der App für eine Vielzahl von (potentiellen) Nutzern vorformuliert, weshalb neben den Anforderungen der DSGVO in der Regel auch das AGB-Recht Anwendung findet. Auf diese Problematik wird im Rahmen von Datenschutzerklärungen der App-Anbieter noch näher einzugehen sein.756 Bei der Nutzung eines datenfinanzierten Angebots kommt es teils dazu, dass der Nutzer den Zugriff auf Systemteile des Endgeräts – etwa das Telefonbuch – gestatten muss.757 Hierin ist in der Regel keine erneute Aufforderung zur Einwilligung zu sehen. Es handelt sich vielmehr um eine vom Betriebssystem des Endgeräts angeforderte Zugriffsbestätigung, ohne die die Software keinen Zugang zu den jeweiligen Systemteilen hat. Navigations-App A fordert bei Download und Installation im App-Store durch Anklicken eines Buttons „ich bin mit der Datenverarbeitung einverstanden“, der auf den Einwilligungstext verlinkt, zur aktiven Bestätigung auf. Zusätzlich wird hierauf eine Mail an die im App-Store hinterlegte Adresse versendet, worüber sich der Nutzer erneut bestätigen muss. Mit diesem Double-Opt-In-Verfahren findet eine taugliche Bestätigung der Einwilligung statt.

755

Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 494. S. § 6 B. III. 757 Vgl. § 2 B. I. 1. c). 756

250

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

2. Die Bestimmtheit der Einwilligung Eine zentrale materielle Anforderung an die Einwilligung ist deren Bestimmtheit. Diese bezieht sich auf die inhaltliche Ausgestaltung der Einwilligung. Gemäß Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO wird eine Einwilligung für einen oder mehrere bestimmte Zwecke gegeben. Ferner erfolgt eine Einwilligung laut Art. 4 Nr. 11 DSGVO „für einen bestimmten Fall“, was durch Erwägungsgrund 32 S. 1 sprachlich leicht verändert als „für einen konkreten Fall“ wiederholt wird. Zusammengenommen ergibt sich hieraus die Anforderung an die Bestimmtheit. Nachfolgend soll die Anforderung der Bestimmtheit näher aufgeschlüsselt und die Folgen für die konkrete Einwilligung im Bereich datenfinanzierter Angebote untersucht werden. a) Inhalt und Hintergrund der Bestimmtheit Die Anforderung der Bestimmtheit der Einwilligung setzt sich aus zwei Teilen zusammen. Der „bestimmte Fall“ gem. Art. 4 Nr. 11 DSGVO beschreibt die durch die Einwilligung zu legitimierende Datenverarbeitung, welche die verarbeiteten personenbezogenen Daten, die Verarbeitungsform, die Verantwortlichen sowie ggf. weitere Datenempfänger umfasst.758 Aus diesen Informationen muss erkennbar werden, ob die jeweilige Verarbeitung von der Einwilligung gedeckt ist.759 Daneben muss sich eine bestimmte Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO und Erwägungsgrund 32 S. 4 auf eine oder mehrere Verarbeitungen beziehen, die zu demselben Zweck oder denselben Zwecken vorgenommenen werden.760 Eine Einwilligung kann sich also aufgrund der Formulierung in Erwägungsgrund 32 S. 4 auf mehrere Verarbeitungsvorgänge beziehen, so lange diese dieselbe Zweckdienlichkeit aufweisen. Werden hingegen mehrere Zwecke verfolgt, so muss jeder dieser Zwecke von der Einwilligung umfasst sein.761 Über einen „bestimmten Fall“ i. S. d. Art. 4 Nr. 11 kann mithin auch eine Zweckmehrheit abgedeckt werden.762 Durch das so zusammengesetzte Bestimmtheitsgebot muss die Verarbeitung für die betroffenen Personen insoweit vorhersehbar sein, dass sie sich hieraus ein 758

Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 68. Ob von einem „bestimmten Fall“ bereits eine Zweckbestimmung über die Verarbeitung umfasst ist, kann insoweit dahinstehen, als dass diese aufgrund von Art. 6 Abs. 1 lit. a) DSGVO ohnehin einen Teil der Bestimmtheit darstellt, vgl. hierzu vertiefend Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 70; Piltz, K&R 2016, 557 (563) m. w. N. 759 Wie die betroffene Person hierüber in Kenntnis zu setzen ist, wird nachfolgend in der Anforderung der Informiertheit näher untersucht. 760 Piltz, K&R 2016, 557 (563). 761 Vgl. DSGVO ErwG 32 S. 5. 762 Schulz, in: Gola, DSGVO, Art. 6 Rn. 23.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

251

Bild über Chancen und Risiken der Datenverarbeitung machen können.763 Ferner müssen die betroffenen Personen die Reichweite ihrer Einwilligungserklärung überblicken können, während der Datenverarbeiter wirksame Grenzen für seine Datenverarbeitung vorfindet.764 Zusammengefasst darf eine hinreichend bestimmte Einwilligung nicht lediglich pauschal ausfallen, sondern muss erkennen lassen, welche personenbezogenen Daten von wem zu welchem Zweck verarbeitet werden. Das derart ausgestaltete Bestimmtheitsgebot konkretisiert damit den Zweckbindungsgrundsatz aus Art. 5 Abs. 1 lit. b) DSGVO unmittelbar für die Einwilligung. Gleichzeitig dienen derart bestimmte Einwilligungen, die den Inhalt, Verarbeiter und Zweck eindeutig erkennen lassen müssen, in gewissem Maße der Transparenz der jeweiligen Datenverarbeitung (Art. 5 Abs. 1 lit. a) DSGVO), da die genaue Zweckrichtung der Verarbeitung deutlich wird. b) Die Reichweite der Bestimmtheit Betrachtet man die konkrete Umsetzung des Bestimmtheitsgebots, zeigt sich ein grundrechtlicher Konflikt über dessen Reichweite bei (vermeintlich) unspezifischen Zweckbestimmungen, was vor allem bei Big Data-Analysen deutlich wird. aa) Zugrundeliegende Problematik Dem Wesen von Big Data-Analysen folgend werden Daten vielfach für unterschiedliche, zum Erhebungszeitpunkt oftmals noch nicht bekannte Zwecke verwandt.765 In solchen Fällen erscheint eine Rechtfertigung der Datenverarbeitung mittels einer Einwilligung mit hinreichender Bestimmtheit nur schwerlich umsetzbar.766 Wenn ein Big Data-Analysemethoden verwendender Datenverarbeiter Art und Ausmaß der Verarbeitung konkret darstellten muss, greift dies – abhängig vom konkreten Fall – unterschiedlich tief in seine unternehmerische Freiheit aus Art. 16 GRCh ein. Denn bestimmte Analysen könnten aufgrund des im Rahmen der Einwilligung bereits bestimmten Zwecks der Verarbeitung unter Umständen nicht mehr durchgeführt werden. Diese Problematik entwächst dem Grundcharakter von Big Data, wonach aus der Analyse auch bisher unerkannte Informationen gewonnen werden sollen. Unter anderem aufgrund dieser Situation ergeben sich sehr divergierende Meinungen, die die Reichweite und Grenzen der Bestimmtheit betreffen. 763

Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  69; Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, S. 107 f. 764 Veil, NJW 2018, 3337 (3340). 765 S. zu dieser Problematik bereits § 5 B. II. 3. a). 766 Roßnagel, ZD 2013, 562 (563).

252

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Zum Teil erwachsen Bedenken, dass ein zu strenges Bestimmtheitskriterium den Datenverarbeiter zu sehr auf mögliche Einwilligungsinhalte festlege und es deswegen eines weiteren Verständnisses der Bestimmtheit innerhalb der Einwilligung bedürfe.767 Schulz argumentiert, dass bei Vorgängen wie Big Data-Analysen dem Datenverarbeiter die Möglichkeit zur Einholung einer Einwilligung zur Datenverarbeitung mit unbestimmten Zwecken selbst im Falle einer „maximal transparenten“ Darlegung des noch nicht bestimmbaren Inhalts unmöglich gemacht werde. Der betroffenen Person werde so die Möglichkeit einer Einwilligung genommen und diese hierdurch ohne Wahlmöglichkeit entmündigt. Es seien daher Konzepte, wie etwa der „broad consent“ im Forschungsbereich, für andere Einwilligungen zu übernehmen, um betroffenen Personen im Vorhinein bestimmte denkbare Verwendungsmethoden und -zwecke abstrakt darlegen zu können. Hierdurch würden Big Data-Analysen rechtmäßig ermöglicht und gleichzeitig die Grundrechte der betroffenen Personen gewahrt. Im Forschungsbereich ist ein solches, eher weites Verständnis der Bestimmtheit im Rahmen des sog. „broad consent“ anerkannt, da sich in Forschungsprojekten eine genaue Zielsetzung oft nicht im vornhinein festlegen lässt, so dass eine Einwilligung „breiter“ als gewöhnlich ausfallen kann.768 Gerade diese Gegebenheit spricht aber bereits gegen eine Übertragbarkeit auf andere Einwilligungen, die etwa Big Data-Analysen zum Gegenstand haben. Denn Erwägungsgrund 33 nimmt diesen Ansatz in die teleologischen Überlegungen zur DSGVO auf und erlaubt breitere Einwilligungen für gesamte Forschungsbereiche. Im Umkehrschluss spricht dies dafür, dass dies als Ausnahme zu sehen und in sonstigen Fällen eine eher enge Auslegung der Bestimmtheit erforderlich ist. Gegen ein so weites Verständnis der Bestimmtheit wird ferner vorgebracht, dass sich eine betroffene Person durch eine unbestimmt weite Einwilligung sämtlicher Möglichkeiten zukünftiger Selbstbestimmung entledigen könne. Dies werde aber nicht durch die Bestimmtheit gestützt, die gerade der Umsetzung der Selbstbestimmung diene, und dementsprechend nicht derart weit ausgelegt werden könne.769 Bei Abwägung dieser Problematik erscheint insgesamt eine grundsätzlich enge, am Wortlaut und Sinn und Zweck der Vorschrift orientierte Auslegung der Bestimmtheit innerhalb der DSGVO vorzugswürdig. Diese auf teleologischen Gesichtspunkten beruhende Auslegung lässt sich im Übrigen konsistent mit der obigen Bewertung der Reichweite der Zweckbindung innerhalb der DSGVO vereinbaren.770 Demnach wird der Ansatz einer äußerst strikten Zweckbindung aufgrund seiner praktischen Untauglichkeit zwar abgelehnt, gleichzeitig aber das sich aus der DSGVO ergebende Verständnis einer wirksamen und durchsetzbaren Zweckbindung  – trotz der Bedenken hinsichtlich der Nutzung von Big Data-­ 767

S. zum Ganzen Schulz, in: Gola, DSGVO, Art. 7 Rn. 35 m. w. N. Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 64 m. w. N. 769 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  69. 770 S. § 5 B. II. 3. a). 768

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

253

Analysen – als praxisgerechte und die verschiedenen Interessen in Einklang bringende Lösung erachtet. bb) Folgen dieses Verständnisses Dieser Konflikt um die Reichweite der Bestimmtheit verdeutlicht jedenfalls sinnbildlich, dass die Bestimmtheit in unterschiedlichen Fällen auch unterschiedlich bewertet wird. Aus diesem Grund ist die hinreichende Bestimmtheit immer anhand der Umstände des Einzelfalls in der konkreten Verwendungssituation zu bewerten.771 Für die Ausgestaltung der konkreten Einwilligung bedeutet dies, dass je tiefgreifender eine Einwilligung die Datenverarbeitung ermöglicht und je größer der Eingriff in die Grundrechte der betroffenen Personen ausfällt, desto genauer müssen Inhalt, Zweck und Umfang der jeweiligen Nutzung beschrieben werden.772 Gleichzeitig muss jedoch immer ein gewisser Grad an Unvollständigkeit hingenommen werden, da kaum alle notwendigen Verarbeitungsprozesse vollumfänglich im Voraus vorhergesagt werden können und es ansonsten in der überwiegenden Zahl der Fälle an der erforderlichen Bestimmtheit der Einwilligung fehlen würde.773 Um der recht wagen Reichweite der Bestimmtheit etwas mehr Präzision zu verleihen, lassen sich trotz der grundsätzlich erforderlichen Einzelfallbetrachtung einige eindeutige Feststellungen treffen. So beschreiben lediglich pauschal formulierte Klauseln, die keine bestimmte Datenverarbeitung zum Gegenstand haben, sowie Blanko-Einwilligungen keinesfalls einen bestimmten Fall.774 Solche zu unbestimmten und somit nicht zulässigen Einwilligungen liegen etwa vor, wenn eine Offenlegung der Daten an nicht näher bestimmte Dritte stattfindet775 oder eine „ergebnisoffene Analyse“ der Daten776 vorgenommen werden soll. Hinreichend bestimmt ist ein Einwilligung hingegen, wenn durch eine Einwilligung die Nutzung für mehrere eindeutig benannte Werbekanäle erklärt wird.777 771

Zustimmend Arning, K&R Beihefter 3/2015, 7 (10); Buchner / Kühling, in: Kühling /  Buchner, DSGVO / BDSG, Art. 7 Rn. 65. 772 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 65; Ernst, ZD 2017, 110 (113); ders., in: Paal / Pauly, DSGVO / BDSG, Art.  4, Rn.  78. 773 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 65; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 69. In der Rechtsprechung zu § 4a BDSG a. F. hat das OLG Köln, Urt. v. 17. 6. 2011 – 6 U 8/11 = ZD 2011, 34 den Zusatz „oder vergleichbare Daten“ für zulässig erachtet. Nicht zulässig ist hingegen etwa die Offenlegung an „geeignete Partner“, vgl. OLG Hamburg, Urt. v. 4. 3. 2009 – 5 U 62/08. 774 So auch übereinstimmend Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 62; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  69; Schulz, in: Gola, DSGVO, Art. 7 Rn. 34. 775 BVerfG, Beschl. v. 23. 10. 2006 – 1 BvR 2027/02, Rn. 30 ff. 776 Vertiefend hierzu Hermstrüwer, Informationelle Selbstgefährdung, S. 98 ff. Kritisch Schulz, in: Gola, DSGVO, Art. 7 Rn. 32. 777 Einen solchen Fall hat der BGH, Urt. v. 1. 2. 2018 – III ZR 196/17 = K&R 2018, 245 auch für mit § 7 Abs. 2 UWG vereinbar erklärt.

254

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Eine Klausel von Navigations-App A mit dem Inhalt, dass gespeicherten Daten zu „ergebnisoffenen Datenanalysen“ genutzt werden, fiele zu unbestimmt aus. Hingegen fiele der Hinweis, dass „gespeicherte Navigationsdaten zur besseren Analyse des Verkehrsaufkommens“ genutzt werden, wohl hinreichend bestimmt aus. Welche genauen Analysemethoden hierbei verwendet werden, ist aufgrund des zulässigen Grades an Unvollständigkeit keine für die Bestimmtheit notwendige Angabe. Für die Wertung spricht, dass sich die genauen Analysemethoden auch verändern können, ohne dass sofort eine neue, rechtfertigungs­ bedürftige Datenverarbeitung zu sehen ist. Denn der Verarbeitungszweck verbleibt insoweit identisch.

c) Die Ausgestaltung bei datenfinanzierten Angeboten Für die Bewertung einer Einwilligung bei datenfinanzierten Angeboten bedeutet das Bestimmtheitsgebot zunächst, dass aus der Einwilligung folgende Angaben deutlich hervorgehen müssen: Der oder die Datenverarbeiter, die genauen personenbezogenen Daten sowie der Zweck der Verarbeitung. Gleichzeitig eröffnet das Erfordernis der hinreichenden Bestimmtheit ein gewisses Maß an Rechtsunsicherheit für datenfinanzierte Angebote, deren Datenverarbeitung über eine Einwilligung gerechtfertigt werden soll. Denn die Bewertung anhand des jeweiligen Einzelfalles führt für App-Anbieter häufig dazu, dass die Grenzen zwischen einer noch zulässigen und einer zu unbestimmt formulierten, pauschalen Einwilligung in die Datenverarbeitung fließend verlaufen.778 Die hinreichende Bestimmtheit einer Einwilligung lässt sich je nach Art der Datenverarbeitung innerhalb des datenfinanzierten Angebots unterschiedlich einfach erreichen, was schon im Rahmen des Zweckbindungsgrundsatzes dargestellt wurde.779 Eine Verarbeitung zur direkten Nutzung der App (Kategorie  I) lässt sich aufgrund des hierin liegenden Zwecks zumeist eindeutig darstellen. Auch der Zweck einer Speicherung und späteren Nutzung (Kategorie II) steht in der Regel bereits zum Erhebungszeitpunkt fest und muss insoweit auch innerhalb der Einwilligung hinreichend bestimmt wiedergegeben werden. Gleichwohl können häufig einzelne Verarbeitungszwecke bei einer Speicherung und ggf. Offenlegung noch nicht eindeutig feststehen, sollen die Daten etwa für eine noch nicht feststehende Optimierung der App genutzt werden. Hier lässt das Bestimmtheitserfordernis – wie dargestellt  – jedoch eine gewisse Flexibilität, solange der grundsätzliche Zweck der Verarbeitung feststeht. Bei einer Offenlegung der Daten innerhalb eines Konzerns (Kategorie  III a)  ist eine vorherige genaue Festlegung des Verarbeitungszwecks – ähnlich der internen Speicherung – häufig ebenfalls möglich, 778 Eine solche Grenze lässt sich nicht allgemeingültig bestimmen. Es scheiden sehr unbestimmte Verarbeitungszwecke wie die „Nutzung zu Werbezwecke“ oder „ergebnisoffene Datenanalysen“ wie oben bereits beschrieben jedenfalls aus. Zur Problematik des Datenumgangs im Allgemein Arning, K&R Beihefter 3/2015, 7 (10). 779 S. § 5 B. II. 3. b).

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

255

so dass auch hier dieser innerhalb der Einwilligung hinreichend bestimmt dargestellt werden kann. Schwieriger gestaltet sich die Umsetzung der Bestimmtheitsanforderungen bei der Offenlegung der Daten an externe Dritte (Kategorie III b). So muss für eine hinreichend bestimmte Einwilligung die Person des Empfängers erkennbar sein sowie dessen Nutzung zumindest in Ansätzen dargestellt werden. Häufig steht der Empfänger der Daten jedoch bei der Erhebung der Daten noch nicht fest und eine Weitergabe „an unsere Geschäftspartner“ erscheint vor dem Hintergrund der obigen Ausführungen nicht hinreichend bestimmt, wenn diese sich im Detail über die Einwilligungserklärung nicht erkennen lassen, zumal es auch zu einem Wechsel der Geschäftspartner kommen kann. Ferner kann der App-Anbieter gerade bei dem Dritten nur schwerlich dessen Verarbeitungszweck exakt bestimmen, was nach den vorliegenden Anforderungen an die Bestimmtheit jedoch zumindest abstrakt notwendig erscheint. Für den AppAnbieter wird eine – oftmals kommerzielle – Offenlegung an externe Dritte daher nur möglich, wenn bereits bei der Datenerhebung die Datennutzung des Dritten zumindest in Grundsätzen feststeht, so dass der App-Anbieter den Nutzer über dessen Datenverarbeitung unterrichten kann. Anderenfalls kann der App-Anbieter die Daten zwar offenlegen, deren Nutzung durch den Dritten bedürfte aber einer weiteren Einwilligung, so dass der Wert einer solchen Offenlegung in Frage stünde. 3. Die Informiertheit und Transparenz der Einwilligung Eine Einwilligung muss als weitere Voraussetzung in Art. 4 Nr. 11 DSGVO „in informierter Weise“ abgegeben werden. Da sich aus der Einwilligung die Rechtmäßigkeit der Datenverarbeitung ergibt, muss der betroffenen Person Umfang und Tragweite der Einwilligung deutlich werden.780 Sie muss also abschätzen können, welche Auswirkungen die Erteilung der Einwilligung für sie hat. Eine Einwilligung muss die Möglichkeit zur Kenntnisnahme der betroffenen Person schaffen und diese transparent über die Datenverarbeitung informieren. Die Einwilligung stellt also besondere Anforderung an Informiertheit und Transparenz, die das Transparenzgebot aus Art. 5 Abs. 1 lit. a) DSGVO ergänzen.781 Auch stehen die Anforderungen im engen Zusammenhang zum Bestimmtheitsgebot. Die hinreichende Bestimmtheit ermöglicht es dem Datenverarbeiter, die betroffene Person transparent über die Einwilligung zu informieren, so dass diese subjektiv die erforderliche Kenntnis über den Inhalt der Einwilligung erlangen kann.

780 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 57; Krohm, ZD 2016, 368 (373). 781 S. § 5 B. I. 2.

256

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

a) Die Möglichkeit zur Kenntnisnahme Zur Umsetzung von Informiertheit und Transparenz muss die betroffene Person den Inhalt der Erklärung zunächst in zumutbarer Weise zur Kenntnis nehmen können.782 Die Zumutbarkeit der Kenntnisnahme beurteilt sich vor allem nach dem Umfang, der Darstellung und der Verständlichkeit der Einwilligungserklärung. Hinsichtlich ihres Umfangs muss die Einwilligung von der betroffenen Person in zumutbarer Weise erfasst werden können. Eine überlange Erklärung mit Umfang von mehreren Seiten erscheint etwa nicht zumutbar, da sie die Kenntnisnahme der betroffenen Person unverhältnismäßig verkomplizieren würde. Im Hinblick auf die Art der Darstellung ist es notwendig, dass keine versteckten Hinweise, keine zu technisch oder unverständlich aufgebauten Textbausteine, undeutlichen Schriftarten oder bruchstückhafte Erklärungen mit mehreren Verweisstufen verwendet werden.783 Spezifisch für die Einwilligung auf elektronischem Weg muss gemäß Erwägungsgrund 32 S. 6 die Aufforderung zur Einwilligung im Übrigen ohne unnötige Unterbrechung des Dienstes, für dessen Datenverarbeitung die Einwilligung erteilt wird, und in klarer und knapper Form erfolgen. Die informierte Kenntnisnahme-Möglichkeit verlangt zugleich, dass die Erklärung für die betroffene Person selbst verständlich ist. Daraus resultiert die Notwendigkeit einer verständlichen Sprache – ohne fremdsprachliche oder unnötig fachspezifische Begriffe – im Erklärungstext und einer hinreichend spezifischen Beschreibung des Einwilligungsinhalts. Der gesamte Inhalt muss sich aus dem Einwilligungstext ergeben und zwar möglichst einfach und nicht verklausuliert.784 Maßstab für die Verständlichkeit sind dabei alle gewöhnlichen Adressaten der Erklärung, die die Erklärung beim Lesen vollumfänglich erfassen können müssen.785 Dies hat zur Folge, dass bei den allermeisten datenfinanzierten Angeboten, die sich via Vertrieb in einem App-Store an eine Vielzahl von verschiedenen Nutzern richten, das Verständnis eines gewöhnlichen Durchschnittsbürgers als Maßstab heranzuziehen ist. Eine zumutbare Möglichkeit der Kenntnisnahme muss auch bestehen, wenn sich die Einwilligung innerhalb einer Datenschutzerklärung befindet. Eine solche erteilt über die gesamte Datenverarbeitung – und damit über die Einwilligung hinaus auch über anderweitig gerechtfertigte Verarbeitungen – innerhalb von allgemeinen Geschäftsbedingungen Auskunft. Im Rahmen dieser Vielzahl an Informationen

782

Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  79; Klement, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 7 Rn. 72. 783 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art. 4 Rn. 80. Letzteres lässt sich auch bereits aus dem erforderlichen Umfang der Einwilligung herauslesen. 784 Tinnefeld / Conrad, ZD 2018, 391 (394). 785 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  81. Art. 29-Datenschutzgruppe, WP 259, Leitlinien in Bezug auf die Einwilligung, S. 16 stellt dabei allgemein auf das Sprach- und Verständnisniveau eines Durchschnittspersonen ab.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

257

muss der Inhalt der Einwilligung weiterhin kenntlich sein. Auf die Bewertung von Datenschutzerklärungen wird nachfolgend noch vertieft eingegangen.786 b) Transparenzanforderungen Neben der Möglichkeit zur Kenntnisnahme muss der Einwilligungstext hinreichend transparent ausfallen, die betroffene Person also verständlich über die Datenverarbeitung aufklären. Der betroffenen Person muss – inhaltlich ausgestaltet durch das Bestimmtheitsgebot – durch die Kenntnisnahme des Einwilligungstextes deutlich werden,787 – wer die Daten verarbeiten darf, – welche Daten verarbeitet werden, – zu welchem Zweck die Daten verarbeitet werden, – ob und an wen die Daten offengelegt werden und – wie lange die Verarbeitung bzw. Nutzung andauern wird. Dies ergibt sich auch aus Erwägungsgrund 42 S. 4, wonach die betroffene Person bei der Einwilligung mindestens wissen sollte, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden. Darüber hinaus muss die betroffene Person über ihr Widerrufsrecht sowie darüber, welche Folgen und möglichen Risiken sich aus einer Datenverarbeitung bzw. Offenlegung in Drittländern ergeben, informiert werden, vgl. Art. 7 Abs. 3 S. 3, 49 Abs. 1 lit. a) DSGVO. Es bedarf zudem eines deutlichen Hinweises im Einwilligungstext, dass die Abgabe auf freiwilliger Basis erfolgt.788 Einen Orientierungsrahmen über das notwendige Maß an Informationen einer als transparent anzusehenden Einwilligung könnten die Informationspflichten aus Art. 13, 14 DSGVO liefern.789 Nach diesen muss der Datenverarbeiter bei der Erhebung oder Erlangung von personenbezogenen Daten der betroffenen Person eine Vielzahl von Informationen verpflichtend preisgeben. Diese Anforderungen gehen über die obige Aufzählung weit hinaus. Daher stellen Verstöße gegen die Informationspflichten der Art. 13, 14 DSGVO nicht zwingend die Transparenz (und damit Wirksamkeit) der Einwilligung per se in Frage.790 Dies wird auch durch den Wort 786

S. § 6 B. III. Art. 29-Datenschutzgruppe, WP 259, Leitlinien in Bezug auf die Einwilligung, S. 15. 788 Schulz, in: Gola, DSGVO, Art. 7 Rn. 32. Zur Anforderung der Freiwilligkeit s. sogleich. 789 Vgl. hierzu § 5 B. I. 2. sowie vertiefend § 8 C. I. 790 Art. 29-Datenschutzgruppe, WP 259, Leitlinien in Bezug auf die Einwilligung, S. 15, 17; Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 59; Klement, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 73; Schulz, in: Gola, DSGVO, Art. 7 Rn. 36; a. A. Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 520, wonach es immer zumindest der Informationen gem. Art. 13 Abs. 1, 2 DSGVO bedarf. 787

258

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

laut von Erwägungsgrund 42 S. 4 gestützt, nach dem die betroffene Person „mindestens“ um die Verantwortlichkeit und die Zwecke der Verarbeitung wissen sollte. Der Unterschied erklärt sich gerade im digitalen Bereich dadurch, dass im Rahmen einer ausführlichen Datenschutzerklärung häufig über sämtliche Datenverarbeitungs-Vorgänge informiert wird, welche den Informationsanforderungen der Art. 13, 14 DSGVO genügen muss.791 Der Einwilligungstext fällt demgegenüber deutlich kürzer aus.792 c) Informiertheit und Transparenz bei datenfinanzierten Angeboten Vom App-Anbieter wird vor der Einwilligungserklärung des Nutzers sowohl eine transparente Darstellung der beabsichtigten Verarbeitung als auch die Gewährleistung der Kenntnisnahme-Möglichkeit durch den Nutzer verlangt. Die Notwendigkeit hinreichender Transparenz und Informiertheit wird insbesondere dadurch deutlich, dass in der Praxis enorme Informationslücken auf Seiten der Nutzer bestehen. So verlangen zahlreiche, zum Teil auch vielgenutzte und vermeintlich vertrauenswürdige Apps im Moment der Einwilligung Zugriffsrechte, welche weit über den Funktionsumfang der App hinaus gehen.793 Aufgrund der Informationspflichten muss der Nutzer  – in Fortführung des Bestimmtheitsgebots – über die einzelnen („App-spezifisch“) zum Teil äußerst komplexen Verarbeitungsvorgänge und deren Zweckrichtung transparent informiert werden, um von der eigenen informationellen Selbstbestimmung Gebrauch machen zu können.794 So ist über den Zugriff auf zahlreiche Sensoren eines Smartphones (GPS, NFC, Bluetooth, Kamera) sowie die Erhebung sensibler Informationen (Bankdaten, Passwörter, Zugänge zu Netzwerken) zu informieren, ebenso wie über die zum Teil stark variierende Datenverwendung – von der ggf. weitreichenden Verarbeitung bis zur Offenlegung der Daten.795 791 Nach wie vor muss der Datenverarbeiter also die Informationspflichten nach Art. 13 und 14 DSGVO erfüllen, nur sollte dies nicht im Rahmen des Einwilligungstextes geschehen. Vgl. Veil, NJW 2018, 3337 (3339). 792 Baumgartner, in: Baumgartner / Ewald, Apps und Recht, Rn. 231. In Zweifelsfällen, in denen die Transparenzanforderungen etwa aufgrund komplizierter Verarbeitungsvorgänge nicht eindeutig sind, können Art. 13, 14 DSGVO hinsichtlich des notwendigen Inhalts allerdings ein taugliches Indiz bilden. 793 Shoavi, Did you know that over 55 % of all mobile apps may still not be compatible with the new GDPR regulations?, SaveDK v. 30. 1. 2018, abrufbar unter: blog.safedk.com/sdkeconomy/gdpr-compliance-mobile-sdks-apps/; ebenso Buck / Germelmann / Eymann, Datenweitergabe als Bedrohung?, in: Schmidt-Kessel / Langehanke: Datenschutz als Verbraucherschutz, S. 49 (55). 794 Dieckhoff, Datenschutz und Smartphone-Nutzung im Konflikt, S. 284; Schulte, PinG 2017, 227 (229). 795 Baumgartner, in: Baumgartner / Ewald, Apps und Recht, Rn. 232; Buck / Germelmann /  Eymann, Datenweitergabe als Bedrohung?, in: Schmidt-Kessel / Langehanke: Datenschutz als Verbraucherschutz, S. 49 (56); Schöttle, DB 2018, 1197 (1197).

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

259

Viele datenfinanzierte Angebote haben allerdings einen relativ kleinen Funktionsbereich, weshalb Nutzer häufig eine Vielzahl von Apps verwenden. Dank ihrer Kostenfreiheit messen die Nutzer den Apps in der Regel eine eher geringe Bedeutung im Hinblick auf die Datenverwendung und den Datenschutz bei.796 Zwar stimmen die Nutzer in der Regel der weitreichenden Datenweitergabe zu, doch muss bezweifelt werden, dass die weitreichenden Folgen dieses Verhaltens tatsächlich abgeschätzt werden (können). Denn die Datenverarbeitungsvorgänge werden für die Nutzer zunehmend komplexer und damit auch undurchsichtiger. Nutzer verwenden Apps vorwiegend aufgrund ihres vermeintlich kostenlosen Mehrwerts, welcher die Bequemlichkeit im Alltag unterstützt. Aus diesem Grund werden die Berechtigung, die sich die Apps für die Verarbeitung einräumen lassen, allzu häufig vom Nutzer schlicht überlesen, „weggeklickt“ und in ihrer Eingriffsintensität schlicht unterschätzt.797 So zeigen Untersuchungen, dass viele Nutzer in die Datenverarbeitung von Apps einwilligen, die mehr Verarbeitungsberechtigungen als notwendig enthalten, ohne hiervon tatsächlich Kenntnis zu nehmen – obwohl Hinweise auf die Art der Datenverarbeitung bei der Einwilligung angezeigt werden.798 Diese Art der Bestätigung wird als „clicking-without-reading“ bezeichnet und verstärkt sich noch, wenn die Einwilligung Teil ein umfassenden Datenschutzerklärung ist.799 Diesbezüglich eröffnet sich ein entscheidender Widerspruch zwischen der Sicherstellung einer angemessenen Transparenz und der Erfüllung der Informationspflichten: Es muss zur Umsetzung der Informationspflichten über die zahlreichen Vorgänge komplexer Datenverarbeitungen informiert werden und gleichzeitig muss eine vom Umfang her tatsächlich zumutbarer Kenntnisnahme-Möglichkeit sichergestellt werden. Eine Durchdringung der technischen Gegebenheiten der zugrunde liegenden Datenverarbeitung kann vom Nutzer allerdings nicht verlangt werden, so dass hierüber grundsätzlich nicht zu informieren ist.800 Gerade wegen dieses Umstands bedarf es einer transparenten und verständlichen Information über die Verarbeitungsvorgänge selbst. Diese Information muss auch in einem zur Verständlichkeit notwendigen Umfang geschehen, da sich dem App-Anbieter durch die Einwilligung zum Teil weitreichende Einblicke in die Privatsphäre der Nutzer eröffnen. Dieser Informationsvorgang muss bereits durch die Einwilligung selbst stattfinden und kann nicht lediglich in eine umfangreichere Datenschutzerklärung verbannt werden. 796

S. hierzu § 2 B. II. 1. b) cc). Ewald, in: Baumgartner / Ewald, Apps und Recht, Rn. 24. 798 Zum problematischen Datenumgang verschiedener Apps  – v. a. Dating-Apps  – Süddeutsche Zeitung v. 23. 5. 2012, abrufbar unter: www.sueddeutsche.de/digital/schlechterdatenschutz-stiftung-warentest-warnt-vor-smartphone-apps-1.1365509: Stiftung Warentest v. 4. 4. 2018, abrufbar unter: www.test.de/Datensicherheit-bei-Dating-Apps-im-Test-5286506-0. 799 Arnold / Hillebrand / Waldburger, DuD 2015, 730 (730 ff.). Das Phänomen findet ansonsten vor allem bei Allgemeinen Geschäftsbedingungen statt. Zur Datenschutzerklärung s. § 6 B. III. 800 Buck / Germelmann / Eymann, Datenweitergabe als Bedrohung?, in: Schmidt-Kessel / Lange­ hanke: Datenschutz als Verbraucherschutz, S. 49 (56). 797

260

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Will der Anbieter von Navigations-App A die (ggf. kumulierten) Bewegungsprofile der Nutzer auf einem Datenmarkt anbieten, muss nach der Anforderung der Transparenz aus der Einwilligung folgendes hervorgehen: Es müssen die genau verarbeiteten Daten und insbesondere die Offenlegung aufgezeigt werden. Dem Nutzer muss die jeweilige Verarbeitung durch Anbieter A sowie den Dritten, der die Daten erhält und (ggf.) weiterverarbeitet, transparent gemacht werden. Auch müssen der genaue Zweck der Verarbeiter und die geplante Dauer der Verarbeitung dargestellt werden.

In diesem Beispiel zeigt sich, welche Informationen der App-Anbieter dem Nutzer zwingend in der Einwilligung aufzeigen muss. Daneben zeigt sich aber auch die Problematik einer solchen „transparenten“ Einwilligung, gerade wenn an der Verarbeitung mehrere Verarbeiter beteiligt sind. Denn der Nutzer darf auch nicht mit einer Fülle von Informationen „zugeschüttet“ werden, welche er im Zweifel aufgrund des Informationsüberschusses nicht zur Kenntnis nimmt. Eine leichtere und kürzere Formulierung der Informationen darf indes nicht zulasten der inhaltlichen Richtigkeit gehen. Bei solchen Angeboten besteht mithin ein abstraktes Spannungsverhältnis zwischen der Verständlichkeit über komplexe Verarbeitungsvorgänge, der Opportunitätshürde zur tatsächlichen Wahrnehmung des Inhalts und der Vollständigkeit der Informationen. Dies greift insoweit in besonderem Maße eine Transparenz-Problematik auf, die auch bei Einwilligungen in anderen Bereichen zwischen der Verständlichkeit und Vollständigkeit der Informationen besteht.801 Ob und wie sich dieses Spannungsverhältnis gegensätzlicher Informations- und Transparenzanforderungen auflösen lässt, soll nachfolgend im Kapitel über mögliche Verbesserungen der Transparenz datenfinanzierter Angebote näher erläutert werden.802 4. Die Freiwilligkeit der Einwilligung Die Einwilligung muss gem. Art. 4 Nr. 11 DSGVO freiwillig erfolgen. Das Konzept der Freiwilligkeit stellt ein wesentliches Fundament der Einwilligung dar, das sich bereits aus Art. 8 GRCh ableiten lässt.803 Aus grundrechtlicher Sicht muss die Einwilligung auf der freien Entscheidung der betroffenen Person beruhen. Der Normtext der DSGVO enthält keine Definition des Begriffs der Freiwilligkeit. Art. 7 Abs. 4 DSGVO nimmt lediglich eine Negativabgrenzung vor. Unter Berücksichtigung der – ebenfalls nicht eindeutigen – Erwägungsgründe 42, 43 ist unter der Freiwilligkeit eine freie Entscheidung ohne Zwang zu verstehen.804 Diese Wertung wird auch aus der englischen Sprachfassung von Art. 4 Nr. 11 DSGVO

801

Vgl. hierzu Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 74. Zur Rationalität einer solchen Entscheidung des Nutzers Hermstrüwer, JIPITEC 2017, 9 (17 f.). 802 S. § 8 C. 803 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 48; s. hierzu auch § 4 A. II. 2. 804 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 50.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

261

deutlich, die die Anforderung als „freely given“ betitelt. Generell formuliert, muss der betroffenen Person für das Vorliegen von Freiwilligkeit eine echte Wahl­ möglichkeit hinsichtlich der Verarbeitungsfragen des Ob, des Wie(viel) und der Frage, wem die Datenverarbeitung ermöglicht wird, offenstehen.805 Dem entspricht auch Erwägungsgrund 42 S. 5, der eine echte Wahlfreiheit betroffener Personen darüber verlangt, welche Daten sie preisgeben möchten. Eine betroffene Person muss in der Lage sein, die Einwilligung zu verweigern oder zurückzunehmen, ohne daraus Nachteile zu erleiden. Die Freiwilligkeit umfasst also auch die Möglichkeit des „Zurückziehens“ der Einwilligung, so dass auch eine spätere, konsequenzlose Widerrufsmöglichkeit der Einwilligung für die Freiwilligkeit ebenjener sprechen kann.806 Freiwilligkeit bedeutet indes nicht, dass der betroffenen Person nicht auch Nachteile aus einer fehlenden Einwilligung erwachsen können. Es hebt nicht jedweder, für den Fall einer Verweigerung der Einwilligung vom Datenverarbeiter in Aussicht gestellte Nachteil sofort die Freiwilligkeit dieser auf.807 Navigations-App A funktioniert in ihren Grundfunktionen auch ohne die Einwilligung zur Offenlegung der Daten. Sind bestimmte Zusatz-Features der App A allerdings nur nach einer Einwilligung in die Datenverarbeitung zugänglich, spricht dies nicht per se gegen die Freiwilligkeit. Gleichwohl könnte darin eine verbotene Kopplung der Einwilligung an eine Leistung liegen, die nachfolgen näher analysiert wird.

Bei fehlender Freiwilligkeit beruht eine Einwilligung zur Datenverarbeitung nicht mehr auf einem uneingeschränkt freien Willen der betroffenen Person. Rechtsfolge der Unfreiwilligkeit ist die Unwirksamkeit der Einwilligung und somit die Unzulässigkeit der Datenverarbeitung.808 Die Unfreiwilligkeit kann aus verschiedenen Umständen folgen. Das notwendige Maß an Freiwilligkeit kann in verschiedenen Situationen bedroht sein, die bei ihrem Vorliegen zu einer Unfreiwilligkeit der Einwilligung und damit zur Unwirksamkeit der Einwilligung führen. Zu den verschiedenen Konstellationen gehören Abhängigkeitsverhältnisse zwischen Datenverarbeiter und betroffener Person, eine Überrumpelungslage gegenüber der betroffenen Person, eine Kopplung der Einwilligung an eine Leistung des Datenverarbeiters sowie kartellähnliche Angebotslagen.809 Im Detail soll auf die Freiwilligkeit bei kartellrechtlichen Angebotslagen (a) sowie auf die Folgen der Kopplung der Einwilligung an eine Gegenleistung des Datenverarbeiters eingegangen (b) und die 805

Ernst, ZD 2017, 110 (111); ders., in: Paal / Pauly, DSGVO / BDSG, Art. 4 Rn. 69. Dies entspricht insoweit auch mit dem grundrechtlichen Verständnis der Freiwilligkeit. 806 Piltz, K&R 2016, 557 (562). 807 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 48; kritisch Art. 29-­ Datenschutzgruppe, WP 259, Leitlinien in Bezug auf die Einwilligung, S. 5 f. Hierzu sogleich vertiefend § 6 B. II. 4. b) bb). 808 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 61. 809 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  4 Rn.  71 ff.

262

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Freiwilligkeit der Einwilligung im Hinblick auf datenfinanzierte Angebote untersucht werden (c).810 a) Kartellähnliche Angebotslagen Eine Situation, in der die Freiwilligkeit der Einwilligung in Frage steht, sind kartellähnliche Angebotslagen. Setzt ein Datenverarbeiter, der – etwa mit seiner angebotenen App – eine marktbeherrschende Stellung i. S. d. Art. 102 AEUV innehat, als Bedingung für die Inanspruchnahme der eigenen Leistungen die Zustimmung zu einer umfassenden Verwendung personenbezogener Daten voraus, steht die Freiwilligkeit der Einwilligung in hohem Maße infrage. Insbesondere erfolgt die Erteilung einer Einwilligung in solchen Fällen nicht freiwillig, in denen der Datenverarbeiter kumulativ eine monopolartige Stellung einnimmt bzw. sich die Nutzung des Angebots eines Wettbewerbers als unzumutbar / unmöglich darstellt und die betroffene Person darüber hinaus hierdurch einen spürbaren Nachteil erleidet.811 Es muss also ein zumutbarer (alternativer) Zugang zu einer gleichwertigen vertraglichen Leistung bestehen, d. h. ein Zugang der ohne Einwilligung in die Datenverarbeitung durch einen bestimmten Anbieter auskommt.812 Ob die Nutzung eines alternativen Angebots als zumutbar oder unzumutbar zu werten ist, hängt maßgeblich von der Ausgestaltung der konkurrierenden Angebote und damit vom Einzelfall ab. Im Sonderfall von monetär kostenfreier Angebote, die als Gegenleistung für ihre Nutzung die Einwilligung in die Datenerarbeitung durch die betroffene Person verlangen, besteht für die betroffene Person in der Regel dann eine zumutbare Alternative, wenn das konkurrierende Angebot gegen ein angemessenes Entgelt, dafür aber ohne Datenverarbeitung verfügbar ist.813 Es ergeben sich in solchen Situationen für das kostenfreie Angebot allerdings Probleme mit dem Koppelungsverbot gemäß Art. 7 Abs. 4 DSGVO, welches nachfolgend erörtert wird. Bei datenfinanzierten Angeboten steht diese Thematik gerade bei sozialen Netzwerken und Kommunikationsdiensten zur Diskussion, wo einzelne Anbieter durchaus über monopolartige Stellungen verfügen können.814 Bei einer solchen 810 Abhängigkeitslagen, die insb. zwischen Arbeitgeber und Arbeitnehmer und im Rahmen von Einwilligungsaufforderungen von Behörden entstehen, sowie die Überrumpelungssitua­ tionen sind bei datenfinanzierten Angeboten allerdings schwer vorstellbar. Daher wird auf eine nähere Darstellung dieser Situationen verzichtet. 811 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 504. 812 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  61. 813 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 507. 814 Vgl. etwa BKartA, Beschl. v. 6. 2. 2019 – B6-22/16. Im diesbezüglichen Verfahren gegen Facebook hat das BKartA festgestellt, dass bei der Registrierung für ein soziales Netzwerk die abzugebende Zustimmung nicht „freiwillig“ i. S. d. Art. 6 Abs. 1 UAbs. 1 lit. a); 7 DSGVO sei. Zu monopolartigen App-Anbietern vertiefend Dieckhoff, Datenschutz und SmartphoneNutzung im Konflikt, S. 306 ff.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

263

Marktposition kommt es darauf an, ob zusätzlich ein faktischer Zwang  – etwa durch Netzwerkeffekte – zur Nutzung der App besteht und insoweit kein Weg an einer Datenpreisgabe mittels Einwilligung vorbeiführt.815 Allerdings soll im Rahmen dieser Arbeit ohnehin nicht auf spezielle Apps eingegangen werden, unabhängig davon, ob diese eine marktbeherrschende Stellung innehaben. Vielmehr soll losgelöst von einzelnen Anbietern abstrakt für alle datenfinanzierten Angebote untersucht werden, inwieweit sich ihre Geschäftsmodelle mit dem aktuellen Datenschutzregime vereinbaren lassen.816 b) Die Kopplung der Einwilligung Die für diese Arbeit bedeutsamste Situation, bei der die Freiwilligkeit in Frage steht, liegt in einer Kopplung der Einwilligung an eine versprochene Leistung. Anders als bei den bereits beschriebenen Situationen, steht im Kontext datenfinanzierter Apps die Freiwilligkeit der Einwilligung häufig in Frage, wenn der Nutzer eine App ausschließlich dann in Anspruch nehmen kann, wenn er in die Verarbeitung seiner Daten einwilligt. In solchen Fällen kann die Kopplung der Einwilligung an eine Leistung des Datenverarbeiters zum Fehlen der Freiwilligkeit und folglich zur Unzulässigkeit der Datenverarbeitung führen. Die Unfreiwilligkeit aufgrund einer Kopplung steht dort im Raum, wo die Erfüllung einer Leistung durch den Datenverarbeiter verpflichtend an die Erteilung einer Einwilligung durch die betroffene Person geknüpft wird. In solchen Fällen besteht die Gefahr, dass die Datenpreisgabe nicht mehr auf der freien Entscheidung der betroffenen Person beruht. Um diese Form der Unfreiwilligkeit zu verhindern, hat sich im datenschutzrechtlichen Kontext das sog. Kopplungsverbot entwickelt, welches die freie und eigenständige Willensbetätigung der betroffenen Person bei der Einwilligung schützen und so die Entstehung eines faktischen Zwangs zur Einwilligung verhindern soll.817 Übersteigt die von der Einwilligung umfasste Datenverarbeitung hingegen nicht die notwendige Datenverarbeitung zur Vertragserfüllung, kann die Verarbeitung ohnehin über Art. 6 Abs. 1. UAbs. 1 lit. b) DSGVO ohne Einwilligung gerechtfertigt werden. In diesem Fall wird diese legitime Art der Datenverarbeitung auch 815

Das BKartA, stützte seine Wertung im Verfahren gegen Facebook darauf, dass bei einem Nutzeranteil von mehr als 90 % ein „klares Ungleichgewicht“ gegenüber den Nutzern bestehe und die direkten Netzwerkeffekte das Ausweichen auf andere Dienste verhindern, vgl. Beschl. v. 6. 2. 2019 – B6-22/16, Rn. 646. Kritisch hinsichtlich eines solchen „Zwangs“ bei der Nutzung von Apps Dieckhoff, Datenschutz und Smartphone-Nutzung im Konflikt, S. 303, 309 f.; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  63. 816 S. zur Eingrenzung des Untersuchungsrahmens § 2 B. III. 3. Ob u. U. das Wettbewerbsrecht geeignet ist, um datenschutzrechtliche Probleme zu lösen, wird nachfolgend in gebotener Kürze erörtert, vgl. § 8 A. II. 1. c). 817 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 94.

264

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

bei der Rechtfertigung über eine Einwilligung, die diesen Teil der Verarbeitung für notwendig erklärt, nicht vom Kopplungsverbot berührt.818 Das Kopplungsverbot ist innerhalb der DSGVO in Art. 7 Abs. 4 DSGVO verankert und wird durch Erwägungsgrund 43 S. 2 ergänzt. Es beinhaltet eine vertikale Komponente, die sich aus Art. 7 Abs. 4 DSGVO ergibt, sowie eine sich aus Erwägungsgrund 43 S. 2 Hs. 1 ergebende horizontale Komponente.819 Diese beiden Arten der Kopplung und ihre Bedeutung für die Arbeit sollen nachfolgend dargestellt werden. aa) Das horizontale Kopplungsverbot Das Kopplungsverbot umfasst in seiner horizontalen Komponente die Kopplung mehrerer Einwilligungen, die nebeneinanderstehen und miteinander kombiniert werden. Durch eine solche Kopplung kann die betroffene Person die Datenverarbeitung nur in Gänze bewilligen oder ablehnen. Gemäß Erwägungsgrund 43 S. 2 Hs. 1 ist an der Freiwilligkeit zu zweifeln, wenn verschiedene Verarbeitungsvorgänge von personenbezogenen Daten gekoppelt werden und für diese nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht wäre. Wann es zur gesonderten Erteilung von Einwilligungen für verschiedene Datenverarbeitungen kommen muss, wird in der DSGVO oder den Erwägungsgründen nicht näher ausgeführt. Erwägungsgrund 43 legt allerdings nahe, dass das Fehlen der Freiwilligkeit in Fällen zu vermuten ist, in denen eine getrennte Einwilligungsmöglichkeit in verschiedene Datenverarbeitungsvorgänge nicht möglich ist, obwohl dies im konkreten Kontext angebracht wäre. Eine solche Situation könnte etwa bei Verarbeitungen vorliegen, die unabhängig voneinander ablaufen und deren Zweck ebenfalls vollkommen voneinander abweicht, die aber dennoch innerhalb derselben Einwilligung legitimiert werden sollen. Die Trennung verschiedener Verarbeitungsvorgänge auf unterschiedliche Einwilligung bedeutet gleichfalls nicht, dass bei einer aus mehreren Verarbeitungsschritten bestehende Datenverarbeitung für jeden Verarbeitungsschritt gesondert eine Einwilligung zu erfolgen hat. Die Einwilligung muss gerade nicht künstlich aufgespaltet werden, vielmehr kann auch eine Einwilligung für mehrere Verarbeitungsschritte eingeholt werden, sofern diese in einem logischen oder natürlichen Zusammenhang stehen.820 In der Praxis sollte vor allem bei komplexen Globaleinwilligungen, die die betroffene Person nur als Ganzes akzeptieren kann, näher geprüft werden, ob eine Aufspaltung der Einwilligung sinnvoll möglich gewesen wäre.821 Bei Apps ist vor 818

Piltz, K&R 2016, 557 (562). Krohm / Müller-Peltzer, ZD 2017, 551 (552). 820 Ähnlich Piltz, K&R 2016, 557 (562); Schulz, in: Gola, DSGVO, Art. 7 Rn. 25. 821 Schantz, NJW 2016, 1841 (1845) geht davon aus, dass solche Globaleinwilligung aufgrund der Regelung zukünftig komplett verschwinden werden. 819

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

265

allem zu beachten, dass nicht mittels einer pauschalen Einwilligung der Datenverarbeitung zugestimmt werden kann, obwohl gesonderte Einwilligungen für einzelne Vorgänge angebracht wären.822 Bedarf es bei Navigations-App A für unterschiedliche Features der App unterschiedlicher Arten der Datenverarbeitung, die in keinem kausalen Zusammenhang zueinanderstehen und auch nicht bereits über Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO zu rechtfertigen sind, so sollte für jedes der unterschiedlichen Features auch eine gesonderte Einwilligung vom Nutzer verlangt werden. Nötig wäre etwa eine Einwilligung hinsichtlich des Features, das die Anlegung von favorisierten Orten für den Nutzer ermöglicht und hierfür die Speicherung der Navigationsdaten verlangt, und eine Zusätzliche für die Funktion, die dem Nutzer aufgrund der Speicherung seiner bisherigen Präferenzen Vorschläge für ähnliche Orte liefert.

bb) Das vertikale Kopplungsverbot Das bedeutsamere vertikale Kopplungsverbot wird direkt in Art. 7 Abs. 4 DSGVO normiert. Danach muss bei der Beurteilung der Freiwilligkeit der Einwilligung „dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ Es bezieht sich also auf die „vertikale“ Kopplung einer einzelnen Einwilligung an eine bestimmte (Gegen-)Leistung. Inhaltlich ist in solchen Fällen an der Freiwilligkeit der Einwilligung zu zweifeln, wenn der Datenverarbeiter die Erfüllung der eigenen Vertragsleistung davon abhängig macht, ob die betroffene Person dafür in eine nicht zwingend erforderliche Datenverarbeitung einwilligt.823 Kommt es zu einer solchen Kopplung kann es gem. Art. 7 Abs. 4 DSGVO an der Freiwilligkeit fehlen, wenn im Einzelfall nicht besondere Umstände für die Freiwilligkeit der Einwilligung sprechen, etwa weil die Datenverarbeitung für die Vertragserfüllung zwingend erforderlich ist.824 Das Kopplungsverbot schafft also eine für die Einwilligung allgemein gültige Einschränkung, die im Rahmen der materiellen Anforderung der Freiwilligkeit zu untersuchen und zu berücksichtigen ist. Das Kopplungsverbot umfasst entgegen dem deutschen Wortlaut nicht allein die Vertragserfüllung, sondern auch den Vertragsschluss. Dies wird aus dem Sinn und Zweck der Regelung, jedwede Kopplung des Vertrags an eine Datenverarbeitung zu verhindern, sowie der offeneren englischen Sprachfassung „performance of a 822

Schöttle, DB 2018, 1197 (1199). Vgl. DSGVO ErwG 43 S. 2 Hs. 2. So auch das österreichische ÖOGH, Urt. v. 31. 8. 2018 – 6 Ob 140/18h = ZD 2019, 72 (73). Ferner Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 94; Ziegelhorn / von Heckel, NVwZ 2016, 1585 (1587). 824 ÖOGH, Urt. v. 31. 8. 2018 – 6 Ob 140/18h = ZD 2019, 72 (73); Piltz, K&R 2016, 557 (562). Bei einer erforderlichen Datenverarbeitung wäre eine Datenverarbeitung aber wohl ohnehin über Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO möglich. 823

266

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

contract“ deutlich.825 Umfasst wird also sowohl eine Kopplung der Einwilligung in die Datenverarbeitung an den Vertragsschluss – im Sinne dieser Arbeit kommt es zum Vertragsschluss in der Regel beim Herunterladen der App826 – sowie die Kopplung der Einwilligung an eine Vertragsleistung des Datenverarbeiters, vorliegend also die durch den App-Anbieter bereitgestellte Nutzungsmöglichkeit einer App für den Nutzer. (1) Die Ablehnung eines absoluten Kopplungsverbots Bei der Analyse des Kopplungsverbots ist zunächst festzustellen, dass sich aus Art. 7 Abs. 4 DSGVO kein „absolutes“ Kopplungsverbot ergibt.827 Durch das Abstellen auf die Erforderlichkeit zur Vertragserfüllung eröffnet der Wortlaut von Art. 7 Abs. 4 DSGVO bereits einen Ausschluss des Kopplungsverbots. Dieses besteht für Fälle, bei denen die Datenverarbeitung für die Eingehung bzw. Erfüllung des Vertrags zwingend erforderlich ist. Die Regelung zielt also auf Einwilligungserklärungen, die nicht die Datenverarbeitung zur Vertragsdurchführung legitimieren, sondern hierüber hinausgehende, vom Vertragszweck unabhängige Verarbeitungen ermöglichen sollen.828 In den für den Vertragsschluss bzw. die Vertragserfüllung erforderlichen Fällen kann es also durchaus zur Kopplung der Einwilligung an eine Gegenleistung kommen. Der Wortlaut von Art. 7 Abs. 4 DSGVO lässt bei der Kopplung zudem weiteren Gestaltungsspielraum. Denn im Rahmen der Beurteilung, ob eine Einwilligung freiwillig abgegeben wurde, muss dem Verbot der Kopplung nicht vollständig, sondern nur „in größtmöglichem Umfang“ Rechnung getragen werden. Ob eine Einwilligung trotz Kopplung als freiwillig und mithin rechtmäßig einzustufen ist, hängt entscheidend davon ab, ob dadurch eine über das für die Vertragserfüllung zwingend erforderliche Maß hinausgehende Datenverarbeitung legitimiert werden soll und ob für die Kopplung besondere Gründe sprechen, die nachfolgend eruiert werden sollen. Die nicht absolute Geltung des Kopplungsverbots wird auch historisch durch den Vergleich der verschiedenen Entwurfsversionen der DSGVO deutlich. So wurde der schlussendlich verabschiedete Normtext von Art. 7 Abs. 4 DSGVO im Vergleich zur Entwurfsfassung des EU-Parlaments deutlich abgeschwächt und sieht nun die Einschränkung der Beachtung in nur größtmöglichem Umfang vor,

825

Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  57; Schulz, in: Gola, DSGVO, Art. 7 Rn. 24. 826 S. vertiefend § 3 A. II. 827 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 46; Klement, in: ­Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  58; Schulz, in: Gola, DSGVO, Art. 7 Rn. 26. 828 Krohm / Müller-Peltzer, ZD 2017, 551 (552).

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

267

die in der Entwurfsfassung noch nicht enthalten war.829 Damit gewährleistet die DSGVO das Kopplungsverbot nicht absolut oder vollumfassend. Es verleiht der Einwilligung aber gerade durch die Einschränkungen mehr Praxisnähe und erhöht die Legitimationswirkung der Einwilligung.830 (2) Die Reichweite des vertikalen Kopplungsverbots Durch die Einschränkungen in Art. 7 Abs. 4 DSGVO, die eine Kopplung bei der Erforderlichkeit für die Vertragsleistung zulassen und bei denen die Verhinderung der Kopplung nur in größtmöglichem Maße zu beachten ist, stellt sich die Frage nach der letztendlichen Reichweite des Kopplungsverbots. Die genaue Reichweite bzw. der Maßstab, bei denen eine Kopplung aufgrund der Erforderlichkeit der Datenverarbeitung zulässig ist, lässt sich aus Art. 7 Abs. 4 DSGVO jedoch nicht entnehmen. Das Kopplungsverbot ist insoweit auslegungsbedürftig. Ausgangspunkt der Auslegung ist neben dem Wortlaut von Art. 7 Abs. 4 DSGVO dessen Sinn und Zweck. Dieser besteht darin, das Selbstbestimmungsrecht der betroffenen Person zu gewährleisten. Mit dem Kopplungsverbot soll verhindert werden, dass eine vertragliche Leistung – also Vertragsschluss oder -erfüllung – zuungunsten der betroffenen Person zwingend an deren dem Sinn nach freie Einwilligung zur Datenverarbeitung gekoppelt und die Einwilligung de facto aufgezwungen wird. Ein sehr schwach ausgestaltetes Kopplungsverbot hat das Risiko, seine Zielrichtung  – die Verhinderung einer zwangsweisen Datenpreisgabe aufgrund der verpflichtenden Kopplung an die Gegenleistung – in der Praxis zu verfehlen. Demgegenüber birgt ein sehr weitgehendes Koppelungsverbot vor allem die Gefahr, die informationelle Selbstbestimmung der betroffenen Person sowie die Rechte des Datenverarbeiters mehr als erforderlich einzuschränken.831 Um die durch die Freiwilligkeit der Einwilligung garantierte Selbstbestimmung zu schützen, lässt sich für ein sehr striktes Kopplungsverbot argumentieren. Demnach ließen sich lediglich die tatsächlich zur Datenverarbeitung erforderlichen Daten mit einer Einwilligung der betroffenen Person koppeln. Eine solch strikte Auslegung würde den Grundsatz der Datensparsamkeit fördern, da bei der Einwilligung nun stets das Merkmal der Erforderlichkeit zu beachten wäre und „unnötige“ Datenverarbeitungen unterbunden würden. Ein Datenverarbeiter müsste insoweit streng überprüfen, welche Daten für die Erfüllung des Vertrags benötigt werden und könnte sonstige Daten nur fakultativ anfordern.832 Für eine strikte Auslegung des Kopplungsverbots spricht ebenfalls der Wortlaut von Erwägungsgrund 43 S. 2 Hs. 2, nach dem das Kopplungsverbot in allen Fällen greift, in denen 829

Vgl. Art. 7 Abs. 4(b) DSGVO-E 2012/0011(COD) v. 16. 1. 2013. Buchner / Kühling, DuD 2017, 544 (546). 831 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 500. 832 Ziegelhorn / von Heckel, NVwZ 2016, 1585 (1587). 830

268

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

die Einwilligung für die Erfüllung des Vertrags „nicht erforderlich ist“. Es werden gerade keine Einschränkungen genannt, in denen eine Kopplung in Einzelfällen über die erforderliche Verarbeitung hinausgehend zulässig wäre. Der zu Art. 7 Abs. 4 DSGVO ergänzend ergangene Erwägungsgrund 43 wiederholt darüber hinaus nicht die in Art. 7 Abs. 4 DSGVO genannte Einschränkung, nach der eine Beachtung des Kopplungsverbots lediglich „in größtmöglichen Umfang“ stattzufinden hat. Somit könnte man zu dem Schluss gelangen, die Vorschrift im Lichte des Erwägungsgrunds restriktiv auszulegen und keine weiteren Ausnahmen vom Kopplungsverbot zulassen.833 Diesen Argumenten für eine strikte bzw. restriktive Auslegung steht allerdings der eindeutige Wortlaut von Art. 7 Abs. 4 DSGVO entgegen, nach welchem die Verknüpfung von Leistungserbringung und Einwilligung nur in größtmöglichen Umfang Rechnung zu tragen ist. Diese Norm im Verordnungstext hat Gesetzeswirkung und damit Vorrang gegenüber etwaig entgegenstehenden Formulierungen in Erwägungsgrund 43 S. 2 Hs. 2. Sie kann durch die Erwägungsgründe nicht grundsätzlich in Frage gestellt oder im materiellen Gehalt geändert werden.834 Es spricht vieles dafür, Erwägungsgrund 43 S. 2 Hs. 2 als Redaktionsversehen anzusehen, der sich noch auf die frühere (striktere) Version des Art. 7 Abs. 4 in der Entwurfsfassung der DSGVO bezieht. Die Änderung des Normtextes hin zu zusätzlichen Ausnahmen spricht insoweit auch historisch gegen eine strikte Auslegung. Gegen eine an Erwägungsgrund 43 S. 2 Hs. 2 angelehnte, strikte Auslegung des Kopplungsverbots spricht ferner, dass hierdurch kaum noch Spielraum für die Einwilligung gelassen würde. Soweit eine Datenverarbeitung für die Erfüllung des Vertrags erforderlich ist, lässt sich diese bereits ohne Willensbekundung der betroffenen Person über Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO rechtfertigen.835 Der Einwilligung käme zur Legitimierung von Datenverarbeitungen beim Vertragsschluss also nur noch eine geringe Bedeutung zu, was im Gegensatz zu ihrer ausdrücklichen Nennung in Art. 8 Abs. 2 S. 1 GRCh steht.836 Die Betrachtung sowohl der Interessen der betroffenen Person wie auch des Datenverarbeiters sprechen ebenfalls gegen ein zu strenges Kopplungsverbot. Zunächst findet ein massiver Eingriff in die Grundrechte und Grundfreiheiten des

833 So etwa Dieckhoff, Datenschutz und Smartphone-Nutzung im Konflikt, S. 338 f., die aus Art. 7 Abs. 4 DSGVO i. V. m. ErwG 43 S. 2 eine Vermutungswirkung der Unfreiwilligkeit bei jedweder Kopplung herleitet, die vom verantwortlichen Datenverarbeiter zu widerlegen ist. Aufgrund des Wortlauts „größtmöglichen Umfangs“ geht auch Dammann ZD 2016, 307 (311) demgegenüber von einem strikten Kopplungsverbot aus. 834 Laut EuGH können Erwägungsgründe zwar Aufschluss über die Auslegung einer Norm zu geben, können jedoch nicht selbst eine solche Vorschrift darstellen, vgl. EuGH, Urt. v. 13. 7. 1989, Rs. 215/88, Rn. 31 – Casa Fleischhandel. Vertiefend zur Problematik Gola, K&R 2017, 145 (147). 835 S. hierzu bereits § 6 A. I. 836 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  58.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

269

Datenverarbeiters statt, da es ihm nicht mehr offensteht, Leistungen in irgendeiner Art an die Datenpreisgabe zu koppeln. Dies greift weitgehend in seine wirtschaftliche Betätigungsfreiheit ein, die in der DSGVO über die unternehmerische Freiheit ausdrücklich geschützt wird.837 Ein striktes Kopplungsverbot griffe aber auch in die Rechte der betroffenen Person ein. Es würde einvernehmliche Lösungen selbst für Fälle ausschließen, in denen die Einwilligung zwar an eine andere Leistung gekoppelt ist, jedoch auf einer vollkommen freien Willensbildung der betroffenen Person beruht.838 In solchen Fällen über die Annahme oder Ablehnung eines Angebots entscheiden zu können, stellt für die betroffene Person einen maßgeblichen Ausdruck der grundrechtlich gewährleisteten Privatautonomie dar.839 Dies wird auch durch Erwägungsgrund 42 S. 5 DSGVO gestützt, nach dem die Verweigerung einer Einwilligung nicht zu „Nachteilen“ für die betroffene Person führen darf. Die Entscheidung über die Annahme oder Ablehnung eines Vertragsangebots – bzw. hier der Einwilligung in eine vermeintlich gekoppelte Einwilligung – ist gerade Ausdruck der Privatautonomie. Bestehen keine kartellähnlichen Angebotslagen, so ist bei einer frei verfügbaren Leistung in der Regel kein grundsätzliches, die Freiwilligkeit der Einwilligung einschränkendes Ungleichgewicht zwischen betroffener Person und Datenverarbeiter erkennbar.840 Auch soll die Verhinderung von Kopplungstat­ beständen nicht paternalistisch dazu führen, dass die Parteien lediglich aus objektiver Sicht „sinnvolle“, d. h. vermeintlich Daten schützende, Entscheidungen treffen; es soll vielmehr vor asymmetrischen Verhandlungssituationen geschützt werden, bei denen aufgrund eines tatsächlichen oder faktischen Zwanges eine Ablehnung der Einwilligung nicht oder kaum noch in Betracht kommt.841 Ein grundsätzliches Verbot, nicht frei über die eigene Datenpreisgabe entscheiden zu können, stellte zugleich einen weitgehenden Eingriff in die informationelle Selbstbestimmung der betroffenen Person dar, die durch das Kopplungsverbot dem Sinn nach eigentlich gewährleistet werden soll. Der einzelnen betroffenen Person muss es zumindest in einem gewissen Rahmen freistehen, selbstbestimmt zu entscheiden, welche Verarbeitung ihrer personenbezogenen Daten sie für sinnvoll erachtet.842 Zusammenfassend kann das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO bei zu strikter Auslegung einen Eingriff in die Grundrechte beider Seiten darstellen

837

Vgl. DSGVO ErwG 4; s. hierzu auch § 4 A. III. 2. Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 515. 839 Engeler, ZD 2018, 55 (56); Schulz, in: Gola, DSGVO, Art. 7 Rn. 29. In der GRCh schützt Art. 7 insoweit zumindest die persönliche Autonomie der betroffenen Person, vgl. Bernsdorff, in: Meyer / Hölscheidt, GRCh, Art. 7 Rn. 15; Jarass, GRCh, Art. 7 Rn. 13 f. 840 Gola, K&R 2017, 145 (147). 841 Zum Paternalismus nachfolgend § 8 A. II. 1. a)  sowie ausführlich Klement, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 58 ff. 842 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  59. 838

270

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

und bedarf dementsprechend einer Rechtfertigung, im Rahmen derer dem Verhältnismäßigkeitsprinzip Rechnung zu tragen ist.843 Die Annahme eines strikten Kopplungsverbots ermöglicht aus den dargestellten Gründen diese notwendige Interessenabwägung nicht und müsste insoweit wohl als mit höherrangigem Recht unvereinbar bewertet werden. (3) Das verhältnismäßige Maß des Kopplungsverbots Im Ergebnis erscheint es überzeugender, von einem weniger restriktiven Kopplungsverbot auszugehen, bei dem im Einzelfall die divergierenden Interessen der beteiligten Akteure im Rahmen einer Güterabwägung zu berücksichtigen sind.844 Hierdurch kann festgestellt werden, ob die Kopplung einer Leistung an eine Einwilligung zur Datenverarbeitung noch als freiwillige Entscheidung zu beurteilen ist oder nicht. Wenig sinnvoll erscheint es, jede Einwilligung in ein austauschähnliches Vertragsverhältnis, welches aus Sicht der betroffenen Person mit gewissem Entscheidungsdruck zur Preisgabe von Daten als Gegenleistung für die Nutzung des Dienstes auffordert, per se als unfreiwillig einzustufen.845 Um die Reichweite eines verhältnismäßigen Kopplungsverbots zu bestimmen, ist in Anlehnung an Erwägungsgrund 42 S. 5 DSGVO im Einzelfall zu prüfen, unter welchen Umständen die Kopplung einer Gegenleistung an die Einwilligung eine freie Entscheidungsfindung ausschließt. Vertragliche Beziehungen, die auf der Kopplung der Leistungserbringung an eine Einwilligung beruhen, müssen dahingehend geprüft werden, ob und inwieweit ihre Ausgestaltung dem Selbstbestimmungsrecht des Betroffenen hinreichend Rechnung trägt.846 Hierfür spricht auch die Formulierung in Art. 7 Abs. 4 DSGVO zur Beachtung in größtmöglichem Umfang, wodurch eine Verknüpfung von Leistung und Einwilligung bei der Beurteilung der Freiwilligkeit zwingend, also in jedem Einzelfall beachtet werden muss. Gleichzeitig schließt diese Formulierung eine Kopplung von Datenverarbei-

843

Ebenso Schulz, in: Gola, DSGVO, Art. 7 Rn. 27; Buchner / Kühling., in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 54; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 59. 844 Zustimmend Bender, Die Freiwilligkeit der datenschutzrechtlichen Einwilligung bei unentgeltichen Dienstleistungen im Internet, S. 53; Buchner, DuD 2016, 155 (158 f.); Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 95; Klement, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 7 Rn. 58 ff.; Schantz, NJW 2016, 1841 (1845); ders., in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 515; Veil, NJW 2018, 3337 (3340). I. E. übereinstimmend Bunnenberg, Privates Datenschutzrecht, S. 79 ff., nach dem die Beurteilung der Kopplung von der „Zweckangemessenheit“ der jeweiligen konkreten Zusammenhänge abhänge. Zu einem strikten Kopplungsverbot tendieren Art. 29-Datenschutzgruppe, WP 259, S. 10; Dammann, ZD 2016, 307 (311); Dieckhoff, Datenschutz und Smartphone-Nutzung im Konflikt, S. 338 f. 845 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  61. 846 Kugelmann, DuD 2016, 566 (569).

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

271

tung und Leistung nicht grundsätzlich aus.847 Das Kopplungsverbot greift aber jedenfalls dort, wo die (gekoppelte) Einwilligung eine von dem Vertragsverhältnis völlig losgelöste, nicht transparente oder sachwidrige Datenverarbeitung legitimieren soll.848 cc) Das Kopplungsverbot im Austauschverhältnis Daten gegen Leistung Betrachtet man die abstrakten Überlegungen zur Reichweite des Kopplungsverbots, bleibt im Detail weiterhin die Frage offen, ob bei dem Geschäftsmodell „Daten gegen Dienstleistung“ datenfinanzierter Angebote eine freiwillige Einwilligung im Sinne der DSGVO vorliegt oder ob hier das Kopplungsverbot greift und die Bindung der digitalen Leistungserbringung an die Datenpreisgabe mithin zu einer nicht mehr freiwilligen Einwilligung führt. Hierzu wird zum Teil vertreten, dass die von der Datenpreisgabe abhängig gemachte Leistungserbringung nicht mit dem Kopplungsverbot vereinbar ist.849 Bunnenberg sieht – entgegen der hier vertretenen Argumentation – schon keine gesetzlichen Anhaltspunkte für die Möglichkeit einer solchen gekoppelten Datenpreisgabe und hält diese auch nicht zur Wahrung schützenswerter Interessen geboten.850 Diese Wertung wird ferner mit dem einheitlichen Verständnis der Erforderlichkeit der Datenpreisgabe in Art. 6 Abs. 1 UAbs. 1 lit. b) und in Art. 7 Abs. 4 DSGVO begründet851: So könne im Rahmen von Art. 7 Abs. 4 DSGVO die Einwilligung nicht als erforderlicher Teil eines größeren Austauschverhältnisses im Vertrag gesehen werden, bei dem die bewilligte Datenpreisgabe als eine für die Vertragserfüllung erforderliche Gegenleistung verortet wird. Vielmehr komme es wie bei der Wertung von Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO einzig darauf an, ob die Datenverarbeitung tatsächlich für die Vertragsleistung erforderlich sei. Eine großzügigere Bewertung der Erforderlichkeit in Art. 7 Abs. 4 DSGVO eröffne die Gefahr, dass das Kopplungsverbot durch geschickte Vertragsgestaltung vollständig umgangen werden könnte. Nach dieser Ansicht könne die Datenpreisgabe im Vertrag ansonsten „immer“ als Gegenleistung deklariert werden, wodurch das Kopplungsverbot leerliefe.852

847

Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  58. Schulz, in: Gola, DSGVO, Art. 7 Rn. 28. 849 Bunnenberg, Privates Datenschutzrecht, S. 258; Golland, MMR 2018, 130 (131 f.); ohne vertiefte Begründung zustimmend Ernst, ZD 2017, 110 (112); Dammann ZD 2016, 307 (311) steht dieser Konsequenz zumindest positiv gegenüber. 850 Seine Wertung beruht darauf, dass er die Datenpreisgabe ganz generell nicht als Hauptleistungspflicht des Nutzers verortet, vgl. Bunnenberg, Privates Datenschutzrecht, S. 266 ff. Vgl. bereits § 2 B. II. 4. Fn. 137. 851 Golland, MMR 2018, 130 (131). 852 Golland, MMR 2018, 130 (131). 848

272

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Der Gefahr einer vollständigen Aufweichung des Kopplungsverbots muss zweifelsfrei Rechnung getragen werden, zumal eine solche vom Gesetzgeber nicht angedacht ist.853 Nicht jede Datenverarbeitung kann als Gegenleistung zwingend mit dem Kopplungsverbot für vereinbar erklärt werden. Ginge man gleichwohl von einem einheitlichen Verständnis der Erforderlichkeit in Art. 7 Abs. 4 und Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO aus, bestünde keinerlei Spielraum mehr für den Einsatz der Einwilligung als wirtschaftliche Gegenleistung. Denn dann schlösse jede Koppelung einer Datenverarbeitung an eine Vertragsleistung die Freiwilligkeit per se aus. In letzter Konsequenz wäre eine Bezahlung mit persönlichen Daten als Gegenleistung zur Nutzung eines datenfinanzierten Angebots nicht mehr möglich, da in vielen Fällen die Datenverarbeitung über das rein erforderliche hinausgeht.854 Eine solche Wertung würde die Möglichkeit einer Einwilligung zur Datenverarbeitung bei gleichzeitiger Nutzungsmöglichkeit datenfinanzierter Angebote beinahe vollständig ausschließen. Für App-Anbieter ginge jedes wirtschaftliche Interesse daran verloren, ihre Apps entgeltfrei anzubieten. Denn sie könnten sich bei der Bereitstellung der App überhaupt keiner Form der Einwilligung mehr sicher sein und es bestünde kein Leistungsverhältnis mehr zwischen Datenpreisegabe und App-Nutzung. Bei einer wirtschaftlichen Betrachtung begründet ein zu strenges Kopplungsverbot allerdings gerade Nachteile für den Nutzer als die betroffene Person, die durch die Regelung eigentlich geschützt werden soll. Der Eingriff in das Selbstbestimmungsrecht des Nutzers durch das Verbot der Kopplung mindert regelmäßig den wirtschaftlichen Wert der Nutzerdaten. Hierdurch kann die Preisgabe personenbezogener Daten eben keine taugliche Gegenleistung mehr darstellen, um im Gegenzug digitale Angebote nutzen zu können – selbst, wenn dies unter Umständen vom Nutzer gerade gewünscht wird. Die Möglichkeit, Daten als Gegenleistung zur App-Nutzung preisgeben zu können, eröffnet dem Nutzer demgegenüber potentielle Vorteile aus der Nutzung der ihm zur Verfügung gestellten App.855 Insoweit erscheint es sachgemäß die „Erforderlichkeit“ für den Vertrag im Sinne von Art. 7 Abs. 4 DSGVO zumindest abstrakt auf die Hauptleistungspflichten, Leistung und Gegenleistung auszudehnen und nicht vollständig deckungsgleich zu Art. 6 Abs. 1 UAbs. 1 lit. b)  DSGVO auszulegen.856 Die Erforderlichkeit der Datenverarbeitung ist demnach bei datenfinanzierten Angeboten für solche Situationen zu bejahen, in denen die personenbezogenen Daten selbst den Gegenstand

853

Vgl. den Wortlaut des unverändert strengen DSGVO ErwG 43. Zu den Fällen, in denen die Datenverarbeitung über das nach Art. 6 Abs. 1 UAbs. 2 lit. b) DSGVO erforderliche Maß hinausgeht, vgl. § 6 A. I. 3.  855 S. zum Ganzen auch Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn. 60. 856 A. A. Golland, MMR 2018, 130 (131), der insoweit aber verkennt, dass über Einwilligung als Ausdruck der informationellen Selbstbestimmung gerade weitergehende Datenverarbeitungen als nach Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO möglich sein müssen. 854

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

273

der Hauptleistungspflicht ausmachen und somit die Datenpreisgabe an die vertragliche Gegenleistung des Datenverarbeiters „koppeln“.857 Bei datenfinanzierten Angeboten würde demnach nicht schon die vertragsimmanente „Kopplung“ der Nutzungsmöglichkeit der App mit der Datenpreisgabe, die die vertragliche Gegenleistung des Nutzers darstellt, gegen das Kopplungsverbot verstoßen. Es handelt sich bei dem datenfinanzierten Angebot nicht um eine kostenlose Dienstleistung des App-Anbieters. Vielmehr kommt es zu einem Austauschverhältnis, bestehend aus der Bereitstellung und Einräumung der Nutzungsmöglichkeit der App durch den App-Anbieter als Gegenleistung zur Datenpreisgabe und Zustimmung zur wirtschaftlichen Verwertungsmöglichkeit der Daten durch den Nutzer. Dass der europäische Gesetzgeber eine Preisgabe persönlicher Daten als taugliche Gegenleistung einstuft, wird aus Art. 3 Nr. 1 der Richtlinie (EU) 2019/770 und dessen Umsetzung in § 327 BGB deutlich.858 Diese Wertung lässt sich auch auf die DSGVO übertragen. dd) Maßstäbe zum Umfang der Datenpreisgabe Als Ausdruck der informationellen Selbstbestimmung der Nutzer kann deren gewollte und freiwillige Vermarktung der eigenen Daten also den Gegenstand eines Rechtsgeschäfts bzw. die Gegenleistung für die Erbringung der Dienstleistung darstellen, ohne dass dies generell gegen die Freiwilligkeit der Einwilligung spricht. Ein vom App-Anbieter verlangter „take it or leave it“-Ansatz, bei dem das Angebot nur unter Einwilligung in die Datenverarbeitung entweder angenommen oder eben abgelehnt werden kann, ist demnach zulässig, solange beim Vertragsschluss über die notwendige Datenverarbeitung für den Vertragsschluss hinreichend aufgeklärt wird.859 Wie weitreichend die an die Leistung gekoppelte Datenpreisgabe konkret ausfallen kann, lässt sich bei den sehr heterogenen digitalen, datenfinanzierten Angeboten schwerlich abstrakt bestimmen. Dies liegt daran, dass bei den verschiedenen

857

Dies entspricht weitgehend der Bewertung in der Literatur, vgl. zustimmend Bender, Die Freiwilligkeit der datenschutzrechtlichen Einwilligung bie unentgeltichen Dienstleistungen im Internet, S. 53; Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 267 f.; Buchner /  Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 49 ff.; Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  7 Rn.  21; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 63; Schulz, in: Gola, DSGVO, Art. 7 Rn. 30; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 Rn. 49.1 f. Etwas vorsichtiger Albrecht, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Rn. 4; Krohm / Müller-Peltzer, ZD 2017, 551 (554 f.). 858 S. o. § 2 B. II. 2. Golland, MMR 2018, 130 (131) wendet hiergegen – wenig überzeugend – ein, dass eine solche Wertung innerhalb der DSGVO aufgrund von Art. 15 Abs. 3 S. 2 DSGVO nicht angebracht sei. 859 Zustimmend Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 51a; Kugelmann, DuD 2016, 566 (568 f.).

274

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Diensten die Datenpreisgabe des Nutzers sehr stark differiert und verschiedensten Zwecken des App-Anbieters dienen kann. Ob und inwieweit die erhobenen und verarbeiteten Daten die Gegenleistung im Sinne einer Hauptleistungspflicht durch den Nutzer darstellen, ist daher vorzugswürdig anhand einer konkreten Betrachtung des Vertragstextes und der Einwilligungserklärung im Einzelfall zu bewerten, wodurch die als Gegenleistung dienenden Daten bestimmt werden können.860 Sowohl für Navigations-App A wie auch Messenger-Dienst B muss also anhand des Vertragstexts, der Datenschutzerklärung und insbesondere der Einwilligung individuell festgestellt werden, welche Daten als Gegenleistung zur Erbringung des Dienstes erhoben und verarbeitet werden. Erst über diese Feststellung kann eine faktische Kopplung der Datenpreisgabe an die Nutzung der App rechtmäßig ermöglicht werden.

Um zu prüfen, ob eine Datenverarbeitung noch freiwillig geschieht oder ob diese gegen das Kopplungsverbot verstößt, ist die Erforderlichkeit der Datenverarbeitung anhand der vereinbarten Datenverarbeitungen des konkreten Vertrags zu messen. Die Orientierung an den einzelnen Vertragsinhalten hat gleichzeitig zur Folge, dass für die Kontrolle der datenschutzrechtlichen Zulässigkeit die Ebene der zivilrechtlichen Wirksamkeitskontrolle an Bedeutung gewinnt.861 Solange die Gegenleistung der Datenpreisgabe nicht sittenwidrig ist oder gegen Treu und Glauben verstößt, ist eine Vertragsklausel auch aus datenschutzrechtlicher Perspektive grundsätzlich zu akzeptieren. Von dieser Wertung ist dann aus datenschutzrecht­licher Sicht abzuweichen, wenn die in der Einwilligung beschriebene Datenverarbeitung massiv mit den datenschutzrechtlichen Grundsätzen aus Art. 5 DSGVO in Widerspruch steht. Hierbei sind vor allem ein Verstoß gegen den Zweckbindungsgrundsatz oder den Grundsatz der Datenminimierung denkbar.862 Eine von dem Vertragsverhältnis völlig losgelöste, nicht transparente oder sachwidrige Datenverarbeitung könnte demnach nicht an die Erbringung der vertraglichen Leistung des App-Anbieters gekoppelt werden. Diese Wertung schafft gleichzeitig auch eine taugliche Abgrenzung zur Erforderlichkeit i. S. d. Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO. Diese ist bedeutend enger auszulegen, während durch eine Einwilligung deutlich umfangreichere Datenverarbeitungen gerechtfertigt werden können. Beispielsweise besteht ein Unterschied bei der Offenlegung von Daten (als Verarbeitung der Kategorie III), die als Verarbeitung zur Vertragserfüllung nicht zu rechtfertigen ist863, über eine hinreichend transparente Einwilligung aber durchaus.

860

S. vertiefend Engeler, ZD 2018, 55 (57), der ebenfalls eine solche auf den Einzelfall bezogene Bewertung des Erforderlichkeitsmaßstabs bevorzugt. 861 Engeler, ZD 2018, 55 (57). Insoweit rückt auch die AGB-Kontrolle der Datenschutzerklärung in den Fokus, s. hierzu sogleich. 862 Zu den datenschutzrechtlichen Grundsätzen bereits ausführlich § 5 B. 863 Vgl. bereits § 6 A. I. 3.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

275

ee) Die Notwendigkeit von Alternativen zur gekoppelten Einwilligung Selbst diejenigen in der Literatur, die entgegen der hier vertretenen Auffassung ein strikteres Kopplungsverbot verlangen864, sehen eine mit der DSGVO vereinbare Umsetzung des Geschäftsmodells „Daten gegen Leistung“ nicht als völlig ausgeschlossen. Um bei solchen Geschäftsmodellen allerdings eine Freiwilligkeit der Einwilligung zu erreichen, bedürfe es eines alternativen, nicht mehr datenbasierten Angebots unter verteuerter Leistungsgewährung – also eine kostenpflichtige Alternative zum datenfinanzierten Angebot, die für den Nutzer eine Wahlmöglichkeit zwischen Datenpreisgabe und monetärer Bezahlung des Angebots eröffnet.865 Bei dem hier vertretenen Verständnis vom Kopplungsverbot kommt die Verpflichtung zu einem derartigen alternativen Geschäftsmodell nicht in Betracht. Denn aus den Regelungen der DSGVO kann eine monetäre Zahlungsalternative nicht hergeleitet werden. Gleichwohl können taugliche Alternativen zum jeweiligen datenfinanzierten Angebot die am Einzelfall ausgerichtete Bewertung bei der Kopplung zwischen Einwilligung und App-Nutzung durchaus beeinflussen.866 Solche Alternativen stellen etwa (auch kostenpflichtige) Apps des gleichen AppAnbieters oder eines Dritten dar, die vergleichbare Nutzerfunktionen bieten und keine an die Nutzung gekoppelte Einwilligung verlangen. Denkbar wäre auch eine veränderte Nutzungsmöglichkeit der (gleichen) einwilligungsbedürftigen App, die dann ohne gekoppelte Einwilligung im Funktionsrahmen begrenzt sein könnte. Bei dieser Wertung bleibt zunächst offen, ob de lege ferenda die Verpflichtung zur Schaffung eines solchen alternativen, kostenpflichten Angebots als regulative Alternative in Betracht kommt. Hierüber könnte die informationelle Selbst­ bestimmung des Nutzers noch weiter gestärkt werden. Auf das Für und Wider eines solchen Modells soll an späterer Stelle im Rahmen der regulativen Überlegungen näher eingegangen werden.867 c) Die Freiwilligkeit bei datenfinanzierten Angeboten Nach dem Grundsatz der Freiwilligkeit der Einwilligung können datenbasierte Geschäftsmodelle durchaus zulässig sein, solange der Nutzer eine selbstbestimmte Entscheidung über die Preisgabe seiner Daten treffen kann. Dies gilt insbesondere, wenn eine  – ggf. kostenpflichtige  – Alternativ-App mit gleicher Funktion vom App-Anbieter oder einem Wettbewerber in Anspruch genommen werden kann. Ist keine alternative App mit andersartiger Datenverarbeitung zugänglich, liegt eine 864

Vgl. zum Meinungsstand bereits Fn. 844, 849. Vgl. Golland, MMR 2018, 130 (134 f.). 866 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 52 ff.; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 Rn. 49.1. 867 S. zur Abwägung dieser Möglichkeit § 8 B. 865

276

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

sog. kartellähnliche Angebotslage vor. In diesen Fällen hängt die Freiwilligkeit davon ab, ob ein faktischer Zwang – etwa durch Netzwerkeffekte – zur Nutzung der App besteht und insoweit kein Weg an einer Datenpreisgabe mittels Einwilligung vorbeiführt. Bei datenfinanzierten Angeboten sollten solche kartellähnlichen Angebotslagen allerdings eher selten auftreten.868 Das Kopplungsverbot aus Art. 7 Abs. 4 DSGVO präzisiert die Anforderung der Freiwilligkeit, indem die Vereinbarung oder Erfüllung eines Vertrags nicht von einer Einwilligung in die Verarbeitung von Daten abhängig gemacht werden darf, die für die Erfüllung des Vertrags nicht erforderlich ist. Nach den bisherigen Erwägungen spricht vieles dafür, das Kopplungsverbot als nicht verletzt anzusehen, wenn bei datenfinanzierten Angeboten die Datenpreisgabe zur Voraussetzung für die Leistungserbringung des App-Anbieters gemacht wird. Der Begriff der Erforderlichkeit ist gerade in dieser Situation weiter als in Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO zu verstehen und schließt die vertragliche Gegenleistung des Zahlens mit Daten durchaus mit ein. Aufgrund des bestehenden Synallagmas kann die Einwilligung durchaus als „erforderlich“ anerkannt werden. Auch wird so eine taugliche Abgrenzung zwischen der Einwilligung und dem Erlaubnistatbestand in Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO geschaffen, ohne dass das Kopplungsverbot hierdurch vollkommen leerläuft. Außerhalb der besonderen Situation, in der Daten die Gegenleistung eines Vertrags bilden, ändert sich an dessen Auslegungsmaßstab nichts. Gleichzeitig bieten die zivilrechtliche Wirksamkeitskontrolle sowie die datenschutzrechtlichen Grundsätze genug Möglichkeiten, im Einzelfall unbillige Ergebnisse zu verhindern. Nimmt man das beschriebene, für datenfinanzierte Angebote typische Austauschverhältnis als erforderliche Datenverarbeitung vom Kopplungsverbot aus, so muss dieses Austauschverhältnis dem Nutzer im Vertragstext und vor allem im Rahmen der Einwilligung hinreichend deutlich und transparent gemacht werden. Insbesondere muss deutlich werden, dass eine Kommerzialisierung der Nutzerdaten stattfindet.869 Ferner muss in einem solchen Fall verdeutlicht werden, dass gerade keine „kostenlose“ Dienstleistung angeboten wird, sondern die Daten kommerziell genutzt und im Falle einer Offenlegung auch gehandelt werden. Dabei ergeben sich wiederum die dargestellten und zu beachtenden Herausforderungen einer informierten und transparenten Einwilligung. Werden diese Grundsätze beachtet, so kann bei datenfinanzierten Angeboten die Einwilligung des Nutzers nur noch schwerlich als unfreiwillig eingestuft werden. Sie stellt dann vielmehr die Ausübung seiner informationellen Selbstbestimmung dar. Durch diese Auslegung des Kopplungsverbots für Austauschverhältnisse „Daten gegen Leistung“ kann Navigations-App  A etwa die Offenlegung bestimmter Nutzerdaten an 868

Hierzu vertiefend Dieckhoff, Datenschutz und Smartphone-Nutzung im Konflikt, S. 303, 309 f. 869 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 51; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 96; Schulz, in: Gola, DSGVO, Art. 7 Rn. 30.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

277

Dritte zu Werbezwecken mithilfe der Einwilligung einfordern. Eine solche „verpflichtende“ Einwilligung zur Datenverarbeitung verstößt nicht per se gegen das Kopplungsverbot, da sie im Vertragsverhältnis als erforderlich zu werten ist, solange die verwendete Klausel zivilrechtlich wirksam und mit den datenschutzrechtlichen Grundprinzipien (hier vor allem die Datenminimierung und die Zweckbindung hinsichtlich des genauen Grundes der Offenlegung) vereinbar ist. So wären vollkommen sachfremd erhobene und offengelegte Daten – die etwa den sonstigen Browserverlauf des Nutzers ebenfalls speichern und weiterleiten – zur Nutzungsgewährung der App sachfremd und insofern nicht zulässig. Ferner muss dem Nutzer die jeweilige Nutzung der Daten mit der Einwilligung auch hinreichend deutlich gemacht werden. Das Angebot kann nicht etwa als kostenloser Dienst beworben werden.

5. Die Widerrufbarkeit der Einwilligung Der Widerruf der Einwilligung wird in Art. 7 Abs. 3 DSGVO abschließend geregelt. Er ermöglicht der von der Datenverarbeitung betroffenen Person auch nach Erteilung der Einwilligung, über den Wirkungszeitraum der Datenverarbeitung zu entscheiden und die Hoheit über die Datenverarbeitung zu behalten.870 Der Widerruf verankert mithin den über Art. 8 GRCh gewährten Schutz der personenbezogenen Daten und die Selbstbestimmung über diese auch nachträglich zu einer erfolgten Einwilligung. Ein solch nachträglicher Schutz ist nötig, da mit zunehmenden Datenmengen und komplexeren Verarbeitungsprozessen – sei es generell bei Big Data-Analysen oder im Speziellen bei komplexen datenbasierten Geschäftsmodellen – die Überschaubarkeit über die Datenverarbeitung für die betroffenen Personen immer weiter abnimmt. a) Inhalt und Ausübung der Widerrufsmöglichkeit Gem. Art. 7 Abs. 3 S. 1 DSGVO kann eine erteilte Einwilligung von der einwilligenden Person DSGVO jederzeit widerrufen werden.871 Der Widerruf kann ausdrücklich oder durch konkludente Willensbekundung erfolgen. Mit dem Widerruf macht die betroffene Person deutlich, die eingewilligte Datenverarbeitung nicht mehr zu wünschen. Ein Widerruf muss inhaltlich nicht die gesamte Einwilligung erfassen, sondern bemisst sich nach dem jeweils erklärten Umfang, wodurch etwa auch partielle Widerrufe ermöglicht werden.872 Der Widerruf muss jeweils hinreichend bestimmt ausfallen und erkennen lassen, auf welchen Teil der Einwilligung

870

Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 86. Darüber hinaus bedarf es keiner zusätzlichen Anfechtungsmöglichkeit der Einwilligung, da es in Fällen einer Anfechtungssituation in der Regel ohnehin an der Informiertheit über oder Freiwilligkeit der Einwilligung mangelt, vgl. Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 33. 872 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 35. 871

278

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

er sich bezieht.873 Ansonsten ist er an keine inhaltlichen oder zeitlichen Voraussetzungen geknüpft. Erklärt wird der Widerruf gegenüber der jeweiligen Stelle, der zuvor die Einwilligung zur Datenverarbeitung erteilt wurde. Adressat des Widerrufs ist also der jeweilige Datenverarbeiter. Über diese Widerrufsmöglichkeit muss die betroffene Person vor Abgabe der Einwilligung in Kenntnis gesetzt werden, vgl. Art. 7 Abs. 3 S. 3.874 Neben dem Bestehen eines Widerrufsrechts muss auch über die Voraussetzungen der Ausübung informiert werden. Der Widerruf der Einwilligung muss im Übrigen so einfach wie die Erteilung der Einwilligung sein.875 Wird zur Einwilligung also innerhalb eines App-Interfaces innerhalb der App selbst oder bei browserbasierten Apps im Browser aufgefordert, so muss der Widerruf auf die gleiche Art wie die Einwilligungserteilung möglich sein – etwa im Browser oder über das Interface der App. Zwar kann der Widerruf zusätzlich auch über andere Kanäle ermöglicht werden, nicht zulässig wäre aber bei einer zuvor innerhalb der App erteilten Einwilligung eine Widerrufsmöglichkeit lediglich über eine separate E-Mail.876 b) Die Rechtsfolge des Widerrufs Als Rechtsfolge entzieht ein Widerruf der zuvor erklärten Einwilligung die rechtliche Grundlage und führt zur Unzulässigkeit zukünftiger, auf diese Einwilligung gestützter Datenverarbeitungen. Dabei wird jedoch gem. Art. 7 Abs. 3 S. 2 DSGVO die Rechtmäßigkeit der Datenverarbeitung für die Vergangenheit bis zum Zeitpunkt des Widerrufs nicht berührt; der Widerruf entfaltet seine Wirkung also ex nunc.877 Durch die ex nunc-Wirkung werden die Interessen des Datenverarbeiters berücksichtigt, für den eine erfolge Datenverarbeitung zeitlich vor dem Widerruf nicht ihre Rechtmäßigkeit verliert.878 Strebt die betroffene Person über die ex nunc-Wirkung hinaus auch die Löschung der bisher erhobenen Daten an, kann sie dies grundsätzlich gemäß Art. 17 Abs. 1 lit. b) DSGVO verlangen. Hie­ rüber ist der Datenverarbeiter verpflichtet, diese Daten ohne unangemessene Verzögerung zu löschen. 873

Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 88. Uneinigkeit besteht allerdings hinsichtlich der Rechtsfolge einer fehlenden Belehrung. Vom Wortlaut her spricht der Titel von Art. 7 DSGVO „Bedingungen für die Einwilligung“ für eine komplette Unwirksamkeit der Einwilligung, vgl. Plath, in: Plath, DSGVO / BDSG, Art. 7 Rn. 11. Andererseits sind in Art. 7 DSGVO etwa in Abs. 2 die Folgen einer Verletzung der Anforderung genannt, in Abs. 3 aber gerade nicht. Im Gegenschluss führt also das Fehlen einer Belehrung nicht per se zu einer Unwirksamkeit der gesamten Einwilligung, vgl. Ernst, in: Paal / Pauly, DSGVO / BDSG, Art. 4 DSGVO, Rn. 77; Heckmann / Paschke, in: Ehmann /  Selmayr, DSGVO, Art. 7 Rn. 88 f. 875 Vgl. Art. 7 Abs. 3 S. 4 DSGVO. 876 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 91. 877 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 92; Klement, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 90. 878 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 87. 874

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

279

Da mit dem Widerruf der Erlaubnistatbestand der Einwilligung entfällt, kann eine Datenverarbeitung nachfolgend potentiell nur noch über einen gesetzlich gewährleisteten Erlaubnistatbestand nach Art. 6 Abs. 1 UAbs. 1 lit. b) bis f) DSGVO ermöglicht werden. aa) Ausgangsüberlegung: Kumulation von Rechtsgrundlagen Wird bei der Datenverarbeitung neben der Einwilligung auch auf andere Rechtsgrundlagen abgestellt, stellt sich die Frage, ob im Falle eines Widerrufs eine einmal über eine Einwilligung gerechtfertigte und anschließend widerrufene Verarbeitungsmöglichkeit durch einen anderen Erlaubnistatbestand gerechtfertigt werden kann. Grundsätzlich besteht zwischen den verschiedenen Rechtsgrundlagen zur Datenverarbeitung ein Gleichrangigkeitsverhältnis.879 Diese Gleichrangigkeit trifft allerdings noch keine Aussage darüber, ob eine Verarbeitung über mehrere Erlaubnistatbestände kumulativ nebeneinander gerechtfertigt werden kann. Diesbezüglich sind zwei Konstellationen denkbar: einerseits die Rechtfertigung der Verarbeitung über zwei (oder mehr) Erlaubnistatbestände von Beginn an – also etwa die Einwilligung zur Verarbeitung neben einer Verarbeitungsmöglichkeit zur Erfüllung eines Vertrags, andererseits eine Ersetzung einer widerrufenen Einwilligung über eine andere Rechtfertigungsgrundlage im Nachhinein. Eindeutig ist die Situation zunächst bei einer nachträglichen Ersetzung des Erlaubnistatbestands. Gibt der Datenverarbeiter der betroffenen Person einmal zu erkennen, dass die Verarbeitung ihrer personenbezogenen Daten ausschließlich von ihrer Einwilligung abhängt, kann sich ebenjener bei Verweigerung, Unwirksamkeit oder Widerruf dieser Einwilligung nicht mehr auf andere Rechtsgrundlagen berufen.880 Eine nachträgliche Ersetzung von Erlaubnistatbeständen ist dementsprechend nicht zulässig. bb) Kumulation und Wegfall von Rechtsgrundlagen Eine Stützung der Datenverarbeitung auf mehrere Rechtsgrundlagen erscheint nach dem Wortlaut der DSGVO hingegen nicht ausgeschlossen.881 So verlangt Art. 6 Abs. 1 „mindestens“ eine Rechtsgrundlage, so dass im Umkehrschluss mehrere nebeneinander als möglich erachtet werden. Da wie bereits dargestellt eine 879

S. bereits § 6 Fn. 643. EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, Rn. 123. Ebenso ­Buchner / Kühling, in: Buchner / Kühling, DSGVO / BDSG, Art.  6 Rn.  23; Krusche, ZD 2020, 232 (236); Uecker, ZD 2019, 248 (249); kritisch hierzu Schulz, in: Gola, DSGVO, Art. 6 Rn. 11. 881 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 475. 880

280

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

gewisse Rechtsunsicherheit über die Reichweite der einzelnen Ermächtigungsnormen besteht, erscheint es für die Datenverarbeiter sachgerecht, ihre Verarbeitung in Zweifelsfällen neben der Einwilligung auf zusätzliche Rechtsgrundlagen zu stützen.882 Hierfür muss der betroffenen Person verständlich mitgeteilt werden, dass die Daten aufgrund mehrerer Rechtsgrundlagen verarbeitet werden, vgl. Art. 13 Abs. 1 lit. c), 14 Abs. 1 lit. c) DSGVO. Diese verständliche Mitteilungspflicht ergibt sich auch aus dem Transparenzgrundsatz sowie aufgrund des Gebots zur Verarbeitung nach Treu und Glauben.883 Im Falle einer widerrufenen – aber auch bei einer verweigerten oder unwirksamen – Einwilligung könnte bei Vorliegen mehrerer Erlaubnistatbestände so auf eine andere Rechtsgrundlage zurückgegriffen werden. Durch die Gleichrangigkeit der Erlaubnistatbestände signalisiert das Abstellen auf mehrere Erlaubnistatbestände eben keine Datenverarbeitung einzig aufgrund der Einwilligung, so dass eine Verarbeitung über eine andere Rechtsgrundlage weiterhin möglich ist.884 Eine solche Wertung wird auch aus Art. 17 Abs. 1 lit. b) DSGVO deutlich, wonach eine zusätzliche Löschung der vor Widerruf verarbeiteten Daten nur möglich ist, falls keine anderweitige Rechtsgrundlage zur Verarbeitung besteht. Nebeneinanderstehende Rechtsgrundlagen werden vom Gesetzgeber also eindeutig anerkannt. Ein Widerruf für sich genommen kann die Datenverarbeitung dementsprechend nicht beenden, wenn diese auch über eine andere – der betroffenen Person mitgeteilten – Rechtsgrundlage zulässig ist. Bei einer Verarbeitung, die neben einer Einwilligung zusätzlich auf einer Inte­ ressenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO beruht, kann jedoch die durch einen Widerruf zum Ausdruck gebrachte Ablehnung einer Datenverarbeitung durchaus berücksichtigt werden.885 So kann der Widerruf in einen gleichzeitigen, konkludenten Widerspruch in die Datenverarbeitung nach Art. 21 DSGVO umgedeutet werden.886 Allerdings haben die verschiedenen Erlaubnistatbestände unterschiedliche Wirksamkeitsvoraussetzungen und vor allem ist der Widerspruch 882

Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art.  7 Rn.  17; Härting / Gössling /  Dimov, ITRB 2017, 169 (171); Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 55. Die Datenschutz-Richtlinie 95/46  EG betreffend hat auch der EuGH eine Kumulation ohne weitere Erörterung für zulässig erachtet, EuGH, Urt. v. 9. 3. 2017, Rs. C-398/15, Rn. 42 – Manni. 883 Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art. 5 Rn. 12. Vgl. hierzu § 5 B. I. 884 Übereinstimmend Härting / Gössling / Dimov, ITRB 2017, 169 (171); Klement, in: Simitis /  Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 34; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 475; ders., in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  6 Rn. 12; Taeger, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  6 Rn.  21; Veil, NJW 2018, 3337 (3342); Voigt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  5 Rn.  12. A. A. Buchner /  Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 18, die nach eingeholter Einwilligung eine Berufung auf eine andere Rechtsgrundlage als widersprüchlich ansehen. 885 Härting / Gössling / Dimov, ITRB 2017, 169 (171). 886 Kugelmann, DuD 2016, 566 (569); Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 6 Abs. 1 Rn. 89 f.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

281

im Vergleich zum Widerruf an materielle Voraussetzungen geknüpft.887 Dementsprechend muss sich aus dem konkreten Fall ergeben, dass mit der Widerruf auch ein Widerspruch gem. Art. 21 DSGVO bezweckt wird, und es kann nicht generell eine Umdeutung angenommen werden. Falls in den Widerruf kein konkludenter Widerspruch hineingedeutet werden kann, sollte der Widerruf bei der Interessenabwägung zumindest insoweit berücksichtigt werden, dass für eine zulässige Datenverarbeitung die Interessen des Datenverarbeiters im Verhältnis zu denen der betroffenen Person doch deutlich überwiegen müssen. Hierdurch kann auch eine Gleichrangigkeit der Rechtsgrundlagen und eine potentielle Verarbeitung über mehrere Rechtsgrundlagen für die Rechtsposition der betroffenen Person hinnehmbar ausgestaltet werden. Im Gegenzug erscheint es treuwidrig, wenn der Datenverarbeiter den Widerruf der Einwilligung anerkennt, sich allerdings gleichzeitig auf eine weiterhin zulässige Datenverarbeitung aufgrund der Interessenabwägung nach lit. f) beruft, wenn diese ihm lediglich kommerzielle Vorteile bereitet und im krassen Widerspruch zu den Interessen der betroffenen Person steht. cc) Die Konsequenz kumulativer Rechtsgrundlagen Kommt bei bestimmten Datenverarbeitungen neben einer Einwilligung noch eine andere Rechtsgrundlage – vor allem eine für den Vertrag notwendige Verarbeitung nach lit. b) – in Betracht, sollte diese vom Datenverarbeiter von vorn­ herein transparent dargestellt werden, um im Falle eines Widerrufs Teile der Daten weiterhin verarbeiten zu können. Anderenfalls setzt er sich der Gefahr aus, gegen das Gebot von Treu und Glauben und / oder gegen die der DSGVO immanenten Transparenzgrundsätze zu verstoßen. Die Konsequenz und der Vorteil einer Nennung mehrerer Verarbeitungsgrundlagen liegt in einer höheren Rechtssicherheit für den Datenverarbeiter bei gleichzeitig weiterhin bestehender Transparenz für die betroffene Person. Denn erst im Falle eines Widerrufs der Einwilligung hat die vermeintlich komplexe Aufteilung stattzufinden, welche Verarbeitungsprozesse nach dem Widerruf aufgrund anderer Rechtsgrundlagen weiterhin durchführbar bleiben und welche durch die widerrufene Einwilligung nicht mehr durchführbar sind. Außerdem müssen bei Verarbeitungen, die etwa auch für die Durchführung des Vertrags erforderlich sind, trotz Widerrufs aufgrund von Art. 17 Abs. 1 lit. b) DSGVO die bisherigen Daten der Verarbeitung nicht gelöscht werden, selbst wenn die betroffene Person dies verlangt. Insgesamt lässt sich so ein verhältnismäßiger Ausgleich zwischen den Interessen der betroffenen Person, die aufgrund des Widerrufs keine weitere Datenverarbeitung erwünscht, und denen des Datenverarbeiters schaffen, der zumindest 887

Krusche, ZD 2020, 232 (235).

282

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

notwendige Verarbeitungen trotz des Widerrufs weiterhin durchführen kann und nicht jedwede gewonnenen Daten löschen muss. c) Die Widerrufbarkeit bei datenfinanzierten Angeboten Datenfinanzierte Angebote weisen – wie bereits ausführlich erörtert – die Besonderheit auf, dass hier die personenbezogenen Daten des Nutzers und deren Verarbeitung durch den App-Anbieter die Gegenleistung zur bereitgestellten App-Nutzung darstellen und insoweit die Angebote finanzieren. Die jederzeitige Widerrufsmöglichkeit der Einwilligung lässt diese Gegenleistung gleichwohl einseitig durch den Nutzer widerrufen. Es stellt sich also an dieser Stelle die Frage, ob und inwieweit aufgrund dieser Situation das Widerrufsrecht einschränkbar ist. aa) Das Für und Wider jederzeitiger Widerrufbarkeit Im Rahmen des Vertragsverhältnisses „Daten gegen Leistung“ stellt die Einwilligung zur Datenpreisgabe einen Teil eines umfassenden rechtsgeschäftlichen Verhältnisses dar, da es sich bei der Datenpreisgabe um die Leistung des Nutzers bzw. der betroffenen Person handelt. Bei der Frage der Widerrufbarkeit wird daher zum Teil angenommen, dass die rechtsgeschäftliche Einbindung der Einwilligung zu berücksichtigen und die freie Widerrufbarkeit in den Fällen einzuschränken sei, in denen diese als Gegenleistung zum Vertragsverhältnis erteilt wurde oder sogar unverzichtbare Voraussetzung für dieses Vertragsverhältnis ist.888 Eine Widerrufsmöglichkeit bestehe nach Buchner / Kühling nur in den Fällen, in denen die Fortsetzung der Datenverarbeitung der betroffenen Person nicht mehr zumutbar sei oder sich maßgebliche Umstände geändert haben. Eine solche maßgebliche Veränderung sei vor allem dann anzunehmen, wenn der Datenverarbeiter keine berechtigten Interessen mehr an der Datenverarbeitung habe. Jedenfalls besteht kein berechtigtes Interesse mehr – und somit weiterhin eine freie Widerrufbarkeit –, wenn das berechtigte Interesse des Datenverarbeiters nicht über die gesamte Vertragsdauer besteht.889

888

Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 38; Klement, in: ­ imitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  92; Schulz, in: Gola, DSGVO, Art. 7 S Rn. 57. 889 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 38 f. sowie bereits Buchner, Informationelle Selbstbestimmung, S. 270 ff. Als Beispiel wird hierfür eine Bonitäts- oder Risikoprüfung genannt, die zwar grundsätzlich ein berechtigtes Interesse darstellt, aber nach Überprüfung nicht mehr für die restliche Vertragslaufzeit besteht.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

283

Für eine noch weitergehende Einschränkung der freien Widerrufbarkeit der Einwilligung spricht nach Ansicht von Klement, dass in solchen Vertragssituationen eine freie Widerrufbarkeit der Einwilligung einer Teilnichtigkeit des Vertrags entspreche und insoweit die zivilrechtliche Möglichkeit des Vertragsschlusses beider Parteien einschränke – gleichbedeutend mit dem Rechtsgrundsatz der Vertragsfreiheit. Aus den allgemeinen Rechtsgrundsätzen des Unionsrechts zur Vertragsfreiheit lasse sich so ableiten, dass die freie Widerrufbarkeit für Fälle einzuschränken sei, in denen die Einwilligung aufgrund einer vertraglichen Verpflichtung sofort wieder zu erteilen sei. Auch müsse für die Situation der Daten als Gegenleistung die freie Widerrufbarkeit der Einwilligung durch vertragliche Vereinbarung einschränkbar seien.890 Für die vertraglich vereinbarte Situation „Daten gegen Leistung“ wäre die freie Widerrufbarkeit damit je nach Abstufung dieser Ansicht in bestimmten Vertragssituationen oder gar in weiten Teilen disponibel. Nach entgegenstehender Auffassung hemmt auch ein synallagmatischer Vertrag mit Daten als Leistungsgegenstand einer Partei deren Recht zur freien Widerrufbarkeit der Einwilligung nicht.891 Dies lässt sich mit dem Wortlaut des Art. 7 Abs. 3 S. 1 DSGVO begründen, der für die freie Widerrufbarkeit der Einwilligung eben keine Ausnahmen zulässt. Auch bestehen die zivilrechtlichen und datenschutzrechtlichen Regelungen nebeneinander, so dass eine zivilrechtliche Wertung nicht zur Änderung der datenschutzrechtlichen Bewertung führen könne. Eine vertragliche Verpflichtung zur Einwilligung in die Datenpreisgabe kann nach dieser Auffassung das Widerrufsrecht der betroffenen Person also nicht einschränken. bb) Würdigung Um die Vereinbarkeit dieser Auffassungen mit den Regelungen der DSGVO näher zu beleuchten, soll zunächst auf die gesetzliche Einschränkungsmöglichkeit des Widerrufs eingegangen werden. So ist eine gesetzliche Einschränkung der Widerrufbarkeit bei einer Vertragssituation „Daten gegen Leistung“ grundsätzlich durchaus denkbar. Eine gesetzliche Einschränkung der Widerrufbarkeit stellt einen Eingriff in die Rechte der betroffenen Person aus Art. 8 Abs. 1 GRCh dar, welcher auch den Widerruf einer Einwilligung schützt, und wäre insofern rechtfertigungs­bedürftig.892 Eine solche Einschränkung der Widerrufsfolgen ist jedoch gesetzlich bisher nirgends normiert und auch in den Erwägungsgründen der DSGVO noch nicht einmal

890

Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 92, der sich insoweit auf Ohly, Die Einwilligung im Privatrecht, S. 79 f., 160 beruft. 891 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 93; Ingold, in: Sydow, DSGVO, Art. 7 Rn. 46; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 532; Stemmer, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 7 Rn. 93. 892 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  86.

284

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

angedeutet. Zwar bestätigt Art. 3 Abs. 1 UAbs. 2 der Richtlinie (EU) 2019/770 die Anerkennung der Daten als vertragliche Gegenleistung durch den europäischen Gesetzgeber. Gleichwohl normiert die Richtlinie in Art. 3 Abs. 8 sowie Erwägungsgrund 48 eindeutig, dass sich hierdurch keine Änderung an den Reglungen des Datenschutzes ergeben. Folglich verändert die Richtlinie zwar die Einordnung von Daten als Gegenleistung, die Wertung des Widerrufs wird hingegen nicht berührt. Auch lassen sich solche Einschränkung nicht aus nationalen Regelungs­instituten wie etwa dem vertraglichen Rücksichtnahmegebot aus § 241 Abs. 2 BGB ableiten.893 Mangels einfachgesetzlicher bzw. sekundärrechtlicher Regelung müsste sich eine vertraglich disponible Möglichkeit des Widerrufs also bereits aus dem Primärrecht ergeben. Jedoch steht der Wortlaut von Art. 7 Abs. 3 S. 1 DSGVO einer Abdingbarkeit des Widerrufs eindeutig entgegen und ein Widerspruch hierzu müsste aus höherrangigem Recht entspringen. Hierfür käme etwa die Unternehmerfreiheit der AppAnbieter in Betracht. Denn ein solche, Art. 7 Abs. 3 DSGVO widersprechende Wertung erscheint für Fälle sachgerecht, in denen aufgrund der besonderen Situation synallagmatischer Verträge mit Daten als Leistungsgegenstand die Datenverarbeitung für die Vertragsdurchführung zwingend notwendig ist oder schwerwiegende – grundrechtliche geschützte – Interessen des Datenverarbeiters ohne die Verarbeitung nicht gewährleistet werden könnten. In solchen Fällen ließe sich über eine Einschränkung des freien Widerrufrechts teleologisch durchaus nachdenken, damit ein Widerruf das Leistungsverhältnis Daten gegen Dienstleistung nicht zum Teil aushebelt. Für die genannten Fälle, die die Unternehmerfreiheit besonders betreffen und in denen die Verarbeitung für den Vertrag zwingend erforderlich oder für die Interessen des Datenverarbeiters unumgänglich ist, lässt sich die Datenverarbeitung aber in der Regel bereits über die alternativen Rechtsgrundlagen in Art. 6 Abs. 1 UAbs. 1 lit. b) und f) DSGVO rechtfertigen. Eine Verarbeitung aufgrund einer anderen Rechtsgrundlage kann durch den Widerruf der betroffenen Person nach obiger Auffassung auch nicht verhindert werden. Dementsprechend können über diese Rechtsgrundlagen die Interessen des Datenverarbeiters bereits hinreichend gewahrt werden. Daneben wiegt der Schutz der Unternehmerfreiheit nicht so stark, dass sich hierüber das Recht des Widerrufs einschränken lässt, welches den Nutzer gerade vor einer unwiederbringlichen Datenpreisgabe schützen soll. Eine der DSGVO eindeutig widersprechende vertragliche Disponibilität des Widerrufsrechts erscheint daher nicht notwendig, solange hierzu vom europäischen Gesetzgeber keine eindeutige gesetzliche Regelung verabschiedet wurde. Eine alleinige Ableitung aus dem europäischen Primärrecht überzeugt hingegen nicht. Sind bestimmte Daten für die App-Anbieter von Navigations-App A oder Messenger-Dienst B so bedeutsam, dass von diesen Daten die Grundlage ihrer Geschäftstätigkeit abhängt, so ist die Erhebung dieser Daten über Unternehmerfreiheit aus Art. 16 GRCh geschützt. Gleich 893

Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 532.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

285

wohl geht dieser Schutz nicht soweit, dass sich hierdurch ernstlich über eine teleologische Reduktion der Widerrufsmöglichkeit nachdenken ließe. Denn die Verarbeitung der für das Vertragsverhältnis zwischen Nutzer und App-Anbieter besonders bedeutsamen Daten lässt sich ohnehin über Art. 6 Abs. 1 UAbs. 1 lit. b) DGSVO rechtfertigen.

Im Ergebnis ist also ein jederzeitiger Widerruf der Einwilligung möglich, da hierfür der Wortlaut sowohl auch eine Abwägung der entgegenstehenden Interessen sprechen. Diese Wertung wird dadurch bestärkt, dass der Datenverarbeiter bei einem solchen Vertrag, der Daten als Leistungsgegenstand beinhaltet, nach dem Widerruf der betroffenen Person durchaus den Vertrag beenden und seine Leistung nach dem erfolgten Widerruf zukünftig verweigern kann.894 So kann der Datenverarbeiter auf den Widerspruch der betroffenen Person reagieren und muss nicht auch noch nach erfolgtem Widerruf seine eigenen Leistungen erbringen. Umgekehrt sollen der betroffenen Person durch den Widerruf keine Nachteile entstehen895, so dass sich als Folge hieraus aus dem Widerruf keine Schadensersatzansprüche oder Vertragsstrafen ergeben können, die über den Umweg des Zivilrechts die freie Widerruflichkeit einschränken würden. Auch der seit dem 1. Januar 2022 gültige § 327q Abs. 2 BGB, der die Richtlinie (EU) 2019/770 umsetzt896, stützt dieses Ergebnis. Danach kann bei einem Widerruf der datenschutzrechtlichen Einwilligung der Unternehmen einen Vertrag, der ihn zur (dauerhaften) Bereitstellung eines digitalen Produkts verpflichtet, ohne Einhaltung einer Kündigungsfrist kündigen, wenn ihm unter Berücksichtigung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf der Kündigungsfrist nicht zugemutet werden kann. So ein Fall liegt wohl regelmäßig bei dem Widerruf der Einwilligung von datenfinanzierten Angeboten vor. Dadurch, dass dem App-Anbieter bei einem Widerruf die Leistung des Vertragspartners in Form der Preisgabe von Daten nicht mehr erhält, erlaubt die Abwägung der gegenseitigen Interesse auch die jederzeitige Vertragsbeendigung hinsichtlich des datenfinanzierten Angebots. cc) Folgen für datenfinanzierte Angebote Diese Wertung hat für datenfinanzierte Angebote zur Folge, dass ein App-­ Anbieter im oben geschilderten Rahmen den Nutzer zwar vertraglich zur Einwilligung in die Datennutzung verpflichten kann, der Nutzer die Einwilligung aber weiterhin frei widerrufen kann.

894 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 93; Schantz, in: Schantz /  Wolff, Das neue Datenschutzrecht, Rn. 532. Vor Inkrafttreten der DSGVO ebenfalls Buchner, Informationelle Selbstbestimmung, S. 272. 895 Vgl. DSGVO ErwG 42 S. 5. 896 S. bereits § 2 B. II. 2.

286

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Hierdurch ergibt sich für den App-Anbieter die Gefahr, dass sich der aus der Datenverarbeitung generierte Wert mit dem Widerruf des Nutzers marginalisiert. So verringert ein späterer Widerruf die weitere kommerzielle Nutzungsmöglichkeit der Daten erheblich und auch bisher durchgeführte Verarbeitungen könnten durch den Löschungsanspruch des Nutzers für den App-Anbieter unbrauchbar werden. Eine Einschränkung dieses Löschungsanspruchs für die bei datenfinanzierten Angeboten immanente Situation eines Austauschverhältnisses von Leistungen gegen Datenpreisgabe ist dabei weder in der DSGVO angelehnt, noch lässt sich eine solche Einschränkung anderweitig rechtlich herleiten. Es steht dem App-Anbieter gleichwohl offen, das Vertragsverhältnis mit dem Nutzer zu kündigen. Die über andere Rechtsgrundlagen verarbeiteten Daten können auch weiterhin vom App-Anbieter genutzt werden. Die bisher erfolge Datenverarbeitung verbleibt trotz des Widerrufs weiterhin rechtmäßig, so dass der bis zu diesem Zeitpunkt gewonnene ökonomische Wert nicht verloren geht. Insoweit können Daten, bei denen bis zum Zeitpunkt des Widerrufs bereits der Personenbezug entfernt wurde, weiterverwendet werden, so dass beispielsweise kumulierte Datensätze weiterhin nutzbar bleiben. Widerruft ein Nutzer seine Einwilligung in die Datenverarbeitung von Navigations-App A, so kann der App-Anbieter die bewilligten Datenverarbeitungen nicht weiter durchführen. Ausgenommen sind hiervon – sofern der Nutzer hinreichend über diese Art der Verarbeitung informiert wurde – die Datenverarbeitungen, die für die Verwendung des Dienstes zwingend erforderlich sind. Auch verbleibt die bisher bewilligte Verarbeitung – etwa die kommerzielle Offenlegung an einen Dritten – weiterhin rechtmäßig und bereits kumulierte Datensätze, bei denen aufgrund von Anonymisierung oder anonymisierender Pseudonymisierung kein Personenbezug mehr besteht, können vom App-Anbieter weiterhin verwendet werden.

III. Die Einwilligung im Kontext von Datenschutzerklärungen Datenfinanzierte Angebote verwenden  – wie digitale Dienste im Allgemeinen – häufig eine Datenschutzerklärung, die sämtliche datenschutzrechtlich relevanten Verarbeitungen sowie weitere Informationen zum Datenumgang in einer Erklärung zusammenfasst. Der Grund hierfür liegt in der Schwierigkeit bzw. Unmöglichkeit für viele App-Anbieter, individuelle Einwilligungserklärungen und auf den Nutzer angepasste Datenverarbeitungen für die Dienste zu erstellen, die darüber hinaus den individuellen Nutzungsrahmen der App sowie das lokal wirksame Datenschutzregime berücksichtigen. Deshalb nutzen sie oft Datenschutzerklärungen – ähnlich klassischen AGB – als Vertragsschablonen. Die langen und unverständlichen Erklärungen werden daher als „Einfallstor“ für sämtliche Datenverarbeitungsprozesse genutzt.897 897

Zu dieser Praxis Kühl, Denn sie wissen nicht, worin sie einwilligen, Zeit Online v. 21. 2. 2018, abrufbar unter: www.zeit.de/digital/internet/2018-02/facebook-agb-klauseln-studienutzer-informationen.

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

287

Solche Erklärungen dienen der Information der Nutzer, indem sie die in Art. 13, 14 DSGVO geforderten Angaben beinhalten, und es werden die von einer App vorgenommenen Datenverarbeitungen aufgeschlüsselt, im Detail die Kategorien von verarbeiteten Daten, die Zwecke der Verarbeitung sowie die Rechtsgrundlage, auf deren Grundlage die Verarbeitung stattfindet.898 Hier vereinen App-­Anbieter in den Datenschutzerklärungen häufig Informationen über die verschiedenen Rechtsgrundlagen, die kumulativ zur Datenverarbeitung genutzt werden. Im Rahmen komplexer datenfinanzierter Angebote führt dies dazu, dass eine vorformulierte, die gesamte Datenverarbeitung umfassende Datenschutzerklärung häufig eine Vielzahl von Seiten umfasst, in denen über alle möglichen Verarbeitungsprozesse sowie alle weiteren Vorgaben nach Art. 13 bzw. 14 DSGVO informiert wird.899 Für die Datenschutzerklärung gelten also die bereits dargestellten Transparenzpflichten. Stellt der Datenverarbeiter eine Datenschutzerklärung bereit und wird die Verarbeitung gleichwohl über eine Einwilligung gerechtfertigt, ergeben sich Besonderheiten in deren Zusammenspiel. Wie diese Besonderheiten ausfallen und wie die Datenschutzerklärung vom einzelnen Einwilligungstext zu unterscheiden ist, wird nachfolgend erörtert. Auch soll hinsichtlich der Einwilligungen in den häufig langen Datenschutzerklärungen geklärt werden, ob und wie die Einwilligung singulär von der betroffenen Person wahrnehmbar ist, so dass die Informiertheit und Transparenz der Einwilligung erhalten bleibt. Denn in einer solchen Situation ergibt sich häufig das zusätzliche Problem, dass die Datenschutzbestimmungen aufgrund von Komplexität und Umfang von der betroffenen Person nicht gelesen werden und die Einwilligung zur Verarbeitung trotzdem erteilt wird.900 1. Ausgangspunkt: Art. 7 Abs. 2 DSGVO Eine Einwilligung kann grundsätzlich in andere rechtsgeschäftliche Handlungen eingegliedert werden. Ist ein Einwilligungstext hierdurch Teil einer umfangreicheren Erklärung, die in der Regel als Datenschutzerklärung bezeichnet wird, so greift Art. 7 Abs. 2 S. 1 DSGVO. Danach muss eine durch schriftliche Erklärung erfolgende Einwilligung, deren Text gleichzeitig noch andere Sachverhalte betrifft, bestimmte Voraussetzungen erfüllen. Im Einzelnen muss der Teil der Einwilligung verständlich und in leicht zugänglicher Form gestaltetet werden, in klarer und einfacher Sprache verfasst sein sowie derart erfolgen, dass das Ersuchen der Einwilligung von den anderen Sachverhalten klar zu unterscheiden ist.

898

Wendehorst / v. Westphalen, NJW 2016, 3745 (3748). Pollmann / Kipker, DuD 2016, 378 (378). 900 S. bereits § 6 B. II. 3. c). Hierzu vertiefend Europäische Kommission, Special Eurobarometer 431, S. 84 ff. 899

288

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

a) Der Regelungsrahmen von Art. 7 Abs. 2 DSGVO Die Regelung des Art. 7 Abs. 2 DSGVO gilt nach ihrem Wortlaut für zusammenhängende, verschriftliche Erklärungen. Da die DSGVO mit ihrem Regelungsrahmen maßgeblich auf den digitalen Kontext zielt, muss Art. 7 Abs. 2 DSGVO allerdings auch hier Anwendung finden.901 Daher ist das Schriftformerfordernis im europäischen Kontext weit auszulegen, so dass die Regelung über den nationalen zivilrechtlichen Terminus der Schriftform (§ 126 BGB) hinaus auch die Textform oder elektronische Form einer Erklärung umfasst.902 Eine schriftliche Erklärung, die „noch andere Sachverhalte“ adressiert, betrifft einheitliche Dokumente, die neben der Einwilligung noch weitere rechtserhebliche Inhalte enthalten.903 Falls die anderen Inhalte dazu geeignet sind, die Einwilligung in den Hintergrund zu drängen, so dass die betroffene Person diese unter Umständen nicht aktiv wahrnimmt, greift Art. 7 Abs. 2 DSGVO.904 Die Norm regelt also die Ausgestaltung von mehrdeutigen Sachverhalten. Die bei Apps häufig verwendeten „Datenschutzerklärungen“ sind mithin dann von Art. 7 Abs. 2 DSGVO betroffen, wenn sie neben der Einwilligung noch zusätzliche Informationspflichten aus Art. 13, 14 DSGVO, die Geltendmachung andere Verarbeitungsgrundlagen (Art. 6 Abs. 1 UAbs. 1 lit. b) bis f) DSGVO) oder etwas sonstiges Rechtserhebliches enthalten. Ist beim Download von Navigations-App A also eine Datenschutzerklärung zur Kenntnis zu nehmen und bestätigen, die über eine Einwilligung hinaus noch die Information über eine Datenverarbeitung nach Art. 6 Abs. 1 UAbs. 1 lit. b) und f) DSGVO oder sonstige über die Einwilligung hinausgehende Informationen zur Datenverarbeitung enthält, so muss diese Erklärung die Anforderungen von Art. 7 Abs. 2 DSGVO einhalten.

b) Anforderungen an die Erklärung Art. 7 Abs. 2 DSGVO stellt an die schriftliche Erklärung zusätzliche Anforderungen, die die Voraussetzungen an die Informiertheit und Transparenz aus Art. 4 Nr. 11 DSGVO ergänzen.905 Diese beinhalten Vorgaben zur Transparenz und Verständlichkeit, wobei der Übergang dieser Anforderungen fließend verläuft, und beziehen sich darauf, die Einwilligung durch ihre Eindeutigkeit und Verständlichkeit von der restlichen Erklärung hervorzuheben.906 901

Plath, in: Plath, DSGVO / BDSG, Art. 7 DSGVO, Rn. 7. Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 77. 903 Dies wird vor allem aus der englischen Sprachfassung „other matters“ deutlich, vgl. ­Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  76. 904 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 78. 905 S. o. § 6 B. II. 4. 906 Buchner / Kühling, in: Kühling / Buchner, DSGVO / BDSG, Art. 7 Rn. 25; Heckmann /  Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 75. 902

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

289

Aus der Anforderung an eine klare Unterscheidbarkeit zu anderen Sachverhalten gemäß Satz 1 materialisiert sich das Transparenzgebot.907 Die Einwilligung muss hiernach aus Gründen der Transparenz so gestaltet sein, dass ihr in der Gesamterklärung die besondere Aufmerksamkeit der betroffenen Person sicher ist, die Informationen zur Einwilligung der betroffenen Person nicht lediglich „beiläufig“ mit anderen relevanten Informationen bereitgestellt werden und die Einwilligung so nicht in einer Informationsfülle untergeht.908 Inhaltlich bezieht sich die Anforderung darauf, dass die Verarbeitung auf der Grundlage einer gewillkürten Einwilligung von sonstigen gerechtfertigten Verarbeitung (vgl. Art. 6 Abs. 1 UAbs. 1 lit. b)  bis f)  DSGVO) und anderen rechtserheblichen Aussagen unterscheidbar bleibt. Der betroffenen Person muss dementsprechend klar sein, welche textlichen Informationen sich auf die Einwilligung beziehen und welche auf die Verarbeitung der Daten nach einer anderen Rechtsgrundlage abstellen.909 Auch darf die Einwilligung im Verhältnis zum sonstigen Text nicht in den Hintergrund gedrängt werden, sondern muss mit vertretbarem Aufwand zur Kenntnis genommen werden können.910 Zur Anforderung gehört im Rahmen umfangreicher Datenschutzerklärungen auch, dass die Einwilligung als ebensolche bezeichnet wird und nicht die gesamte sog. Datenschutzerklärung die Umstände der Verarbeitung für die betroffene Person scheinbar unveränderlich vorschreibt, sondern ihr eine Entscheidung verbleibt.911 Art. 7 Abs. 2 S. 1 DSGVO umfasst ferner das Gebot der Verständlichkeit, wonach die Einwilligung inhaltlich „in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache“ erfolgen muss. Diese Vorgabe wiederholt maßgeblich das Merkmal der Informiertheit aus Art. 4 Nr. 11 DSGVO.912 Auch greift sie die generellen Transparenz-Vorgaben aus Art. 12 Abs. 1 DSGVO auf und wird in den Erwägungsgründen 39 und 58 bekräftigt. Aufgrund der verständlichen und leicht zugänglichen Form muss der Erklärungstext derart gestaltet sein, dass die Einwilligung deutlich les- und erkennbar ist und sich vom restlichen Teil der Erklärung absetzt.913 Der Verarbeiter muss beim Erklärungstext im Übrigen mit klarer und einfacher Sprache arbeiten, so dass der Text auch für eine nicht juristisch gebildete Person verständlich bleibt und diese anhand des Textes eine Folgenabschätzung der Einwilligung treffen kann.914

907

Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  77. Frenzel, in: Paal / Pauly, DSGVO / BDSG, Art.  7 Rn.  10. 909 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 521. 910 Breyer, DuD 2018, 311 (312); Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 75. Die Informationen sollten nie mehr als zwei Klicks entfernt sein. 911 LG Berlin, Urt. v. 30. 4. 2013 – 15 O 92/12 = ZD 2013, 451 (453); Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 522. 912 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  78. 913 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 79. 914 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 80. 908

290

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Hinsichtlich der einfachen Sprache und Darstellung können bei datenfinanzierten Angeboten auch Smartphone-spezifische Probleme für unzumutbare Klauseln sorgen. So kann etwa die Darstellungsform aufgrund der oft kleinen Displays mitunter schwer lösbare Probleme für die Erfassbarkeit der Klausel bieten. Der Umfang der Bedingungen sollte für eine Tauglichkeit der Regelung insoweit auf die Ausgestaltung der betreffenden Endgeräte Rücksicht nehmen.915 Sowohl für das notwendige Maß an Aufmerksamkeit wie für das Gebot der Verständlichkeit ist abstrakt auf eine „durchschnittliche“ betroffene Person abzustellen.916 Dies bedeutet insbesondere, dass im Erklärungstext durch Verwendung von Alltagssprache auf juristische Fachtermini und Fremdwörter weitgehend zu verzichten ist. Das OLG Frankfurt hat hierzu prägnant formuliert, dass die Möglichkeit der Kenntnisnahme nach den Gesamtumständen so ausgestaltet sein muss, dass „sie demjenigen Internetnutzer, der grundsätzlich zu einer sachlichen Befassung mit Inhalt und Umfang der Einwilligungserklärung bereit ist, die Möglichkeit einer realistischen Prüfung eröffnet“.917 Das Urteil wurde zwar bereits vor Inkrafttreten der DSGVO erlassen, lässt sich aufgrund der Vergleichbarkeit von §§ 4, 4a BDSG a. F. zur aktuellen Regelung durchaus inhaltlich auf diese übertragen. Diese Anforderungen aus Art. 7 Abs. 2 S. 1 DSGVO werden in Satz 2 um die Rechtsfolge ergänzt, dass Teile der Erklärung dann nicht verbindlich sind, wenn sie einen Verstoß gegen diese Verordnung darstellen. Die Bezugnahme auf Teile der Erklärung bedeutet, dass die Einwilligung bei einem Verstoß nicht vollständig unwirksam sein muss. Vielmehr ist auch eine teilweise Unwirksamkeit möglich, sofern die in der Einwilligung beinhaltete Bestätigungshandlung auf mehrere voneinander trennbare Verarbeitungen abgrenzbar ist und mehrere separate Einwilligungen zusammenfasst.918 2. Datenschutzerklärungen als Allgemeine Geschäftsbedingungen Durch die Gebote an Transparenz und Verständlichkeit sollen die Rahmen­ bedingungen der Einwilligung derart ausgestaltet werden, dass ein Ausgleich der informationellen Unterlegenheit der betroffenen Person sowie ihrer kognitiven und psychologischen „Schwächen“ zum Datenverarbeiter stattfinden kann.919 Ein solcher Regelungsansatz findet sich ansonsten vor allem im Verbraucherschutzrecht, insbesondere dem Recht über Allgemeine Geschäftsbedingungen. Aus Sicht

915

Janal, NJW 2016, 3201 (3205); Marly, Praxishandbuch Softwarerecht, Rn. 1170. KG Berlin, Urt. v. 23. 3. 2019 – 23 U 268/13 = K&R 2019, 414 (418); Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 80; Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 7 Rn. 77; Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 523. 917 OLG Frankfurt, Urt. v. 17. 12. 2015 – 6 U 30/15 = MMR, 2016, 245 (246). 918 Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  7 Rn.  79. 919 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 472. 916

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

291

der betroffenen Person unterscheiden sich lange und komplizierte Einwilligungserklärungen nicht großartig von sonstigen Allgemeinen Geschäftsbedingungen, so dass eine Bewertung dieser Erklärungen an den Maßstäben des Verbraucherrechts durchaus naheliegt. Bereits vor Inkrafttreten der DSGVO hat der BGH aus diesem Grund die §§ 305 ff. BGB auch entsprechend auf vorformulierte Einwilligungs- und Datenschutzerklärungen angewandt.920 Nach diesem Urteil besteht die grundsätzliche Geltung der §§ 305 ff. BGB auf Datenschutzbestimmungen, wenn es sich um für eine Vielzahl von Fällen vorformulierte Vertragsbedingungen handelt, die einseitig von einer Vertragspartei – in aller Regel dem Datenverarbeiter – gestellt werden, ohne dass der andere – die betroffene Person – über ihren Inhalt verhandeln kann. Auf die verwendete Bezeichnung kommt es nach Ansicht des BGH insoweit nicht an und die Voraussetzungen der Einwilligung (§§ 4, 4a BDSG a. F.) sind zusätzlich anhand der §§ 305 ff. BGB zu prüfen. Auch in der Literatur wurde anerkannt, dass bei der Bewertung von vorformulierten Einwilligungserklärungen die AGBRechtsprechung heranzuziehen und zu beachten ist.921 a) Die Rechtslage durch Inkrafttreten der DSGVO Mit den Regelungen in Art. 7 Abs. 2 S. 1 vollzieht die DSGVO einen Schritt in Richtung einer Transformation zum Verbraucherschutzrecht.922 So sind die Voraussetzungen einer wirksamen Einwilligungserklärung den gängigen Voraussetzungen Allgemeiner Geschäftsbedingungen angenähert, indem Einwilligungserklärungen in verständlicher, leicht zugänglicher Form und in klarer, einfacher Sprache verfasst und deutlich von anderen Regelungen klar unterscheidbar dargestellt werden müssen. Vom Datenverarbeiter vorformulierte Erklärungen dürfen – neben den Anforderungen an Form und Sprache – zudem keine missbräuchlichen Klauseln beinhalten.923 Dort rekurriert die DSGVO eindeutig auf die Richtlinie 93/13/EWG924 über missbräuchliche Klauseln in Verbraucherverträgen. Der direkte Rückgriff auf das nationale „AGB-Recht“ in §§ 305 ff. BGB ist daher nicht mehr erforderlich, da bereits durch die Anforderungen an eine freiwillige, transparente und hinreichend verständliche Einwilligung die Rechte der betroffen Person hinreichend geschützt werden, was die Anwendung der nationalen Normen

920

BGHZ 177, 253 Rn. 15 ff. Vgl. etwa Rogosch, Die Einwilligung im Datenschutzrecht, S. 110 m. w. N. 922 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 473. Diese Entwicklung gründet auch auf der voranschreitenden Monetarisierung personenbezogener Daten – besonders deutlich im Kontext datenfinanzierter Angebote. 923 Vgl. DSGVO ErwG 42 S. 3. 924 Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen. 921

292

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

suspendiert.925 Durch den eindeutigen Verweis auf die Richtlinie 93/13/EWG kann gleichwohl auf die Auslegung und Maßstäbe der AGB-rechtlichen nationalen Regelungen zurückgegriffen werden, da die §§ 305–309 BGB eine weitgehend direkte Umsetzung der Richtlinie darstellen.926 b) Folgen für die Einwilligungserklärung Nach Art. 7 Abs. 2 DSGVO ist mit dem Verweis auf Art. 3 Abs. 1, 4 der Richtlinie 93/13/EWG eine inhaltliche Prüfung der Angemessenheit der Einwilligung im konkreten Verarbeitungskontext durchzuführen.927 Die unbestimmten Rechtsbegriffe der „klaren und einfachen Sprache“ in Art. 7 Abs. 2 DSGVO weisen im Übrigen eine deutliche Ähnlichkeit zur nach § 307 BGB erforderlichen Inhaltskontrolle auf, so dass man von einem vergleichbaren Prüfungsmaßstab zur AGB-rechtlichen Inhaltskontrolle ausgehen kann.928 Es hat eine Beurteilung der einzelnen Einwilligung stattzufinden, die über die abstrakte Beurteilung der Einwilligung hinausgeht. Die Prüfung beschränkt sich nicht bloß auf allgemeine Maßstäbe zur Transparenz und Verständlichkeit. Die konkret bewilligte Datenverarbeitung darf dem Gebot von Treu und Glauben folgend nicht ein erhebliches und ungerechtfertigtes Missverhältnis der vertraglichen Rechte und Pflichten der Vertragspartner zum Nachteil des Verbrauchers verursachen (vgl. Art. 3 Abs. 1 Richtlinie 93/13/EWG). Die Vergleichbarkeit zur AGB-Kontrolle führt auch dazu, dass eine Intransparenz oder Zweifel bei der Auslegungen einer Erklärungen – neben möglichen Verstößen gegen die DSGVO – zulasten des verwendenden Datenverarbeiters auszulegen ist.929 3. Auswirkungen auf datenfinanzierte Angebote Bei datenfinanzierten Angeboten generiert sich die Wertschöpfung des Angebots weitestgehend aus der auf einer Einwilligung beruhenden Datenverarbeitung. Dementsprechend hätte eine inhaltliche Kontrolle der einzelnen Einwilligungserklärung, die über den datenschutzrechtlich bereits hohen Standard der DSGVO 925 Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 7 Rn. 82; v. Lewinski / Herrmann, PinG 2017, 165 (169); Schantz, NJW 2016, 1841 (1844). 926 Schantz, in: Schantz / Wolff, Das neue Datenschutzrecht, Rn. 522. Das KG Berlin geht sogar von einer direkten Anwendung der §§ 305–309 BGB auch nach Inkrafttreten der DSGVO aus, vgl. Urt. v. 27. 12. 2018 – 23 U 196/13, Rn. 14 ff.; Urt. v. 21. 3. 2019 – 23 U 268/13 = K&R 2019, 414 (414 f.). 927 Schantz, NJW 2016, 1841 (1845). 928 Brendle-Weith, VuR 2018, 331 (335). 929 Vgl. die Wertung von § 305c Abs. 2 BGB, zustimmend Wendehorst / v. Westphalen, NJW 2016, 3745 (3748 f.).

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

293

hinaus zusätzlich noch eine Inhaltskontrolle verlangt, weitreichende Folgen für solche Angebote. Nicht nur müssten die bereits dargelegten datenschutzrechtlichen Standards eingehalten werden, die Einwilligung müsste zusätzlich noch darauf untersucht werden, ob die bewilligten Datenverarbeitungen in einem erheblichen und ungerechtfertigten Missverhältnis zu den vertraglichen Rechte und Pflichten des Nutzers stehen. a) Der Umfang der Inhaltskontrolle Die kommerzielle Nutzung der Daten erhebt die Datenpreisgabe des Nutzers bei datenfinanzierten Angeboten – wie in dieser Arbeit bereits mehrfach aufgezeigt – selbst zum (zivilrechtlichen) Vertragsbestandteil. Es kommt zu einem Vertrag mit der Austauschbeziehung „Daten gegen Leistung“. Aufgrund dieses Austauschverhältnisses könnte man von einer Einschränkung der Inhaltskontrolle ausgehen. Denn wenn es sich bei der Datenpreisgabe um die „Hauptleistung“ des Nutzers handelt, so könnte hinsichtlich dieser nach der Wertung des Art. 4 Abs. 2 Richtlinie 93/13/EWG (vgl. auch § 307 Abs. 3 S. 1 BGB) lediglich eine eingeschränkte Inhaltskontrolle stattfinden. Nach Art. 4 Abs. 2 betrifft die Beurteilung der Missbräuchlichkeit der Klauseln weder den Hauptgegenstand des Vertrags noch die Angemessenheit zwischen dem „Preis“ bzw. dem Entgelt – innerhalb des vorliegenden Kontexts also die Datenpreisgabe – und der Dienstleistung, die die Gegenleistung darstellen, sofern die Klauseln diesbezüglich klar und verständlich verfasst sind. Voraussetzung für eine eingeschränkte Kontrolle ist also, dass die Datenpreisgabe in der Klausel deutlich als die Leistung des Nutzers dargestellt wird. Denn anderenfalls kann schwerlich von einer klaren und verständlichen Klausel gesprochen werden, auf die sich der Datenverarbeiter berufen kann. In der Datenschutzerklärung von Navigations-App A muss also deutlich werden, dass die App keineswegs kostenfrei verfügbar ist, sondern Daten des Nutzers kommerziell nutzt.

Auch die vom Anbieter vorformulierten Leistungsbeschreibungen in der Einwilligung, die eine Datenverarbeitung und Datenpreisgabe des Nutzers überhaupt erst als Gegenleistung des Vertrags benennen, unterliegen einer grundsätzlichen Missbrauchskontrolle.930 Hierfür spricht zunächst, dass der Ausschluss der Missbrauchskontrolle lediglich den – eng auszulegenden – Kern der „Hauptleistungspflicht“ des Nutzers betrifft.931 Gleichzeitig ist die Einwilligungserklärung doppelfunktional geworden und betrifft neben der reinen Leistungsbeschreibung des Nutzers auch die weiteren Befugnisse, die dem App-Anbieter hinsichtlich der Verarbeitung der Daten zustehen.932

930

Wendehorst / v. Westphalen, NJW 2016, 3745 (3749). EuGH, Urt. v. 30. 4. 2014, Rs. C-26/13, Rn. 42 – Kásler / OTP Jelzálogbank Zr. 932 Wendehorst / v. Westphalen, NJW 2016, 3745 (3749). 931

294

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

b) Die Missbrauchskontrolle der Einwilligung Unabhängig davon, ob bei datenfinanzierten Angeboten die Datenpreisgabe in der Einwilligung eindeutig als Gegenleistung bezeichnet wird, hat eine grundsätzliche Inhaltskontrolle der Einwilligungserklärung stattzufinden. Es ist zu überprüfen, ob die Datenpreisgabe in einem erheblichen und ungerechtfertigten Missverhältnis zu den vertraglichen Rechte und Pflichten des Nutzers steht. Zu beachten sind dabei nach Maßgabe von Art. 4 Abs. 2 Richtlinie 93/13/EWG weder der Hauptleistungsgegenstand des Vertrags noch die Angemessenheit zwischen dem Preis / Entgelt und der Gegenleistung in Form der Dienstleistung oder Güter. Für datenfinanzierte Angebote kommt es – zumindest hinsichtlich der Missbrauchskontrolle – weder auf den Inhalt oder Umfang der preiszugebenden Daten als Vertragsleistung des Nutzers noch darauf an, ob diese in einem angemessenen Verhältnis zur Nutzung der App als Gegenleistung des App-Anbieters stehen. Die Inhalts- bzw. Missbrauchskontrolle hat demgegenüber vielfältige andere Ansatzpunkte, die eine Einwilligungsklausel als missbräuchlich erscheinen lassen können. Hierzu gehört etwa eine Intransparenz bezüglich der Datenverarbeitung durch den App-Anbieter. Der Umfang der Datenpreisgabe durch den Nutzer wird als „Hauptleistung“ zwar nicht in die Kontrolle miteinbezogen. Die eindeutige Darstellung, welche Daten vom App-Anbieter wie verwendet werden, liegt allerdings nicht mehr im Leistungsbereich des Nutzers und unterliegt insoweit der Inhaltskontrolle. Auch Verstöße gegen die Prinzipien von Privacy by Design und Privacy by Default erscheinen geeignet, eine Missbräuchlichkeit der Klausel anzunehmen.933 Bei der Einwilligungserklärung von Navigations-App A ist durch die Inhaltskontrolle Art und Umfang der preiszugebenden Daten als Gegenleistung des Nutzers nicht kontroll­ fähig. Von der Kontrolle ist ausgeschlossen, ob lediglich Navigationsdaten erhoben werden oder auch Zugriff auf darüberhinausgehende Daten besteht – etwa die Kontakte oder den Browser­verlauf des Nutzers. Demgegenüber ist die Erklärung darauf zu prüfen, wie die genaue Art der Verarbeitung stattfindet, wie der Nutzer hierüber informiert wird, wie der Schutz der Daten organisatorisch sichergestellt wird und wie die Darstellung der Erklärung gegenüber dem Nutzer ausfällt.

Ist die Klausel als missbräuchlich zu bewerten, kann sich der App-Anbieter nicht auf diese berufen. Ein Verstoß gegen die Inhaltskontrolle führt auch zu einem datenschutzrechtlichen Verstoß, welcher die – zumindest teilweise – Unwirksamkeit der Einwilligungserklärung zur Folge hat. Hierzu gibt Erwägungsgrund 42 S. 3 eindeutig Auskunft, indem dieser die Wertung der Richtlinie 93/13/EWG in den Prüfungsmaßstab von Art. 7 Abs. 2 DSGVO einschließt und damit eine Verbindung zwischen AGB-Recht und der jeweiligen Einwilligung schafft.934 Eine 933

Wendehorst / v. Westphalen, NJW 2016, 3745 (3749). S. § 6 B. III. 2. Zustimmend Wendehorst / v. Westphalen, NJW 2016, 3745 (3749). In den meisten Fällen würde eine missbräuchliche Einwilligungsklausel i. Ü. wohl auch gegen die bereits erörterten Anforderungen der Freiwilligkeit und Informiertheit der Einwilligung verstoßen.

934

§ 6 Die Rechtmäßigkeit der Datenverarbeitung

295

auf die Einwilligung gestützte Datenverarbeitung wäre bei einem Verstoß damit rechtsgrundlos und insoweit rechtswidrig. Einziger Ansatzpunkt für eine weiterhin zulässige Datenverarbeitung stellt die zusätzliche Berufung auf eine andere Rechtsgrundlage innerhalb der Datenschutzerklärung dar. Dies führt zu ausgewogenen Ergebnissen, da die Rechtsgrundlagen aus Art. 6 Abs. 1 UAbs. 1 lit. b) und f) DSGVO an deutliche striktere Voraussetzungen geknüpft sind. IV. Die Einwilligung bei datenfinanzierten Angeboten Nach dieser ausführlicheren Untersuchung verbleibt die Frage, inwieweit sich durch die Einwilligung eine Datenverarbeitung praktikabel und rechtmäßig ausgestalten lässt und gleichzeitig die informationelle Selbstbestimmung der Nutzer gewahrt bleiben kann. Der aktuellen Rechtslage in der DSGVO und der hier vertretenen – in vielen Bereichen eher liberalen – Auslegung der Anforderungen an die Einwilligung folgend, muss ein App-Anbieter zahlreiche Voraussetzungen erfüllen, um eine wirksame Einwilligung vom Nutzer erhalten zu können. Vor allem die Gebote der Bestimmtheit, Informiertheit, Transparenz und Freiwilligkeit stellen weitreichende Anforderungen an eine taugliche Einwilligung und jedwede Missachtung führt zu einer Unwirksamkeit der Einwilligung. Auch muss bei datengetriebenen Geschäftsmodellen die jederzeitige Widerrufsmöglichkeit beachtet werden, durch die ein Nutzer die zukünftige Verarbeitung über die zuvor getätigte Einwilligung verhindern kann. Gleichzeitig eröffnet die DSGVO den Datenverarbeitern mit der Einwilligung auch Chancen, mit Daten kommerziell tätig zu werden. Ist eine Einwilligung erst einmal wirksam erteilt, kann über die Einwilligung eine sehr weitreichende Datenverarbeitung stattfinden, die auch eine kommerzielle Nutzung ermöglicht. Eine bewilligte Datenverarbeitung kann mithin weit über die zulässigen Verarbeitungen nach den anderen Erlaubnistatbeständen hinausgehen. Diese verlieren hierdurch allerdings nicht an Bedeutung, da sie ein „Sicherheitsnetz“ für zwingend notwendige Datenverarbeitungen spannen, das nicht mit der Einwilligungserteilung oder dem Widerruf des Nutzers steht und fällt. Für datenfinanzierte Angebote bedeutet dies, dass die Einwilligung transparent und verständlich über die genaue Datenverarbeitung Auskunft geben muss. Die Besonderheit, dass hier die Daten die Gegenleistung für die Nutzung der App darstellen, ermöglicht es den Anbietern, trotz des Gebots der Freiwilligkeit ihre Leistungserbringung an die Erteilung der Einwilligung zu binden. Insofern müssen sie ihren eigenen Dienst nur dann dem Nutzer zur Verfügung stellen, wenn ihnen auf der Gegenseite die Verarbeitung der Daten ermöglicht wird. Für App-Anbieter wird über die Einwilligung ermöglicht, bei hinreichender Information der Nutzer viele ihrer Daten kommerziell zu nutzen. Der Nutzer ist durch seine Widerrufsmöglichkeit demgegenüber vor einer maßlosen Datenverarbeitung geschützt, wenngleich er hierfür bei getätigtem Widerruf auf die Nutzung des Dienstes verzichten muss.

296

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

So ist zu konstatieren, dass das Konzept der Einwilligung auch bei zunehmender Digitalisierung generell tauglich erscheint. Es bleibt gleichwohl zu beachten, dass eine informierte Einwilligung, die über Umfang, Inhalt und Zweck der Datenverarbeitung Auskunft gibt, mit zunehmenden Datenmengen und komplexeren Verarbeitungsprozessen immer schwieriger umzusetzen ist. Diese Problematik ergibt sich vor allem vor dem Hintergrund bezweckter Big Data-Analysen, da einzelnen Daten durch die kumulierte und unterschiedliche spätere Verbindung ein neuer Verarbeitungszweck sowie eine neue, erweiterte Aussagekraft zukommen kann. Über eine solche muss nach dem geltenden Einwilligungskonzept aber bereits bei erstmaliger Erhebung und Verarbeitung der Daten bereits transparent informiert werden. Auch besteht nach wie vor das Problem, dass Einwilligungserklärungen trotz der Möglichkeit zur Kenntnisnahme und aller regulatorischen Vorgaben, vom Nutzer häufig nicht zur Kenntnis genommen werden. Dies kann bei datenfinanzierten vor allem aus Desinteresse des Nutzers oder einer Überflutung von Informationen aufgrund der Vielzahl verschiedener Apps herrühren. Ob sich dieses Problem, das hauptsächlich die Transparenz gegenüber dem Nutzer betrifft, lösen lässt, bedarf nachfolgend einer genaueren Erörterung.

§ 7 Grenzüberschreitender Datenschutz Angesichts der häufigen internationalen Zusammenhänge bei der Datenverarbeitung rückt die Reichweite und Durchsetzungsmöglichkeit des europäischen Datenschutzrechts im internationalen Kontext immer mehr in den Blickpunkt. In der der digitalen Welt prägen amerikanische Unternehmen wie Google und Facebook die angebotenen Dienstleistungen – häufig mit ihrem ganz eigenen Verständnis von Datenschutzstandards.935 Die Bereitstellung datenfinanzierter Angebote stellt hierzu keine Ausnahme dar. Bei datenfinanzierten Angeboten rückt dabei in den Fokus, dass viele der gesammelten Nutzerdaten zur Analyse in außereuropäische Drittländer übermittelt und als Datensätze innerhalb des Konzerns oder an hierfür zahlende Dritte offengelegt werden. Das nachfolgende Kapitel soll darüber Auskunft geben, welche datenschutzrechtlichen Standards die EU auch im internationalen Kontext zu oktroyieren vermag. Dazu soll zunächst eine generelle Übersicht über den räumlichen Anwendungsbereich der DSGVO gegeben werden (A.). Im Anschluss sollen die Probleme bei einem Datentransfer in Drittländer außerhalb der Union erörtert und ein Zusammenhang zu den einzelnen Verarbeitungsprozessen bei datenfinanzierten Angeboten geschaffen werden (B.).

935

Kühling, in: Stiftung Datenschutz, Zukunft der informationellen Selbstbestimmung, S. 49 (55).

§ 7 Grenzüberschreitender Datenschutz

297

A. Räumlicher Anwendungsbereich der DSGVO Mit Inkrafttreten der DSGVO haben sich die Regelungen zum räumlichen Anwendungsbereich im Vergleich zur Datenschutz-Richtlinie 95/46/EG erweitert. Der Anwendungsbereich wird weit gefasst und bezweckt die Anwendung des europäischen Datenschutzrechts für alle Sachverhalte, die einen Unionsbezug aufweisen.936 Die Regelungen hierzu finden sich in Art. 3 DSGVO. Die DSGVO unterscheidet beim räumlichen Anwendungsbereich zwischen dem sog. Sitz- und Niederlassungsprinzip nach Art. 3 Abs. 1 DSGVO und dem Marktortprinzip gem. Art. 3 Abs. 2 DSGVO.937 Erfolgt eine Datenverarbeitung ausschließlich innerhalb der Union – d. h. befinden sich betroffene Personen, der Datenverarbeiter sowie auch evtl. Übertragsorte der Daten innerhalb der Union –, ergibt sich die Anwendbarkeit der DSGVO quasi von selbst. Interessanter ist die Betrachtung der Datenverarbeitung von Unternehmen, die auch außerhalb der EU wirtschaftlich tätig sind oder erst gar keine Niederlassung innerhalb der EU betreiben. I. Das Sitz- und Niederlassungsprinzip Art. 3 Abs. 1 DSGVO normiert das sog. Sitz- und Niederlassungsprinzip. Danach findet die DSGVO Anwendung auf die „Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwort­ lichen […] erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet“. Die Regelung ähnelt der Bisherigen aus Art. 4 Abs. 1 lit. a) der RL 95/46/EG. Daher lässt sich auch die zu dieser Vorschrift ergangene Rechtsprechung des EuGH übertragen, soweit sie vom Wortlaut her anwendbar ist.938 Im Rahmen des Art. 3 Abs. 1 DSGVO gilt das schon bisher gültige Sitzprinzip fort.939 Danach ist die DSGVO bei einer Datenverarbeitung anwendbar, wenn der Datenverarbeiter (als Verantwortlicher oder Auftragsverarbeiter) seinen Sitz in der EU hat. Sitz ist der Ort, den die Satzung eines Unternehmens als solchen be 936

Schmidt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  3 Rn.  2. Zusätzlich findet die DSGVO nach Art. 3 Abs. 3 Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. DSGVO ErwG 25 spezifiziert diese Regelung dergestalt, dass das Recht eines Mitgliedstaats völkerrechtlich etwa in einer diplomatischen oder konsularischen Vertretung eines Mitgliedstaats anwendbar ist. Bei den Betreibern datenfinanzierter Angebote handelt es sich für gewöhnlich um privatwirtschaftlich agierende Unternehmen, so dass deren Niederlassung in aller Regel nicht durch völkerrechtliche Regelungen berührt wird. Die Bedeutung des Art. 3 Abs. 3 DSGVO ist für diese Arbeit insoweit nachrangig. 938 EuGH, Urt. v. 1. 10. 2015, Rs. C-230/14 – Weltimmo; Urt. v. 13. 5. 2014, Rs. C-131/12 – Google Spain; Piltz, K&R 2016, 557 (558). 939 EuGH, Urt. v. 1. 10. 2015, Rs. C-230/14, Rn. 29 – Weltimmo; Urt. v. 13. 5. 2014, Rs. C-131/12, Rn. 49 – Google Spain; Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  3 Rn.  3. 937

298

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

stimmt.940 Für die Belange dieser Arbeit findet die DSGVO folglich Anwendung, wenn der jeweilige App-Anbieter seinen eingetragenen Sitz in einem der Staaten der EU. Die DSGVO findet nach Art. 3 Abs. 1 auch Anwendung, wenn sich der Sitz eines Unternehmens zwar außerhalb der EU befindet, die Verarbeitung der Daten aber im Rahmen einer Tätigkeit einer Niederlassung des Unternehmens erfolgt. Über das Niederlassungsprinzip ist die DSGVO also auch für außereuropäische Unternehmen anwendbar, die innerhalb der EU eine Niederlassung betreiben. Der Begriff der Niederlassung ist weit, flexibel und nicht formalistisch zu verstehen.941. Eine Niederlassung kann nach Rechtsprechung des EuGH bereits vorliegen, wenn ein Vertreter und ein Bankkonto in einem Mitgliedsstaat vorhanden sind, während die Eintragung ins Handelsregister nicht ausschlaggebend ist.942 Nach Erwägungsgrund 22 muss allerdings für eine Niederlassung im Sinne des Art. 3 Abs. 1 DSGVO eine effektive und tatsächlich Ausübung einer Tätigkeit durch eine feste Einrichtung vorliegen, was insoweit die weite Geltung des EuGH-Urteils etwas einschränkt. Daran anknüpfend ist das reine Vorliegen von Hardwarekomponenten, also Server und Rechner ohne Personal oder Organisation, für das Vorliegen einer Niederlassung nicht ausreichend.943 Die Datenverarbeitung muss allerdings zur Einschlägigkeit von Art. 3 Abs. 1 DSGVO im Rahmen der Tätigkeit dieser Niederlassung stattfinden. Erwägungsgrund 22 S. 2 spricht insoweit von einer „effektiven und tatsächlichen Ausübung der Tätigkeit“. Die Niederlassung danach muss in die Datenverarbeitung einbezogen sein und durch ihre Tätigkeit muss ein Zusammenhang zur Verarbeitung bestehen.944 Dieser Zusammenhang ist einzelfallspezifisch zu bestimmen. Nach der Rechtsprechung des EuGH ist ein Zusammenhang weit zu verstehen und es reicht bereits eine geringfügige Tätigkeit für eine Zuordnung aus.945 Dazu genügt etwa irgendeine geschäftliche Verbindung zwischen der Datenverarbeitung und der Tätigkeit der Niederlassung, selbst bei bloßen Werbe- oder Vertriebsniederlassungen. Die DSGVO ist ferner bei außereuropäischen Verarbeitern anwendbar, für die eine innereuropäische Stelle als Auftragsverarbeiter tätig werden. Denn über das Niederlassungsprinzip wird auch die Verarbeitung von Daten umfasst, die ein Auftragsverarbeiter durch eine Niederlassung innerhalb der Union ausführt.946 Über diese Anknüpfungspunkte ist die DSGVO nach Art. 3 Abs. 1 DSGVO weitreichend

940

Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  3 Rn.  4. EuGH, Urt. v. 1. 10. 2015, Rs. C-230/14, Rn. 29 ff. – Weltimmo. 942 EuGH, Urt. v. 1. 10. 2015, Rs. C-230/14, Rn. 19 – Weltimmo. 943 Schmidt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  3 Rn.  11; Zerdick, in: Ehmann /  Selmayr, DSGVO, Art. 3 Rn. 8. 944 Klar, in: Kühling / Buchner, DSGVO / BDSG, Art.  3 Rn.  55. 945 EuGH, Urt. v. 1. 10. 2015, Rs. C-230/14, Rn. 31 – Weltimmo; Urt. v. 13. 5. 2014, Rs. C-131/12 – Google Spain. 946 Vgl. DSGVO ErwG 22. 941

§ 7 Grenzüberschreitender Datenschutz

299

anwendbar, wodurch ein hinreichender Schutz der Grundrechte und Grundfreiheiten der betroffenen Personen erreicht werden kann.947 Bei all diesen Niederlassungs-Konstellationen kommt es nicht darauf an, wo der Datenverarbeitungsprozess technisch durchgeführt wird. Bei einer Verarbeitung durch den Hauptsitz oder eine Niederlassung innerhalb der Union ist es so unerheblich, ob technisch gesehen der Verarbeitungsprozess innerhalb der EU oder tatsächlich auf Servern außerhalb des Unionsgebiets stattfindet.948 Es spielt ebenfalls keine Rolle, ob durch intraorganisatorische Prozesse eine Datenverarbeitung im Wege des Outsourcing an einer anderen Stelle betrieben wird und welche technischen Lösungen hierfür verwendet werden.949 Für die Geltung der DSGVO kommt es einzig auf die Verarbeitung durch die jeweilige Niederlassung an, selbst wenn dabei auch außereuropäische technische Infrastruktur verwendet oder Prozesse im Rahmen des Outsourcing verlegt werden. Zu beachten ist allerdings, dass diese Regelung lediglich die Anwendbarkeit der DSGVO bestimmt. Ob die Übertragung der Daten auch tatsächlich zulässig ist, wenn diese in außereuropäische Drittländer übertragen werden, ist an separater Stelle zu erörtern. Verfügt der Anbieter von Navigations-App  A über eine Niederlassung in Deutschland, kommt es für die Anwendbarkeit der DSGVO bei der Datenverarbeitung nicht darauf an, dass das Unternehmen für die Speicherung von Daten Server etwa in den USA verwendet.

II. Das Marktortprinzip Eine Niederlassung des Datenverarbeiters in der EU ist zwar weiterhin der primäre, aber nicht mehr der ausschließliche Anknüpfungspunkt, um den Anwendungsbereich nach Art. 3 DSGVO zu eröffnen. Denn gerade bei Online-Dienstleistungen – also auch bei datenfinanzierten Angeboten – ist es für außereuropäische Unternehmen möglich, ihr Angebot den Nutzern innerhalb der Union bereit zu stellen, ohne hierfür eine Niederlassung innerhalb der Union zu betreiben. Nach der alten Rechtslage vor Inkrafttreten der DSGVO bereiteten solche Situationen Schwierigkeiten und eine Anwendbarkeit des europäischen Datenschutzes konnte nur über Umwege erreicht werden. Zur Lösung wurde in der DSGVO der räumliche Anwendungsbereich zur Vorgängerregelung erweitert. Diese Erweiterung findet sich in Art. 3 Abs. 2 DSGVO im sog. Marktortprinzip. Danach findet die DSGVO bei der Verarbeitung personenbezogener Daten von betroffenen Personen Anwendung, die sich in der Union befinden. Die Norm betrifft also auch nicht in der Union niedergelassene Verantwortliche, da das Marktortprinzip an den Aufenthalt der betroffenen Person innerhalb der EU anknüpft. 947

Schmidt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art. 3 Rn. 12. So bereits zur bisherigen Regelung der EuGH, Urt. v. 13. 5. 2014, Rs. C-131/12, Rn. 53 – Google Spain. 948 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  3 Rn.  4. 949 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  3 Rn.  11.

300

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Die Anwendbarkeit des damit potentiell allumfassenden Marktortprinzips wird durch eine zusätzliche Anforderung eingeschränkt, nach der die Datenverarbeitung einen besonderen Zusammenhang zur Union aufweisen muss. Entweder muss der Datenverarbeiter der betroffenen Personen nach Art. 3 Abs. 2 DSGVO in der Union Waren oder Dienstleistungen anbieten (lit. a), oder der Datenverarbeiter muss das Verhalten betroffener Personen beobachten, soweit ihr Verhalten in der Union erfolgt (lit. b)). Das Marktortprinzip ist im Rahmen dieser Arbeit insbesondere durch dessen erste Alternative bedeutsam, bei der Waren- und Dienstleistungen in der Union angeboten werden. Ob dieser Tatbestand die Anwendbarkeit der DSGVO für alle Formen datenfinanzierter Angebote eröffnet, die durch außereuropäische Anbieter zur Verfügung gestellt werden, soll daher nachfolgend überprüft werden (2.). Demgegenüber ist die Bedeutung der zweiten Alternative des Tatbestands „Beobachtung von Personen“ für diese Arbeit schwieriger zu bestimmen. Diese Alternative soll daher überblicksartig dargestellt werden, um deren Bedeutung für die Arbeit zu eruieren (3.). 1. Der Hintergrund des Marktortprinzips Zunächst ist für ein Verständnis des Marktortprinzips jedoch eine kurze Einführung in dessen Hintergrund vonnöten. Denn bei der Einführung des Marktortprinzips handelt es sich um eine wesentliche Änderung zur vorher gültigen Datenschutzrichtlinie. Erst in seinem Google-Urteil im Jahr 2014 hatte der EuGH – auf der Grundlage einer extensiven Interpretation der Richtlinie – das Marktortprinzip bereits teilweise „vorweggenommen“, indem er die Anwendbarkeit des europäischen Datenschutzes für das Angebot von Waren und Dienstleistungen durch außereuropäische Anbieter erweiterte.950 Diese Regelung findet sich nun explizit in Art. 3 Abs. 2 lit. a) DSGVO und wurde um die zweite Alternative in lit. b) noch erweitert. Das Marktortprinzip soll EU-Bürger sowie andere sich innerhalb der EU aufhaltende Personen vor einer außerhalb der Union stattfindenden Datenverarbeitung schützen.951 Die von der Verarbeitung betroffenen Personen sollen durch das Datenschutzrecht geschützt werden, unabhängig davon, wo die Datenverarbeitung örtlich erfolgt und wo sich der Datenverarbeiter befindet.952 Hierdurch können (gerade) Anbieter datenfinanzierter Angebote dem Datenschutzrecht nicht entfliehen, indem sie bei der Bereitstellung ihrer digitalen Dienstleistungen weder ihren Sitz noch eine Niederlassung innerhalb der Union unterhalten. 950

EuGH, Urt. v. 13. 4. 2014, Rs. C-131/12, Rn. 54 ff.  – Google Spain; Kühling / Martini, EuZW 2016, 448 (450). 951 Vgl. DSGVO ErwG 23. 952 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  3 Rn.  14.

§ 7 Grenzüberschreitender Datenschutz

301

Dafür weist das Marktortprinzip einen – im Vergleich zur Vorgängerregelung wesentlich erweiterten – extraterritorialen Anwendungsbereich auf. Eine Regelung ist extraterritorial, wenn sich der zu regelnde Sachverhalt auch außerhalb des eigenen Territoriums befinden kann, was gewöhnlich die Grenze für die eigene Hoheitsgewalt darstellt.953 Eine solche Erstreckung ist dabei völkerrechtlich nur zulässig, solange eine hinreichende Anknüpfung zum eigenen Hoheitsgebiet besteht, ein sog. „genuine link“ bzw. eine „sufficient connection“.954 Ohne an dieser Stelle vertieft auf das Völkerrecht einzugehen – was vor dem inhaltlichen Zuschnitt dieser Arbeit verfehlt erschiene –, erweist sich der aufgezeigte Unionsbezug des Art. 3 Abs. 2 DSGVO als tauglich, den Anwendungsbereich der DSGVO extraterritorial nicht unbillig auszuweiten.955 Mit der Anknüpfung an den Aufenthalt der betroffenen Personen innerhalb der Union wird ein ausreichender Bezug zu dieser geschaffen, zumal ähnliche Regelungen in anderen Rechtsgebieten – wie dem Wettbewerbs-, Finanzmarkt- und Verbraucherrecht – schon länger anerkannt sind.956 Auch aus grundrechtlicher Perspektive erscheint das Marktortprinzip geeignet, die dem Staat obliegende Schutzpflicht bei einer Datenverarbeitung durch außereuropäische Unternehmen gegenüber betroffenen Personen umzusetzen.957 Durch diese Unternehmen ergibt sich die gleiche Gefahr für den Datenschutz betroffener Personen, wie es bei innereuropäischen Datenverarbeitern der Fall wäre. Gleichzeitig dient das Marktortprinzip auch der Wettbewerbsgleichheit zwischen außereuropäischen Unternehmen und europäischen Mitbewerbern, denen ansonsten alleine die datenschutzrechtliche Regulierung auferlegt wäre.958 2. Das Angebot von Daten oder Dienstleistungen Nach dem Marktortprinzip findet die DSGVO nach Art. 3 Abs. 2 lit. a) DSGVO Anwendung, wenn der Datenverarbeiter der betroffenen Personen in der Union Waren oder Dienstleistungen anbietet (lit. a)). Es betrifft folglich Situationen, in denen ein etwa in den USA ansässiger Anbieter seine Waren oder Dienstleistungen auch innerhalb der Union darbietet. Die Begriffe „Waren und Dienstleistungen“ werden entsprechend dem allge­ meinen europäischen Verständnis – vgl. Art. 28 Abs. 2, 57 AEUV – weit ausge­ 953

Coughlan / Currie / Kindred / Scassa, Global Reach, Local Grasp: Construction Extraterritorial Jurisdiction in the Age of Globalization, S. 4. 954 Herdegen, Völkerrecht, § 26 Rn. 1 ff. m. w. N. 955 Klar, in: Kühling / Buchner, DSGVO / BDSG, Art.  3 Rn.  21; Papier, NJW 2017, 3025 (3030); Schmidt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  3 Rn.  17; Uecker, ZD 2019, 67 (68) m. w. N. Kritisch wird demgegenüber vor allem die internationale Durchsetzbarkeit ge­ sehen, vgl. etwa Masing, NJW 2012, 2305 (2311); Spiecker gen. Döhmann, K&R 2012, 717 (719). 956 Vgl. etwa Art. 6 Abs. 1 der Rom-II-VO oder § 130 Abs. 2 GWB. Zum KWG BVerwG, Urt. v. 22. 4. 2009 – 8 C 2.09, Rn. 41. 957 Papier, NJW 2017, 3025 (3029); Klar, in: Kühling / Buchner, DSGVO / BDSG, Art.  3 Rn.  20. 958 Klar, in: Kühling / Buchner, DSGVO / BDSG, Art.  3 Rn.  20.

302

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

legt.959 Die Anwendbarkeit des Tatbestands ist dabei auch bei (monetär kostenfreien) datenfinanzierten Angeboten gewahrt. Denn die DSGVO umfasst das Angebot von Waren Dienstleistungen dem Wortlaut nach unabhängig davon, ob betroffene Personen für die Bereitstellung dieser eine Zahlung zu leisten haben oder ob die Bereitstellung unentgeltlich erfolgt. Insoweit beachtet die DSGVO an dieser Stelle die Besonderheiten vieler unentgeltlicher digitaler Dienstleistungen, denen sich auch diese Arbeit mit der Betrachtung datenfinanzierter Angebote widmet. Deren Angebot kommt ohne ein (monetäres) Entgelt des Nutzer aus und finanziert sich stattdessen über eine andersartige Gegenleistung oder auf anderen Wegen.960 Letztlich fällt mithin jedes marktbezogene Tätigwerden eines Unternehmens unter Art. 3 Abs. 2 lit. a).961 Unabhängig davon, ob es sich um eine Ware oder Dienstleistung und um eine entgeltliche oder entgeltfreie Leistung handelt, muss diese nach Art. 3 Abs. 2 lit. a) DSGVO einer betroffenen Person in der Union angeboten werden. Ein AppAnbieter, der ein datenfinanziertes Angebot einem Unionsbürger außerhalb der Union bereitstellt, unterfällt der Regelung demgegenüber nicht. Hingegen ist ein aktives Handeln des Datenverarbeiters innerhalb der Union für ein Anbieten nicht erforderlich. Ein rein passives Bereithalten – etwa durch einen Download-Button – kann bereits ausreichen, um den Bezug zur Union herzustellen.962 Ein Unternehmen bietet die Ware oder Dienstleistung dann in der Union an, wenn es offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union diese Ware oder Dienstleistung zur Verfügung zu stellen. Ob sich ein Angebot an eine betroffene Person in einem Mitgliedstaat richtet, ist im Rahmen einer Gesamtschau zu ermitteln.963 Erwägungsgrund 23 spezifiziert die Ausrichtung des Angebots über bestimmte Merkmale. So ist die bloße Zugänglichkeit zur Website eines Anbieters, die allgemeine Bereitstellung einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer in einem Drittland gebräuchlichen Sprache (vor allem Englisch, Französisch oder Spanisch) noch kein ausreichender Anhaltspunkt. Es kommt vielmehr auf die inhaltliche Gestaltung des Angebots an – etwa das Versandangebot, Währungsangaben oder eine unionsspezifische Sprache (z. B. Deutsch)  –, welches die Ausrichtung auf Personen innerhalb der Union verdeutlichen muss.964 Hierbei können europäische Kundenreferenzen nach Erwägungsgrund 23 S. 2 ein Indiz für eine Ausrichtung (auch) auf die EU sein. 959

v. Lewinski, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art.  3 Rn.  13; Schmidt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  3 Rn.  20 f. 960 S. hierzu bereits ausführlich § 2 B. II. Bezüglich des Verständnisses von Art. 3 Abs. 2 lit. a) DSGVO bestätigend v. Lewinski, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO /  BDSG, Art. 3 Rn. 14. 961 Klar, in: Kühling / Buchner, DSGVO / BDSG, Art.  3 Rn.  73. 962 Klar, in: Kühling / Buchner, DSGVO / BDSG, Art.  3 Rn.  67. 963 Klar, in: Kühling / Buchner, DSGVO / BDSG, Art.  3 Rn.  80. 964 Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  3 Rn.  16.

§ 7 Grenzüberschreitender Datenschutz

303

Bei einer konkreten Bewertung datenfinanzierter Angebote, die durch außereuropäischen App-Anbieter bereitgestellt werden, ist ebenfalls eine Einzelbewertung durchzuführen. Der Vertrieb von Apps verläuft dabei in aller Regel über die zahlreichen App-Stores, die dem App-Anbieter eine globale Distributionsmöglichkeit eröffnen und dem App-Anbieter den Vertrieb sehr einfach machen. Insoweit dürfte bei den allermeisten datenfinanzierten Angeboten, die über in der Union abrufbare App-Stores verfügbar sind, auch ein Angebot an Nutzer innerhalb der Union gegeben sein. Dementsprechend findet bei diesen die DSGVO Anwendung, wenn Nutzer die App innerhalb der Union verwenden. Ausnahmen des Anwendungsbereichs können sich für Apps vor allem dann ergeben, wenn die App zwar herunterladbar ist, jedoch keinen Bezug zur Union aufweist. Neben den beschriebenen Ansatzpunkten – wie eine nicht in der Union verwendete Sprache oder Währung – kann bei im Internet angebotenen Dienstleistungen auch die Nutzungsmöglichkeit der App gegen eine Anwendbarkeit der DSGVO sprechen. Ein solcher Fall kann etwa bestehen, wenn die Verwendungsmöglichkeit spezifisch auf regionale Zugangsmöglichkeiten ausgelegt oder die Nutzung über regulative Beschränkungen offiziell nur in bestimmten Ländern zulässig ist. Ohne eine solche sinnvolle Einschränkung würde sich jede im Internet angebotene Dienstleistung, die über keine Access Blocking-Maßnahmen verfügt, an Nutzer innerhalb der EU richten. Demzufolge fände die DSGVO potentiell bei allen im Internet angebotenen Dienstleistungen Anwendung, was die extraterritoriale Wirkung der DSGVO zwangsläufig unbillig ausweiten würde.965 Befinden sich Sitz und Niederlassungen des Anbieters vom unentgeltlichen MessengerDienst B einzig in den USA, unterfällt dessen Datenverarbeitung gleichwohl den Regelungen der DSGVO, wenn die App über einen App-Store oder andere Distributionswege auch europäischen Nutzern bereitgestellt wird. Ist demgegenüber eine Navigations-App zwar über einen App-Store global verfügbar, bietet jedoch lediglich die Navigation innerhalb amerikanischer ÖPNV-Dienste oder beschränkt sich auf australische Wanderwege, weist die Distribution einen klar regionalen Bezug auf. Auch die App eines Streaming-Dienstes, dessen Nutzung nur in einem bestimmten, außereuropäischen Land möglich ist, unterfällt sie mangels Unionsbezug nicht dem Anwendungsbereich der DSGVO.

3. Die Beobachtung des Verhaltens betroffener Personen Die Anwendbarkeit der DSGVO ist gem. Art. 3 Abs. 2 lit. b)  auch für außereuropäische Datenverarbeiter eröffnet, die das Verhalten betroffener Personen innerhalb der Union beobachten. Das „Beobachten des Verhaltens“ kann laut Erwägungsgrund 24 S. 2 daran festgemacht werden, ob die Internetaktivitäten be-

965

v. Lewinski, in: Eßer / K ramer / v. Lewinski, Auernhammer DSGVO / BDSG, Art.  3 Rn.  15 f.

304

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

troffener Personen nachvollzogen werden sollen, um von diesen ein Profil zu erstellen. Dieses Profil soll entweder die Grundlage für eine die Person betreffende Entscheidungen bilden oder anhand des Profils sollen persönliche Vorlieben, Verhaltensweisen oder Gepflogenheiten der Person analysiert oder vorausgesagt werden. Die nachgelagerte Verarbeitung und Kumulation von Daten im Rahmen eines Profils kann also Einfluss auf diese Einordnung haben.966 Der Zweck der Profilbildung ist demgegenüber unerheblich, so dass es nicht darauf ankommt, ob die Daten für wirtschaftliche, wissenschaftliche, politische oder sonstige Zwecke gesammelt werden.967 Die Profilbildung verläuft insbesondere über Techniken zur Nachverfolgung von Internetaktivtäten. Vor allem das Tracking von personenbezogenen Daten (z. B. durch Cookies, Tags, Pixel o.ä.) sowie das nachgelagerte „Profiling“ (vgl. Art. 4 Nr. 4, Art. 22 DSGVO) fallen daher in den Anwendungsbereich von Art. 3 Abs. 2 lit. b) DSGVO.968 Über Erwägungsgrund 24 wird deutlich, dass der Gesetzgeber bei der Schaffung der Norm insbesondere das Onlineumfeld im Blick hatte. Der Bedeutungsgehalt des Art. 3 Abs. 2 lit. b) ist für diese Arbeit insgesamt eher nachrangig. Zwar ist es durchaus denkbar, dass App-Anbieter über die Nutzung der Apps auch Tracking und Profiling betreiben. Außereuropäische Anbieter von datenfinanzierten Angeboten sind allerdings in den allermeisten Fällen ohnehin schon über Alternative in lit. a)  zur Anwendung der DSGVO verpflichtet. Eine Anwendbarkeit ist daneben in Fällen denkbar, in dem die Daten einem außereuropäischen Unternehmen offengelegt werden, der über die erworbenen Daten das Verhalten europäischer Nutzer beobachtet. Eine solche Tätigkeit hat jedoch keinen direkten Bezug mehr zu der Bewertung datenfinanzierter Angebote, so dass sich hierzu vertiefte Erörterungen erübrigen. 4. Vermeintliche Schutzlücken zwischen Art. 3 Abs. 1 und 2 DSGVO Hat der Datenverarbeiter eine Niederlassung innerhalb der Union, erfolgt die Datenverarbeitung allerdings nicht im Rahmen deren Tätigkeit, ergibt sich eine potentielle Schutzlücke zwischen Art. 3 Abs. 1 und Abs. 2 DSGVO. Denn verfügt ein Datenverarbeiter mit Hauptsitz in einem Drittstaat über eine Niederlassung in einem Mitgliedstaat der EU, erfolgt die Verarbeitung personenbezogener Daten jedoch nicht im Rahmen der Tätigkeiten dieser Niederlassung, sind die Voraussetzungen von Art. 3 Abs. 1 DSGVO nicht erfüllt. Art. 3 Abs. 2 DSGVO bezieht sich dem Wortlaut nach demgegenüber einzig auf Unternehmen, die gar keine Niederlassung innerhalb der EU aufweisen. Der Absatz geht also nicht auf die Tätigkeit 966

Piltz, K&R 2016, 557 (559). Ernst, in: Paal / Pauly, DSGVO / BDSG, Art.  3 Rn.  20. 968 Piltz, K&R 2016, 557 (559). Hierzu vertiefend Klar, in: Kühling / Buchner, DSGVO / BDSG, Art. 3 Rn. 91, 94 ff. m. w. N. 967

§ 7 Grenzüberschreitender Datenschutz

305

der einzelnen Niederlassungen ein, sondern ist dem Wortlaut nach nur ohne Niederlassung in der Union eröffnet. Diese vermeintliche Schutzlücke bei der Verarbeitung in einer außereuropä­ ischen Niederlassung ist vom Gesetzgeber offensichtlich nicht beachtet worden und nach einheitlicher Wertung in der Literatur durch eine erweiterte Auslegung des Art. 3 Abs. 2 DSGVO zu schließen.969 Der Begriff „nicht in der Union niedergelassen“ in Art. 3 Abs. 2 DSGVO ist teleologisch erweitert zu verstehen und umfasst auch alle Verantwortlichen und Auftragsverarbeiter in Drittstaaten, die im Rahmen ihrer Tätigkeit in diesem Drittstaat personenbezogene Daten von betroffenen Personen innerhalb der Union verarbeiten.970 Nur so kann ein vom Gesetzgeber erwünschter, vollständiger Schutz der Datenverarbeitung durch Unternehmen in Drittländern erreicht und der Anwendungsbereich der DSGVO hierfür eröffnet werden. Verfügt der App-Anbieter von Messenger-Dienst B zwar über eine Niederlassung in der Union, wickelt aber die gesamte Bereitstellung und Datenverarbeitung der App über außer­ europäische Niederlassungen ab, greift nach hier vertretener Auffassung gleichwohl der Anwendungsbereich des Art. 3 Abs. 2 lit. a) DSGVO.

Um dem Marktortprinzip im Übrigen auch in der Praxis Geltung zu verschaffen, legt die DSGVO in Art. 27 DSGVO außereuropäischen Datenverarbeitern die Verpflichtung auf, einen Vertreter zu benennen.971 Diese Regelung umfasst dabei wiederum sowohl die Verantwortlichen der Datenverarbeitung wie die Auftragsverarbeiter. III. Folgen für Anbieter datenfinanzierter Angebote Über Art. 3 Abs. 1 und 2 DSGVO fällt die Datenverarbeitung der allermeisten datenfinanzierten Angebote in den örtlichen Anwendungsbereich der DSGVO. App-Anbieter, die ihren Sitz in der Union haben oder ihre Tätigkeit durch eine Niederlassung innerhalb der Union ausführen, sind ohnehin vom Anwendungs­ bereich der DSGVO betroffen. Daneben gilt die DSGVO – bis auf die dargestellten Ausnahmen – auch für außereuropäische Anbieter, die ihre App in einem in der Union verfügbaren App-Store anbieten. Hiervon sind unausweichlich Verarbeitungsvorgänge umfasst, die direkt die Funktionsfähigkeit der App berühren (Verarbeitung der Kategorie I). Ebenfalls betrifft der Anwendungsbereich Verarbeitungen, die einer Speicherung und weiteren 969

Piltz, K&R 2016, 557 (559); Golland, DuD 2018, 351 (352); Klar, in: Kühling / Buchner, DSGVO / BDSG, Art.  3 Rn.  60; Schmidt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  3 Rn. 18. 970 Piltz, K&R 2016, 557 (559): Schmidt, in: Taeger / Gabel, DSGVO / BDSG / T TDSG, Art.  3 Rn. 18. 971 Kühling / Martini, EuZW 2016, 448 (450).

306

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Nutzung der Daten dienen (Kategorie II). Bei einer solchen Verarbeitung kommt es auch nicht darauf an, ob für die technische Durchführung von Speicherung und Verarbeitung die Daten auf Servern außerhalb der Union verarbeitet werden oder ob die weitere Verarbeitung (auch) außerhalb der Union stattfindet. Nicht so eindeutig ist Situation hingegen bei einer Offenlegung der Daten (Kategorie III). Findet die Offenlegung innerhalb der Union statt, gilt für den Dritten bei der Weiterverarbeitung wiederum die DSGVO. Fraglich ist hingegen, wie es sich bei einer Offenlegung innerhalb eines Konzerns oder an Dritte verhält, die sich außerhalb der Union befinden. Diese Frage soll im nachfolgenden Unterkapitel näher erörtert werden. Zusätzlich soll eruiert werden, ob und inwieweit die Übertragung der Daten in Drittländer – egal zu welchem Verarbeitungszweck – überhaupt zulässig ist.

B. Die Datenübermittlung in Drittländer Die Datenübermittlung in Drittländer ist für den internationalen Handel und die internationale Zusammenarbeit zwischen Unternehmen allgemein von hoher Bedeutung.972 Dies gilt auch im Speziellen für die Verarbeitungsprozesse bei datenfinanzierten Angeboten. So sind viele Unternehmen, die Apps anbieten, nicht nur in der EU tätig. Es kommt gerade bei Konzernstrukturen häufig dazu, dass die gewonnenen Nutzerdaten an verbundene Unternehmen außerhalb der Union offengelegt werden sollen. Auch eine Offenlegung an (konzernexterne) Dritte erfolgt häufig in Drittländer, da etwa in den USA die führenden Anbieter von ConsumerDatenbanken ihren Sitz haben. Um eine solche Datenübermittlung in Länder außerhalb der EU rechtmäßig zu gestalten, müssen Datenverarbeiter zur Rechtmäßigkeit der Verarbeitung zwei Stufen beachten. Für die Rechtmäßigkeit der Datenübermittlung in ein Drittland, bei dem es sich selbst um eine Verarbeitung im Sinne des Art. 2 Abs. 1 DSGVO handelt, müssen auf erster Stufe sämtliche generelle Anforderungen an die Rechtmäßigkeit der Datenverarbeitung nach der DSGVO erfüllt sein.973 Dies ergibt sich aus dem Wortlaut des Art. 44 S. 1 DSGVO, wonach bei einer Datenübermittlung „auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden“ müssen. Wie bei jeder anderen Datenverarbeitung muss der Datenverarbeiter auch bei der Datenübermittlung in ein Drittland zunächst im Einzelfall prüfen, ob die Übermittlung den datenschutzrechtlichen Grundsätzen entspricht974 und von einem Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO gedeckt ist.975

972

Vgl. DSGVO ErwG 101 S. 1. Schröder, in: Kühling / Buchner, DSGVO / BDSG, Art.  44 Rn.  20. 974 S. hierzu § 5. 975 S. hierzu § 6. 973

§ 7 Grenzüberschreitender Datenschutz

307

Auf zweiter Stufe schaffen Art. 44 ff. DSGVO weitere regulative Anforderungen, die für eine Datenübermittlung in ein Drittland vonnöten sind. Um die Vorgaben an die Übermittlung zu verstehen, sind hierzu die gesetzliche Regelung in den Art. 44 ff. DSGVO in Kapitel V der Verordnung in den Blick zu nehmen (I.). Im Zusammenhang mit der Datenübermittlung in Drittländer hat der EuGH mehrere Urteile gefällt, die sich mit der Zulässigkeit einer solchen Übermittlung in die USA beschäftigen. Diese Entscheidungen – vor allem das im Juli 2020 ergangene Schrems II-Urteil – sollen im Anschluss an die Darstellung der allgemeinen Vorgaben nach Art. 44 ff. DSGVO näher beleuchtet werden (II.). Zum Abschluss dieses Unterkapitels sollen bei datenfinanzierten Angeboten die verschiedenen Arten der Datenverarbeitung näher untersucht werden, wenn es bei diesen zu einer Offenlegung der Daten in ein Drittland kommt (III.). I. Die Datenübermittlung nach Art. 44 ff. DSGVO Die Datenübermittlung in Drittländer ist in Art. 44 ff. DSGVO geregelt. Die DSGVO erkennt zwar den Fluss personenbezogener Daten für die Ausweitung des internationalen Handels in Drittländer grundsätzlich an.976 Die Normen sollen aber sicherstellen, dass das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.977 Auch bei einer Übermittlung der Daten im internationalen Datenverkehr ist also das durch die DSGVO gewährleistete Schutzniveau aufrechtzuerhalten.978 Dies wird durch Art. 44 S. 2 DSGVO als Auslegungsmaxime sichergestellt. Die Regeln gelten allesamt für die „Übermittlung“ von personenbezogenen Daten in das Drittland. Bei der Übermittlung handelt es sich um einen Unterfall der Datenverarbeitung nach Art. 4 Nr. 2 DSGVO, der aber selbst nicht legaldefiniert ist. Da der Begriff allerdings jedwede Datenübertragung in ein Drittland betreffen soll, ist der Begriff weit zu verstehen.979 Er umfasst alle Handlungen, durch welche ein Empfänger von diesen Daten Kenntnis erlangt.980 Die Übermittlung ist daher synonym zur Übertragung, zum Transfer sowie zur Offenlegung von Daten zu verstehen. Letzteres wird in dieser Arbeit als Oberbegriff zur Kategorisierung der verschiedenen Daten verwendet.981

976

Vgl. DSGVO ErwG 101 S. 1. Vgl. DSGVO ErwG 101 S. 2. 978 Ambrock / Karg, ZD 2017, 154 (156). 979 Dies ergibt sich aus dem zu gewährleistenden Schutzniveau nach Art. 44 S. 2 DSGVO sowie DSGVO ErwG 101 S. 3, vgl. Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 44 Rn. 10. 980 Pauly, in: Paal / Pauly, DSGVO / BDSG, Art.  44 Rn.  4; Schantz, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 44 Rn. 10. 981 S. § 2 B. III. 4. c). 977

308

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Im Kapitel V sieht die DSGVO drei Möglichkeiten vor, aufgrund derer personenbezogene Daten in Drittländer übermittelt werden können. Eine Übermittlung ist über Angemessenheitsbeschlüsse gem. Art. 45 DSGVO, über geeignete Garantien (Art. 46, 47 DSGVO) sowie über Ausnahmeregelungen (Art. 49 DSGVO) möglich. Die Prüfung erfolgt dabei schrittweise und beginnt mit der Feststellung des Vorliegens eines Angemessenheitsbeschlusses. Liegt ein solcher nicht vor, ist die Existenz geeigneter Garantien zu prüfen. Bestehen beide nicht, können die Ausnahmeregelungen nach Art. 49 DSGVO herangezogen werden. Bei den Art. 45 ff. DSGVO handelt es sich dabei um sehr umfangreiche und relativ technische Vorschriften. Diese sollen nachfolgend überblicksartig hinsichtlich der für diese Arbeit erheblichen Inhalte dargestellt werden. Für alle Möglichkeiten des Datentransfers in Drittländer gilt dabei, dass auch sie an den Grundrechten der Grundrechte-Charta zu messen sind.982 Der EuGH verdeutlichte in der Schrems-Entscheidung, dass Eingriffsnormen in einem Drittland, die einen Zugriff auf personenbezogene Daten vorsehen, nach Art. 8 GRCh dem Bestimmtheitsgrundsatz unterfallen und dementsprechend „klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen müssen“.983 1. Angemessenheitsbeschlüsse Nach Art. 45 Abs. 1 DSGVO hat die Kommission die Befugnis für die gesamte Union zu beschließen, dass ein Drittland, ein Gebiet oder spezifische Sektoren in einem Drittland ein angemessenes Datenschutzniveau bieten.984 Dieser Beschluss muss also nicht zwingend ein gesamtes Land, sondern kann auch spezifische (Wirtschafts-)Sektoren betreffen. Gem. Art. 45 Abs. 1 S. 2 DSGVO liegt die Rechtsfolge des Beschlusses darin, dass eine Datenübermittlung in das jeweilige Land bzw. den jeweiligen Sektor keiner besonderen Genehmigung bedarf. Über den Beschluss der Kommission soll in der Union Rechtssicherheit und einheitliche Rechtsanwendung hinsichtlich der Übermittlung von Daten in dieses Land oder in dessen spezifischen Sektor geschaffen werden.985 Die Rechtssicherheit ergibt sich aus der bindenden Wirkung von Beschlüssen der Kommission für Mitgliedstaaten nach Art. 288 Abs. 4 AEUV.986

982

EuGH, Urt. v. 6. 10. 2015, Rs. C-362/14, Rn. 38 ff. – Schrems. EuGH, Urt. v. 6. 10. 2015, Rs. C-362/14, Rn. 91 – Schrems. 984 Vgl. auch DSGVO ErwG 103 S. 1. 985 Vgl. DSGVO ErwG 101 S. 3, 103 S. 1. 986 Piltz, K&R 2016, 777 (777). 983

§ 7 Grenzüberschreitender Datenschutz

309

a) Anforderungen an den Angemessenheitsbeschluss Durch den Angemessenheitsbeschluss muss ein der DSGVO entsprechendes Schutzniveau des Datenschutzes entstehen. Der EuGH hatte dazu bereits vor Inkrafttreten der DSGVO Urteil zur Aufhebung des Safe Harbor-Beschlusses festgestellt, dass kein „identisches“ Schutzniveau im Drittland gefordert werden kann. Es muss in dem Drittland hingegen auf Grundlage seiner innerstaatlichen Rechtsvorschriften oder internationalen Verpflichtungen ein tatsächliches Schutzniveau existieren, das mit dem Schutzniveau innerhalb der Union gleichwertig ist.987 Die DSGVO gibt darauf aufbauend in Art. 45 Abs. 2 konkrete, zwingend zu berücksichtigende Anforderungen an einen Angemessenheitsbeschluss vor. Der Angemessenheitsbeschluss muss dabei unter Berücksichtigung eindeutiger und objektiver Kriterien erfolgen988. Die einzelnen zu berücksichtigenden Anforderungen sind in Art. 45 Abs. 2 lit. a) bis c) DSGVO nicht abschließend aufgezählt. Im Einzelnen sind für die Angemessenheitsprüfung nach Art. 45 Abs. 2 lit. a) DSGVO zunächst die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art sowie die Anwendung dieser Rechtsvorschriften und Datenschutzvorschriften zu berücksichtigen. Dabei sind auch die Vorschriften zur Weiterübermittlung in ein anderes Drittland zu berücksichtigen. Eine solche Bewertung soll gem. Erwägungsgrund 104 S. 1 in Übereinstimmung mit den Grundwerten der Union erfolgen, zu denen insbesondere der Schutz der Menschenrechte zählt. Von Bedeutung für das Schutzniveau ist gem. Art. 45 Abs. 2 lit. b)  DSGVO ferner die Existenz und die wirksame Funktionsweise einer oder mehrerer Aufsichtsbehörden zur Durchsetzung der Datenschutzvorschriften im Drittland. Die Funktionsweise hängt insbesondere von der wirksamen Überwachung der Datenschutzvorschriften ab. Insoweit muss das Drittland eine unabhängige Überwachung gewährleisten und Mechanismen für die Zusammenarbeit mit europäischen Datenschutzbehörden vorsehen.989 Nach Art. 45 Abs. 2 lit. c) DSGVO sind darüber hinaus die das Drittland betreffenden internationalen Verpflichtungen sowie andere Verpflichtungen zu berücksichtigen, die sich aus rechtsverbindlichen Übereinkünften in Bezug auf den Schutz personenbezogener Daten ergeben. Diese drei Anforderungen stellen die Gleichwertigkeit des Datenschutzniveaus aus verschiedenen Richtungen sicher. Materiell rechtlich ist die Wahrung der rechtsstaatlichen Ordnung sowie von Grundrechten und -freiheiten im Drittstaat notwendig (lit. a)). Daneben bestehen organisatorische Vorgaben, die die tatsächliche Umsetzung des Datenschutzniveaus gewährleisten (lit. b) und c)). Zusätzlich 987

EuGH, Urt. v. 6. 10. 2015, Rs. C-362/14, Rn. 74 – Schrems. Vgl. auch DSGVO ErwG 104 S. 3. Vgl. DSGVO ErwG 104 S. 2. 989 Vgl. DSGVO ErwG 104 S. 4. 988

310

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

können noch weitere Belange in die Prüfung des Schutzniveaus einfließen.990 Basierend auf einer Gesamtschau muss schlussendlich in der Angemessenheitsentscheidung bewertet werden, ob ein gleichwertiges Datenschutzniveau vorliegt.991 b) Erlass und Wirkung des Beschlusses Nach Abschluss der Angemessenheitsprüfung kann die Kommission im Rahmen eines Durchführungsaktes beschließen, dass das Drittland (bzw. das Gebiet oder der Sektor) ein angemessenes Schutzniveau bietet.992 Der Durchführungsrechtsakt muss nach dem in Art. 93 Abs. 2 DSGVO geregelten Prüfverfahren erlassen werden, wobei die technischen Details des Erlasses für diese Arbeit nicht von Bedeutung sind. Die Kommission verfügt angesichts der Grundrechtsrelevanz dieser Entscheidung nach Ansicht des EuGH über eine deutlich reduzierte Einschätzungs­prärogative, so dass sie einer fast vollständigen gerichtlichen Kontrolle unterliegt.993 Der Durchführungsrechtsakt muss gem. Art. 45 Abs. 3 S. 2 DSGVO über einen Mechanismus verfügen, nach dem die Angemessenheitsentscheidung regelmäßig (mindestens im Vier-Jahres-Takt) überprüft wird. Ferner muss die Kommission nach Art. 45 Abs. 4 DSGVO die Situation im Drittland, die potentiell Einfluss auf die Entscheidung der Angemessenheit haben könnte, fortlaufend überwachen.994 Auch bei Nichtvorliegen eines Angemessenheitsbeschlusses strahlt der Angemessenheitsmaßstab nach Art. 45 Abs. 2 DSGVO auf die anderen Möglichkeiten der Datenübermittlung aus.995 Denn auch die in Art. 46, 47 und 49 DSGVO normierten Garantien haben die Zielsetzung, den nicht bestehenden Angemessenheitsbeschluss durch vergleichbare Garantien auszugleichen. Auch bei diesen soll also die Herstellung eines angemessenen Datenschutzniveaus erreicht werden. Insoweit müssen auch diese anderen Möglichkeiten dem Maßstab des Art. 45 Abs. 2 genügen, um das nach Art. 44 DSGVO geforderte Schutzniveau zu erreichen.996 990

Mense, ZD 2019, 351 (352). Dabei sollen vor allem die im Schrems-Urteil entwickelten Kriterien sowie Erwägungen der Art. 29-Datenschutzgruppe berücksichtigt werden, die in lit. a) bis c) noch keine Berücksichtigung gefunden haben. 991 Schröder, in: Kühling / Buchner, DSGVO / BDSG, Art.  45 Rn.  15. 992 Vgl. Art. 45 Abs. 3 S. 1 DSGVO. 993 EuGH, Urt. v. 6. 10. 2015, Rs. C-362/14, Rn. 78 – Schrems. 994 Sollte sich aus einer Überprüfung ergeben, dass kein angemessenes Datenschutzniveau mehr besteht, hat die Kommission den Angemessenheitsanschluss gem. Art. 45 Abs. 5 DSGVO zu widerrufen. Der Rahmen des Widerrufs betrifft den Beschluss allerdings nur, soweit dies nötig ist. Folglich muss im Falle eines Widerrufs nicht zwangsläufig der gesamte Beschluss widerrufen werden, sondern es ist ein teilweiser Widerruf und eine Anpassung möglich. Vgl. Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  45 Rn.  22 ff. 995 Ambrock / Karg, ZD 2017, 154 (156); Botta, CR 2020, 82 (85). 996 Ambrock / Karg, ZD 2017, 154 (156); Schröder, in: Kühling / Buchner, DSGVO / BDSG, Art. 45 Rn. 17.

§ 7 Grenzüberschreitender Datenschutz

311

c) Die aktuelle Umsetzung Die EU hat mit zahlreichen Ländern Angemessenheitsbeschlüsse erlassen. Hierzu gehören etwa Andorra, die Schweiz oder Neuseeland.997 Bei dem wohl prominentesten Angemessenheitsbeschluss handelt es sich um das sog. EU-USPrivacy Shield für die Datenübertragung in die USA. Dieser trat am 12. Juli 2016 als Nachfolgeregelung zum Safe Harbor-Abkommen in Kraft.998 Das über das Privacy Shield gewährte Schutzniveau wurde jedoch vielfach kritisiert999 und schlussendlich vom EuGH überprüft. Dieser stellte mit Urteil vom 16. Juli 2020 (Schrems II-Urteil) die Unwirksamkeit des Privacy Shields fest.1000 Aufgrund der generellen Bedeutung des Urteils auch auf die anderen Formen der Datenübermittlung in Drittländer wird auf dieses nachfolgend gesondert eingegangen. 2. Geeignete Garantien Falls kein Angemessenheitsbeschluss und folglich auch kein angemessenes Datenschutzniveau in einem Drittland bestehen, ermöglicht Art. 46 DSGVO über die Ergreifung von geeigneten Garantien eine Datenübertragung in das Drittland.1001 Ein Datentransfer ist danach möglich, wenn ein in der EU ansässiger Datenverarbeiter nach Art. 46 DSGVO geeignete Garantien vorsieht und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Die Garantien dürfen nicht nur auf dem Papier bestehen, sondern müssen die Wahrnehmung der Rechte auch in der Praxis ermöglichen.1002 Die durchsetzbaren Rechte und Rechtsbehelfe müssen jedoch nicht notwendigerweise separat neben den gewährten Garantien bestehen, sondern können sich aus diesen selbst ergeben.1003 Die geeigneten Garantien dienen nach Erwägungsgrund 108 S. 1 als Ausgleich für den in einem Drittland bestehenden Mangel des Datenschutzes. Die Garantien ersetzen diesen Mangel in dem Land oder Sektor nicht, sondern schaffen vielmehr zwischen den bestimmten Stellen die Möglichkeit eines Datentransfers 997

Eine vollständige, aktuelle Liste der bestehenden Angemessenheitsbeschlüsse ist abrufbar unter: ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/ adequacy-decisions_en. 998 Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. 7. 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes. 999 Vgl. ausführlich zur Kritik am EU-US Privacy Shield Botta, CR 2020, 82 (85 ff.); Mense, ZD 2019, 351 m. w. N. 1000 EuGH, Urt. v. 16. 7. 2020, Rs. 311/18 – Schrems II. 1001 Vgl. den Wortlaut „falls kein Beschluss nach Art. 45 Abs. 3 vorliegt“ in Art. 46 Abs. 1 DSGVO. 1002 Ambrock / Karg, ZD 2017, 154 (156). 1003 Piltz, K&R 2016, 777 (778).

312

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

über eine Garantie zur Einhaltung des Datenschutzniveaus. Die Garantien greifen also nicht abstrakt, sondern beziehen sich auf einem engen Bereich zwischen einzelnen Stellen. Um als geeignete Garantie anerkannt zu werden, muss das jeweilige zum Einsatz kommende Instrument inhaltlich sicherstellen, dass sowohl die Datenschutzvorgaben der DSGVO wie auch die Rechte der betroffenen Person auf angemessene Art und Weise beachtet werden.1004 Die Beachtung einer angemessenen Art und Weise erfordert, dass unter Berücksichtigung eines Verhältnismäßigkeitsmaßstabs die Möglichkeit einer Einzelfallbetrachtung geschaffen wird. Die Einzelfallbetrachtung muss insbesondere die Einhaltung allgemeiner datenschutzrechtlicher Grundsätze (Art. 5 DSGVO) sowie die Grundsätze des Danteschutzes durch Technik und durch datenschutzfreundliche Voreinstellung (Art. 25 DSGVO) bewerten.1005 Über die Notwendigkeit des Verhältnismäßigkeitsmaßstabs schließt sich wiederum der Kreis zur Anforderung in Art. 45 Abs. 2 DSGVO, die auch bei geeigneten Garantien beachtet werden muss. Zur Unterscheidung der einzelnen Instrumente differenziert Art. 46 DSGVO zwischen Garantien, die ohne Genehmigung einer Aufsichtsbehörde verwendet werden können (Abs. 2), und solchen, die einer Genehmigung der zuständigen Aufsichtsbehörde bedürfen (Abs. 3). Für die Anbieter von datenfinanzierten Angeboten sind bei der Offenlegung von Daten in Drittländer insbesondere die verbindlichen internen Datenschutzvorschriften sowie Standarddatenschutzklauseln bedeutsam.1006

1004

Vgl. DSGVO ErwG 108 S. 3. Vgl. DSGVO ErwG 108 S. 4. 1006 Bei den sonstigen Garantien handelt es sich um Dokumente zwischen Behörden und öffentlichen Stellen, die bei der Datenverarbeitung durch private App-Anbieter im Rahmen dieser Arbeit nicht auftreten, nach Art. 46 Abs. 2 lit. a) DSGVO. Die Daten können ebenfalls übermittelt werden, wenn dies auf Grundlage einer zuvor genehmigten Verhaltensregel geschieht (Abs. 2 lit. e)) oder der Transfer in Zusammenhang mit einem genehmigten Zertifizierungsmechanismus steht (Abs. 2 lit. f)). Die Zertifizierung richtet sich allerdings an den Datenempfänger im Drittland, dem bescheinigt wird, Verarbeitungsvorgänge im Einklang mit der DSGVO zu gestalten. Da es auf das Verhalten des Datenempfängers als Drittem in Kontext dieser Arbeit nicht vertieft ankommt, erübrigt sich auch eine vertiefte Auseinandersetzung mit diesen Tatbeständen. Art. 46 Abs. 3 DSGVO sieht die Möglichkeit vor, dass Garantien auch in Vertragsklauseln liegen können, die zwischen dem innereuropäischen Datenverarbeiter und dem außereuropä­ ischen Datenempfänger geschlossen werden (lit. a)). Vor deren Einsatz und der Datenübermittlung müssen die Vertragsklauseln von der zuständigen Aufsichtsbehörde genehmigt werden. Die Problematik einer solchen individuellen Genehmigung besteht darin, dass die Aufsichtsbehörden nicht nur bei Anlass zur Sorge eines übermäßigen Datenzugriffs reagieren, sondern proaktiv tätig werden und die praktische Wirksamkeit der vorgeschlagenen Garantien prüfen müssen. Aufgrund der Individualität solcher Verträge kann über diese im Rahmen dieser Arbeit ebenfalls keine vertiefte Aussage getroffen werden. 1005

§ 7 Grenzüberschreitender Datenschutz

313

a) Verbindliche interne Datenschutzvorschriften Die verbindlichen internen Datenschutzvorschriften für Unternehmen nach Art. 46 Abs. 2 lit. b) DSGVO – auch als Binding Corporate Rules bzw. „BCR“ bezeichnet – gestatten eine internationale Datenübertragung innerhalb eines Konzerns. Bei den verbindlichen internen Datenschutzvorschriften handelt es sich um grundsätzlich genehmigungsfreie Garantien nach Art. 46 Abs. 2 DSGVO, die bei ihrer Verwendung nicht genehmigungspflichtig sind. Die BCR bedürfen allerdings im Voraus einer besonderen Genehmigung durch die jeweils zuständige Aufsichtsbehörde, nachdem sie vom Unternehmen entwickelt wurden.1007 Den BCR kommt ein Sonderstatus bei den verschiedenen Garantien zu, da sie die Datenübertragung in ein Drittland an Unternehmen der gleichen Unternehmensgruppe betreffen.1008 Sowohl der Begriff des Unternehmens (Art. Nr. 18 DSGVO) wie auch der Unternehmensgruppe (Art. 4 Nr. 19 DSGVO) sind in der DSGVO legaldefiniert. Die Unternehmensgruppe wird in dieser Arbeit synonym zum Begriff des Konzerns verwendet.1009 aa) Voraussetzungen an die BCR Die einzelnen regulativen Vorgaben an die Einführung und Umsetzung von BCR ergeben sich aus Art. 47 DSGVO. Nach Absatz 1 genehmigt die zuständige Aufsichtsbehörde solche BCR, wenn die in lit. a) bis c) aufgeführten Voraussetzungen erfüllt sind. Dem Wortlaut nach handelt es sich dabei um eine gebundene Entscheidung, so dass beim Vorliegen der Voraussetzung ein Anspruch des Datenverarbeiters zur Genehmigung besteht.1010 BCR müssen nach Abs. 1 lit. a) rechtlich bindend sein und für alle Mitglieder der Unternehmensgruppe gelten. Den betroffenen Personen, deren Daten im Rahmen von BCR übermittelt werden, müssen ferner gem. Abs. 1 lit. b) durchsetzbare Rechte hinsichtlich der Verarbeitung der Daten eingeräumt werden. Art. 47 Abs. 1 lit. c) DSGVO verweist auf Absatz 2 und verpflichtet zur Erfüllung der dort aufgelisteten Mindestanforderungen. Der Katalog orientiert sich an der bereits zuvor durchgeführten Praxis der europäischen Datenschutzbehörden zur Genehmigung von BCR nach der Datenschutzrichtlinie.1011 Die Auflistung ent-

1007 Die Anforderungen hierzu ergeben sich aus Art. 47 Abs. 1 DSGVO. Die Zuständigkeit der Aufsichtsbehörde bestimmt sich dabei gem. Art. 56 Abs. 1 DSGVO nach dem Sitz der Hauptniederlassung bzw. der Niederlassung des Datenverarbeiters. 1008 Vgl. Art. 47 Abs. 1 lit. a) DSGVO sowie DSGVO ErwG 110. 1009 S. bereits § 2 B. III. 4. c) aa). 1010 Piltz, K&R 2016, 777 (779). 1011 Wybitul / Ströbel / Ruess, ZD 2017, 503 (506).

314

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

hält materiell-rechtliche und verfahrensrechtliche Mindestangaben an die BCR, was sich aus dem Wortlaut „mindestens“ in Art. 47 Abs. 2 DSGVO ergibt.1012 So muss sich aus der BCR etwa der konkrete Geltungsbereich der Vereinbarung ergeben (lit. a)). Auch sind die jeweils vom BCR umfassten Datenübermittlungen festzulegen (lit. b)) und die BCR muss Angaben zu ihrer Rechtsverbindlichkeit enthalten (lit. c)). Art. 47 Abs. 2 lit. d) DSGVO enthält einen Katalog allgemeiner Datenschutzgrundsätze, die den Unternehmen im Konzern aufgrund der BCR aufzuerlegen sind. Die weiteren Vorgaben an BCR ergeben sich im Detail durch die von der Art. 29-Datenschutzgruppe entwickelten Leitfäden.1013 Im Einzelfall können – etwa wegen der Struktur des Unternehmens oder der Art der Datenübermittlung – weitere Anforderungen erforderlich sein.1014 bb) BCR im Kontext datenfinanzierter Angebote Sobald die internen verbindlichen Datenschutzvorschriften eingeführt und genehmigt sind, bieten diese internationalen Konzernen eine rechtssichere Möglichkeit, den internen Datenverkehr reibungslos und flexibel zu gestalten.1015 Aufgrund der Anforderungen in Art. 47 Abs. 2 DSGVO bedarf es zur Nutzung jedoch der Umsetzung zahlreicher materiell-rechtlicher und verfahrensrechtlicher Vorgaben. Diese erhöhen die Komplexität im Vergleich zur Nutzung der noch zu erörternden Standarddatenschutzklauseln. Sind die BCR jedoch umgesetzt, eröffnen sie für Datenverarbeiter eine reibungslose Übermittlung von Daten innerhalb des Konzerns – also Verarbeitungen der Kategorie III a). Gerade für App-Anbieter in großen Konzernen, die über ausreichende Ressourcen zur Entwickelung von BCR verfügen, bietet sich diese Art der Datenübermittlung damit an. Denn hierüber kann die Datenübermittlung – unter Einhaltung der regulativen Vorgaben – deutlich individueller gestaltet werden, als dies bei den vorgegebenen Standarddatenschutzklauseln der Fall ist. b) Standarddatenschutzklauseln Enorme praktische Relevanz weisen Standarddatenschutzklauseln auf – auch als EU Standard Contractual Clauses bzw. „SCC“ bezeichnet.1016 Durch den Abschluss von SCC, die in Art. 46 Abs. 2 lit. c)  und d)  DSGVO normiert werden, können 1012

Pauly, in: Paal / Pauly, DSGVO / BDSG, Art.  47 Rn.  18a. Übersichtlich hierzu Pauly, in: Paal / Pauly, DSGVO / BDSG, Art. 47 Rn. 19. Die einzelnen Leitfäden sind abrufbar unter: ec.europa.eu/info/law/law-topic/data-protection/internationaldimension-data-protection/binding-corporate-rules-bcr_en. 1014 Zerdick, in: Ehmann / Selmayr, DSGVO, Art. 47 Rn. 13. 1015 Wybitul / Ströbel / Ruess, ZD 2017, 503 (506). 1016 IAPP-EY, Annual Privacy Governance Report 2019, S. XIX. 1013

§ 7 Grenzüberschreitender Datenschutz

315

Unternehmen mit der empfangenen Stelle geeignete Garantien schaffen, um ein angemessenes Datenschutzniveau zwischen diesen sicherzustellen. Datenverarbeiter können SCC sowohl konzernintern (dementsprechend Datenverarbeitungen der Kategorie III a) als auch mit anderen, externen Unternehmen (Verarbeitung der Kategorie III b) abschließen. Bei den Standarddatenschutzklauseln handelt es sich um Garantien, die nach Art. 46 Abs. 2 DSGVO ohne Genehmigung einer Aufsichtsbehörde vom Datenverarbeiter verwendet werden können. Solche SCC werden von der Kommission in der Form eines Beschlusses erlassen und gelten für die EU-Mitgliedstaaten und ihre Organe rechtliche verbindlich (lit. c)). Auch die nationalen Aufsichtsbehörden haben die Befugnis, entsprechende Standarddatenschutzklauseln zu entwerfen (lit. d)).1017 Die aktuellen Beschlüsse der Kommission, die vor Inkrafttreten der DSGVO entworfen wurden, allerdings weiterhin gültig sind1018, können online abgerufen werden.1019 Bei der Nutzung der Datenschutzklauseln durch den Datenverarbeiter können die Klauseln weiter ergänzt werden und ihnen etwa individuelle Garantien hinzugefügt werden.1020 Der Datenverarbeiter muss jedoch beachten, dass der ergänzende Inhalt weder unmittelbar noch mittelbar in Widerspruch zum Inhalt der Standardklausel steht.1021 Auch darf der Wortlaut der SCC selbst aus Gründen der Rechtssicherheit nicht geändert werden.1022 Inhaltlich stellen die erlassenen SCC sicher, dass beim Empfänger die datenschutzrechtlichen Grundsätze der DSGVO gewährleistet sind. Hierfür muss sich der Empfänger verpflichten, die Daten entweder nur nach den in der Anlage der Klauseln aufgeführten Grundsätzen zu verarbeiten, die Bestimmungen der DSGVO anzuerkennen oder auf der Basis von sektoralen datenschutzrechtlichen Bestimmungen seines Heimatstaates zu handeln, welche die Kommission als angemessen anerkannt hat.1023 Eine entscheidende Sicherung des Datenschutzniveaus entsteht im Übrigen durch eine strikte Zweckbindung. Der Empfänger darf die

1017

Die von nationalen Aufsichtsbehörden entworfenen Klauseln müssen von der Kommission nach dem Prüfverfahren in Art. 93 Abs. 2 DSGVO genehmigt werden. 1018 Die Kommission hat diese Beschlüsse im Dezember 2016 aktualisiert, um dem SchremsUrteil Rechnung zu tragen. Vgl. Durchführungsbeschluss (EU) 2016/2297 der Kommission vom 16. 12. 2016 zur Änderung der Entscheidung 2001/497/EG und des Beschlusses 2010/87/EU über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer sowie an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates. 1019 Vgl. ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protec tion/standard-contractual-clauses-scc_en. 1020 Vgl. DSGVO ErwG 109 S. 1. 1021 Piltz, K&R 2016, 777 (779). 1022 Pauly, in: Paal / Pauly, DSGVO / BDSG, Art.  46 Rn.  21. 1023 Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 46 Rn. 42 mit Verweis auf Klausel 5 lit. b in Standardvertrag I bzw. Ziff. II. lit. h Standardvertrag II.

316

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Daten lediglich zu Zwecken verarbeiten, die im SCC spezifisch festgelegt worden sind.1024 Verpflichtet sich der Datenempfänger im Drittland zur Einhaltung der in den Klauseln festgelegten Datenschutzstandards, so besteht für diesen grundsätzlich ein angemessenes Datenschutzniveau.1025 Hierzu muss er die Verpflichtungen in den SCC allerdings auch tatsächlich umsetzen. Der standardisierte Text der SCC ermöglicht es Unternehmen dadurch relativ kurzfristig, den Datentransfer in ein Drittland zulässig zu gestalten.1026 Der Empfänger im Drittland verpflichtet durch den Abschluss der SCC zahlreiche datenschutzrechtliche Pflichten zu erfüllen. Diese umfassen etwa das Verbot, die offengelegten Daten an Stellen in einem Drittland weiterzugeben.1027 Insgesamt verpflichtet sich der Empfänger de facto dazu, europäische Datenschutzstandards einzuhalten.1028 3. Ausnahmeregelungen In den Fällen, in denen weder ein Angemessenheitsbeschluss nach Art. 45 DSGVO, noch eine Garantie nach Art. 46, 47 DSGVO zur Anwendung kommt, kann ein Datentransfer über die Ausnahmeregelung des Art. 49 DSGVO ermöglicht werden. Hierzu zählt Art. 49 Abs. 1 DSGVO abschließend Ausnahmetatbestände auf, die die Übermittlung in das Drittland dennoch ermöglichen.1029 Bei den Tatbeständen in Art. 49 DSGVO handelt es sich schon dem Wortlaut nach um Ausnahmen. Trotz des Fehlens eines Angemessenheitsbeschlusses oder einer geeigneten Garantie kann der Datentransfer nur in Ausnahmesituation stattfinden. Dies wird dadurch gekennzeichnet, dass der Transfer einen Einzelfall betrifft. Einzelfall bedeutet allerdings keineswegs, dass nicht auch mehrfach auftretende Datenübermittlungen über diese Ausnahmevorschrift ermöglicht werden können.1030 Der Begriff des Einzelfalls beschreibt vielmehr die strukturelle Möglichkeit, in besonderen Fällen über die regulär vorgesehenen Übertragungsmöglichkeiten in Art. 45 bis 47 DSGVO hinauszugehen. 1024

Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art. 46 Rn. 42 mit Verweis auf Anlage 2 und 3, jeweils Ziffer 1 in Standardvertrag I bzw. Ziff. II. lit. d Anhang A Ziffer 2 in Standardvertrag II. Zu den übrigen inhaltlichen Anforderungen von SCC detailliert ders., Art. 46 Rn. 43 ff. 1025 Schröder, in: Kühling / Buchner, DSGVO / BDSG, Art.  46 Rn.  10 f. 1026 Wybitul / Ströbel / Ruess, ZD 2017, 503 (505). 1027 Vgl. etwa Klausel 5 des Beschlusses der Kommission vom 5. 2. 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates. 1028 Wybitul / Ströbel / Ruess, ZD 2017, 503 (505). 1029 Die Ausschließlichkeit ergibt sich aus dem Wortlaut „nur unter einer der folgenden Bedingungen“, vgl. Pauly, in: Paal / Pauly, DSGVO / BDSG, Art. 49 Rn. 3. Umfangreich zu den einzelnen Tatbeständen EDPB, Leitlinien 2/2018, S. 7 ff. 1030 Piltz, K&R 2016, 777 (780); Schröder, in: Kühling / Buchner, DSGVO / BDSG, Art.  49 Rn.  12.

§ 7 Grenzüberschreitender Datenschutz

317

Die im Rahmen dieser Arbeit potentiell bedeutsamen Tatbestände des Art. 49 Abs. 1 S. 1 DSGVO sollen daher nachfolgend dargestellt werden. Die aufgeführten Tatbestände ähneln den allgemeinen Rechtmäßigkeitstatbeständen aus Art. 6 Abs. 1 DSGVO, bedürfen aufgrund ihres Ausnahmecharakters allerdings zusätzlicher Voraussetzungen. Nicht näher wird in dieser Arbeit hingegen auf die Möglichkeit zur Übermittlung mittels einer Einzelfallabwägung nach Art. 49 Abs. 1 S. 2 DSGVO eingegangen. Diese kommt wiederum subsidiär zu den in Art. 49 Abs. 1 S. 1 DSGVO vorgesehen Ausnahmen zur Anwendung und erfordern einer äußerst restriktiven Auslegung. Daher kommt diesem quasi doppelten Ausnahmetatbestand allenfalls in Sondersituationen Bedeutung zu.1031 Eine Datenüber­ mittlung bei den eher standardisierten Übertragungsvorgängen von datenfinanzierten Angeboten kann hingegen schwerlich über einen solchen Sondertatbestand gerechtfertigt werden, so dass auf nähere Ausführungen in dieser Arbeit verzichtet wird. a) Einwilligungen Nach Art. 49 Abs. 1 S. 1 lit. a) DSGVO ist der Datentransfer in den Drittstaat möglich, wenn die betroffene Person in die vorgeschlagene Datenübermittlung ausdrücklich einwilligt. Die Einwilligung nach Art. 49 Abs. 1 DSGVO ist – wie die „gewöhnliche“ Einwilligung – Ausfluss des Kerngedankens des Datenschutzgrundrechts gem. Art. 8 Abs. 2 GRCh.1032 Nach diesem Kerngedanken ist der Wille der betroffenen Person auch dann zu beachten, wenn sie bewusst die Offenlegung ihrer Daten in ein Drittland zulässt, in dem kein vergleichbarer Datenschutzstandard herrschen. Die Einwilligung muss hierzu allerdings freiwillig und in Kenntnis der Konsequenz abgegeben werden.1033 Freiwilligkeit bedeutet in diesem Kontext, dass eine betroffene Person in die Datenverarbeitung generell einwilligen, im Speziellen aber die Übermittlung in einen Drittstaat ohne angemessenes Schutzniveau verneinen kann.1034 Eine solch differenzierte Einwilligung darf der betroffenen Person nicht vorenthalten werden, indem etwa alle Inhalte der Einwilligung formelhaft zusammengefasst werden und lediglich eine Bewilligung aller Inhalte möglich ist. Bestehen bei der geplanten Datenübertragung in ein Drittland durch den App-Anbieter der Navigations-App A weder ein Angemessenheitsbeschluss noch eine geeignete Garantie, so ist eine Offenlegung ausnahmsweise über eine Einwilligung möglich. Diese Einwilligung zur Offenlegung in das Drittland muss von den übrigen Einwilligungsinhalten derart getrennt sein, dass die Einwilligung zur sonstigen Datenverarbeitung erteilt werden kann,

1031

Pauly, in: Paal / Pauly, DSGVO / BDSG, Art.  49 Rn.  29. Vgl. hierzu vertiefend § 4 A. II. 2. sowie § 6 B. 1033 Vgl. zu diesen auf hier gültigen Anforderungen bereits § 6 B. II. 3. und 4. 1034 Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  49 Rn.  18. 1032

318

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

ohne der Offenlegung zustimmen zu müssen. Bei einer Ablehnung der Offenlegung findet die sonstige Datenverarbeitung also gleichwohl statt, die Daten müssen aber innerhalb der Union verbleiben.

Die Einwilligung kann – über die generellen Anforderungen an diese hinaus – nur dann in Kenntnis der Konsequenzen erteilt werden, wenn der betroffenen Person die Tragweite ihrer Erklärung in der Ausnahmesituation von Art. 49 DSGVO absehbar ist.1035 Um dies sicherzustellen, verlangt eine solche Einwilligung die Unterrichtung über mögliche Risiken der Datenübermittlung, die sich aus dem Fehlen eines Angemessenheitsbeschlusses oder von geeigneten Garantien ergeben. Die betroffene Person muss darüber Kenntnis haben, welche Daten an welchen Empfänger in welchem Zielort offengelegt werden und welche Verarbeitungsvorgänge dort geplant sind.1036 Es muss darüber hinaus ersichtlich sein, dass in dem Drittstaat kein zur Union vergleichbares Datenschutzniveau besteht und die Betroffenen Rechte nicht adäquat durchgesetzt werden können.1037 Die Darlegung dieser zusätzlichen Informationen ist herausfordernd, denn die Information muss nach wie vor in leichter und verständlicher Form sowie klarer und einfacher Sprache erfolgen.1038 Die Einwilligung muss nach Wortlaut des Art. 49 Abs. 1 S. 1 lit. a) DSGVO ausdrücklich erfolgen. Es bedarf hierzu mindestens einer bejahenden Geste, so dass an die Bestätigungshandlung insoweit höhere Anforderungen als an eine Einwilligung nach Art. 6 DSGVO zu stellen sind.1039 Es reicht nicht aus, dass die betroffene Person in die Datenverarbeitung an sich einwilligt. Vielmehr muss sie eindeutig zu erkennen geben, dass sie auch mit der Offenlegung ihrer Daten in das Drittland mit einem niedrigeren Schutzniveau einverstanden ist.1040 b) Übermittlung für die Erfüllung eines Vertrags Die Datenübermittlung kann nach Art. 49 Abs. 1 S. 1 lit. b)  DSGVO auch in Fällen zulässig sein, in denen sie zur Erfüllung des Vertrags mit der betroffenen Person erforderlich ist. Um dem Charakter einer Ausnahmevorschrift Rechnung zu tragen, ist ein enger und erheblicher Zusammenhang zwischen der betroffenen Person und dem Zweck des Vertrags notwendig.1041 Die Datenübermittlung muss im Sinne einer Alternativlosigkeit tatsächlich erforderlich sein, eine lediglich hilfreiche Datenübermittlung scheidet insoweit aus.1042 Könnte der Verantwortliche das Ziel des Vertrags auch ohne die entsprechende Datenübermittlung erreichen oder 1035

Lange / Filip, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 49 Rn. 6. Pauly, in: Paal / Pauly, DSGVO / BDSG, Art.  49 Rn.  6. 1037 Lange / Filip, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 49 Rn. 7. 1038 Ambrock / Karg, ZD 2017, 154 (157). S. hierzu bereits § 6 B. II. 3. a). 1039 Schröder, in: Kühling / Buchner, DSGVO / BDSG, Art.  49 Rn.  14. 1040 Ambrock / Karg, ZD 2017, 154 (157). 1041 Ambrock / Karg, ZD 2017, 154 (159). 1042 Pauly, in: Paal / Pauly, DSGVO / BDSG, Art.  49 Rn.  13. 1036

§ 7 Grenzüberschreitender Datenschutz

319

genügt die Übersendung anonymisierter Daten, so kann der Datenverarbeiter die Übermittlung nicht auf diesen Tatbestand stützen.1043 4. Zusammenfassung Die Überprüfung, ob eine Übermittlung in ein Drittland zulässig ist, läuft in drei Schritten ab. Zunächst ist zu prüfen, ob zwischen der Union und dem Drittland ein Angemessenheitsbeschluss nach Art. 45 DSGVO besteht, der dem Drittland ein angemessenes Datenschutzniveau attestiert. Liegt ein solcher nicht vor, ist eine Übermittlung zwischen Datenverarbeiter und Empfänger über geeignete Garantien nach Art. 46, 47 DSGVO möglich. Dabei sind bei der Offenlegung innerhalb eines Konzerns (Kategorie III a) besonders die intern verbindlichen Datenschutzvorschriften bedeutsam, während sich eine Offenlegung an sonstige Dritte (Kategorie III b) in der Regel über Standarddatenschutzklauseln vollzieht. Als letzte Möglichkeit verbleibt nach Art. 49 DSGVO im Einzelfall die Übermittlung über Ausnahmeregelungen. Diese orientieren sich an den allgemeinen Erlaubnistat­ beständen nach Art. 6 Abs. 1 DSGVO, bedürfen allerdings strenger (zusätzlicher) Voraussetzungen und sind ohnehin restriktiv zu handhaben. II. Die Situation nach dem Schrems II-Urteil Mit dem Schrems II-Urteil1044 beschäftigt sich der EuGH mit der Wirksamkeit des erst rund vier Jahre zuvor erlassenen EU-US-Privacy Shield-Abkommen (Durchführungsbeschluss (EU) 2016/1250). Darüber hinaus untersucht der EuGH die Frage, inwieweit Unternehmen ihren Datentransfers in Drittländer – vor allem die USA – auf Standardvertragsklauseln der Europäischen Kommission stützen können. Aus diesen Gründen hat das Urteil massive Auswirkungen auf die Rechtmäßigkeit von Datentransfers in Drittländer. 1. Der Hintergrund des Verfahrens Das Urteil hat seine Wurzeln in einem bereits im Jahr 2013 bei der irischen Datenschutzaufsicht angestoßenen Verfahren. Dieses mündete am 6. Oktober 2015 in einer Grundsatzentscheidung des EuGH1045, auch bekannt als Safe Harbor bzw. Schrems-Urteil. Mit diesem hob der EuGH den Safe Harbor-Angemessenheits­ beschluss auf. Denn der EuGH stellte fest, dass das Safe-Harbor-Abkommen der EU nicht den Anforderungen der Richtlinie 95/46/EG genügte. 1043

Wybitul / Ströbel / Ruess, ZD 2017, 503 (508). EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18 – Schrems II. 1045 EuGH, Urt. v. 6. 10. 2015, Rs. C-362/14 – Schrems. 1044

320

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Infolge des Schrems-Urteil setzten viele Unternehmen für ihre Datentransfers auf Standardvertragsklauseln auf Grundlage des Beschlusses (EU) 2010/87 sowie auf das neue EU-US-Privacy Shield-Abkommen, das von der EU-Kommission am 12. Juli 2016 (Durchführungsbeschluss (EU) 2016/1250) als angemessen erachtet wurde. Die Rechtmäßigkeit von Datentransfers über das Privacy Shield und auf Grundlage der SCC wurden aufgrund des hierdurch gewährten Datenschutzniveaus vielfach in Frage gestellt und kritisiert.1046 Am 9. Mai 2018 legte der Irish High Court dem EuGH die Frage zur Prüfung vor, ob Datenübermittlungen in Drittländer im Rahmen der SCC und des Privacy Shields gegen Art. 7, 8, 47 und 52 GRCh verstoßen. 2. Der Inhalt des Urteils In seinem Urteil erklärt der EuGH den Beschluss zum Privacy Shield-Abkommen für unwirksam. Hingegen bestätigt der EuGH die grundsätzliche Wirksamkeit der Standardvertragsklauseln, stellte aber höhere Anforderungen an ihre Nutzung im Einzelfall. Ansatzpunkt des Urteils ist zunächst der sachliche Anwendungsbereich der DSGVO.1047 Hierzu ergibt sich aus Art. 2 Abs. 2 lit. a) DSGVO grundsätzlich, dass die Verarbeitung personenbezogener Daten im Rahmen einer Tätigkeit grundsätzlich vom Anwendungsbereich ausgeschlossen ist, wenn diese Tätigkeit nicht in den Anwendungsbereich des Unionsrechts fällt. Hierzu gehört etwa die Verarbeitung der Daten durch eine staatliche Stelle im Drittland Nach Ansicht des EuGH seien Art. 2 Abs. 1 und 2 DSGVO jedoch dahingegen auszulegen, dass auch ein in einem Drittland ansässiges Unternehmen in den Anwendungsbereich der DSGVO falle, welches Daten in das Drittland übermittelt. Nach dem eng auszulegenden Art. 2 Abs. 2 DSGVO endet der Anwendungsbereich der DSGVO also nicht schon dadurch, dass kommerziell übermittelte Daten auch (im Anschluss) von staatlichen Stellen verwendet werden. Deren Nutzung zu Sicherheits-Zwecken unterfalle zwar nicht dem Anwendungsbereich der Union. Dadurch negiere sich allerdings nicht der vorherige, eigentliche Zweck der Übermittlung durch das Unternehmen. Denn es sei es unerheblich, ob die in das Drittland übermittelten Daten im Anschluss von Behörden des Drittlands für Zwecke der öffentlichen Sicherheit oder Sicherheit des Staates verarbeitet werden können.1048 Wie bereits im ersten Schrems-Urteil betont der EuGH außerdem ganz generell, dass im Falle von internationalen Datentransfers ein Schutzniveau gewährleistet 1046

Vgl. ausführlich zur Kritik am EU-US Privacy Shield Botta, CR 2020, 82 (85 ff.); Mense, ZD 2019, 351 m. w. N. 1047 Vgl. Art. 2 DSGVO. Hierzu bereits vertiefend § 5 A. 1048 Zum Ganzen EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 83 ff. – Schrems II.

§ 7 Grenzüberschreitender Datenschutz

321

sein müsse, welches dem in der EU durch die DSGVO garantierten Datenschutzniveau der Sache nach gleichwertig sei.1049 Bei der Beurteilung dieses Schutzniveaus seien sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem Datenexporteur und dem Empfänger im Drittstaat vereinbart wurden, als auch die Rechtslage im Drittstaat. Letzteres sei insbesondere hinsichtlich etwaiger Zugriffsrechte der dortigen (Sicherheits-)Behörden auf die übermittelten Daten relevant. a) Die Unwirksamkeit des Privacy Shield-Beschlusses Mit Blick auf den Privacy Shield-Beschluss stellt der EuGH fest, dass die darin geregelten Schutzmaßnahmen nicht zu einem im Wesentlichen gleichwertigen Schutzniveau führen. Diesbezüglich stellt er darauf ab, dass die Überwachungsprogramme der US-Behörden diesen weitreichende Zugriffsmöglichkeiten auf die in die USA übermittelten Daten von EU-Bürgern böten und nicht auf das zwingend erforderliche Maß beschränkt seien.1050 Zwar münde nicht jeder Eingriff in die Grundrechte zugleich in einem Verstoß, die Maßnahmen im US-Recht seien jedoch unverhältnismäßig. Außerdem gewähre das Privacy Shield keine ausreichenden Rechtsschutzmöglichkeiten für betroffene Personen, die den nach dem Unionsrecht erforderlichen Garantien der Sache nach gleichwertig wären.1051 Infolgedessen erkennt der EuGH einen Verstoß gegen Art. 7, 8 und 47 GRCh und den Privacy Shield-Beschluss für ungültig, so dass Datenübermittlungen in die USA nicht auf Grundlage eines Angemessenheitsbeschlusses nach Art. 45 DSGVO vorgenommen werden können.1052 b) Einschränkungen bei Standarddatenschutzklauseln Bei der Prüfung von Standarddatenschutzklauseln  – als mögliche geeignete Garantie zur Datenübermittlung – ist der EuGH zu dem Ergebnis gelangt, dass diese grundsätzlich wirksam seien. Denn das Gericht hält den Beschluss 2010/87 der Kommission, welcher den SCC zugrunde liegt, für gültig.1053 Die SCC enthalten grundsätzlich wirksame Mechanismen, durch deren Einsatz das Datenschutzniveau der EU in der Praxis gewährleistet werde. Dies folge insbesondere daraus, dass der Empfänger dem ursprünglichen Datenverarbeiter als Datenexporteur mitteilen muss, wenn er die SCC nicht einhalten kann.1054 1049

EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 105, 178 – Schrems II. EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 163 ff. – Schrems II. 1051 EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 176 ff. – Schrems II. 1052 EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 199 – Schrems II. 1053 EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 114, 149 – Schrems II. 1054 EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 139 – Schrems II. 1050

322

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

Der EuGH betont allerdings, dass es auch bei SCC zur Gewährleistung des Datenschutzniveaus „durchsetzbarer Rechte und wirksame Rechtsbehelfe“ für die betroffenen Personen bedürfe.1055 Der bloße Abschluss zwischen Datenexporteuer und Empfänger reiche daher nicht aus. Vielmehr obliege es dem Datenexporteur – ggf. in Zusammenarbeit mit dem Empfänger – jeweils für den Einzelfall zu prüfen, ob die SCC unter Berücksichtigung des Rechts des Drittlands einen angemessenen Schutz gewährleisten.1056 Grundsätzlich gestattet das Urteil damit weiterhin die Verwendung der aktuellen SCC. Stellen die SCC jedoch alleine keine ausreichenden Mittel zur Gewährleistung des Datenschutzniveaus dar, müssen zusätzliche Maßnahmen ergriffen werden, um ein angemessenes Schutzniveau sicherzustellen. Hierbei sei vor allem die Rechtsordnung des Ziellands im Sinne von Art. 45 Abs. 2 DSGVO zu beachten.1057 Kann das angemessene Datenschutzniveau hingegen im Drittland durch SCC und ggf. zusätzliche Maßnahmen nicht gewährleistet werden, muss der Datenexporteur die Datenübermittlung augenblicklich unterlassen.1058 Anhand dieser abstrakten Kriterien hat der EuGH im konkreten Fall entschieden, dass das Datenschutzniveau in den USA unzureichend und einzig auf SCC gestützte Datentransfers allein nicht mehr möglich seien.1059 Die dabei allgemein gehaltenen Erwägungen des EuGH können allerdings auch auf andere Drittländer ohne Angemessenheitsbeschluss übertragen werden, etwa China oder das Vereinigte Königreich post-Brexit, um dort die Möglichkeit zur Datenübermittlung über SCC zu eruieren.1060 Das Fehlen eines im Wesentlichen gleichwertigen Schutzniveaus ist in diesen Ländern vor allem dann offenkundig, wenn die dortigen Rechtsvorschriften oder Praxis nicht den Anforderungen der wesentlichen europäischen Garantien entspricht.1061 Welche konkreten Maßnahmen die Sicherstellung des Datenschutzniveaus ermöglichen, lässt der EuGH allerdings offen. Im Ergebnis besteht aber wohl nur die Möglichkeit, potentielle staatliche Eingriffe im Drittland und mangelnde Rechtsbehelfe für die betroffenen Personen durch andere Maßnahmen zu kompensieren, die über die ursprünglichen SCC hinausgehen.1062 Dies erfordert für die datenübermittelnden Unternehmen wohl eine – mangels weiterer Vorgaben derzeit sehr rechtsunsichere – Verhältnismäßigkeitsprüfung, die den Umfang der Datenübertragung und die mögliche Inanspruchnahme schutzerhöhender Maßnahmen zu berücksichtigen hat. 1055

EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 91 f. – Schrems II. EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 101, 134 – Schrems II. 1057 EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 104 f. – Schrems II. 1058 EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 113 – Schrems II. 1059 EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 140 ff., 199 – Schrems II. 1060 Golland, NJW 2020, 2593 (2594). 1061 Etwa der Schutzgehalt aus der Grundrechte-Charta, vgl. EDPB, Empfehlungen 01/2020, S. 16. 1062 Golland, NJW 2020, 2593 (2594). 1056

§ 7 Grenzüberschreitender Datenschutz

323

c) Übertragbarkeit auf verbindliche interne Datenschutzvorschriften Verbindliche interne Datenschutzvorschriften (BCR), durch die nach den Vorgaben des Art. 47 DSGVO Daten innerhalb einer Unternehmensgruppe übermittelt werden können, werden im Schrems II-Urteil nicht thematisiert. Aus Art. 47 Abs. 1 DSGVO ergibt sich allerdings, dass der Maßstab der Wirksamkeit von BCR mit dem von SCC vergleichbar ist. Auch war das Privacy Shield dazu bestimmt, Garantien für Daten zu bieten, die mit Instrumenten wie den BCR übermittelt wurden. Aus diesem Grund kommt in Fällen, in denen aufgrund eines mangelnden Datenschutzniveaus keine SCC wirksam vereinbart werden können, auch der Einsatz von BCR nicht in Betracht.1063 Liegt also kein Angemessenheitsbeschluss vor, können Daten auf Grundlage von BCR nur ermittelt werden, wenn wie bei SCC eine Verhältnismäßigkeitsprüfung durchgeführt wird. Dabei sind wiederum die Ergreifung zusätzlicher Maßnahmen und die Umstände der Datenübermittlung zu beachten.1064 Die zusätzlichen Maßnahmen müssen zusammen mit den BCR nach einer Einzelfallanalyse sicherstellen, dass die Situation im Drittland das garantierte, angemessene Schutzniveau nicht beeinträchtigt. Falls danach die Übermittlung der Daten beabsichtigt wird, muss die Übermittlung auf Grundlage der BCR und der zusätzlichen Maßnahmen der zuständigen Aufsichtsbehörde mitgeteilt werden.1065 Insgesamt erscheint daher die Verwendung von BCR in solche Drittländer ohne Angemessenheitsbeschluss vermeintlich impraktikabel.1066 BCR müssen nach Art. 47 DSGVO ohnehin schon höhere regulatorischen Auflagen im Vergleich zu SCC erfüllen und zusätzlich bestehen die ergänzenden Anforderungen nach dem Schrems II-Urteil für beide Formen der Garantien. Gleichwohl eröffnet sich hierdurch für Konzerne die Möglichkeit, die genauen Modalitäten der Übermittlung – unter Einhaltung von Art. 47 DSGVO – individuell zu gestalten. d) Weiterhin zulässige Ausnahmeregelungen Der EuGH hat im Hinblick auf die getroffene Entscheidung hinzugefügt, dass aufgrund der Ausnahmen in Art. 49 DSGVO kein „rechtliches Vakuum“ für die Übermittlung in Drittländer entstünde.1067 Gerade bei der Einwilligung (Art. 49 Abs. 1 lit. a)  DSGVO) besteht aber das Risiko, dass diese infolge unvollständiger oder intransparenter Informationen über die Risiken der Übermittlung unwirksam ist. Auch die Übermittlung zur Erfüllung des Vertrags (Art. 49 Abs. 1 1063

EDPB, Häufig gestellte Fragen zum Urteil des EuGH in der Rechtssache C-311/18, S. 3. EDPB, Häufig gestellte Fragen zum Urteil des EuGH in der Rechtssache C-311/18, S. 3 f. 1065 EDPB, Häufig gestellte Fragen zum Urteil des EuGH in der Rechtssache C-311/18, S. 4. 1066 So Golland, NJW 2020, 2593 (2594). 1067 EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 202 – Schrems II. 1064

324

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

lit. b) DSGVO) kommt wie bereits dargestellt nur in Einzelfällen in Betracht. Vor allem aufgrund des Kriteriums der Erforderlichkeit der Datenübermittlung scheidet die Ausnahme in vielen Fällen aus. Denn insbesondere konzerninterne Datenflüsse und das Outsourcing bestimmter Verarbeitungsprozesse in Drittländer stellen regelmäßig keine erforderliche Datenübermittlung im Sinne des Art. 49 Abs. 1 lit. b) DSGVO dar.1068 III. Folgen für datenfinanzierte Angebote Ob eine Datenübermittlung für die Anbieter von datenfinanzierten Angeboten unkompliziert möglich ist, hängt maßgeblich vom Vorliegen eines Angemessenheitsbeschlusses ab. Liegt ein solcher vor, ist eine Übermittlung in das jeweilige Drittland nach Art. 45 DSGVO vergleichbar einfach möglich. Durch das Schrems II-Urteil wurden die Voraussetzungen für einen solchen Beschluss nochmal verdeutlicht. Gleichzeitig steht durch das Urteil fest, dass sich die Datenübermittlung in die USA durch die Unwirksamkeit des Privacy Shield-Abkommens massiv erschwert. Gerade aufgrund der vielen in den USA ansässigen Tech-Unternehmen hat dies massive Implikationen auf Datenübertragungsvorgänge bei datenfinanzierten Angeboten. Das Schrems II-Urteil hat darüber hinaus weitere Auswirkungen auf die Möglichkeiten von Unternehmen, Daten über geeignete Garantien in Drittländer zu übertragen. Dies betrifft selbstverständlich auch die Anbieter von datenfinanzierten Angeboten. Hierbei greifen nun nicht nur die Voraussetzungen der Art. 46 ff. DSGVO, sondern es sind auch die weiteren Erwägungen des Schrems II-Urteils zu beachten. Anbieter müssen vor allem beim Datentransfer in die USA auf andere Rechtsgrundlagen umstellen und die Informationen über die Datenübermittlung als Folge massiv überarbeiten. So bieten SCC und BCR nur noch dann ausreichende Garantien, wenn der Datenverarbeiter in der Einzelfallprüfung feststellt, dass weiterhin ein adäquates Datenschutzniveau hergestellt werden kann. Anderenfalls müssen die Garantien durch weitere Maßnahmen ergänzt werden.1069 Ob derzeit überhaupt taugliche Maßnahmen ergriffen werden können, um eine Datenübermittlung in die USA rechtskonform zu gestalten, wird von vielen Aufsichtsbehörden kritisch bewertet.1070 Um diesen abstrakten Erwägungen mehr Konturen zu verleihen, kann die Zulässigkeit der Übermittlung anhand der einzelnen Verarbeitungsprozesse bei datenfinanzierten Angeboten dargestellt und dort detaillierter ausdifferenziert werden. 1068 Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  49 Rn.  22 f.; Schröder, in: Kühling / Buchner, DSGVO / BDSG, Art.  49 Rn.  21; Golland, NJW 2020, 2593 (2594). 1069 EuGH, Urt. v. 16. 7. 2020, Rs. C-311/18, Rn. 133 f. – Schrems II. 1070 Vgl. hierzu vertiefend BlnBDI, Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten, S. 16; DSK, Orientierungshilfe Videokonferenzsysteme, S. 7; EDPB, Empfehlungen 01/2020, S. 18, 32 ff.

§ 7 Grenzüberschreitender Datenschutz

325

1. Die Erhebung, Verarbeitung und Speicherung Verarbeitet ein App-Anbieter die Nutzerdaten dergestalt, dass die Daten gespeichert und analysiert werden, handelt es sich dabei um eine Verarbeitung der Kategorie II. Der App-Anbieter selbst fällt dabei in den Anwendungsbereich von Art. 3 Abs. 1 und 2 DSGVO und ist zur Einhaltung der Vorgaben aus der DSGVO verpflichtet. Daran ändert sich auch nichts, wenn der Datenverarbeiter die Daten auf Servern außerhalb der Union speichert oder seine Analyse von einem Auftragsverarbeiter außerhalb der Union durchführen lässt. Zusätzlich muss jedoch die Übermittlung den Vorgaben der Art. 44 ff. DSGVO genügen. Erwägungsgrund 101 S. 3 folgend handelt es sich auch dann eindeutig um eine Übermittlung in ein Drittland, wenn ein Datenverarbeiter die Daten an einen dortigen Auftragsverarbeiter übermittelt.1071 Es genügt aufgrund des weiten Verständnisses von Übermittlungen bereits ein Speichern von Daten auf Servern, die sich im Drittland befinden.1072 Durch diese weite Geltung kann der Schutzzweck von Art. 44 S. 2 DSGVO sichergestellt werden, bei Zugriffsrechten auf die Daten einem Drittland dauerhaft das Datenschutzniveau zu gewährleisten. Diese Vorgabe erschwert es App-Anbietern, ihre Daten zur Speicherung und Analyse in Drittländer zu übertragen, sofern kein Angemessenheitsbeschluss besteht. In vielen Ländern, deren Unternehmen im digitalen Sektor eine große Rolle einnehmen, wie die USA oder China, bedarf es so zur Übertragung zusätzlicher Anforderungen. Der App-Anbieter muss in diesen Fällen mit dem Auftragsverarbeiter SCC vereinbaren und zusätzlich sicherstellen, dass das Datenschutzniveau auch tatsächlich gewährleistet werden kann, ggf. über die Ergreifung zusätzlicher Maßnahmen. Diese Abschätzung des Datenschutzniveaus ist gegenüber dem Auftragsverarbeiter zumindest absehbar, da die Daten lediglich im Auftrag des AppAnbieters verarbeitet oder sogar lediglich gespeichert werden. Als zusätzliche Maßnahme zu Sicherung des Datenschutzniveaus käme eine (teilweise)  Pseudonymisierung oder Anonymisierung der Daten in Betracht. So könnte der App-Anbieter die Daten vor der Übermittlung pseudonymisieren, so dass die Speicherung oder Analyse im Drittland nur mit pseudonymisierten Daten erfolgt. Bei Rückübermittlung nach Abschluss der Analyse bzw. nach Abrufung vom Server kann die Pseudonymisierung der Daten im Anschluss innerhalb der Union wieder aufgehoben werden. Möchte der Anbieter von Navigations-App A seine Daten weiterhin auf Servern im Vereinigten Königreich speichern, muss er nach Vollziehung des Brexits die Gewährleistung des Datenschutzniveaus sicherstellen. Hierzu kann er mit dem Serveranbieter SCC ver 1071

Schantz, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  44 Rn.  12. Kamp / Beck, in: Wolff / Brink, BeckOK Datenschutzrecht, Art. 44 Rn. 15; Pauly, in: Paal /  Pauly, DSGVO / BDSG, Art.  44 Rn.  2. A. A. Zerdick, in: Ehmann / Selmayr, DSGVO, Art.  44 Rn. 7, nach dem es zur Übermittlung der Endbestimmung der Daten außerhalb der Union bedarf, wodurch reine (Zwischen-)Speicherung auf Servern hiervon wohl nicht erfasst wäre. 1072

326

Teil 2: Die Bewertung datenfinanzierter Angebote de lege lata 

einbaren. Ferner sollte er die künftige Rechtsentwicklung im Vereinigten Königreich im Blick behalten, um erforderlichenfalls die übermittelten Daten als zusätzliche Maßnahme zu pseudonymisieren.

2. Die Offenlegung innerhalb des Konzerns Die Übermittlung in ein Drittland fällt auch bei der Offenlegung innerhalb des Konzerns (Kategorie III a) unter die Regelungen nach Art. 44 ff. DSGVO.1073 Hierbei eröffnet sich den Konzernen allerdings die Möglichkeit, neben SCC auch BCR zu vereinbaren, um Daten rechtmäßig zu übermitteln. BCR erfordern zwar höhere Anforderungen als die SCC, können zugleich aber individueller gestaltet werden. Gerade wenn zur Gewährleistung eines angemessenen Datenschutzniveaus ohnehin zusätzliche Maßnahmen getroffen werden müssen, kann sich die Verwendung von BCR anbieten. In diesen kann der App-Anbieter im Verhältnis zu den verbundenen Unternehmen verbindlich festlegen, über welche Maßnahmen die Sicherung des Datenschutzniveaus implementiert werden kann. Der Anbieter von Messenger-Dienst B befindet sich in einem Konzernverbund, deren übrige Unternehmen ihren Sitz in den USA haben. Sollen Daten an diese Unternehmen offengelegt werden, kann dies aufgrund der Unwirksamkeit des Privacy Shields nur noch über SCC und BCR geschehen. Entwickelt der App-Anbieter von B nun BCR, die das Datenschutz­ niveaus durch die Pseudonymisierung von Daten außerhalb der Union sicherstellen, müssen die BCR von der zuständigen Aufsichtsbehörde genehmigt werden. Im Anschluss ist aber wieder eine risikolose Übermittlung an andere Konzernunternehmen möglich.

Ein Konzernverbund mit Konzernmutter in den USA begründet allerdings noch zusätzliche datenschutzrechtliche Risiken. Selbst wenn grundsätzlich keine Offenlegung an die Konzernmutter stattfinden soll, begründet sich gleichwohl die Gefahr eines Datenexports in die USA. Der sog. „Cloud Act“1074 erlaubt US-Behörden den Zugriff auf im Ausland gespeicherte Daten, so lange die betroffenen Server unter Kontrolle eines US-Unternehmens stehen. So kann sich ohne direkte Intention zur Offenlegung an die Konzernmutter eine Herausgabepflicht der Daten in die USA ergeben, die dementsprechend im Konflikt zur DSGVO stünde.1075

1073 Vgl. DSGVO ErwG 48. Insoweit gibt nach unter der DSGVO für Konzerne keine Privilegierung. 1074 Clarifying Lawful Overseas Use of Data Act. 1075 Vertiefend hierzu EDPB, Initial legal assessment of the impact of the US CLOUD Act, S. 8.

§ 7 Grenzüberschreitender Datenschutz

327

3. Die Offenlegung an Dritte Deutlich schwieriger gestaltet sich die Offenlegung der Daten an externe Dritte (Kategorie III b) in Ländern, mit denen kein Angemessenheitsbeschluss besteht. Bei diesen kommen – gerade bei einer kommerziellen Offenlegung – vielfach nur SCC als Grundlage zur Übermittlung in Betracht. Demgegenüber kann über die Ausnahmeregelungen in Art. 49 DSGVO eine vertraglich vereinbarte Offenlegung der Daten kaum rechtssicher ermöglicht werden, da eine solche von der zusätz­ lichen Einwilligung des betroffenen Nutzers abhängt. Bei einer Übertragung der Daten – etwa in die USA – reicht die reine Nutzung von SCC allerdings nicht aus. Und die Vereinbarung zusätzlicher, tauglicher Maßnahmen, die das Datenschutzniveau sichern sollen, wird sich wohl vielfach als schwierig herausstellen. Denn der Datenempfänger möchte die Daten bei der Offenlegung vielfach selbstständig kommerziell nutzen, so dass ihm etwa die Übermittlung lediglich pseudonymisierter oder anonymisierter Daten wenig nutzt.

Teil 3

Die Behandlung datenfinanzierter Angebote de lege ferenda § 8 Regulatorische Veränderungsmöglichkeiten Die Analyse in Teil 2 hat gezeigt, dass sich das Geschäftsmodell Daten gegen Leistung bei datenfinanzierten Angeboten grundsätzlich als mit der DatenschutzGrundverordnung vereinbar erweist und das aktuelle Datenschutzregime damit solchen Geschäftsmodellen nicht prinzipiell im Wege steht. An vielen Stellen – gerade bei komplexen Datenverarbeitungen – erwachsen gleichwohl datenschutzrechtliche Schwierigkeiten. Für diese Probleme sollen in diesem Kapitel potentielle regulatorische Lösungsansätze untersucht werden. Ein verbesserter Regulierungsrahmen kann dabei dafür sorgen, dass im regulierten Rechts- bzw. Wirtschaftsbereich Bedingungen für Wettbewerb geschaffen und aufrechterhalten werden, die anstelle einer staatlichen Eigenvornahme die Funktionsfähigkeit im betreffenden Bereich auch bei privatwirtschaftlichem Handeln garantieren.1 Dabei ist für die folgenden regulatorischen Verbesserungsansätze als Grundannahme zu unterstellen, dass die generelle Zulässigkeit des Geschäftsmodells Daten gegen Leistung nicht in Frage steht. Eine generelle Verneinung dieses Geschäftsmodells erschiene hinsichtlich der Lebenswirklichkeit, in der datenfinanzierte Angebote millionenfach verwendet werden, und des darin liegenden Wirtschaftsfaktors naiv und wenig zielführend. Vielmehr muss die Frage gestellt werden, wie solche datenfinanzierten Angebote mit dem Schutz der Nutzerdaten besser in Einklang gebracht werden können. Soll auf datenfinanzierte Angebote und gegebenenfalls sonstige Drittinhalte nicht vollständig verzichtet werden, so hat bei der Bestimmung der datenschutzrechtlichen Regulierungstiefe im besten Fall auch die praxisnahe Lebenswirklichkeit der Datenverarbeitung solcher Angebote eine Rolle zu spielen. Dabei sind wiederum Fragen, wie die originäre Verhandlungsmacht, die wirtschaftliche Ausgewogenheit und die Fähigkeit, auf die hier untersuchten Aktivitäten Einfluss zu nehmen, einzubeziehen. Mit dieser Zielsetzung des Kapitels sollen zunächst einige eher generelle Probleme aufgeworfen und abstrakt erörtert werden (A.). Nachfolgend werden die vom Verfasser für potentiell tauglich erachteten Verbesserungsmöglichkeiten vorgestellt, im Detail die regulatorische Verpflichtung zum Angebot alternativer 1 Abstrakt zur Reichweite des Regulierungsrechts Ruffert, in: Fehling / Ruffert, Regulierungsrecht, § 7, Rn. 58.

§ 8 Regulatorische Veränderungsmöglichkeiten

329

Modelle zur Monetarisierung (B.) sowie verbesserte Ansätze zur Transparenz datenfinanzierter Angebote (C.). Final werden die Erkenntnisse in einem Fazit zusammengetragen (D.). Hinsichtlich dieser Ansätze sei an dieser einleitenden Stelle noch darauf hingewiesen, dass die Darstellung bestehender Probleme und ihrer Lösungsmöglichkeiten aus regulatorischer Sicht stattfindet. Daneben bestehen weitere Möglichkeiten, über die der Datenschutz der Nutzer sichergestellt werden kann. Dies kann etwa durch den individuellen Selbstschutz der Nutzer oder eine Selbstregulierung der Digitalwirtschaft geschehen.2 Solche Ansätze haben ihren Ursprung jedoch weniger in einer regulatorischer Veränderung, als in sich veränderndem Nutzerverhalten, medialer Aufmerksamkeit oder firmeninterner Compliance Politik.

A. Die Problematik datenfinanzierter Angebote Wie an mehreren Stellen in dieser Arbeit bereits angeklungen, stehen daten­ finanzierte Angebote in einem Zielkonflikt zwischen den Interessen der App-Anbieter, die zur Monetarisierung möglichst viele Daten erheben und diese möglichst umfangreich verarbeiten wollen, und denen der Nutzer, die zwar den digitalen Dienst nutzen, gleichzeitig ihre Daten aber bestmöglich geschützt sehen wollen. Dieser Zielkonflikt spielgelt sich auch in den darin zugrundeliegenden konfligierenden Grundrechten wider. Die wirtschaftliche Betätigung der App-­Anbieter ist über ihrer Unternehmerfreiheit nach Art. 16 GRCh (und Art. 12 GG) geschützt, während sich die Nutzer auf ihr Datenschutzgrundrecht aus Art. 8 GRCh berufen können. Dieser Interessenkonflikt wurde in Teil 2 bereits deutlich und die DSGVO verfügt bei der Regulierung der Datenverarbeitung über viele Möglichkeiten, um diesen Interessenkonflikt in angemessener Weise zu lösen oder zumindest entspannen zu können. Gleichwohl verbleiben auch nach der Analyse noch einige offene Fragen, wie das datenschutzrechtliche Verhältnis zwischen App-Anbieter und Nutzer am besten auszugestalten ist. I. Das „richtige Maß“ an Datenschutz Zunächst stellt sich anhand der Ergebnisse dieser Arbeit die Frage, ob über die Förderung von Pseudonymisierung und Anonymisierung, die Ausgestaltung der Datenschutzgrundsätze in Art. 5 DSGVO sowie über die Erlaubnistatbestände in Art. 6 DSGVO das „richtige Maß“ an Datenschutz erreicht wird. Diese sehr generelle Fragestellung wird im digitalen Kontext vor allem vom „Privacy Paradox“ berührt. 2 S. hierzu vertiefend Bidler et al., in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 285 (302 ff.).

330

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Schon bei der Erörterung der Werthaftigkeit von Daten für datenfinanzierte Angebote wurde festgestellt, dass der Nutzer den Wert der preisgegebenen Daten (häufig) nicht überblicken oder einschätzen kann.3 Dieses Phänomen besteht auch hinsichtlich der allgemeinen Bereitschaft zur Preisgabe der Daten in Form des Privacy Paradox. Das Privacy Paradox besagt, dass Nutzer bei der Nutzung von digitalen Diensten – also auch Apps – zwar durchaus Wert auf den Schutz ihrer Daten legen und um diesen besorgt sind.4 Gleichzeitig sind sie aber bereit, große Mengen persönlicher Daten zu teilen.5 Dass in der Preisgabe der Daten grundsätzlich eine Gefahr für die Privatheit gesehen und dennoch der Verarbeitung der persönlichen Daten zur Nutzung zahlreicher datenfinanzierter Angebote zugestimmt wird, stellt den (vermeintlichen) Widerspruch des Privacy Paradox dar. Wie groß die Auswirkungen auf das Nutzer-Verhalten tatsächlich ausfallen, ist dabei in der geisteswissenschaftlichen Forschung noch nicht vollends aufgeschlüsselt.6 1. Gründe für das Privacy Paradox Aufgrund der Bedrohung der Privatheit durch datenfinanzierte Angebote ließe sich schnell auf eine Ignoranz der Nutzer gegenüber dem Risiko der Datenpreisgabe schließen. Die Nutzung datenfinanzierter Angebote eröffnet allerdings gute Gründe, aufgrund derer Nutzer ihre Daten schlussendlich preisgeben und damit in den vermeintlichen Widerspruch zu ihrer Sorge um Privatheit treten. Der Nutzung datenfinanzierter Angebote kann durchaus eine rationale Entscheidung zugrunde liegen. Bei dieser Entscheidung wertet der Nutzer die Kosten und das Risiko der Datenverarbeitung möglicherweise niedriger, als den aus der Nutzung gezogenen Vorteil, die möglichen Kosten zur Vermeidung der Datenverarbeitung und die damit verbundene Informationssuche.7 Die Preisgabe der Daten findet jedoch offensichtlich nicht um ihrer selbst willen statt, sondern die Nutzer können hierdurch die Vorteile aus der Verwendung des datenfinanzierten Angebots ziehen. Dass diese Entscheidung nicht im Widerspruch zu den Sorgen der Nutzer um die Verwendung der Daten stehen muss, lässt sich 3

S. § 2 B. II. 1. b) dd). 82 % der Deutschen haben laut einer repräsentativen Studie aus 2020 durchaus Bedenken um ihre Privatheit; gleichzeitig unternehmen allerdings nur wenige Nutzer Maßnahmen, um ihre Privatheit zu verteidigen, vgl. Kozyreva et al., Künstliche Intelligenz in Online-Umgebungen, S. 12. 5 Vgl. zur medienpsychologischen Erklärung Trepte / Teusch, in: Krämer et al., Medienpsychologie, S. 372. 6 Instruktiv zur wissenschaftlichen Herleitung und kritischen Analyse Dienlin, in: SpechtRiemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 305 (314 ff.). Vertiefend zum Privacy Paradox Hermstrüwer, Informationelle Selbstgefährdung, S. 232 ff. Generell kritisch zum Konzept des „Privacy Paradox“ Solove, The Myth of the Privacy Paradox m. w. N. 7 Buck / Germelmann / Eymann, in: Schmidt-Kessel / Langehanke: Datenschutz als Verbraucherschutz, S. 49 (61). 4

§ 8 Regulatorische Veränderungsmöglichkeiten

331

mit verschiedenen Faktoren begründen: Es kann zunächst an der ausreichenden Selbstkontrolle fehlen, um die langfristigen Folgen einer Datenpreisgabe mit dem kurzfristigen Vorteil aus der Nutzungsmöglichkeit der App abzuwägen. Bei zahlreichen digitalen Inhalten ist das Abschätzen von Vor- und Nachteilen der Datenpreisgabe aufgrund der Komplexität der Datenverarbeitung für den Nutzer ohnehin äußerst schwierig. Hinzu kommt noch, dass die Zurückhaltung von Daten ebenfalls negative Effekte oder Kosten in sich bergen kann.8 Messenger-Dienst B steht einem Mitbewerber gegenüber, dessen Datenverarbeitung zwar deutlich datenschutzfreundlicher ausfällt, der gleichzeitig allerdings noch bedeutend weniger Nutzerzahlen aufweist. In einem solchen Fall liegt der Aufwand für den Nutzer zunächst darin, dass er sich über die unterschiedlichen Datenschutz-Standards der Produkte informieren muss. Gleichzeitig besteht ein weiterer potentieller Nachteil darin, dass der Nutzer bei der App mit der schwächeren Nutzer-Reichweite möglicherweise nicht genauso viele private Kontakte erreicht. Auch ist vorstellbar, dass der Mitbewerber zwar weniger Daten verarbeitet, man dafür aber die Nutzung auch entgeltlich bezahlen muss oder die App weniger Zusatzfeatures enthält.

2. Regulatorische Folgen Betrachtet man die spezifischen technischen und verwendungsbezogenen Eigenschaften von Apps, wird deutlich, warum die Nutzer die Kosten der Informationssuche oft über- und den Wert der preisgegebenen Daten unterschätzen. Bei der Auswahl datenfinanzierter Angebote suchen und analysieren Nutzer in der Regel nicht alle zur Verfügung stehenden Informationen, sondern konzentrieren sich auf bestimmte, für sie bedeutsame Teilaspekte (etwa den Preis, ein Gütesiegel oder eine Empfehlung). Daraus folgt, dass sich die Konsumenten beim Erwerb von Apps mit hoher Wahrscheinlichkeit wenig Gedanken um ihre Privatsphäre machen. Die Motivation, sich über mögliche Datenschutzrisiken zu informieren, steht in einem Zusammenhang zur Höhe des wahrgenommenen Risikos. Diese Risikowahrnehmung wird allein schon durch die bereits analysierte Undurchsichtigkeit der Datenverwendung und Datenaggregation häufig nur ein niedriges Niveau aufweisen.9 Insgesamt mag nach diesen Erwägungen für manche Nutzer die Preisgabe von Daten tatsächlich keine Bedeutung aufweisen oder die Preisgabe wohlüberlegt sein. Es bestehen allerdings genug Gründe, bei denen datenfinanzierte Angebote aus rationalen Gründen trotz Bedenken um die eigene Privatheit genutzt werden, ohne dass hierin ein unauflöslicher Widerspruch liegt. Für die datenschutzrechtliche Regulierungstiefe erscheint es diesbezüglich durchaus sinnvoll zu unterscheiden, ob ein Nutzer am Umfang der Datenpreisgabe nicht interessiert ist oder ob die Daten 8

Zum Ganzen Dienlin, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 305 (316 f.) m. w. N. auf die zugrundeliegenden Studien. 9 Buck / Germelmann / Eymann, in: Schmidt-Kessel / Langehanke: Datenschutz als Verbraucherschutz, S. 49 (62).

332

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

preisgabe trotz bestehender Sorge um die eigene Privatheit geschieht. Bestünde bei einer Vielzahl von Nutzern tatsächlich die Mentalität, dass die Preisgabe von Daten irrelevant und die eigene Privatheit keine große Bedeutung genießt, ließe sich über eine Erleichterung des regulatorischen Datenschutzes nachdenken. Denn in einem solchen Fall würde die Regulierung den App-Anbieter einschränken, ohne dem Nutzer hinsichtlich seiner informationellen Selbstbestimmung einen Mehrwert zu verschaffen. Häufig überwiegen bei datenfinanzierten Angeboten hingegen die wahrgenommenen Vorteile aus der Nutzung des Dienstes gegenüber dem daraus resultierenden Risiko, oder die Risiken können vom Nutzer erst gar nicht richtig eingeschätzt werden. Der Nutzer kann dann aufgrund der Komplexität und Vielzahl von Apps und den damit verbundenen, unterschiedlichen Arten der Datenverarbeitung die Folgen der Preisgabe nicht richtig abschätzen. In solchen Fällen besteht zumindest die potentielle Gefahr, dass er das eigene Recht auf eine selbstbestimmte Entscheidung über den Umfang seiner personenbezogenen Daten aus dem Datenschutzgrundrecht selbständig nicht ausreichend wahrnehmen kann. Als Folge dessen bedarf es der staatlichen Regulierung, die ebenjene selbstbestimmte Entscheidung anerkennt, sichert und durchsetzt. Besteht hinsichtlich dieser Regulierung im digitalen Kontext ein Defizit, ließe sich über ein strikteres Datenschutz-Regime nachdenken. Zumindest wäre zur Umsetzung der Selbstbestimmung eine für den Anbieter verpflichtende, bessere Information über die Datenverarbeitung und eine höhere Transparenz gegenüber dem Nutzer denkbar, damit dieser schlussendlich eine selbstbestimmte Entscheidung treffen kann. II. Die Tiefe des Regulierungsniveaus An die Überlegungen zum richtigen Maß an Datenschutz schließt sich denklogisch an, dass ein gegenwärtiges, nicht ideales Regulierungsniveau entweder zu einer Verschärfung oder Verringerung der Datenschutzstandards führen sollte. Daneben ließe sich über alternative Regulierungswege nachdenken, die neben dem Datenschutzrecht stehen und dessen Regulierungsniveau nicht verändern. Damit eng verbunden schließt sich die Frage an, mit welchen Ansätzen ein solches, höheres oder geringes Datenschutzniveau erreicht werden könnte. In dieser Grundsatzfrage könnte der Umstand Bedeutung erlangen, dass bei den untersuchten Apps die Dienste datenfinanziert sind, d. h. die Preisgabe von Daten durch den Nutzer gerade einen Vertragsbestandteil darstellt. Ob eine solche Situation aber zu einem höheren oder stattdessen zu einem geringeren Datenschutzniveau führen sollte, ist keineswegs offensichtlich. Nachfolgend sollen daher abstrakt Gründe, die für und gegen eine Anhebung bzw. Verringerung ebenjenes Niveaus sprechen, berücksichtigt werden. Im Anschluss soll diese Überlegung mit den bisherigen Ergebnissen abgeglichen werden.

§ 8 Regulatorische Veränderungsmöglichkeiten

333

1. Gründe für ein geringeres Regulierungsniveau Über eine geringere datenschutzrechtliche Regulierungstiefe ließe sich die Flexibilität für die Datenverarbeiter erhöhen. Die bei datenfinanzierten Angeboten als Datenverarbeiter auftretenden App-Anbieter könnten ihre Geschäftsmodelle flexibilisieren und ihnen fiele die Monetarisierung ihrer Produkte über zusätzliche oder vereinfachte Verarbeitungsmöglichkeiten leichter. In der Literatur haben sich zunehmend Stimmen gefunden, die ein geringeres Regulierungsniveau im Datenschutz fordern und dem paternalistischen Ansatz des aktuellen Datenschutzregimes kritisch gegenüberstehen. Darüber hinaus könnten aber noch weitere Gründe für ein geringes Datenschutzniveau sprechen. So könnte sich ein gleichwertiger, und möglicherwiese zielgerichteter Schutz betroffener Personen auch auf einem Weg erreichen lassen, der die Datenverarbeiter weniger stark einschränkt. a) Der Paternalismus im Datenschutz Eng verbunden mit dem Wunsch nach einem niedrigeren Datenschutzniveau hat sich eine zunehmende Debatte in der Literatur über die Sinnhaftigkeit des Paternalismus im Datenschutzrecht entwickelt. Die wissenschaftliche Kritik an paternalistischen Regelungsansätzen findet sehr vielfältig statt und beschränkt sich nicht einzig auf das Datenschutzrecht. Grundsätzlich lässt sich unter (staatlichem) Paternalismus jede staatliche Maßnahme verstehen, die von dem Ziel getragen ist, die Situation der betroffenen Bürgerinnen und Bürger zu verbessern, und die entgegen bzw. ungeachtet eigenverantwortlich getroffener Entscheidungen der Begünstigten zum Handeln bzw. Nichthandeln vorgenommen wird.10 Um sich nicht in der Thematik zu verlieren, soll an dieser Stelle lediglich ein Überblick über paternalistische Strukturen bei der Datenregulierung gegeben werden, bevor sich die Ausführungen auf die Thematik dieser Arbeit kanalisieren sollen. Bezüglich des Datenschutzes betrifft der Paternalismus den Schutz vor der ausdrücklichen oder konkludenten Preisgabe personenbezogener Daten. Er erfährt seine gesetzliche Ausformung im generellen Verbot mit Erlaubnisvorbehalt von Datenverarbeitungen nach Art. 6 DSGVO sowie in Form spezifischer, sehr umfangreichen Vorgaben an die Einwilligung gem. Art. 7 DSGVO.

10

Krönke, Der Staat 2016, 319 (323) m. w. N., der den Datenpaternalismus sehr ausführlich herleitet und untersucht.

334

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

aa) Die Kritik an der aktuellen Gesetzeslage Über das Prinzip des Verbots unter Erlaubnisvorbehalt gebietet die DSGVO die grundsätzliche Unübertragbarkeit personenbezogener Daten auch zwischen Privaten. Die DSGVO verlangt darüber hinaus für eine rechtmäßige Verarbeitung ein strukturelles Gleichgewicht zwischen betroffenen Personen und Datenverarbeitern und stellt Einwilligung und Datenpreisgabe unter ein Kopplungsverbot.11 Nach den Kritikern paternalistischer Strukturen in der Literatur seien ebensolche Regulierungsansätze „aufgedrängt“ und insoweit kritisch zu bewerten.12 Ansatzpunkt der Kritik liegt in der ursprünglichen Herkunft des Datenschutzes als Recht zwischen Staat und Bürgern. Die in diesem Bereich entstandenen Grundprinzipien bilden nicht den richtigen Maßstab bei Datenverarbeitungen im Verhältnis zwischen Unternehmen und Verbrauchern und sollten daher nicht vollends auf das Verhältnis zwischen Privaten übertragen werden. Das Kopplungsverbot und die Anforderungen an die Einwilligung erschweren den Umgang und die Entscheidung über die Nutzung der eigenen Daten zu weitreichend. Durch einen solchen Ansatz werde selbstverantwortlichen Personen gegen ihren Willen das Recht auf eine eigene Entscheidung und Teilhabe über den Umgang mit ihren Daten abgesprochen, um hierdurch ebendiese Freiheit der gleichen Personen zu schützen. Ein solcher Ansatz verwische damit die Grenze zwischen der Selbstbestimmung der betroffenen Personen und dem öffentlichen Interesse.13 Hierdurch werde aber unterschlagen, dass ein tauglicher Regulierungsansatz zum Datenverkehr auch die Verteilung von Informationen in der Gesellschaft insgesamt, die Kreativität und Anpassungsfähigkeit der Gesellschaft, die ökonomische Wohlfahrt und den sozialen Ausgleich in den Blick zu nehmen habe.14 Der Paternalismus-kritische Ansatz nimmt hinsichtlich der in dieser Arbeit angestrebten Bewertung datenfinanzierter Angebote vor allem die Einwilligung und deren Voraussetzungen in den Blick. Je anspruchsvoller die rechtlichen Anforderungen an eine wirksame Einwilligung ausfallen, desto stärker nehme die DSGVO in Kauf, dass der Nutzer datenfinanzierter Angebote mit der Datenverarbeitung tatsächlich einverstanden sei, seine Willensbetätigung jedoch die rechtlichen Anforderungen an eine wirksame Einwilligung nicht erfülle und seine frei getroffene Entscheidung zur Preisgabe seiner Daten ins Leere gehe.15

11

Zur Reichweite dieser Anforderungen § 6 B. II. Allgemein zur Kritik Sandfuchs, Privatheit wider Willen, S. 209 ff., 223 ff. Ferner Krönke, Der Staat 2016, 319 (324 ff.); Klement, JZ 2017, 161 (168 f.); Bräutigam, MMR 2012, 635 (637). 13 Zum Ganzen Klement, JZ 2017, 161 (168). 14 Klement, JZ 2017, 161 (170). 15 Krönke, Der Staat 2016, 319 (326). 12

§ 8 Regulatorische Veränderungsmöglichkeiten

335

bb) Probleme durch paternalistische Regulierung Die Kritik an paternalistischen Regulierungsansätzen wird maßgeblich mit Eingriffen in die Grundrechte der Datenverarbeiter sowie zusätzlich der betroffenen Personen begründet. Wie bereits dargestellt, zielt die datenschutzrecht­liche Regulierung nach Art. 1 Abs. 1 DSGVO auf den Schutz personenbezogener Daten bei der Verarbeitung. Hierbei schützt das Datenschutzrecht grundsätzlich die Privatheit der von einer Datenverarbeitung betroffenen Personen, indem die freie Verarbeitungsmöglichkeit eingeschränkt wird. Diese Einschränkung stellt im privaten Kontext gleichzeitig einen Eingriff in die Unternehmerfreiheit der Datenverarbeiter aus Art. 16 GRCh dar, weil diese nicht mehr beliebig die Daten erheben und verarbeiten können. Die Kritiker paternalistischer Ansätze ergänzen, dass darüber hinaus ein Eingriff in die Privatsphäre und Handlungsfreiheit der betroffenen Personen selbst stattfindet, deren Schutz das Datenschutzrecht eigentlich dient. Denn eine Regulierung, die die Nutzung datengetriebener Geschäftsmodelle stärker einschränkt, als dies zur Sicherstellung der Selbstbestimmtheit über die Datenverarbeitung erforderlich ist, schlägt in einen Eingriff in das Recht auf eigene Privatsphäre und Handlungsfreiheit um.16 Gerade besondere Anforderungen an die Einwilligung schränken die Möglichkeiten der Verarbeitung und damit auch die Einwilligungshandlung der betroffenen Personen ein, so dass eine „überregulierte“ Einwilligung selbst in einen Eingriff in das Recht auf Achtung des Privatlebens nach Art. 7 GRCh umschlagen kann. Zwar wird durch Art. 7 GRCh nicht wie in Art. 2 Abs. 1 GG die allgemeine Handlungsfreiheit vollumfänglich geschützt, gleichwohl kann es zu einem Eingriff kommen, wenn hierdurch die persönliche Autonomie hinreichend betroffen ist.17 Eine deutliche Einschränkung in der Freiheit zur Preisgabe eigener Daten und Informationen führt nach Ansicht von Krönke zu einem solchen Eingriff, wenn betroffene Personen die Gefährdungslage um die Preisgabe ihrer persön­lichen Daten kennen und sich gleichwohl für eine Preisgabe entscheiden wollen.18 Nach seiner Ansicht fordere die DSGVO unabhängig vom Willen der betroffenen Person eine rechtlich zwingende, anspruchsvolle Einwilligung. Ohne die Erfüllung der Einwilligungs-Voraussetzungen ist die Datenverarbeitung nicht wirksam, was sich von „wirklicher“ Selbstbestimmung unterscheide, die auch unvernünftiges oder gar selbstschädigendes Handeln umfasse.19 Gerade bei der Nutzung datenfinanzierter Geschäftsmodelle schaffe die Preisgabe von Daten einen mittelbaren geldwerten Vorteil und wirtschaftlichen Wert, so dass sich paradoxerweise in der Preisgabe 16

Klement, JZ 2017, 161 (168); Krönke, Der Staat 2016, 319 (330 ff.). Bernsdorff, in: Meyer / Hölscheidt, GRCh, Art. 7 Rn. 15; Jarass, GRCh, Art. 7 Rn. 13 f. Ausführlich zur Beurteilung paternalistischer Strukturen im deutschem Verfassungsrecht Sandfuchs, Privatheit wider Willen, S. 156 ff. 18 Krönke, Der Staat 2016, 319 (331). 19 Krönke, Der Staat 2016, 319 (335, 339) m. w. N. 17

336

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

von Daten die Freiheitsausübung erst zeige und im Gegenzug eine massive Einschränkung der Datenpreisgabe einen Eingriff darstelle.20 Anhand dieser Begründung fordern diese Stimmen in der Literatur Lockerungen paternalistischer Ansätze im Datenschutzrecht. Die Vertreter wollen insoweit den paternalistischen Charakter bei der Datenverarbeitung zurückfahren und für mehr tatsächliche Selbstbestimmung sorgen. Hierfür könnte ganz generell das Verbot der Einwilligung unter Erlaubnisvorbehalt abgeschafft werden.21 Zumindest wird mit Verweis auf den fehlgeleiteten Paternalismus zumindest eine Lockerung des Kopplungsverbots bei der Einwilligung und der Zweckbindung bei jeglicher Form der Datenverarbeitung gefordert.22 Für spezifisch vertragsrechtliche Gefährdungslagen könnten dazu im Gegenzug etwa spezifische vertragsrechtliche Verbraucherschutzregelungen entstehen.23 cc) Die Tauglichkeit bei der Regulierung datenfinanzierter Angebote Zwar mag in einer strikten Zweckbindung, hohen Freiwilligkeitsanforderungen bei der Einwilligung und dem Kopplungsverbot durchaus eine paternalis­tische Prägung der DSGVO bestehen und in diesen Regelungen mag neben einem Eingriff in die Grundrechte des privaten Datenverarbeiters auch ein Eingriff in die der betroffenen Personen liegen.24 Gleichwohl stellt nicht jeder Eingriff eine Verletzung des betroffenen Grundrechts dar. So stellt Krönke selbst fest, dass der Staat durchaus die Freiheit beschränkende Regelungen treffen kann, wenn die Fähigkeit des selbstbestimmten Handelns  – wie etwa im Verbraucherschutzrecht  – typischerweise gefährdet ist.25 Auch zeigt schon die ausführliche Herleitung des Grundrechtseingriffs, dass dieser zumindest für die vom Datenschutz „profitierende“ betroffene Person oft nicht sehr weitreichend oder schwerwiegend ausfällt. Denn durch das Verbot unter Erlaubnisvorbehalt oder bestimmte Forderungen an die Transparenz und Zweckbindung wird ihr die Datenpreisgabe zwar „erschwert“, in aller Regel – sieht man von den Situationen des Durchgriffs durch das Kopplungsverbot ab – aber nicht völlig unmöglich gemacht. 20

Klement, JZ 2017, 161 (168). Vgl. etwa Schneider / Härting, ZD 2011, 63 (64); Simitis, DuD 2000, 714 (721); differenzierter Kramer, DuD 2013, 380 (381 f.); Krönke, Der Staat 2016, 319 (347 ff.) m. w. N. Paternalismus demgegenüber positiv bewertend etwa Britz, in: Hoffmann-Riem, Offene Rechtswissenschaft, S. 561 (586). 22 Klement, JZ 2017, 161 (169 f.); Krönke, Der Staat 2016, 319 (349 f.). 23 v. Westphalen / Wendehorst, BB 2016, 2179 (2180); ähnlich Klement, JZ 2017, 161 (170), der in besonderen schwerwiegenden Situationen das öffentliche Interesse am Datenschutz gegen die individuellen Selbstbestimmungsrechte abwägen möchte. 24 So erscheint das Ansetzen an die Ausübung der Privatheit aus Art. 7 GRCh durchaus passend. Zumindest aus nationaler Sicht handelt es sich zweifelsohne um einen Eingriff in die allgemeine Handlungsfreiheit aus Art. 2 Abs. 1 GG. 25 Krönke, Der Staat 2016, 319 (339 f.). 21

§ 8 Regulatorische Veränderungsmöglichkeiten

337

Im Gegensatz dazu schützen das Kopplungsverbot und die Freiwilligkeit der Einwilligung, dass Nutzern im Kontext komplizierter digitaler Datenverarbeitungsprozesse keine Verarbeitungen aufgezwungen werden. Wie bereits mehrfach ausgeführt, können Nutzer den Umfang und die Bedeutung der Datenverarbeitungen bei datenfinanzierten Angeboten häufig nur schwer einschätzen. Zwar sehen viele Nutzer in der einzelnen Datenpreisgabe keine große Gefahr für ihre Selbstbestimmung. Gleichzeitig können sie die technischen Zusammenhänge sowie die mögliche Bildung von Personenprofilen nicht vollends abschätzen. Insoweit treffen Nutzer keine vollends selbstbestimmte Entscheidung, sondern stimmen der Datenpreisgabe aus Mangel an Zeit, Interesse oder kognitiver Kapazität einfach zu. In diesem Verhalten besteht durchaus eine Vergleichbarkeit zu (sonstigem) Verbraucherschutzrecht, dem häufig ebenfalls Informations- oder Machtasymmetrien zwischen den Parteien zugrunde liegen. Das gemeinhin nicht ausgeprägte Verständnis über die Datenverarbeitung in datenfinanzierten Angeboten spricht dementsprechend eher gegen den Verzicht vom gewählten Regelungsregime. Durch den dem Datenschutz immanenten Paternalismus wird gerade das Verhalten vieler Nutzer berücksichtigt. Eine Abschaffung dieser Instrumente erscheint daher wenig ausgewogen. Zieht man zusätzlich die obigen Bewertungen der Zweckbindung, Freiwilligkeit und insbesondere des Kopplungsverbots hinzu, zeigt sich, dass die DSGVO durchaus flexibel ausgestaltet ist und ein paternalistischer Eingriff in die Privatsphäre der Nutzer hinreichend berücksichtigt werden kann.26 Nach der hier vertretenen Auslegung der Freiwilligkeit und des Kopplungsverbots verbleiben dem Datenverarbeiter vielschichtige Möglichkeiten, um datenfinanzierte Angebote datenschutzkonform anzubieten. Dem Nutzer wird gleichzeitig die Inanspruchnahme solcher Angebote nicht übermäßig erschwert und mithilfe der Einwilligung können Nutzer weitreichenden Datenverarbeitungen zustimmen, wenn ihre Einwilligung tatsächlich freiwillig stattfindet. Insgesamt erscheint einer Verringerung des Datenschutzniveaus aufgrund der vorhandenen paternalistischen Strukturen nicht angebracht, da zum Teil erst über diese ein wirksamer Datenschutz erreicht werden kann. Gleichzeitig schränken diese weder Nutzer noch Datenverarbeiter zu sehr ein. b) Weitere Gründe für ein geringeres Datenschutzniveau Auch wenn eine Abschwächung des Datenschutzniveaus einzig aufgrund der vorhandenen paternalistischen Strukturen nach der vorliegend vertretenen Ansicht nicht zweckgemäß erscheint, lassen sich unter Umständen noch weitere Gründe für ein geringeres Datenschutzniveau finden. Bezieht man in eine solche Überlegung die Besonderheiten von datenfinanzierten Angeboten ein, in denen die Daten die 26

Vgl. vor allem § 6 B. II. 4. b) bb).

338

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Gegenleistung des Nutzers darstellen, kann ggf. gerade dieser Umstand für eine Verringerung des Regulierungsstandards sprechen. Aufgrund der Werthaftigkeit der personenbezogenen Daten stellt deren Preisgabe die Gegenleistung der betroffenen Person bei datenfinanzierten Angeboten dar. Insoweit wird die Preisgabe – wie festgestellt – zur Hauptleistungspflicht des Nutzers. Das Kopplungsverbot steht dabei in einen Widerspruch zum im Privatrechtsverkehr ansonsten herrschende Prinzip des do ut des von gegenseitigen Verträgen, da ein striktes Kopplungsverbot Daten als Gegenstand dieses Synallagma prinzipiell ausschließt. Es kann zu keiner Gegenseitigkeit der Leistungen kommen, wenn bereits regulatorisch festgelegt ist, dass die Leistung der Datenpreisgabe nicht an irgendeine andere Leistung gekoppelt werden darf. Aus diesem Umstand heraus ließe sich darüber nachdenken, an die den Vertragszweck darstellende Datenverarbeitung geringere regulatorische Anforderungen zu stellen. Auch ohne die Betonung des paternalistischen Charakters lässt sich insofern das Kopplungsverbot und die jederzeitige Widerrufsmöglichkeit von Einwilligungen kritisieren. Denn auch die jederzeitige Widerrufbarkeit der Einwilligung kann danach an der Interessenlage der Akteure vorbeigehen. Vor allem im Kontext datenfinanzierter Angebote will der Datenverarbeiter die Daten zu wirtschaftlichen Zwecken nutzen, so dass der jederzeit mögliche, willkürliche Entzug der Nutzungserlaubnis diesem Interesse entgegensteht.27 Das Kopplungsverbot fällt im Hinblick auf die Hauptleistung des Nutzers problematisch aus, da gerade diese hierüber untersagte Koppelung zwischen Einwilligung und Gegenleistung das entscheidende Moment der Vertragsbeziehung Leistung gegen Daten darstellt. Das Kopplungsverbot, das dem durchaus legitimen Ziel einer Einwilligung auf freiwilliger Basis und ohne Zwang dient, kann daher auch zu weit reichen. Nach Schantz wäre es stattdessen überzeugender gewesen, regulativ auf die Zumutbarkeit zum Wechsel zu anderen, alternativen Datenverarbeitern abzustellen, die eine vergleichbare Leistung anbieten. Hierdurch könnten viele Konstellationen erfasst werden, in denen betroffene Personen nicht wirklich frei entscheiden kann, ohne ein umfangreiches Kopplungsverbot durchzusetzen.28 Angelehnt wird diese Überlegung an eine Feststellung des BGH, dass eine Koppelung von Hardware und Dienstleistung zu prohibitiv hohen Wechselkosten führen kann, was durch eine verpflichtende Wechselmöglichkeit zu anderen Anbieters verbessert werden könne.29 Ohne die noch folgende Einschätzung des Verfassers vorwegzunehmen, ließe sich angesichts dieser spezifischen Kritik am Kopplungsverbot über eine verpflich 27

S. bereits Bräutigam, MMR 2012, 635 (636). Schantz, NJW 2016, 1841 (1845). So ebenfalls ErwG 34 des Rats-E zur DSGVO in Anlehnung an § 28 Abs. 3 lit. b) BDSG a. F. 29 BGHZ 176, 1 (6, 10). Im zu entscheiden Fall handelte es sich um eine Kopplung eines Soda-Systems mit der Dienstleistung der Befüllung von Kohlensäure-Flaschen. 28

§ 8 Regulatorische Veränderungsmöglichkeiten

339

tende, alternative Monetarisierung datenfinanzierter Angebote nachdenken. Eine solche könnte dem Verhältnis „Dienst gegen Daten“ die Alternative „Dienst gegen Geld“ gegenüberstellen. Im Gegenzug könnte ein allzu striktes Kopplungsverbot oder eine ausufernde Zweckbindung für weiterhin monetär kostenfreie Angebote reduziert werden. Die Tauglichkeit alternativer Geschäftsmodelle soll dementsprechend nachfolgend näher untersucht werden (vgl. B.). c) Die Regulierung über alternative Wege Ein geringeres Datenschutzniveau ließe sich natürlich auch darüber rechtfertigen, dass der Schutz betroffener Personen – vorliegend also der Nutzer der Apps – auf anderem Wege erreicht werden kann und es daher der regulatorischen Einschnitte über das Datenschutzrecht nicht bedarf. aa) Wettbewerbsrechtliche Regulierung Zu denken wäre diesbezüglich an eine wettbewerbsrechtliche Regulierung, die die Probleme, die zwischen Datenverarbeitern und betroffenen Personen entstehen können, über wettbewerbsrechtliche Maßnahmen lösen könnte. So könnten klassische Missbrauchs-Tools des Wettbewerbsrechts greifen, wenn es zu einem missbräuchlichen Umgang mit den Daten der betroffenen Personen kommt. Dass das Wettbewerbsrecht überhaupt bei unentgeltlichen, datenfinanzierten Angeboten herangezogen werden kann, ergibt sich aus § 18 Abs. 2a GWB. Danach steht die unentgeltliche Erhebung der Leistung der Annahme eines Marktes nicht entgegen, so dass aus wettbewerbsrechtlicher Sicht auch bei unentgeltlichen Leistungen ein Markt (und insofern auch Marktmacht) bestehen kann. Für die Annahme einer Marktbeziehung reicht das Austauschverhältnis Daten gegen Leistung vollkommen aus und datenfinanzierte Angebote können demnach auch im Rahmen des Wettbewerbsrechts – genauer der Missbrauchsaufsicht – betrachtet werden. Ausgangspunkt der Missbrauchsaufsicht ist das Vorliegen von Marktmacht. Bezüglich datenfinanzierter Angebote kann für die Beurteilung der Marktmacht der Vorsprung eines Anbieters aus den ihm zur Verfügung stehenden Daten von Gewicht sein. Zur Annahme von Marktmacht darf es konkurrierenden Anbietern nicht (mehr) möglich sein, vergleichbare Daten zu sammeln oder sich den Zugang zu relevanten Daten zu erkaufen.30 Aus Sicht der Kartellbehörden kann auch der Besitz großer Datenmengen einen wichtigen Faktor für die Prüfung der Marktmacht darstellen, sofern aus der „Datenvorherrschaft“ Wettbewerbsvorteile resul-

30

Ausführlich hierzu Autorité de la concurrence / BKartA, Competition Law and Data, S. 11 ff.

340

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

tieren können. Diese Wertung hat sich vor allem in den Verfahren Google / Double­ click31 und Facebook / W hatsApp32 gezeigt. Ein missbräuchliches Verhalten kann sich bei Vorliegen einer marktbeherrschenden Stellung gem. § 19 Abs. 1 GWB aus der Ausnutzung ebendieser ergeben. Ein missbräuchliches Verhalten kann insbesondere in der Verwendung unzulässiger Nutzungsbedingungen liegen.33 Mit Beschluss vom 6. Februar 2019 hat das Bundeskartellamt (BKartA) dazu festgestellt, dass ein solcher Verstoß bei marktbeherrschenden Anbietern auch durch einen Verstoß gegen Vorschriften der DSGVO bei der Datenverarbeitung vorliegen könne.34 Ein Datenschutz-Verstoß kann sich nach Einschätzung des BKartA etwa aus einer fehlenden Datenverarbeitungserlaubnis ergeben.35 Insoweit begründet das BKartA – übereinstimmend zu den Erörterungen zur Einwilligung in dieser Arbeit –, dass eine Datenverarbeitung nur rechtmäßig ausfällt, wenn die einwilligende Person aktiv handelt und ein echtes Wahlrecht hat. Das BKartA ist in seiner Prüfung im konkreten Fall zu dem Ergebnis gelangt, dass Facebook diese Stellung missbraucht habe, indem es sich in seinen Datenschutzerklärungen (AGB) die Möglichkeit zur Sammlung und Verarbeitung von Daten „dritter Unternehmen“ einräumen ließ, ohne über eine wirksame freiwillige Einwilligung der Nutzer zu verfügen.36 Ferner nimmt das BKartA durch dieses Verhalten auch eine Behinderung der Wettbewerber an.37 Diese Einschätzung des BKartA wurde im darauf folgenden Verfahren vom BGH durch Beschluss vom 23. Juni 2020 bestätigt.38 Mit der letzten Änderung durch das GWB-Digitalisierungsgesetz vom 18. Januar 2021 erkennt nun auch der nationale Gesetzgeber die Bedeutung von Daten 31

EU-Kommission, Entsch. v. 11. 3. 2008, COMP / M.4731, Rn. 359 ff.  – Google / Doubleclick. 32 EU-Kommission, Entsch. v. 3. 10. 2014, COMP / M.7217, Rn. 184 ff. – Facebook / Whatsapp. 33 Vgl. § 19 Abs. 2 Nr. 2 GWB. 34 BKartA, Beschl. v. 6. 2. 2019 – B6-22/16, Rn. 523. § 19 I GWB werde dabei nach Ansicht des BKartA nicht durch Regelungen der DSGVO gesperrt. Vertiefend zur Entscheidung des BKartA etwa Körber, NZKart 2019, 187. 35 BKartA, Beschl. v. 6. 2. 2019 – B6-22/16, Rn. 629 ff. Im diesbezüglichen Verfahren gegen Facebook hat das BKartA festgestellt, dass bei der Registrierung für ein soziales Netzwerk die abzugebende Zustimmung nicht „freiwillig“ i. S. d. Art. 6 Abs. 1 UAbs. 1 lit. a); 7 DSGVO sei. Die Datenverarbeitung sei auch nicht zur Vertragserfüllung erforderlich, u. a. da Art. 6 Abs. 1 UAbs. 1 lit. b)  DSGVO bei einseitiger Vorgabe des Vertragsinhalts durch einen Marktbeherrscher schon nicht anwendbar sei. Auch Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO rechtfertige die Datenverarbeitung nicht, denn es fehle an einer hinreichend klaren Artikulation der berechtigten Interessen von Facebook und an der Erforderlichkeit der Datenverarbeitung. 36 BKartA, Beschl. v. 6. 2. 2019 – B6-22/16, Rn. 639 ff. 37 BKartA, Beschl. v. 6. 2. 2019 – B6-22/16, Rn. 885 ff. 38 BGH, Beschl. v. 23. 6. 2020 – KVR 69/19 = NZKart 2020, 473; a. A. in der Vorinstanz OLG Düsseldorf, Beschl. v. 26. 8. 2019 – VI-Kart 1/19 = NZKart 2019, 495. Inzwischen hat das OLG Düsseldorf dem EuGH die Frage hinsichtlich der Kompetenz nationaler Kartell­behörden i. R. d. DSGVO vorgelegt, Beschl. v. 24. 3. 2021 – Kart 2/19.

§ 8 Regulatorische Veränderungsmöglichkeiten

341

in der Missbrauchsaufsicht an.39 Daten werden insoweit in §§ 18–20 GWB zur Beurteilung einer marktbeherrschenden Stellung sowie zur Feststellung von missbräuchlichem Verhalten Daten als potentieller Faktor einbezogen. bb) Die Tauglichkeit zur Regulierung datenfinanzierter Angebote Diesen Erwägungen des BKartA folgend kann eine wettbewerbsrechtliche Kontrolle beim Vorliegen von Marktmacht also durchaus zur Regulierung datenfinanzierter Angebote beitragen. Ein wettbewerbsrechtlicher Ansatz erscheint in einzelnen Situationen marktbeherrschender Anbieter durchaus zur Lösung geeignet, um besonders schwere, bzw. aufgrund der Marktmacht wirkungsintensive Fälle des Datenmissbrauchs zu bewältigen. Über die wettbewerbsrechtliche Art der Regulierung muss das Datenschutzrecht nicht in seiner Gesamtheit verschärft werden, so dass nicht-marktbeherrschende Anbieter von den Maßnahmen nicht betroffen werden. Denn ein regulatorischer Ansatz, der das Datenschutzrecht weiter verschärft, stellt für alle Unternehmen, die datengetriebene Geschäftsmodelle betreiben, einen Eingriff in ihre Unternehmerfreiheit aus Art. 16 GRCh dar. Soll eine Maßnahme nur die marktbeherrschenden Anbieter treffen, kann ein solcher Eingriff gegenüber allen anderen Unternehmen über eine wettbewerbsrechtliche Regelung verhindert werden. Das Problem einer solchen Verschiebung der datenschutzrechtlichen Regulierung auf die wettbewerbsrechtliche Steuerung besteht gleichwohl darin, dass wettbewerbliche Maßnahmen und Mechanismen nur bei marktmächtiger Stellung des Anbieters greifen. Der Fokus dieser Arbeit liegt allerdings auf der abstrakten Untersuchung datenfinanzierter Angebote und eben nicht nur der Regulierung einzelner, großer Marktteilnehmer in bestimmten Bereichen – wie etwa Facebook. Hierdurch sollen im Rahmen dieser Arbeit Probleme herauskristallisiert werden, die bei datenfinanzierten Geschäftsmodellen generell bestehen (können), auch wenn sich deren Bedrohungspotential bei großen Anbietern sicherlich erhöht. Es ist ferner zu beachten, dass sich das Wettbewerbsrecht bei der Betrachtung von Marktmacht durch Daten an den Regelungen der DSGVO orientiert. Liegt also eine Vereinbarkeit der Datenverarbeitung mit den Vorgaben der DSGVO vor, handelt es sich – zumindest hinsichtlich des Datenumgangs – auch um kein wettbewerbswidriges Verhalten im Rahmen der Missbrauchsaufsicht. Aus diesen Gründen wird im Rahmen dieser Arbeit auf eine nähere Untersuchung wettbewerbsrechtlicher Mechanismen als Lösungsansatz für die Problematik umfangreicher Datenverarbeitung nicht näher eingegangen.

39

Vgl. BGBl. I Nr. 1 S. 2; zur Gesetzesbegründung BT-Drs. 19/23492 S. 68 ff.

342

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

2. Gründe für ein höheres Regulierungsniveau So, wie bestimmte Gesichtspunkte der aktuellen Regulierung für ein geringeres Datenschutzniveau sprechen, lassen sich auf der Gegenseite auch Argumente für eine regulatorische Verschärfung finden. Die bisherige Analyse hat gezeigt, dass die Bedeutung von Daten – insbesondere bei datenfinanzierten Angeboten – immer weiter zunimmt, so dass sich bei höherer Bedeutung auch über einen spezifischeren Schutz der Daten nachdenken ließe. a) Die Veränderung des regulatorischen Rahmens In der Literatur wird eine Verschärfung des Datenschutzniveaus über eine Ausweitung der datenschutzrechtlichen Grundsätze oder die Erhöhung der Vo­ raussetzungen für eine rechtmäßige Verarbeitung jedoch nur vereinzelt gefordert. ­Roßnagel kritisiert etwa den risikoneutralen Ansatz der DSGVO, der seiner Meinung nach nicht ausdifferenziert genug sei, um spezifische IT-Anwendungen und deren Gefahr für die Grundrechte hinreichend zu berücksichtigen. So moniert er, dass in keiner Regelung die spezifischen Grundrechtsrisiken aus der allgegenwärtigen Datenverarbeitung durch Big Data und datengetriebene Geschäftsmodelle angesprochen oder gar gelöst werde. Insbesondere durch die Erlaubnistatbestände in Art. 6 DSGVO werde gerade das spezifische Grundrechtsrisiko verfehlt. Hingegen könnten über risikoadäquate Regelungen Voraussetzungen für eine zulässige Datenverarbeitung aufgestellt werden, die die konkret notwendigen Datenschutzmaßnahmen gewährleisten, etwa den Ausschluss bestimmter Datenkategorien oder die Berücksichtigung zulässiger Interessabwägungen im jeweils konkreten Fall.40 Zumeist wird bei einer Anhebung des Datenschutzniveaus allerdings eher auf eine Verbesserung der Transparenz und Informationsvorgaben gedrungen, um über eine Aufklärung den betroffenen Personen tatsächliche Selbstbestimmung zu ermöglichen.41 Auch Datenschutz durch Technik wird immer wieder genannt, um ein besseres Datenschutzniveau für die betroffenen Personen zu erreichen. Hierzu gehören etwa verbesserte datenschutzfreundliche Voreinstellungen, über die Nutzer in die Lage versetzt werden sollen, selbstbestimmt über ihre Daten wachen und sich – sofern gewünscht – jeweils datensparsam verhalten können.42 Aber auch eine Stärkungen der Konzepte von Anonymisierung und Pseudonymisierung sowie Vorgaben an Privacy by Design werden immer wieder als Verbesserungsmöglichkeiten genannt. Über solche technischen Vorgaben könnte ein Vertrauen der Nutzer hergestellt werden, das Risiko der Datenverarbeitung trotz eigener, möglicherweise 40

So ausführlich Roßnagel, DuD 2016, 561 (565). Vgl. Kühling, in: Stiftung Datenschutz, Zukunft der informationellen Selbstbestimmung, S. 49 (53). 42 Kühling, in: Stiftung Datenschutz, Zukunft der informationellen Selbstbestimmung, S. 49 (53). 41

§ 8 Regulatorische Veränderungsmöglichkeiten

343

nicht perfekter Information über alle Vorgänge dennoch einzugehen und eine Vertrauensbeziehung zum App-Anbieter aufzubauen.43 b) Die Besonderheit datenfinanzierter Angebote Der Umstand, dass die Nutzerdaten bei datenfinanzierten Angeboten die Gegenleistung zur Bereitstellung und Nutzung der App darstellen, lässt sich – neben der Begründungshilfe für einen niedrigeren Datenschutz – ebenfalls zur Begründung eines höheren Datenschutzniveaus heranziehen. So stellen die Datenpreisgabe und die diesbezügliche Einwilligung nach der hier vorgenommenen Lesart datenfinanzierter Angebote die Hauptleistung des Nutzers im diesbezüglichen Vertrag dar. Im Unterschied zur klassischen monetären Leistung eines Kunden, kann der Nutzer datenfinanzierter Angebote seine eigene „Leistung“ allerdings häufig nicht vollends beziffern oder einschätzen. Insofern ließe sich aus dieser Leistungsbeziehung der Schluss ziehen, dass es gerade bei datenfinanzierten Angeboten höherer und besserer Informations- und Transparenzpflichten bedarf, damit der Nutzer seine Gegenleistung im Synallagma auch tatsächlich abschätzen kann. Denn ein selbstbestimmter, bewussterer Umgang mit den Nutzerdaten kann nur erfolgen, wenn es gelingt, dem Nutzer Umfang und Folgen der Datenverarbeitungen und seine diesbezüglichen Rechte vor Augen zu führen.44 Hierdurch kann im Übrigen tatsächliche informationelle Selbstbestimmung des Nutzers erreicht werden. Ob und inwieweit veränderte Informations- und Transparenzpflichten  – etwa durch eine Visualisierung dieser Informationen – zu einer Verbesserung des Datenschutzes führen können, wird nachfolgend (C.) näher erörtert. Ein weiteres besonderes Merkmal datenfinanzierter Angebote, das sich während der Analyse im Teil 2 gezeigt hat, liegt in der besonderen Eingriffsintensität, wenn die Daten an Dritte offengelegt werden (eine Datenverarbeitung der Kategorie III b). Insoweit wäre eine besondere Regulierung bei der Offenlegung und der damit einhergehenden Verschiebung der (datenschutzrechtlichen) Verantwortlichkeit denkbar. Wie allerdings bereits die vorherige Analyse deutlich gemacht hat, geht mit der Offenlegung der Daten auch eine Verantwortlichkeit des Dritten für die offengelegten Daten einher. Datenschutzrechtliche Konzepte wie die Zweckbindung entfalten ihre Wirkung also auch gegenüber dem Dritten. Dadurch besteht zwar bei einer Offenlegung häufig eine höhere Eingriffsintensität für den Nutzer. Für die weiteren Verarbeitungsvorgänge gelten jedoch die gleichen (strikten) Datenschutzvorgaben 43

Buck / Germelmann / Eymann, in: Schmidt-Kessel / Langehanke: Datenschutz als Verbraucherschutz, S. 49 (63). 44 Zur Notwendigkeit selbstbestimmter Entscheidungen ebenfalls Specht, GRUR Int. 2017, 1040 (1042).

344

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

wie beim ursprünglichen Datenverarbeiter. Auch muss der Nutzer schon bei der ursprünglichen Verarbeitung über die Offenlegung informiert werden. Daher erscheint der Nutzer in solchen Situationen hinreichend gegenüber dem (recht­mäßig handelnden) Dritten geschützt. Eine Verschärfung der datenschutzrechtlichen Verarbeitungsvoraussetzungen erscheint daher für die Situation der Offenlegung wohl überflüssig und auch etwas willkürlich.45 Selbstverständlich muss die betroffene Person die sich aus der Verantwortlichkeit ergebenden datenschutzrechtlichen Pflichten auch durchgesetzten können. Außerhalb eines internationalen Kontexts, bei dem die Daten in einen Drittstaat versendet werden, ist allerdings kein Durchsetzungsdefizit erkennbar. Für die Verarbeitung im Drittland ergeben sich ferner aus Art. 44 ff. DSGVO zusätzliche Anforderungen, so dass bei der Übermittlung das Datenschutzniveau ebenfalls gesichert bleibt.46 Legt Navigations-App  A die Daten gegenüber einem Dritten offen, so bedarf es hierzu zunächst eines tauglichen Erlaubnistatbestands für die Offenlegung, bei dem aufgrund der Informationspflichten der Nutzung über die Offenlegung transparent informiert werden muss. Mit der Offenlegung ergibt sich eine datenschutzrechtliche Verantwortlichkeit für den Dritten hinsichtlich der folgenden Verarbeitungsschritte und dieser muss sich im Übrigen auch an die bei der Erhebung festgelegten Zwecke halten, da es ansonsten einer erneuten Einwilligung des Nutzers für die weitere Verarbeitung bedarf.

III. Der Abgleich mit den Regelungen der DSGVO Nach dieser überblicksartigen Darstellung der Kritik am aktuellen Datenschutzregime im vorherigen Abschnitt bedarf es einer Übertragung auf die Bewertung datenfinanzierter Angebote. Unter Berücksichtigung der Frage, ob das in der DSGVO niedergelegte Datenschutzkonzept den Anforderungen datengetriebener Geschäftsmodelle gerecht wird oder ob die (häufig generelle) Kritik an der DSGVO auch mit Bezug auf datenfinanzierte Angebote gerechtfertigt erscheint, folgt anhand der bisherigen Erörterungen die diesbezügliche Ansicht des Verfassers. Aufgrund der Fokussierung auf datenfinanzierte Angebote ist diese Bewertung jedoch keineswegs als generelle Aussage über die Tauglichkeit der DSGVO in jedweder Situation mit Datenschutzkontext zu verstehen. Diese Bewertung geschieht unter der Prämisse, dass sich die Datenverarbeitungsprozesse bei datenfinanzierten Angeboten häufig sehr komplex gestalten, die Verarbeitungen gleichzeitig allerdings sehr heterogen ausfallen. So können die Verarbeitungen, die zur Funktionsfähigkeit der App notwendig sind (Kategorie I), einen inhaltlich und technisch hohen Komplexitätsgrad aufweisen. Dahingegen 45

Bei einem ohnehin rechtswidrigen Handeln hinsichtlich der Vorgaben der DSGVO würde auch eine regulatorische Verschärfung keinen Nutzen erzielen. 46 Vgl. § 7 B.

§ 8 Regulatorische Veränderungsmöglichkeiten

345

fällt die datenschutzrechtliche Bewertung einer solchen Verarbeitung zumeist sehr einfach aus und die allermeisten Verarbeitungsvorgänge sind über die gesetzlichen Erlaubnistatbestände – ohne die Notwendigkeit einer Einwilligung – zu rechtfertigen. Schwieriger wiegt die Bewertung bei einer zusätzlichen Speicherung und Analyse (Kategorie II) oder gar einer Offenlegung der Daten (Kategorie III). In diesen Fällen fällt die Verarbeitung für die die Nutzer häufig sehr eingriffsintensiv aus, so dass die Verarbeitung datenschutzrechtlich schwerer zu rechtfertigen ist. Dies gilt vor allem, wenn durch eine Offenlegung der Daten auch (externe) Dritte in Kontakt mit den Daten kommen. 1. Das Verbot unter Erlaubnisvorbehalt und die Erlaubnistatbestände Anders als durch den paternalismuskritischen Ansatz bemängelt, schafft das Konzept des Verbots unter Erlaubnisvorbehalts durchaus praktikable Möglichkeiten, eine Datenverarbeitung für die App-Anbieter zu rechtfertigen. Mit der hier vertretenen Auslegung zu den Erlaubnistatbeständen aus Art. 6 DSGVO47 zeigt sich ein in sich schlüssiger Regelungsrahmen, der eine Datenverarbeitung auf vielfältige Wege ermöglicht. Gleichzeitig bedarf es bei eingriffsintensiven Verarbeitungen einer Einwilligung der betroffenen Person, die ihr weitgehende Kontrolle über ihre Datenverarbeitung verschafft. Bei dieser Bewertung muss allerdings beachtet werden, dass die in dieser Arbeit zu vielen strittigen Punkten vertretene Auffassung – etwa zum Umfang des Kopplungsverbots und das Nebeneinanderstehen von Erlaubnistatbeständen – sehr liberal ausfällt und den Datenverarbeitern weitreichende Verarbeitungsmöglichkeiten eröffnet. Nach dieser Lesart schafft es die DSGVO gerade aufgrund ihrer abstrakten Risikoneutralität, dass sich selbst bei zunehmender Digitalisierung und immer komplexer ausfallenden Datenverarbeitungen taugliche und praktikabel anpassbare Wertungen finden lassen. Auch das Konzept der Einwilligung stellt keinesfalls ein überholtes Instrument zur Bestätigung von Verarbeitungsprozessen dar. Die DSGVO legt trotz der Gleichrangigkeit der einzelnen Erlaubnistatbestände weiterhin den Fokus auf die Einwilligung als bedeutendsten Rechtfertigungstatbestand. Die Einwilligung eröffnet den Nutzern über die Vorgaben zur Bestimmtheit und Transparenz sowie über die jederzeitige Widerrufsmöglichkeit durchaus Mittel, um den selbstbestimmten Umgang mit ihren Daten zu wahren. Gleichzeitig schafft das Zusammenspiel mit den anderen Erlaubnistatbeständen und das nicht zu strikt zu verstehende Kopplungsverbot auch dem App-Anbieter Möglichkeiten, die erhobenen Daten zu monetarisieren. Zeitlich setzt die Einwilligung bereits an den Zeitpunkt der Installation des datenfinanzierten Angebots oder zumindest an denjenigen der erstmaligen Datenerhebung an. Zu diesem Zeitpunkt kann die Selbstbestimmung des Nutzers noch 47

S. umfangreich § 6.

346

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

gewahrt werden, was nach einer Aggregation der erhobenen Daten oder gar einer Offenlegung nur noch schwerlich zu gewährleisten ist. Für das Geschäftsmodell datenfinanzierter Angebote bergen die Regelungen der DSGVO also durchaus Möglichkeiten, das Austauschverhältnis von Daten gegen Leistung zu ver­ wirklichen. Aus Sicht des Anbieters ist für das Geschäftsmodell allerdings die jederzeitige Widerruflichkeit der Einwilligung risikobehaftet. Denn der Anbieter kann sich der dauerhaften Monetarisierung der Daten nicht sicher sein. Wie bereits aufgezeigt, liegt darin gleichwohl ein durchaus tauglicher regulativer Kompromiss, der dem Datenverarbeiter auf der einen Seite dank eines weichen Kopplungsverbots weitreichende wirtschaftliche Spielräume lässt. Dem Nutzer wird andererseits die jederzeitige Widerrufsmöglichkeit erlaubt, sollte er an der der Nutzung der App (als Gegenleistung) nicht mehr interessiert sein. Die Gefahr eines Widerrufs kann über das Eingreifen anderer Erlaubnistat­ bestände für den App-Anbieter zusätzlich abgefedert werden, da auch mit Widerruf der Einwilligung notwendige Verarbeitungsprozesse weiterhin zulässig bleiben. Auch verbleibt dem App-Anbieter bei einem Widerruf des Nutzers zumindest die Möglichkeit, die eigene Leistung einzustellen und das Vertragsverhältnis zu beenden. Hierdurch wird die Gefahr eines Ungleichgewichts vermieden, bei dem der App-Anbieter weiterhin seinen Dienst anbieten muss, während der Nutzer nicht mehr seine Daten als Gegenleistung bietet.

2. Erkennbare Schwachpunkte Offen bleibt nach dieser Zusammenfassung, ob die Schwachpunkte der Monetarisierung von datenfinanzierten Angeboten regulatorisch über alternative entgeltliche Geschäftsmodelle gelöst werden können. Diese Frage hängt maßgeblich davon ab, ob das Modell „Daten gegen Dienstleistung“ für den App-Anbieter aus unternehmerischer Sicht sicher umgesetzt werden kann. Ferner ist entscheidend, ob mit einer alternativen Entgeltlichkeit die Nachteile der Freiwilligkeit und freien Widerruflichkeit von Einwilligungen für den App-Anbieter überbrückt werden können. Nachfolgend werden daher solche Modelle und deren regulatorische Umsetzung einer näheren Überprüfung unterzogen. Die Analyse des Datenschutzes bei datenfinanzierten Angeboten hat darüber hinaus offenbart, dass die tatsächlich stattfindende Datenverarbeitung für den Nutzer oft nicht zu überblicken ist, obschon die DSGVO die Informations- und Transparenzpflichten deutlich erhöht hat. Aufgrund dieser Pflichten muss der AppAnbieter über zahlreiche Tatsachen informieren und diese dem Nutzer transparent machen. Trotz oder gerade wegen dieser umfangreichen Informationspflichten liegt die Ursache des mangelnden Überblicks des Nutzers über die tatsächlich stattfindende Datenverarbeitung in verschieden Gründen. Sie speist sich aus der

§ 8 Regulatorische Veränderungsmöglichkeiten

347

Komplexität der Datenverarbeitungen, die bei datenfinanzierten Angeboten stattfindet. Auch messen die Nutzer der Datenpreisgabe häufig keine hohe Bedeutung bei und nehmen die Verarbeitungsprozesse deswegen nicht zur Kenntnis. Ferner begründet sie sich mangelnde Transparenz in der Art, mit der den Nutzern die Informationen nähergebracht werden. Letzteres kann am einfachsten regulatorisch verändert werden. Daher soll nachfolgend analysiert werden, wie sich ein Zusammenspiel von Informiertheit und Transparenz am besten umsetzen lässt. Hier könnte unter Umständen ein Weniger an Information für mehr Transparenz beim Nutzer sorgen, wenn im Gegenzug die Informationen vom Nutzer tatsächlich wahrgenommen werden.

B. Alternative Modelle zur Monetarisierung Betrachtet man die Schwachpunkte des aktuellen Datenschutzregimes, wenn es um die Regulierung datenfinanzierter Angebote geht, so lassen sich einige dieser Schwächen möglicherweise über das verpflichtende Angebot alternativer, datenerhebungsarmer Varianten ausmerzen. Bei datenfinanzierten Angeboten stellen die Daten jedoch gerade eine Gegenleistung für die Bereitstellung der App dar, so dass es einer alternativen Gegenleistung bedürfte. Die Lösung könnte sich über die in dieser Arbeit als „Monetarisierungsmodelle“ bezeichneten, alternativen Geschäftsmodelle ergeben. Dabei handelt es sich um App-Varianten, die anstelle der Daten (wieder) ein monetäres Entgelt als Gegenleistung für die Bereitstellung der App verlangen. Das Konzept von Monetarisierungsmodellen unterliegt einer simplen Idee, die auch in anderen Bereichen in der datenschutzrechtlichen Literatur48, insbesondere von Becker49, bereits erwogen wird: Anstatt einzig datenfinanzierte Angebote bereitzustellen, wird dem AppAnbieter auferlegt, auch ein alternatives Modell mit gleicher Nutzungsmöglichkeit gegen Entgelt anzubieten. Diese darf im Gegenzug keine oder zumindest kaum Daten erheben. Jedem datenfinanzierten Angebot – oder mehreren vergleichbaren eines Anbieters – müsste also eine entgeltliche, dafür datenarme Alternative an die Seite gestellt werden.50 Anstatt im Rahmen der Einwilligung Zugriff auf sensible Bereich des Smartphones zu verlangen und die Metadaten des Nutzers zu speichern, könnte Messenger-Dienst B alternativ ohne eine solche Datenverarbeitung, dafür aber zum Preis von einmalig 10 € oder jährlich 2 € angeboten werden. 48

Vgl. hierzu etwa Golland, MMR 2018, 130 (135); Krohm / Müller-Peltzer, ZD 2017, 551 (553). Bereits 2012 führte Bräutigam, MMR 2012, 635 (636) solche Überlegungen, kritisierte sie allerdings als praxisferne Idee, die weder der Interessenlage Anbieter noch der Nutzer gerecht werde. 49 Becker, JZ 2017, 170; ders., ZGE 2017, 371. 50 Zu dieser Überlegung abstrakt Becker, JZ 2017, 170 (178 f.). Eine Umsetzung befürwortend Datenethikkommission, Gutachten vom 23. 10. 2019, S. 105 f.

348

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Aus einer solchen Alternativgestaltung ergeben sich bereits einige praktische Vorteile. Der Vorteil des Nutzers besteht darin, dass die alternative kostenpflichtige Variante auf weite Teile der Datenerhebung und -verarbeitung verzichtet. So erlangt der Nutzer tatsächlich Selbstbestimmung darüber, ob Daten preisgegeben werden sollen, die über die zwingend Notwendigen hinausgehen oder ob er lieber ein Entgelt bezahlt. Diese Selbstbestimmung geht bedeutend weiter als bei gewöhnlichen datenfinanzierten Angeboten. Denn bei diesen kann der Nutzer zwar über die Einwilligung frei entscheiden, muss dann allerdings nach der in dieser Arbeit vertretenen Ansicht akzeptieren, dass ihm bei nicht bewilligter Datenverarbeitung unter Umständen nicht alle Funktionen der datenfinanzierten App offenstehen. Durch die alternative Entgeltlichkeit kann er die App in jedem Falle nutzen und es entscheidet sich erst in einem zweiten Schritt, ob er hierfür mit Daten oder entgeltlich zahlen möchte.51 Über die Verhinderung der Datenverarbeitung kann der Nutzer die Daten im Übrigen gegenüber Dritten schützen. Auch für den App-Anbieter ergeben sich praktische Vorteile. Denn dieser erhält über das entgeltliche Angebot unter Umständen auch Kunden, die das Angebot aus Datenschutz-Bedenken ansonsten nicht genutzt hätten. Im Übrigen eröffnet sich ihm aus der Bereitstellung der entgeltlichen Alternative ein direkter Erlös, den er bei datenfinanzierten Angeboten erst in einem späteren Schritt hätte erwirtschaften können. Ob dem Nutzer ein Recht auf eine entgeltliche Alternative, die die Datenerhebung gezielt unterbindet, zum ansonsten datenfinanzierten Angebot zustehen sollte, wird nachfolgend erörtert. Der gedankliche Ansatz eines solchen alternativen Modells liegt darin, für den Nutzer eine Wahlfreiheit zwischen der Preisgabe von Daten als Gegenleistung für die App und der Zahlung eines Entgelts herzustellen. Die Funktionen der App bleiben bei beiden Alternativen gleich. Um die Sinnhaftigkeit und Umsetzbarkeit solcher alternativen, monetären Modelle zu prüfen, sollen die folgenden Abschnitte die Umsetzungsmöglichkeiten (I.), die Vorteile aus der Umsetzung (II.), die Frage nach der richtigen Höhe des Entgelts sowie die Nachteile (III.) solcher Modelle näher in Augenschein nehmen. I. Die Umsetzung der alternativen Modelle Als theoretische Vorüberlegung zur Umsetzbarkeit solcher Modelle soll zunächst ein gewöhnlicher, entgeltlicher Softwarevertrag betrachtet werden. Hier gestaltet sich die Umsetzung alternativer Monetarisierungsmodelle als sehr simpel 51

Dem steht auch nicht entgegen, dass laut einer IW-Studie aus dem Jahr 2018 57 % der Befragten im Alter von 14 bis 21 Jahren kein Entgelt für einen höheren Datenschutz ausgeben würden. Denn ohne das Vorliegen einer solchen Alternative steht es den (restlichen) Nutzern erst gar nicht frei, selbstbestimmt über die Zahlung von Geld oder die Preisgabe von Daten zu entscheiden. Vgl. zur Studie Engels, Datenschutzpräferenz von Jugendlichen in Deutschland, S. 19.

§ 8 Regulatorische Veränderungsmöglichkeiten

349

und einleuchtend. Für den Kauf der alternativen Variante könnte als Hauptleistungspflicht bestimmt werden, dass die Software keine, oder nur wenige Daten erhebt und die datensensiblen Elemente abgeschaltet werden können, ohne damit die Software-Features zu beeinträchtigen.52 Für diese Zusatzleistung erhöht sich der Kaufpreis der Software um einen festzulegenden Anteil. 1. Die praktische und technische Umsetzung Die praktische Umsetzung der Monetarisierungsmodelle gestaltet sich für datenfinanzierte Angebote ungleich diffiziler. Die Entgeltlichkeit anstelle der Datenverarbeitung weist alleine schon aufgrund der Funktionsweise von datenfinanzierten Angeboten einige Probleme auf. Wie sich bei der Abgrenzung von solchen Angeboten und der nachfolgenden Analyse gezeigt hat, brauchen die Apps alleine schon für die reine Nutzungsmöglichkeit zahlreiche Daten. Alternative entgelt­liche Angebote können im App-Kontext dementsprechend nicht derart ausgestaltet werden, dass die App gar keine Daten mehr erhebt. Dann wäre sie schlicht nicht mehr funktionstüchtig. Dem muss Rechnung getragen werden, indem ein gewisses Maß der Datenerhebung aus funktionalen Gründen erlaubt bleibt, so dass nur noch unverzichtbare Daten erhoben und zu keinerlei weiteren Zwecken verwandt werden.53 Der Umfang der Datenverarbeitung ergibt sich also nicht aus einer Einwilligung, sondern orientiert sich eher an den Verarbeitungsmöglichkeit über Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO.54 Ziel muss es sein, dass aufgrund der Zahlung des Nutzers alle darüberhinaus­ gehenden Datenverarbeitungen unterbunden werden und so – über die Verarbeitung zur direkten Funktion der App hinaus – auf Speicherung oder gar Offenlegung der Daten verzichtet wird. Aber selbst mit diesen Einschränkungen ergeben sich zum Teil weitreichende Datenverarbeitungen, die nach wie vor innerhalb der App stattfinden müssen. Soll Navigations-App A auch als entgeltliche Version bestimmte Standorte, Routen, Nutzereinstellungen oder andere Informationen für den Nutzer speichern, bedarf die App selbst bei der datenärmeren Version einer weitreichenden Speicherung der Daten.

Rein technisch dürfte sich der Aufwand für diese Umsetzung bei Apps in Grenzen halten, zumal eine notwendige Datenerhebung weiterhin zulässig bleibt.55 Trotz der weiterhin notwendigen Datenverarbeitung stünden einige Möglichkeiten bereit, um den sonstigen Datenumgang der entgeltlichen Angebote datenschonend 52

Becker, JZ 2017, 170 (179). Becker, JZ 2017, 170 (176). 54 S. § 6 A. I. Ähnlich Becker, ZGE 2017, 371 (385). 55 Becker, JZ 2017, 170 (178). Die Umsetzung könnte auch dadurch erreicht werden, dass modular die Datenreduzierung in der App aktiviert werden kann und so zeitweise gegen Entgelt die Datenerhebung gestoppt wird, vgl. zu diesem Ansatz ders., ZGE 2017, 371 (387 f.). 53

350

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

zu gestalten. So könnte ein verstärktes Augenmerkt auf die Vorgaben von Privacy by Design und Privacy by Default aus Art. 25 DSGVO gelegt werden, die die Datenminimierung und die Zweckbindung von Verarbeitungen sicherstellen.56 Dabei bieten sich zur Senkung der Eingriffsintensität der Datenverarbeitungen vor allem die Anonymisierung und Pseudonymisierung der zwingend zu verarbeitenden Daten an. Für die entgeltfreie Alternative könnte regulatorisch festgelegt werden, dass sämtliche zu speichernden Daten umgehend anonymisiert oder – wenn es einer späteren Zuordnung bedarf – pseudonymisiert werden. Bei der Pseudonymisierung müsste darüber hinaus der Schlüssel des Pseudonyms organisatorisch so gesichert werden, dass der App-Anbieter keinen dauerhaften Zugriff behält. Mit den Maßnahmen könnte sichergestellt werden, dass der App-Anbieter die notwendigen Daten nicht anderweitig verwenden kann. Zur Datenreduzierung wäre darüber hinaus – soweit möglich – eine Speicherung der Daten lokal auf dem Endgerät des Nutzers denkbar. Hierüber kann schon der Umfang der dem Datenverarbeiter zur Verfügung stehenden Daten reduziert werden, soweit kein Zugriffsrecht auf die lokal gespeicherten Daten besteht. Navigations-App A könnte die über GPS empfangenen Standortdaten mit einer Karte koppeln, die ohne Übermittlung des Nutzerstandorts geladen wird bzw. offline verfügbar ist. Nutzereinstellungen, Routen und andere Informationen könnten auf dem Smartphone des Nutzers gespeichert werden oder es könnte zumindest eine dauerhafte Pseudonymisierung der gesamten Daten stattfinden. Bei letzter hat der App-Anbieter allerdings sicherzustellen, dass bei ihm nicht weiterhin ein Zugriffsrecht auf die personenbezogenen Daten verbleibt.

2. Die regulatorische Umsetzung Die regulatorische Umsetzung, die zu alternativen Geschäftsmodellen führen soll, kann vielfältig ausfallen. Der wohl wirkungsvollste Weg zur Einführung solcher Modelle wäre eine Ausgestaltung, die dem Nutzer das subjektive Recht auf datenerhebungsfreie Dienstleistungen eröffnete.57 Danach könnte betroffenen Personen generell ein Recht zustehen, welches – unter den oben beschriebenen Einschränkungen – datenerhebungsfreie Dienstleistungen gewährt, wenn sie hierfür im Gegenzug ein Entgelt entrichten. Für die regulatorische Umsetzung stellt sich allerdings sofort die Frage, wie weitreichend ein solcher Anspruch ausfallen kann. Sollte dieser für jedwede Datenverarbeitung gelten oder nur speziell für diejenige, die im Rahmen einer Datenfinanzierung stattfindet. Auch ist fraglich, ob dem Nutzer die Verhinderung einzelner Verarbeitungen zusteht oder ob ihm nur ein Recht zusteht, die (nicht notwendige) Verarbeitung nur insgesamt gegen Geldzahlung zu verhindern.

56 57

Vgl. zu deren Inhalt § 5 B. III. 2. So auch Becker, JZ 2017, 170 (179).

§ 8 Regulatorische Veränderungsmöglichkeiten

351

Eine weitere Umsetzungsmöglichkeit läge in einer gesetzlichen Verpflichtung zur Gestaltung von Dienstleistungen, ohne dass hieraus ein subjektives Recht für Nutzer hervorginge. Hierdurch wären Anbieter verpflichtet, neben einer daten­ erhebenden Variante auch eine datenerhebungsfreie anzubieten. Nutzer könnten die Begünstigungen also nicht selbst rechtlich geltend machen, sondern das Gesetz müsste die Verpflichtung zur Umsetzung anderweitig sicherstellen. So könnten die Gestaltungsoptionen in die Form technischer Normen für datenerhebende Dienste gegossen werden, an die mit andren Regeln verbindlich angeknüpft werden kann.58 Nach Becker59 ließe sich die Umsetzung alternativer datenerhebungsfreier Geschäftsmodelle auch durch eine Verschärfung der Einwilligungsvoraussetzungen erreichen. So dürften aufgrund einer Leistung im Ausgangszustand keine Daten erhoben werden. Es bedürfte stattdessen einer speziellen Aktivierung durch den Nutzer. Dabei könnte der Opt-In zur Datenerhebung derart erschwert werden, dass Anbieter nur unter großem Aufwand an Einwilligungen ihrer Kunden gelangen. Anbieter müssten dann damit rechnen, dass Kunden unzufrieden sind, wenn der Dienst nicht auch ohne Datenerhebungen annehmbare Funktionen bietet. Für die zwingend erforderlichen Datenverarbeitungen und für die Basisfunktionen der Dienstleistung bliebe demgegenüber durch die alternativen Erlaubnistatbestände der DSGVO weiterhin Raum. Nur darüberhinausgehende Datenverarbeitungen müssten den erweiterten Zustimmungsanforderungen der Einwilligung genügen. Eine für den Anbieter weniger einschneidende Umsetzungsmöglichkeit bestünde in einem freiwilligen Angebot alternativer entgeltlicher Modelle, die dem Anbieter im Gegenzug anderweitige (regulatorische) Vorteile verschaffte. So könnte etwa beim Angebot einer alternativen entgeltlichen Variante das Kopplungsverbot für die datenfinanzierte Variante aufgeweicht werden. Bevor an dieser Stelle jedoch eine detaillierte Aufschlüsselung erfolgt, wie und an welcher Stelle sich eine der vier Umsetzungsmöglichkeiten gesetzlich einfüge ließe, soll zunächst ein Blick auf die Vorteile und Nachteile alternativer entgeltlicher Modelle geworfen werden. Hierüber lässt sich unter Umständen bereits die Tauglichkeit oder Untauglichkeit einzelner Umsetzungswege ausschließen, so dass es insoweit keiner näheren Erörterung bedürfte. Den ersten drei regulatorischen Umsetzungsmöglichkeiten ist nämlich gemein, dass sie allesamt (unterschiedlich intensiv) in die unternehmerische Freiheit der Anbieter von datenbasierten Geschäftsmodellen eingreifen. Eine solcher Eingriff muss dementsprechend mit vernünftige Erwägungen des Gemeinwohls gerechtfertigt bzw. mit kollidierenden Grundrechtspositionen abgewogen werden. Um diese feststellen zu können, sind zunächst die Vorteile alternativer entgeltlicher Geschäftsmodelle zu betrachten

58 59

Becker, JZ 2017, 170 (179). Becker, JZ 2017, 170 (179).

352

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

II. Vorteile von Monetarisierungsmodellen Alternative entgeltliche Geschäftsmodelle könnten eine Balance zwischen der wirtschaftlichen Verwendung von Daten und dem Datenschutz der Nutzer bilden, da hierüber der Anbieter die Wirtschaftlichkeit der (ansonsten vollständig) datenfinanzierten Angebote und gleichzeitig die Selbstbestimmung der Nutzer sicherstellen könnte. Es bestehen zunächst die oben beschriebenen, praktischen Vorteile und Chancen, die sich sowohl den App-Anbietern wie auch den Nutzern eröffnen. Darüber hinaus lassen sich über diese Modelle auch einige regulatorischen Probleme lösen oder zumindest verbessern, die bei der Datenverarbeitung durch datenfinanzierte Angebote auftreten. Über die alternativen Geschäftsmodelle kann dem Interessenausgleich zwischen verstärktem Datenschutz aus Nutzersicht und den wirtschaftlichen Interessen des App-Anbieters gerade in den Problemfeldern des Kopplungsverbots und der jederzeitigen Widerrufbarkeit der Einwilligung abgeholfen werden. 1. Die erleichterte Durchsetzung eines sinnhaften Kopplungsverbots Das Kopplungsverbot soll in seinen Grundzügen die Kopplung einer Einwilligung an die vom Datenverarbeiter gewährte Leistung verhindern. Dabei wird in dieser Arbeit ein relativ „liberaler“ Ansatz des Kopplungsverbots vertreten. Nach diesem liegt bei einer Datenfinanzierung von Angeboten, der das Austauschverhältnis Daten gegen Leistung zugrunde liegt, eine Erforderlichkeit der Datenverarbeitung (zur Finanzierung des Angebots) vor. Dementsprechend verstößt ein solches Austauschverhältnis, sofern es denn transparent gemacht wird und nicht mit anderen datenschutzrechtlichen Grundsätzen in Konflikt steht, nicht gegen das Kopplungsverbot.60 Anhand dieses Ergebnisses könnte man natürlich die Frage eröffnen, ob es überhaupt noch alternativer entgeltlicher Modelle bedarf, da sich bereits die Datenfinanzierung unter dem aktuellen Datenschutzregime umsetzen lässt. Dieser Ansatz verkennt allerdings, dass die hier vertretene Auffassung weder vom EuGH bestätigt noch einhellig in der Literatur geteilt wird. Insoweit ließe sich über alternative monetäre Modelle ein gewisses Maß an Rechtssicherheit erreichen. Und selbst, wenn sich die hier vertretene Vereinbarkeit der Datenfinanzierung mit dem Kopplungsverbot bestätigt, ließe sich über alternative entgeltliche Modelle die Situation der Nutzer verbessern, für die die Datenfinanzierung eine faktische Kopplung darstellt und denen die entgeltfreie Variante eine Handlungsalternative eröffnet. Unabhängig vom Ansatzpunkt lässt sich über alternative entgeltliche Geschäftsmodelle jedenfalls die Kopplung der Datenpreisgabe zur Nutzung der App entschärfen. Zwar ist das Kopplungsverbot einer Einwilligung nicht im Sinne eines 60

S. hierzu ausführlich § 6 B. II. 5. b).

§ 8 Regulatorische Veränderungsmöglichkeiten

353

obligatorischen Optionsrechts zu verstehen, bei dem ein Angebot ohne Einwilligung entgeltlich ausfällt und bei getätigter Einwilligung entgeltfrei bleibt.61 Dennoch schafft die Zahlung des Entgelts für die Nutzer eine Alternative, nach der die App keine – über die zur Vertragserfüllung notwendige Verarbeitung hinausgehenden – weiteren Daten erhebt. Dies kommt dem ureigenen Sinn und Zweck des Kopplungsverbots, eine zwangsweise Preisgabe der Daten zu verhindern, ein gutes Stück näher: Die Einwilligung stünde für die datenfinanzierte Variante weiterhin mit der Datenpreisgabe in Verbindung. Es ergäbe sich allerdings keine Kopplung zwischen der Bereitstellung der App durch den App-Anbieter und der Einwilligung des Nutzers, da anstelle der Einwilligung auch die Zahlung eines Entgelts möglich wäre. Der Nutzer hätte also die Wahl, ob er die Leistung mit oder ohne die Preisgabe von Daten in Anspruch nehmen möchte. Auch ließe sich bei Vorliegen einer solchen entgeltlichen Variante – ganz im Sinne der obigen Erwägungen zum Kopplungsverbot – über eine rechtssichere Erleichterung des Kopplungsverbots nachdenken. Wenn neben der Einwilligung noch eine weitere Möglichkeit zur Nutzung der App durch Zahlung eines Geldbetrags bestünde, wäre auch das Modell „Daten gegen Leistung“ mit Art. 7 Abs. 4 DSGVO vollständig und ohne Bedenken zu vereinbaren. Abstufungen wären auch – um eine Umsetzung abstrakter zu gestalten – derart denkbar, dass die Gewährung der Einwilligung zu einer Preisreduzierung führt.62 Wählt der Nutzer hingegen die Option der Datenfinanzierung, geschieht dies dann freiwillig und Art. 7 Abs. 4 DS-GVO steht der Wirksamkeit der Einwilligung keinesfalls entgegen. 2. Die Entschärfung der jederzeitigen Widerrufbarkeit Ein regulatorisches Problem, das die Bereitstellung datenfinanzierter Angebote aus Sicht der App-Anbieter erschwert, liegt in der jederzeitigen Widerrufbarkeit von abgegebenen Einwilligungen. Aufgrund der Widerrufbarkeit hat der Anbieter keine Sicherheit, die erhobenen Daten auch zu einem späteren Zeitpunkt wirtschaftlich nutzen zu können.63 Die jederzeitige Widerrufbarkeit der Einwilligung erfährt durch ein alternatives Monetarisierungsmodell dabei keine Veränderung. Gleichwohl findet eine faktische Erleichterung der Problematik für den App-Anbieter statt. Ihm wird es nämlich neben der Monetarisierung der gewonnenen Daten noch auf anderem Wege möglich, die App mittels Zahlung eines Nutzer-Entgelts zu monetarisieren. Hierdurch verringert sich das Risiko, dass durch reihenweise widerrufene Einwilligungen das Geschäftsmodell des App-Anbieters in Gefahr gerät.

61

Schulz, in: Gola, DSGVO Kommentar, Art. 7 Rn. 26. So auch Krohm / Müller-Peltzer, ZD 2017, 551 (553). 63 S. zur Problematik ausführlich § 6 B. II. 6. 62

354

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Durch die Nutzung alternativer entgeltlicher Modelle ergibt sich auch für den Nutzer in Bezug auf die Widerrufbarkeit ein Vorteil. Denn nach Widerruf der Einwilligung besteht für den App-Anbieter die Möglichkeit, das datenfinanzierte Angebot nicht länger bereit zu stellen. Ein Nutzer, die mit der Datenverarbeitung nicht einverstanden sind, gleichzeitig die App aber weiterhin nutzen möchte, könnte dies über die entgeltliche Alternative verwirklichen. III. Offene Fragen und Nachteile solcher Modelle Je nach regulatorischer Umsetzung können sich aus einem (verpflichtenden) Angebot eines entgeltlichen Modells auch deutlich Nachteile ergeben – vor allem für App-Anbieter. Bei einer regulatorischen Umsetzung eines solchen alternativen Modells bestehen noch einige offene Fragen, die nachfolgend erörtert werden. 1. Einschränkungen der unternehmerischen Freiheit Für App-Anbieter stellt eine verpflichtende Bereitstellung entgeltlicher Zahlungsvarianten einen Eingriff in deren unternehmerische Freiheit da, der je nach regulatorischer Umsetzung unterschiedlich intensiv ausfällt. Das (freie) Angebot datenfinanzierter Angebote wird durch die unternehmerische Freiheit aus Art. 16 GRCh bzw. national aus Art. 12 Abs. 1 GG sowie die Dienstleistungsfreiheit nach Art. 56 AEUV geschützt.64 Hierbei erhöht sich die Intensität des Eingriffs in die unternehmerische Freiheit je nach gewähltem Regulierungsansatz. Die freiwillige, gesetzlich nicht verpflichtende Umsetzung alternativer entgeltlicher Geschäftsmodelle greift erst gar nicht in die Rechte des Anbieters ein, sondern eröffnet ihm regulatorische Vorteile. Durch eine solche Umsetzung, die etwa durch die Berücksichtigung alternativer Modelle im Rahmen des Kopplungsverbots umgesetzt werden könnte, wird dem Anbieter das (alleinige) Angebot datenfinanzierter Apps nicht erschwert. In der mittelbaren Bevorteilung von Anbietern, die ein alternatives Modell vorhalten, liegt noch kein Eingriff in die unternehmerische Freiheit. Es steht jedem Anbieter frei, ein solches Modell zu entwickeln. Hierdurch wird kein Eingriff in den freien Wettwettbewerb zwischen den Anbietern erkennbar. Schwerer wiegen die Eingriffe durch die anderen vorstellbaren Regulierungsansätze. Wird eine Einwilligung zur Datenpreisgabe derart erschwert, dass Anbieter nur unter großem Aufwand an Einwilligungen ihrer Kunden gelangen, stellt diese Einschränkung das privatautonome Austauschverhältnis von Daten gegen Leistung vor hohe Hürden. Neben dem Eingriff in die (rein) datenfinanzierten 64 S. § 4 A. III. 1. Zum Eingriff in die Grundrechte des Anbieters ebenfalls Becker, JZ 2017, 170 (178); ders., ZGE 2017, 371 (388).

§ 8 Regulatorische Veränderungsmöglichkeiten

355

Geschäftsmodelle für den App-Anbieter, denen hierdurch die Monetarisierung der Daten erheblich erschwert wird, betrifft eine solche Einschränkung vor allem auch die Nutzer, deren möglicherweise bewusst gewählte Leistung in Form der Datenpreisgabe paternalistisch unnötig verkompliziert wird. Ein solcher Eingriff in die Grundrechte sowohl der App-Anbieter wie auch der Nutzer erscheint hinsichtlich seiner Wirkung keinesfalls marginal, wird durch eine solche Regelung die Möglichkeit zur Datenfinanzierung doch erheblich behindert. Die regulatorischen Ansätze, die dem Nutzer entweder ein subjektives Recht auf einen datenerhebungsarmen Dienst gewähren oder die eine solche Umsetzung anderweitige gesetzlich festschreiben, beschränken demgegenüber nicht die Datenfinanzierung an sich. Den Anbietern bleibt es weiterhin möglich, mit dem Nutzer in ein Austauschverhältnis Daten gegen Leistung – vorliegend die Bereitstellung der App  – einzutreten. Regulatorisch wird der App-Anbieter dabei allerdings verpflichtet, noch ein alternatives Geschäftsmodell bereit zu halten. Ein solches versursacht für sich genommen bereits Kosten und Aufwand. Dem Anbieter wird auferlegt, eine datenarme App-Variante zu entwickeln und ein „äquivalenten“ Preis zur nicht mehr stattfindenden wirtschaftlichen Datennutzung zu finden.65 Hierdurch wird der Anbieter also zumindest in der Ausübung einer rein daten­ finanzierten Tätigkeit eingeschränkt, auch wenn eine solche Verpflichtung keine so hohe Eingriffsintensivität wie die Einschränkung der Einwilligungsmöglichkeit aufweist. Die beschriebenen Eingriffe erhöhen sich in ihrer Intensität allerdings um ein Vielfaches für kleinere App-Anbieter. Je nach App, erfordert ein alternatives Monetarisierungsmodell einen hohen Aufwand für dessen Bereitstellung. Zwar mag es auf den ersten Blick einfach erscheinen, keine Einwilligung in die Datenverarbeitung zu verlangen und stattdessen beim Download ein Entgelt zu erheben. Hierdurch müssen jedoch auch innerhalb der App unter Umständen weitreichende Funktionen im Ablauf verändert werden, die zuvor Daten erhoben haben und – soweit nicht für die Funktionsweise der App erforderlich – dies nun unterlassen müssen. Technisch gestaltet sich eine solche Alternative gerade bei Apps zwar sicherlich als umsetzbar. Können große App-Anbieter (oder gar große Digitalkonzerne) ein solches alternatives Geschäftsmodell aufgrund ihrer finanziellen und personelle Möglichkeit ohne größere Komplikationen umsetzen, werden jedoch kleine App-Anbieter durch die zusätzliche Regulierungsanforderung möglicherweise am Markteintritt gehindert. Damit stellt ein verpflichtendes alternatives entgeltliches Geschäftsmodell eine hohe Markteintrittshürde dar und könnte kleinere Anbieter vom App-Markt verdrängen.

65

Dazu sogleich.

356

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

2. Die Höhe des Entgelts Verlangt ein App-Anbieter anstelle der Einwilligung zur Datenverarbeitung ein Entgelt, durch welches sein Dienst datenerhebungsfrei angeboten wird, so stellt sich – unabhängig von der Verpflichtung zum Angebot einer solchen Alternative – die Frage nach der Höhe des Entgelts. a) Der Wert der verarbeiteten Daten Die Bemessung des Werts der personenbezogenen Daten, die durch das Entgelt ersetzt werden sollen, erweist sich als schwierig. Im besten Falle würde das für die Nutzung der App erhobene Entgelt genau den Wert abbilden, den der AppAnbieter alternativ über eine Monetarisierung der Daten erreichen könnte. Schon die Analyse der Werthaftigkeit der Daten hat allerdings ergeben, dass den Daten zwar definitiv ein wirtschaftlicher (und damit monetarisierbarer) Wert innewohnt, dieser aber gleichwohl schwierig exakt zu bemessen ist.66 Gerade für die Entgelt-Ermittlung bei sonst datenfinanzierten Angeboten wurden dementsprechend in der Literatur einige Überlegungen angestellt.67 So lässt sich nach Golland68 der Wert schwerlich pauschal bestimmen und hängt maßgeblich vom Umfang der Datenerhebung und ihrer konkreten Aussagekraft ab. Häufig bestehe im Markt datenfinanzierter Angebote kein funktionierender Wettbewerb. Es müsse demnach auf den Wert, den die Einwilligung des Nutzers aufweist, abgestellt werden. Um diesen zu ermitteln, müsse der Anbieter einen äquivalenten Gegenwert zu den ökonomischen Vorteilen aus der Datenverarbeitung erhalten. Dieser sei von verschiedenen Faktoren abhängig, primär aber von dem zu erzielenden Preis auf zur Monetarisierung der Daten bestehenden nachgelagerten Märkten. Auch müsse das Nutzerverhalten berücksichtigt werden, da sowohl eine jahrzehntelange intensive Nutzung (mit dementsprechend umfangreicher Datenverarbeitung) wie auch eine einmalige Nutzung möglich erscheint. Da sich eine individuelle Preiskalkulation allerdings schwierig darstelle, sei ein Preis anhand des durchschnittlichen Nutzungsverhaltens im Rahmen einer Mischkalkulation durchzuführen. Golland hält das Anbieten eines gleichwertigen Alternativzugangs gegen Entgelt für einen möglichen rechtlichen Ausweg, um ein Finanzierungs­ dilemma für App-Anbieter zu verhindern. Auch Becker69 sieht bei rein datenfinanzierten Angeboten den Marktwert der Daten als maßgeblichen Ausgangspunkt. Zur Berechnung seien als Ansatzpunkte die Entwicklungs- und Angebotskosten ins Verhältnis zum Wert der Datenerhe 66

S. § 2 B. II. 1. Vgl. neben den folgenden Überlegungen auch Krohm / Müller-Peltzer, ZD 2017, 551 (553). 68 S. zum Ganzen Golland, MMR 2018, 130 (135). 69 Zum Ganzen Becker, JZ 2017, 170 (179); ders., ZGE 2017, 371 (388 f.). 67

§ 8 Regulatorische Veränderungsmöglichkeiten

357

bung und -nutzung zu setzen. Der Hauptzweck der Ansetzung eines Wertes läge indes in der Verhinderung einer prohibitiven Preissetzung und der Transparenz gegenüber den Nutzern. Zur Sicherstellung beider Ziele müsse die Preissetzung einer externen Kontrolle unterliegen. Er schlägt daher die Berechnung an bekannten Instrument wie dem ISO-Standard70 vor. b) Konsequenzen für die Höhe des Entgelts Schon die genaue Berechnung, welchen Wert die Datenverarbeitung bei datenfinanzierten Angeboten ausmacht und was ein äquivalentes Entgelt darstellt, fällt also sehr kompliziert und wenig generalisierbar aus. Aber selbst bei der potentiellen Berechnungsmöglichkeit eines Wertes stellt sich die Anschlussfrage, inwieweit dieser errechnete Wert auch tatsächlich für das alternative Modell als Entgelt verwendet werden muss. Eine exakte Festlegung auf den ermittelten Wert der Daten, der sich in der Höhe des alternativen Entgelts widerspiegelt, beschränkt den Anbieter massiv in der unternehmerischen Freiheit zur selbstständigen Preissetzung. Ist der Anbieter andererseits in der Entscheidung über die Höhe des Entgelts vollkommen frei, könnte er völlig losgelöst vom tatsächlichen Wert der Daten (überhöhte) „Mondpreise“ verlangen, die kein Nutzer wählen würde. Könnte sich der Anbieter im Anschluss auf das Vorliegen eines alternativen Angebots berufen, profitierte er etwa von einem gelockerten Kopplungsverbot, ohne dass sich an der tatsächlichen Datenverarbeitung irgendetwas änderte. Die Erhebung von überhöhten Entgelten anstelle einer Erteilung der Einwilligung stellt keineswegs eine „echte freie Wahl“ dar, wie sie in Erwägungsgrund 42 S. 5 verlang wird. Vorzugswürdig wäre wohl ein Weg zwischen diesen zwei Extremen: Der AppAnbieter kann den wirtschaftlichen Wert der Daten selbst kalkulieren. Es zeigt sich dann am Markt, ob eine datenerhebungsfreie, dafür aber entgeltliche Variante der App vom Nutzer angenommen wird. Der Anbieter muss dabei bei der Preisgestaltung sicherstellen, dass die entgeltliche Variante aus Nutzersicht eine echte Alternative darstellt. Hierfür böte sich etwa ein Rückgriff auf das Verbot des Preis- und Konditionenmissbrauchs an, wie es im Bereich des Art. 102 AEUV angenommen wird.71 Danach sind Preise unangemessen, die in einem Missverhältnis zum wirtschaftlichen Wer der Ware oder Dienstleistung stehen.72 Auch könnte der Anbieter verpflichtet werden, den Preis der entgeltlichen Alternative (als Standard) anzugeben. Diese Angabe des alternativen Preises würde es dem

70

Vgl. etwa zum Datenschutz ISO / I EC 27701 als Erweiterung des ISO / I EC-27001-Sicherheitsstandards. 71 Fuchs, in: Immenga / Mestmäker, Wettbewerbsrecht, Art. 102 AEUV, Rn. 174 ff.; Golland, MMR 2018, 130 (134). 72 Vgl. EuGH, Urt. v. 11. 11. 1986, Rs. C-226/84, Rn. 25 ff.  – British Leyland; Urt. v. 17. 5. 2001, Rs. C-340/99, Rn. 47 – TNT Traco.

358

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Anbieter faktisch erschweren, überhöhte Preise zu verlangen.73 Denn der Anbieter könnte sein Angebot nicht mehr als besonders günstig bewerben, selbst wenn sich der Nutzer für die datenfinanzierte Variante entscheidet. Dem Nutzer entsteht jedenfalls in beiden Fällen kein Nachteil. Die datenerhebende Variante der App unterliegt weiterhin den gleichen Voraussetzungen, während die datenfreie Variante zahlungswilligen Nutzern die Wahrnehmung der informationellen Selbstbestimmung ermöglicht. c) Die Tauglichkeit der Umsetzung Eine Bestimmung der Entgelthöhe von entgeltlichen App-Varianten weist allerdings praktische sowie abstrakte Probleme auf. Zunächst erfordert die Ausgestaltung der datenarmen Variante selbst erhebliche Mehrkosten, die im Preis ebenfalls zu berücksichtigen wären oder ansonsten einen Eingriff in die unternehmerische Freiheit des Anbieters darstellten. Daneben ergibt sich der Wert der Daten bei datenfinanzierten Angeboten häufig aus dem Umfang, der Aggregation und Kumulation der Daten. Kann nun ein nicht unerheblicher Teil der Nutzer diese Datenerhebung über das alternative Modell vollständig verhindern, weisen unter Umständen auch die verbliebenen Daten einen jeweils für sich geringeren Wert auf.74 Als Ausgleich müsste dementsprechend im Rahmen einer Quersubventionierung für die entgeltliche Variante ein höheres Entgelt verlangt werden. Dies könnte selbst wiederum zur Folge haben, dass das entgeltliche Angebot dem Nutzer als zu teuer erscheint und selbst von datenschutzbewussten Nutzern nicht mehr verwendet wird. Ein weiterer Nachteil verpflichtender entgeltlicher Alternativen wird zum Teil in einer potentiellen gesellschaftlichen Gefahr gesehen. Härting befürchtet etwa eine „Zwei-Klassen-Datengesellschaft“, in der Teile der Nutzer die Daten immer preisgeben, während die monetär Bessergestellten die entgeltlich angebotene App verwenden können.75 Auch Schulz sieht die Zunahme zahlungspflichtiger Dienste als sozialpolitisch nicht wünschenswert an.76 In diese Problematik spielen Fragen der sozialen Gerechtigkeit hinein. Nicht erstrebenswert erscheint, dass sich nur noch Nutzer Datenschutz und Sicherheit leisten können, die zur Zahlung eines Aufpreises bereit sind.77 Diese Gefahr ist bei den vielfältigen und kleinteiligen datenfinanzierten Angeboten allerdings als eher gering anzusehen. Keines dieser Angebote ist für den Nutzer tatsächlich lebensnotwendig und bei den meisten Apps bestehen ohnehin genügend taugliche Alternativangebote anderer App-Anbieter. Eine so 73

Becker, ZGE 2017, 371 (389). In Bezug auf Big Data in diese Richtung bereits Krohm / Müller-Peltzer, ZD 2017, 551 (553). 75 Härting, CR 2016, 646 (648); ebenso Krohm / Müller-Peltzer, ZD 2017, 551 (553). 76 Schulz, in: Gola, DSGVO Kommentar, Art. 7 Rn. 27. 77 Zu dieser Problematik Spitz, Daten – Das Öl des 21. Jahrhunderts?, S. 74 ff. 74

§ 8 Regulatorische Veränderungsmöglichkeiten

359

ziale Problematik erscheint demgegenüber bei marktbeherrschenden Anbietern denkbar – etwa Facebook oder Instagram im Bereich der sozialen Netzwerke.78 Können sich bei diesen Teile der Nutzer tatsächlich aus der Datenerhebung herauskaufen, sind auf längere Sicht soziale Gefahren denkbar. Ganz generell lässt sich diese Aussage auf datenfinanzierte Geschäftsmodelle allerdings nicht übertragen.79 IV. Würdigung Eine alternative entgeltliche Variante einer App kann durchaus ein Mittel darstellen, um aus Sicht des App-Anbieters die Einhaltung des Kopplungsverbots rechtssicher zu gestalten und die Problematik der jederzeitigen Widerruflichkeit zu verringern. Gleichzeitig ergibt sich für die Nutzer die Möglichkeit, selbst­bestimmt darüber zu entscheiden, ob ihnen ein verbesserter Datenschutz eine monetäre Gegenleistung wert ist. Eine solche Alternative erhöht insoweit die tatsächliche Selbstbestimmung des Nutzers. Positiv bewirkt die Bestimmung eines alternativen Entgelts ferner, dass hierdurch ein generelles Bewusstsein des Nutzers für den Wert der preisgegebenen Daten geschaffen wird. Zugleich sind bei einer verpflichtenden Umsetzung die Eingriffe in die unternehmerische Freiheit nicht von der Hand zu weisen. Dies betrifft vor allem kleine Anbieter, für die regulatorische Verpflichtung eine Markteintrittsbarriere darstellen, oder bereits am Markt tätige Anbieter, die hierüber verdrängt werden könnten. Auch ergeben sich Probleme bei der Bestimmung der Höhe eines (verpflichtenden) Entgelts. Daher erscheint eine regulatorische Verpflichtung zur Schaffung alternativer entgeltlicher Geschäftsmodelle nicht ratsam. Gleichwohl wäre es im Sinne der Selbstbestimmung der Nutzer, wenn gerade große, viel genutzte Apps eine solche Alternative anböten. Dies sollte allerdings – wie bereits als regulatorische Umsetzungsmöglichkeit aufgeworfen – freiwillig erfolgen und dem Anbieter im Gegenzug einen Vorteil eröffnen. Ein solches alternatives Modell ließe sich mithin fördern, indem etwa eine Erleichterung im Rahmen des Kopplungsverbots ermöglicht wird. Hierzu könnte Art. 7 Abs. 4 DSGVO um einen Satz erweitert werden, der Anbieter mit einem alternativen datenarmen, dafür entgeltlichen Angebot beim Kopplungsverbot privilegiert. Um den generellen Reglungen der DSGVO zu entsprechen, könnte diese Ergänzung wie folgt aussehen: Art. 7 Abs. 4 S. 2 DSGVO: Gegen die Kopplung einer Einwilligung an die Erbringung einer Dienstleistung spricht insbesondere, wenn der Verantwortliche anstelle der Bereitstellung personenbezogener Daten über die Einwilligung alternativ ein angemessenes Entgelt für die Erbringung der Dienstleistung ohne Datenverarbeitung verlangt. 78 Diese Problematik ließe sich etwa über das Wettbewerbsrecht lösen, dass bereits den missbräuchlichen Umgang mit Daten berücksichtigt, s. § 8 A. II. 1. c). 79 Ähnlich in der Würdigung Golland, MMR 2018, 130 (135).

360

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Der Wortlaut „Bereitstellung persönlicher Daten“ orientiert sich dabei an der bereits erlassenen Richtlinie (EU) 2019/770, so dass schon vom Wortlaut die Zielrichtung dieser Ausnahmeregelung deutlich wird. Hierdurch könnte der Anbieter als Verantwortlicher sichergehen, dass er bei Angebot eines alternativen Modells, dass anstelle zusätzlicher Datenverarbeitung ein angemessenes Entgelt verlangt, vom Kopplungsverbot bei der datenfinanzierten Alternative befreit wird. Durch den unbestimmten Rechtsbegriff des „angemessenen“ Entgelts könnte im weiteren Verlauf über etwaige Rechtsprechung oder gar Durchführungsverordnungen sichergestellt werden, dass der Anbieter eine aus Nutzersicht tatsächlich bedenkenswerte Alternative entwickelt. Zwar ist nach der in dieser Arbeit vertretenen Auffassung das Kopplungsverbot beim Geschäftsmodell Daten gegen Leistung als jeweilige Hauptleistungspflicht ohnehin nicht eröffnet. Bis zu einer diesbezüglichen Entscheidung des EuGH besteht hierzu allerdings noch keine Rechtssicherheit für die Anbieter. Auch könnte der Gesetzgeber mit der Ergänzung aufzeigen, dass er die Möglichkeit verschiedener Geschäftsmodelle anerkennt, mit denen die Nutzer ihren Datenumgang selbstbestimmt regulieren können. Ob es zu einer solchen Ergänzung auch tatsächlich kommen könnte, erscheint allerdings – auch aufgrund der erst kurzen Bestehensdauer der DSGVO – derzeit eher fraglich.80 Sinnvoll wäre sie aufgrund der dargestellten Vorzüge aber allemal.

C. Verbesserte Ansätze zur Transparenz Der in dieser Arbeit vertretene, eher liberale Ansatz zu den Verarbeitungsmöglichkeiten datenfinanzierter Angebote hat gezeigt, dass auch weitreichende Verarbeitungsmöglichkeiten mit dem Datenschutzrecht vereinbar gestaltet werden können. Im Gegenzug ist eine Transparenz über die Datenverarbeitung gegenüber dem Nutzer umso bedeutsamer. Eine hinreichend transparente Aufklärung ermöglicht dem Nutzer eine Kenntnisnahme des jeweiligen Verarbeitungsvorgangs und stellt damit ein wesentliches Merkmal eines wirksamen Datenschutzes dar. Erst durch Transparenz in Verbindung mit den zahlreichen Betroffenenrechten der DSGVO wird dem Nutzer eine wirksame Kontrolle über seine personenbezogenen Daten möglich.81 Insbesondere vor dem Hintergrund datenfinanzierter Angebote erweist sich die Schaffung von Transparenz allerdings als problematisch. Viele datenfinanzierte Angebote verfügen über einen relativ kleinen Funktionsbereich, weshalb Nutzer 80 Es findet sich etwa im Zwischenbericht EU Kommission zum zweijährigen Inkrafttreten der DSGVO kein Anhaltspunkt auf eine diesbezügliche Initiative, vgl. Mitteilung der Kommission an das Europäische Parlament und den Rat, Datenschutz als Grundpfeiler der Teilhabe der Bürgerinnen und Bürger und des Ansatzes der EU für den digitalen Wandel – zwei Jahre Anwendung der Datenschutz-Grundverordnung v. 24. 6. 2020, COM(2020) 264 final. 81 Vgl. DSGVO ErwG 60.

§ 8 Regulatorische Veränderungsmöglichkeiten

361

in der Regel eine Vielzahl von Apps verwenden. Häufig messen die Nutzer den Apps dank deren monetärer Kostenfreiheit eine geringe Bedeutung im Hinblick auf den Datenschutz bei. Hierdurch hat sich das Phänomen des sog. Privacy Paradox entwickelt, aufgrund dessen die betroffenen Personen ihrem Datenschutz zwar abstrakt einen hohen Wert zusprechen, sich im Einzelnen hierzu allerdings (vermeintlich) widersprüchlich verhalten und ihre Daten bereitwillig preisgeben.82 Im vorliegenden Unterkapitel werden daher die einzelnen Informations- und Transparenzpflichten der DSGVO nochmals zusammengefasst und auf ihre Tauglichkeit bei der Datenverarbeitung durch datenfinanzierte Angebote überprüft (I.). Dabei ist zu überprüfen, inwieweit verbesserte Transparenz das Privacy Paradox auflösen oder zumindest abfedern und ob hierüber die individuelle Souveränität der Nutzer gesichert werden kann. Im Anschluss werden Ansätze erörtert, wie sich die faktische Transparenz für den Nutzer weiter verbessern lässt (II.). I. Aktuelle Transparenzregeln Der Transparenzgedanke ist bereits grundrechtlich verankert. Nur wenn Transparenz über die Datenverarbeitung besteht, kann der einzelne Nutzer als betroffene Person effektiv über den Datenschutz bestimmen und hierdurch seine informationelle Selbstbestimmung wahrnehmen.83 Als Folge dieser Verankerung wird die Transparenz der Datenverarbeitung auch an vielen Stellen im Rahmen der DSGVO gefordert. In der DSGVO stehen die Transparenz und Informiertheit der Nutzer über die einzelnen Verarbeitungsvorgänge in einer engen Verbindung zueinander. Die diesbezüglichen Anforderungen finden sich im allgemeinen Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a) Var. 3 DSGVO, seinen Präzisierungen zur Transparenz in Art. 12 DSGVO sowie zur Informiertheit in Art. 13, 14 DSGVO. Auch die speziellen Erlaubnistatbestände in Art. 6 DSGVO greifen die Transparenz auf, so dass Transparenz insgesamt einen Grundstein des aktuellen Datenschutzregimes darstellt.84 Die DSGVO legt dabei sowohl an die Transparenz als auch an die Informationspflichten deutlich höhere Anforderung – vor allem bzgl. der Art und Weise der Informationen – als die vorherige Datenschutzrichtlinie 95/46/EG.

82

S. § 8 A. I. S. § 4 A. II. 2., C. III. 84 Auf die im Anschluss nach Art. 15 ff. DSGVO gewährten Bestätigungs- und Auskunftsansprüche über die bereits erfolgte Datenverarbeitung kommt es an dieser Stelle bezüglich der Transparenz von datenfinanzierten Angeboten nicht an. Die DSGVO verfügt ferner über weitere Vorgaben hinsichtlich der Transparenz, etwa in Art. 25 oder 32 DSGVO. Diese sind aber im Rahmen der hier erörterten Fragestellung ohne Bedeutung. 83

362

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

1. Der Grundsatz der Transparenz Der Grundsatz der Transparenz aus Art. 5 Abs. 1 lit. a)  Var. 3 DSGVO verpflichtet zur Transparenz über stattfindende Datenverarbeitung zum Zeitpunkt der Datenerhebung.85 Es muss dahingehend Transparenz bestehen, wie und in welchem Umfang personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden. Das Transparenzgebot muss darüber hinaus den Zusammenhang über verschiedener Elemente innerhalb der Datenverarbeitung herstellen, vor allem über das „Wer“, „Wie“, „Wann“ und „Warum“ der Verarbeitung informieren. Mithin muss ein gewisser Grad an Informationen über die Datenverarbeitung vorliegen. Die diesbezüglichen Informationspflichten werden in Art. 13 und 14 DSGVO präzisiert. Daneben muss über die Information selbst Transparenz bestehen. Diese Transparenz-Vorgabe im engeren Sinne wird in Art. 12 Abs. 1 DSGVO präzisiert. a) Informationspflichten aus Art. 13, 14 DSGVO Art. 13 und 14 DSGVO regeln Art und Umfang der Informationspflichten der Datenverarbeiter gegenüber der betroffenen Person. Der Sinn und Zweck der Normen besteht darin, die Grundsätze einer fairen und transparenten Verarbeitung umzusetzen, indem die betroffene Person über die Existenz und den Zweck der Verarbeitung unterrichtet wird. Darüber hinaus sollen ihr weitere Informationen zur Verfügung stehen, die in besonderen Umständen und Rahmenbedingungen eine transparente Verarbeitung gewährleisten.86 Die beiden Normen unterscheiden sich im Anwendungsbereich darin, wo die jeweilige Datenerhebung stattfindet. Art. 13 DSGVO greift dann, wenn und soweit der Datenverarbeiter die Daten bei der betroffenen Person erhebt. Art. 14 DSGVO ist demgegenüber dann einschlägig, wenn der Verarbeiter die Daten nicht selbst erhoben hat, diese aber gleichwohl als Verantwortlicher verarbeitet. Art. 14 DSGO greift mit Blick auf diese Arbeit also vor allem in Fällen, in denen die Nutzerdaten offengelegt werden (Verarbeitung der Kategorie III) und darüber eine Verantwortlichkeit beim Empfänger entsteht. Abgesehen von dieser Unterscheidung fallen Art. 13 und 14 DSGVO hinsichtlich der Art und des Umfangs der Informationspflichten beinahe identisch aus.87 Inhaltlich legt Absatz 1 der jeweiligen Norm diejenigen Informationen fest, die der betroffenen Person bei der Verarbeitung mitzuteilen sind. Dabei sind Infor 85

S. bereits § 5 B. I. 2. Vgl. DSGVO ErwG 60 S. 2. 87 S. bereits § 5 A. III. Insoweit besteht auch kein Rangverhältnis zwischen den Normen, Bäcker, in: Kühling / Buchner, DSGVO / BDSG, Art.  13 Rn.  3; Knyrim, in: Ehmann / Selmayr, DSGVO, Art. 13 Rn. 3; Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art.  13 Rn.  12a. 86

§ 8 Regulatorische Veränderungsmöglichkeiten

363

mationen über die Namen und Kontaktdaten des Datenverarbeiters und des ggf. vorhandenen Datenschutzbeauftragen (lit. a) und b))88 sowie die Zwecke und die Rechtsgrundlage der Verarbeitung (lit. c)) bereitzustellen. Ferner ist je nach Situation über berechtigte Interessen zur Datenverarbeitung (Art. 13 Abs. 1 lit. d)), die Verarbeitung besonders geschützter Daten nach Art. 9 DSGVO (Art. 14 Abs. 1 lit. d)), eventuelle Empfänger der Daten (lit. e)) sowie die ggf. stattfindende Übermittlung in ein Drittland (lit. f.)) zu informieren. Die beiden Informationspflichten nach lit. e) und f) verlangen also gerade bei einer Offenlegung der Daten (und deren Übermittlung in Drittländer) eine diesbezügliche Information der betroffenen Person. Damit nicht genug wird der Informationsumfang über Absatz 2 in beiden Normen jeweils noch erweitert. Danach ist der Datenverarbeiter zur Mitteilung über weitere Informationen verpflichtet, die eine faire und transparente Verarbeitung gewährleisten sollen.89 Hierzu muss über die Dauer der Verarbeitung, die Rechte der betroffenen Person, die Widerrufsmöglichkeit bei Vorliegen einer Einwilligung, das Beschwerderecht der betroffenen Person sowie über ggf. stattfindende automatisierte Entscheidungsprozesse informiert werden.90 Art. 13 Abs. 1 lit. e)  DSGVO verpflichtet darüber hinaus zur Darstellung der Erforderlichkeit der Datenverarbeitung für den Vertragsschluss in Fällen von Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO. Der Unterschied zwischen Absatz 1 und 2 ergibt sich durch den folgenden dritten Absatz, der im Falle einer Zweckänderung91 die mitzuteilenden Informationen auf diejenigen des Absatzes 2 beschränkt.92 Insgesamt muss der Datenverarbeiter nach Art. 13, 14 DSGVO eine Vielzahl mit der Verarbeitung im Zusammenhang stehender Informationen darlegen. Die DSGVO begegnet den Gefahren mangelnder Transparenz und Informiertheit der betroffenen Person mit einer deutlichen Erweiterung der Informationspflichten im Vergleich zu den Vorgängerregelungen. So soll jede Datenverarbeitung nur mit Kenntnis über die Umstände erfolgen. Der dahinterstehende Gedanke liegt darin, dass eine betroffene Person die Verarbeitung nur hinreichend informiert auf ihre Zulässigkeit prüfen und ihre Rechte geltend machen kann.

88 Die Information über den Datenschutzbeauftragen ist im Falle von Art. 14 aufgrund der Wortlauts „zusätzlich“ im Gegensatz zu Art. 13 DSGVO (dort „gegebenenfalls“) zwingend, Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art.  14, Rn.  16. 89 Bäcker, in: Kühling / Buchner, DSGVO / BDSG, Art.  13 Rn.  20; Veil, ZD 2015, 347 (349). 90 Zwischen Art. 13 und 14 verschiebt sich dabei die Reihenfolge der Aufzählung ab lit. b), so dass sich etwa der Widerruf der Einwilligung in Art. 13 Abs. 2 lit. c) respektive Art. 14 Abs. 2 lit. d) DSGVO findet. Vgl. zum genauen Inhalt der Informationspflichten nach Absatz 2 etwa Bäcker, in: Kühling / Buchner, DSGVO / BDSG, Art. 13 Rn. 36 ff., Art. 14 Rn. 18 ff. 91 S. zur Zulässigkeit einer Zweckänderung § 5 B. II. 2. 92 Diese Unterscheidung zwischen Absatz 1 und 2 relativiert sich wiederum dadurch, dass Absatz 3 selbst Informationspflichten vorsieht, die sich im Wesentlichen mit Art. 13 Abs. 1 lit. c)  DSGVO decken. S. hierzu vertiefend Bäcker, in: Kühling / Buchner, DSGVO / BDSG, Art. 13 Rn. 21, 69 ff.

364

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Im Grundsatz sind die erweiterten Informationspflichten der DSGVO ein positiver Schritt, um die betroffene Person bzw. den Nutzer von datenfinanzierten Angeboten in dem Wissen um die Verarbeitungsvorgänge zu stärken. Allein die Menge an erteilten Informationen entscheidet allerdings nicht über die tatsäch­liche Informiertheit des Nutzers. Hierfür bedarf es zusätzlich auch der Transparenz über ebenjene mitgeteilten Informationen. b) Transparenzpflichten aus Art. 12 Abs. 1 DSGVO Die Vorgaben zur Transparenz normiert Art. 12 Abs. 1 DSGVO. In Konkretisierung des allgemeinen Transparenzgebots verpflichtet dieser den Datenverarbeiter zu einer leichten Zugänglichkeit der Informationen aus Art. 13 und 14 DSGVO und regelt die Form der zu übermittelnden Informationen. Art. 12 Abs. 1 S. 1 DSGVO verpflichtet den Datenverarbeiter, die Informationen über die Datenverarbeitung präzise, leicht zugänglich, verständlich und in klarer und einfacher Sprache zur Verfügung zu stellen. Dies soll dem Problem der drohenden Informationsflut entgegenwirken, indem die zu übermittelnden Informationen an den Adressaten anzupassen sind. Diese Vorgabe ergibt sich aus den Kriterien „präzise“ und „verständlich“, die nur mit Blick auf den Adressaten bewertet werden können.93 Bei Massengeschäften  – wie den allermeisten datenfinanzierten Angeboten – orientiert sich dieser Maßstab am durchschnittlichen Kundenkreis.94 Die Anforderungen an eine präzise und verständliche Übermittlung der Informationen dienen der bestmöglichen Verständlichkeit der Verarbeitung. Dies verlanget nach einem möglichst kurzen Informationsumfang, wobei die Präzision der Information gleichwohl eine exakte inhaltliche Richtigkeit und Vollständigkeit voraussetzt.95 Zwar soll eine Information möglichst kurz ausfallen. Deren Inhalt bemisst sich allerdings allein nach Art. 13, 14 DSGVO, so dass es zu keiner Reduzierung des Informationsumfangs aufgrund eines nicht aufnahmewilligen bzw. -fähigen Personenkreises kommt. Die soeben beschriebene Adressatenorientierung gilt damit nur bedingt hinsichtlich des Umfangs an Informationen.

93

Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 12 Rn. 5, 25 f. Zur praktischen Umsetzung der Anforderungen Art. 29-Datenschutzgruppe, WP 260, Leitlinien für Transparenz, Rn. 7 ff. 94 Dabei ist zu berücksichtigen, dass es sich bei den Nutzern um Verbraucher und keineswegs um professionelle, rechtlich geschulte Geschäftspartner handelt. 95 Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art. 12 Rn. 28, 30.

§ 8 Regulatorische Veränderungsmöglichkeiten

365

2. Die Transparenz bei einzelnen Erlaubnistatbeständen Grundsätzlich gelten das Transparenzgebot und seine Präzisierungen in Art. 12 ff. DSGVO für alle Erlaubnistatbestände zur Verarbeitung aus Art. 6 DSGVO. Bei der Einwilligung ergeben sich ferner weitere, spezielle Anforderungen an die Transparenz. Für Verarbeitungen zur Erfüllung von Vertragszwecken nach Art. 6 Abs. 1 UAbs. 1 lit. b)  DSGVO sowie aufgrund legitimer Interessen nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO gelten die Transparenzpflichten, ohne dass in diesen die Transparenzvorgaben eine Sonderregelung erfahren.96 Obgleich die betroffene Person bei diesen Formen der Rechtfertigung nicht aktiv tätig werden muss, gelten das Transparenzgebot und dessen Präzisierungen in Art. 12–14 DSGVO. Die betroffene Person muss über die relevanten Umstände der Verarbeitung transparent informiert werden und der Datenverarbeiter muss verdeutlichen, welche Daten zu welchen Zwecken von wem verarbeitet werden. Bei einer Verarbeitung zur Erfüllung des Vertrags nach Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO muss der Datenverarbeiter im Sinne einer fairen und transparenten Datenverarbeitung darüber informieren, welche Datenverarbeitungen im konkreten Einzelfall für welche Zwecke der Vertragserfüllung erforderlich werden. Dabei besteht für diese Art der Verarbeitung im Speziellen die Informationspflicht hinsichtlich der Erforderlichkeit der Verarbeitung nach Art. 13 Abs. 2 lit. e) DSGVO. Die Information muss bereits beim Vertragsschluss über eine Datenschutzerklärung oder über eine separate Information erfolgen. Alternativ wäre auch eine Information vor den jeweiligen einzelnen Verarbeitungen möglich. In der Praxis erscheint ein solches Vorgehen aber aufgrund der Fülle der während des App-Betriebs zu übermittelnden Informationen kaum praktikabel umsetzbar. Für die Verarbeitung aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO bestimmen sich die Informations- und Transparenzpflichten ebenfalls maßgeblich durch das Transparenzgebot und die Informationen nach Art. 13, 14 DSGVO. Bei einer solchen Verarbeitung ist im Speziellen zu beachten, dass die jeweiligen berechtigten Interessen, die mit den Interessen des Nutzers abzuwägen sind, nach Art. 13 Abs. 1 lit. d.) DSGVO gesondert benannt sein müssen. Zur Wirksamkeit einer Einwilligung stellt die DSGVO im Unterscheid zu den sonstigen Erlaubnistatbeständen im weitere, spezielle Anforderungen an die Transparenz.97 Diese Anforderungen ergänzen das Transparenzgebot aus Art. 5 Abs. 1 lit. a)  DSGVO. Eine Einwilligung muss danach gem. Art. 4 Nr. 11 DSGVO „in informierter Weise“ abgegeben werden. Die betroffene Person muss über die Ein-

96 97

S. o. § 6 A. I. 2. c), II. 1. d). S. zum Ganzen bereits § 6 B. II. 3. a), b) m. w. N.

366

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

willigung abschätzen können, welche Auswirkungen sich aus der Erteilung der Einwilligung ergeben. Der betroffenen Person muss durch die Kenntnisnahme des Einwilligungstextes verständlich und deutlich werden, wer die Daten verarbeiten darf, welche Daten verarbeitet werden, zu welchem Zweck die Daten verarbeitet werden, ob und an wen die Daten offengelegt werden und wie lange die Verarbeitung bzw. Nutzung andauern wird. Diese Regelung spezifiziert also Art. 12 Abs. 1 DSGVO um Inhalte, die der betroffenen Person zwingend deutlich werden müssen. Diese untrennbar mit dem Einwilligungsersuchen verbundenen Informationen sind von den weitergehenden Informationspflichten aus Art. 13, 14 DSGVO zu unterscheiden und umfassen nicht deren Vielzahl an Informationen. Das Vorliegen von Transparenz bei der Einwilligung orientiert sich dementsprechend nicht an der Informationsdichte von Art. 13 und 14 DSGVO. Vielmehr bedarf eine transparente Einwilligung einer verringerten Menge an Informationen, die für die betroffene Person überschaubar bleiben muss. Die Informationspflichten nach Art. 13 und 14 DSGVO sind gleichwohl weiterhin zu erfüllen, etwa im Rahmen einer umfassenden Datenschutzerklärung.98 Es ergibt sich eine Zweischichtigkeit der Informationsübermittlung Die Einwilligung muss von der Datenschutzerklärung gem. Art. 7 Abs. 2 DSGVO klar abgrenzbar und von anderen rechtserheblichen Aussagen unterscheidbar bleiben. Dem Nutzer muss deutlich werden, welche textlichen Informationen sich auf die Einwilligung beziehen und welche Informationen andere Bereiche abdecken. 3. Die Transparenz bei datenfinanzierten Angeboten Was bewirken diese nach der DSGVO erforderlichen Transparenz- und Informationspflichten für datenfinanzierte Angebote? Bei datenfinanzierten Angeboten ergibt sich eine Transparenzproblematik sowohl aufgrund der Komplexität der Verarbeitungsprozesse als auch aus dem zum Teil fehlenden Interesse der Nutzer an der Verarbeitung.99 Bei komplexen Datenverarbeitungen fällt es schwer, die Verarbeitung für den Nutzer vollständig und verständlich transparent zu machen, gerade wenn die Daten zusätzlich an Dritte offengelegt werden. In diesen Fällen besteht die Schwierigkeit, dem Nutzer klare und verständliche Informationen zu gewähren. Zusätzlich übersteigt häufig die schiere Anzahl genutzter Apps, bei denen selbst unzählige verschiedene Verarbeitungsprozesse ablaufen, die Aufmerksamkeitskapazität des Nutzers hinsichtlich der einzelnen Datenverarbeitung. Der Nutzer bringt in solchen Fällen den Verarbeitungen der einzelnen Apps, die er jeweils

98 Zur Datenschutzerklärung und der diesbezüglichen Einbindung der Einwilligung s. § 6 B. III. 99 S. hierzu bereits umfassend § 6 B. II. 3. c) m. w. N.

§ 8 Regulatorische Veränderungsmöglichkeiten

367

für sich als marginal wahrnimmt, kaum Aufmerksamkeit entgegen. Marginalisieren die Nutzer gedanklich die Bedeutung der Verarbeitungsprozesse, bereitet eine Aufnahme der zum Teil komplexen Verarbeitungsvorgänge außerordentliche Schwierigkeiten. So ist zu beobachten, dass viele Nutzer eine Datenschutzerklärung lediglich nach unten scrollen und im Anschluss die Einwilligungserklärung ohne tatsächliches Lesen dieser bestätigen.100 Dabei stimmen die Nutzer einer weitreichenden Datenweitergabe zu, ohne dass sie die weitreichenden Folgen dieses Verhaltens tatsächlich abschätzen können. Es besteht insgesamt ein abstraktes Spannungsverhältnis zwischen der Verständlichkeit über komplexe Verarbeitungsvorgänge, der Opportunitätshürde zur Wahrnehmung und der Vollständigkeit der Informationen, die sich in einer Informationsasymmetrie ausdrückt.101 Bei Betrachtung der soeben dargestellten Informationspflichten nach Art. 13, 14 DSGVO verstärkt sich die Transparenzproblematik für datenfinanzierte Angeboten nochmals. Durch den Umfang an verpflichtenden Informationen wird jede noch so klar formulierte Information ab einem gewissen Punkt intransparent, wenn sie nicht leicht einsehbar, einfach formuliert, gut auffindbar und vor allem kurz ist. Eine leichtere oder kürzere Formulierung der Informationen darf nach aktuellem Datenschutzregime indes nicht zulasten der inhaltlichen Richtigkeit gehen Die Fülle an verschiedenen Transparenz- und Aufklärungspflichten kann mithin selbst dazu führen, dass durch das Übermaß an Informationen Intransparenz entsteht.102 Wechselseitig wird diese ohnehin bestehende Problematik durch die Kleinteiligkeit vieler datenfinanzierter Angebote nochmals verstärkt. Insoweit liegt für die Datenverarbeitung innerhalb datenfinanzierter Angebote die Vermutung nahe, dass ein Weniger an Informationen für den Nutzer womöglich ein Mehr an Transparenz und für tatsächliches Wissen um die Verarbeitungsvorgänge darstellen könnte.103 Nachfolgend sollen daher Möglichkeiten eruiert werden, die möglicherweise zu einer verbesserten Kenntnisnahme der Nutzer führen können, ohne dass hierdurch die grundsätzlich positiven Informationspflichten der DSGVO unterlaufen werden.

100

Arnold / Hillebrand / Waldburger, DuD 2015, 730 (730 ff.). S. bereits § 6 B. II. 3. c). Klement, in: Simitis / Hornung / Spiecker, Datenschutzrecht Kommentar, Art. 7 DSGVO, Rn. 74; Schröder, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 345 (346). 102 So auch Brendle-Weith, VuR 2018, 331 (335). 103 Ebenfalls in diese Richtung argumentierend Wendehorst / v. Westphalen, NJW 2016, 3745 (3746 f.). 101

368

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

II. Die Verbesserung der Transparenzmöglichkeiten Die Informationspflichten in Art. 13, 14 DSGVO erhöhen den Umfang an Informationen derart, dass eine Aufnahme aller Informationen einen enormen (auch zeitlichen) Aufwand erfordern würde. Es bedarf also ergänzender Instrumente, um im Bereich datenfinanzierter Angebote – bzw. generell im digitalen Bereich – eine Transparenz der Datenverarbeitung sicherzustellen.104 Um die Transparenz und das Verständnis des Nutzers zu verbessern, könnte insbesondere eine kürzere, besser verständliche Strukturierung und Aufbereitung der Informationen über die Verarbeitung angestrebt werden.105 Hierüber ließe sich die Aufmerksamkeit des Nutzers verbessern, so dass er ihm bereitgestellte Informationen tatsächlich wahrnimmt. Als ergänzende Instrumente zur Verbesserung der Transparenz werden dabei vor allem eine Übersicht über die Verarbeitungsprozesse (sog. „One-Pager“) und eine grafische Visualisierung der Verarbeitung über Bildsymbole diskutiert. Beide Instrumente sollen daher nachfolgend einer näheren Betrachtung unterzogen werden.106 1. Verarbeitungsübersichten („One-Pager“) Eine höhere Transparenz kann dadurch geschaffen werden, dass Datenverarbeiter die wesentlichen Aussagen der Datenverarbeitung auf einer überblicksartigen einzelnen Seite präsentieren. Der sog. „One-Pager“ beinhaltet Datenschutzhinweise, die zusätzlich zur Datenschutzerklärung bereits wichtige Datenschutzinformationen zusammenfassen. Die Plattform „Verbraucherschutz in der digitalen Welt“ – unterstützt vom Bundesministerium für Justiz und Verbraucherschutz – hat hierzu ein Muster für solche One-Pager erstellt (vgl. Abbildung 1). Die Zielsetzung besteht darin, dem Nutzer die wesentlichen Inhalte der Datenverarbeitung verbraucherfreundlich und konzentriert auf einer Seite darzustellen und so dessen Kenntnisnahme zu bestärken.107 Die Information geschieht zusätzlich zur förmlichen Datenschutzerklärung und ergänzt jene.

104

Bolsinger, DuD 2016, 382 (385). Schröder, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 345 (347). 106 Demgegenüber wird auf eine nähere Betrachtung von Zertifizierungsverfahren, Siegeln und Prüfzeichen verzichtet (vgl. Art. 42 DSGVO). Diese sollen über einen Nachweis, dass die Vorgaben der DSGVO eingehalten werden, zwar ebenfalls Transparenz für die betroffene Person schaffen. Diese Ansätze beschäftigen sich allerdings nicht mit der Darstellung des konkreten Verarbeitungsinhalts, so dass sie für die vorliegende Problemstellung keine geeigneten Lösungskonzepte darstellen. 107 Vgl. BMJV, „One-Pager“ – Muster für transparente Datenschutzhinweise, abrufbar unter: www.bmj.de/DE/Themen/FokusThemen/OnePager/OnePager_node.html für weitere Informationen. 105

§ 8 Regulatorische Veränderungsmöglichkeiten

369

Abbildung 1: Muster des One-Pagers108

108

Nationaler IT-Gipfel, Muster für One-Pager, 2016, abrufbar unter: www.bmj.de/Shared Docs/Downloads/DE/Verbraucherportal/OnePager/11192915_OnePager-Datenschutzhinweise .pdf?__blob=publicationFile&v=3.

370

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

a) Der Inhalt der One-Pager Durch den One-Pager wird der Umfang der Informationen im Vergleich zu Art. 13, 14 DSGVO deutlich reduziert. Der Vorschlag der Plattform „Verbraucherschutz in der digitalen Welt“ sieht hierbei etwa vor, dass auf dem One-Pager Art und Umfang der erhobenen Daten, der Zweck der Verarbeitung sowie die die einzelnen Betroffenen-Rechte dargestellt werden. Auch die Art. 29-Datenschutzgruppe sieht diese Angaben (neben der Identität des Datenverarbeiters) als wesentliche Informationen für einen One-Pager.109 Über Links können zu den einzelnen Punkten vertiefte Informationen erlangt werden. Es bedarf ferner eines Links zur vollständigen Datenschutzerklärung. Die über die Datenschutzerklärung abrufbaren Informationen nach Art. 13, 14 DSGVO bleiben vom One-Pager unberührt. Die Art der Darstellungsweise impliziert mithin, dass die Informationen mehrschichtig übermittelt werden (sog. multilayered notice).110 Dafür sind die Informationen in mehrere Ebenen zu sortieren. Auf der ersten Ebene – dem One-Pager – werden nur die wichtigsten Angaben angezeigt. Nachfolgende Ebenen beinhalten die restlichen Informationen in deutlich detaillierterem Umfang und erfüllen die erforderlichen Angaben aus Art. 13, 14 DSGVO. Der Nutzer erhält somit weiterhin alle Informationen, allerdings auf verschiedene Ebenen verteilt. Die Transparenz der gesamten Informationsvermittlung setzt dabei voraus, dass die tieferliegenden Ebenen bei der Anzeige des One-Pagers unmittelbar zugänglich sind. Dies ergibt sich direkt aus Art. 12 Abs. 1 DSGVO und kann etwa über eine Mouseover-Funktion oder einen Link gewährleistet werden kann.111 Auch die Erläuterung zum abgebildeten One-Pager verdeutlichen, dass auf der nächsten Ebene durch Mouseover, Links oder Aufklappmenü die weiteren Informationen zur Verfügung gestellt werden müssen.112 b) Bewertung Der Vorteil des One-Pager liegt in einer zumindest auf den ersten Blick übersichtlichen und gegliederten Darstellung der wichtigsten Informationen zur Datenverarbeitung. Diese kann die Aufnahmebereitschaft des Nutzers erhöhen und insoweit zur Transparenz beitragen, ohne dass dem Nutzer irgendwelche Informationen vorenthalten bleiben. Denn diese sind nach wie vor auf tieferen Ebenen verfügbar. Gerade bei datenfinanzierten Angeboten auf dem Smartphone stellt sich hinsicht 109

Art. 29-Datenschutzgruppe, WP 260, Leitlinien für Transparenz, Rn. 36. Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art.  12 Rn.  31. 111 Paal / Hennemann, in: Paal / Pauly, DSGVO / BDSG, Art.  12 Rn.  31. 112 Nationaler IT-Gipfel, Erläuterung der Datenschutzhinweise für den Verwender des One-Pagers, abrufbar unter: www.bmj.de/SharedDocs/Downloads/DE/Verbraucherportal/ OnePager/11192015_Erlaeuterungen_OnePager.pdf?__blob=publicationFile&v=2. 110

§ 8 Regulatorische Veränderungsmöglichkeiten

371

lich des Überblicks durch One-Pager allerdings das Problem, dass selbst eine einzelne DIN A4-Seite aufgrund der Größe des Displays unübersichtlich ausfällt.113 Für eine taugliche Übertragbarkeit auf die Displaygröße könnte die Informationsmenge des One Pagers nochmals verringert werden, was dann aber zur Gefahr der mangelnden Vollständigkeit führte. Alternativ könnten die bereits im One-Pager enthaltenen Zusatzinformationen (etwa im Bereich „Welche Daten erfassen wir von Ihnen?“) durch Berühren des jeweiligen Bereichs aufpoppen und so dem Nutzer die überblicksartigen Informationen zur Verfügung stellen. Auch hier müsste jedoch eine Verlinkung auf tiefergehende Informationen gewährleistet werden. Die zum Teil geäußerten Bedenken hinsichtlich der Zulässigkeit von Mehrebenen-Ansätzen scheint sich demgegenüber nicht zu bestätigen.114 Von der Rechtsprechung wurde ein Mouseover-Effekt zur Erfüllung von Informationspflichten in anderen Rechtsgebieten mehrfach als unzureichend bewertet, da auf diese Weise nicht sichergestellt werden könne, dass der Nutzer die Informationen tatsächlich wahrnehme.115 Ähnliche Bedenken wurden daran anknüpfend hinsichtlich einer multi-layered Oberfläche bei Datenschutzerklärungen vorgebracht.116 Der Befürchtung einer Rechtswidrigkeit der One-Pager kann aber überzeugend entgegen getreten werden: Angesichts der Vielzahl an verpflichtend mitzuteilenden Informationen kann durchaus ein Mehrebenen-Ansatz verfolgt werden, um eine verbesserte Transparenz der Datenverarbeitung herzustellen. Voraussetzungen für eine solche multi-layered Oberfläche ist die Gewährleistung, einzelne Ebene miteinander zu verknüpfen und die weiterführenden Ebenen nicht zu verstecken. Dem Nutzer muss – gerade durch den One-Pager auf der ersten Ebene – ein klarer Überblick über die Verarbeitung gegeben werden und die Informationen müssen zwischen den einzelnen Ebenen konsistent und widerspruchsfrei ausfallen.117 Gerade im digitalen Bereich eröffnet sich Datenverarbeitern über die One-Pager eine gute Möglichkeit, dem Nutzer maßgeschneiderte Informationen zu übermitteln.118 Dabei werden Mouseover-Effekte als durchaus taugliche Funktion angesehen, die Transparenz zu erhöhen, ohne dass diese die Verlinkung im Mehrebenen-System allerdings vollständig ersetzen können.119 Stehen Mouse-Over und Links nebeneinander kann sichergestellt werden, dass der Nutzer unabhängig seines Endgeräts jederzeitigen Zugriff auf die tieferliegenden Ebenen hat. 113

Pollmann / Kipker, DuD 2016, 378 (379). Zur Zulässigkeit übereinstimmend Art. 29-Datenschutzgruppe, WP 260, Leitlinien für Transparenz, Rn. 35 ff.; Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  12 Rn.  20; Heckmann / Paschke, in: Ehmann / Selmayr, DSGVO, Art. 12 Rn. 20; Franck, in: Gola, DSGVO, Art. 12 Rn. 21. 115 Vgl. etwa LG München, Urt. v. 17. 12. 2014  – 37 O 8778/14 = ZUM 2015, 827 (830) zu Creative-Commons-Lizenzen; OLG Frankfurt, Beschl. v. 23. 2. 2011  – 6 W 111/10 = K&R 2011, 414 im Verbraucherrecht. 116 Pollmann / Kipker, DuD 2019, 378 (379). 117 Art. 29-Datenschutzgruppe, WP 260, Leitlinien für Transparenz, Rn. 35. 118 Art. 29-Datenschutzgruppe, WP 260, Leitlinien für Transparenz, Rn. 37. 119 Art. 29-Datenschutzgruppe, WP 260, Leitlinien für Transparenz, Rn. 18. 114

372

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Insgesamt können One-Pager dazu beitragen, das Spannungsverhältnis zwischen Vollständigkeit und Verständnis der Informationen zu verringern, wenn sie die wesentlichen Verarbeitungsvorgänge übersichtlich und für den Nutzer verständlich herausstellen. Die Übersichtlichkeit ermöglicht ohne vertieften Aufwand die Erkennung wesentlicher Verarbeitungsinhalte. Dem Nutzer vereinfacht sich hierüber die Abwägung von Nutzen und Risiko der Verarbeitung. Zur Übersichtlichkeit bei datenfinanzierten Angeboten, die häufig auf Smartphones genutzt werden, bedarf allerdings – ergänzend zu den bisherigen Überlegungen zum One-Pager – eines entsprechenden Äquivalents zur Darstellung auf Smartphone-Displays. Durch eine solche Ergänzung kann sichergestellt werden, dass die auf dem One-Pager beinhalteten Informationen auch auf dem Smartphone übersichtlich dargestellt werden können. 2. Die Visualisierung der Verarbeitung Eine verbesserte Transparenz kann auch über eine Visualisierung sonst verschriftlichter Informationen erreicht werden. Sprachunabhängige Symbole sind dabei gerade im Bereich mobiler Apps nicht mehr wegzudenken und bestimmen die Bedienung vieler Smartphones. Insofern erscheint auch deren Verwendung für die Darstellung datenschutzrechtlicher Transparenz-Vorschriften durchaus bedenkenswert, zumal sie die Textlastigkeit der bisherigen Datenschutzerklärungen durchbrechen könnten.120 Solche Symbole können der Fülle an Informationen begegnen und helfen, die Aufmerksamkeit des Nutzer auf die Datenverarbeitung zu lenken und die wichtigsten Informationen einfacher zu vermitteln.121 Der Grund für die generelle Tauglichkeit von Bildsymbolen zur Informationsvermittlung liegt darin, dass Nutzer kognitiv Bilder besser als einen Text wahrnehmen können.122 Bilder können insoweit ganzheitlich und deutlich schneller als textliche Informationen erfasst werden. Bilder sind ferner dazu geeignet, die Aufmerksamkeit des Nutzers zu erregen und den Fokus auf die Datenverarbeitung zu lenken sowie das diesbezügliche Verständnis zu erhöhen.123

a) Der rechtliche Ansatzpunkt Die DSGVO sieht bereits eine Grundlage zur Umsetzung solcher Symbole vor. Art. 12 Abs. 7 DSGVO ermöglicht ausdrücklich den Einsatz visueller Symbole zur

120

Dix, in: Simitis / Hornung / Spiecker, Datenschutzrecht, Art.  12 Rn.  38. Specht-Riemenschneider / Bienemann, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 324 (327). 122 Kroeber-Riel, Bildkommunikation, S. 26 ff., 53 ff. 123 Zur diesbezüglichen Aufmerksamkeit Kroeber-Riel, Bildkommunikation, S. 102. 121

§ 8 Regulatorische Veränderungsmöglichkeiten

373

Schaffung von Transparenz.124 Erwägungsgrund 58 S. 1 greift die Visualisierung als Triebfeder der Transparenz ebenfalls auf, wonach Präzision, Zugänglichkeit, Verständlichkeit sowie einfache Sprache der Informationen durch zusätzliche visuelle Elemente unterlegt werden können. Die Verwendung der Symbole durch den Datenverarbeiter ist dabei nach aktueller Rechtslage freiwillig. Art. 12 Abs. 7 S. 1 DSGVO erlaubt Datenverarbeitern, ihre Erklärung und Informationen zur Datenverarbeitung mit standardisierten Bildsymbolen zu kombinieren, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu geben.125 Die Symbole sollen dem Nutzer beim Verständnis der Datenverarbeitung helfen und ihm diese transparent näher bringen.126 Insbesondere vor einer Einwilligung können die Verarbeitungsprozesse bildhaft dargestellt werden, indem die Symbole die diesbezüglichen Informationen zusätzlich zur Einwilligungserklärung vermitteln. Die Verwendung von Bildsymbolen ergänzt die Informationspflichten nach Art. 13 und 14 DSGVO. Wie beim One-Pager wird die Informationspflicht durch verwendete Bildsymbole nicht ersetzt und die Information müssen auch weiterhin schriftlich zur Verfügung gestellt werden.127 Allerdings können die Bildsymbole die jeweiligen Informationen zusätzlich visualisieren. Es müssen dabei nicht zwingend Inhalte der Informationspflichten aus Art. 13, 14 DSGVO symbolisiert werden, sondern nach dem Sinn und Zweck der Norm können Bildsymbole auch andere, bedeutsame Hintergründe der Verarbeitung darstellen.128 Die Überblicksfunktion im Wortlaut von Art. 12 Abs. 7 DSGVO impliziert, dass sich die Symbolik auf einige wenige Kernaussagen beschränken muss.129 Eine Vermittlung aller verpflichtenden Informationen aus kommt dementsprechend nicht in Betracht. Es soll vielmehr die Verständlichkeit komplizierter Verarbeitungsvorgänge unterstützt werden.130 Die Kombination mit den zusätzlichen Informationen eröffnet hierdurch – vergleichbar dem One-Pager – ein Mehrebenen-Ansatz. Die verschiedenen Ebenen müssen wiederum den Anforderungen nach Transparenz, Verständlichkeit und leichter Zugänglichkeit genügen. Dabei ist von besonderer 124

Die Symbole sollen dabei maschinenlesbar sein, d. h. zum Beispiel durch einen Browser erkannt werden, vgl. Art. 12 Abs. 7 S. 2 DSGVO. 125 Bei der Standarisierung erfüllen irreführende, versteckte oder unverständliche Visualisierung die Vorgaben nach Art. 12 Abs. 7 dementsprechend nicht, Dix, in: Simitis / Hornung /  Spiecker, Datenschutzrecht, Art. 12 Rn. 39. 126 Frank, in: Gola, DSGVO, Art. 12 Rn. 49. 127 Art. 29-Datenschutzgruppe, WP 260, Leitlinien für Transparenz, Rn. 50; Bäcker, in: Kühling / Buchner, DSGVO / BDSG, Art.  12 Rn.  21. 128 Specht-Riemenschneider / Bienemann, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 324 (341). 129 Franck, in: Gola, DSGVO, Art. 12 Rn. 47. 130 Mithin ergänzen die Symbole die Verständlichkeitsanforderung in Art. 12 Abs. 1 DSGVO, vgl. Bäcker, in: Kühling / Buchner, DSGVO / BDSG, Art.  12 Rn.  23.

374

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Bedeutung, dass trotz Nutzung der Symbole alle Informationen auch in Textform bestehen und der die Datenschutzerklärung einfach zugänglich bleibt – etwa durch einen direkten Link unterhalb der Symbole. b) Die Bewertung der Visualisierung Die DSGVO sieht also bereits die Verwendung standardisierter Bildsymbole vor, die einen Überblick über die jeweilige Verarbeitung schaffen sollen. Welche Vorteile sich aus der Verwendung solcher Symbole ergeben und ob diesen auch Nachteile entgegenstehen, spielt für eine praxistaugliche Umsetzung eines solchen Ansatzes eine entscheidende Rolle. Bildsymbole bieten zunächst augenscheinlich eine einfache Möglichkeit der Darstellung von Informationen. Dabei ist jedoch kritisch zu betrachten, ob derartige Symbole ausreichen, um die Komplexität der jeweiligen Datenverarbeitung einzufangen. Veil merkt dazu an, dass durch Symbole ein Einwilligungsverfahren des Nutzers zwar vereinfacht wird, dadurch allerdings das tatsächliche Verständnis über die konkrete Verarbeitung (weiter) abnimmt.131 Es ist bei einer Umsetzung im Übrigen keinesfalls sicher, ob die Symbole tatsächlich zu einer verbesserten Verständlichkeit und Transparenz führen. Vielmehr könnten die gewählten Symbole selbst zu komplex ausfallen und hierdurch die Transparenz für den Nutzer noch verschlechtern. Auch besteht bei einer intransparenten Symbolik die Gefahr einer Informationsüberlastung.132 Eine solche Intransparenz ist insbesondere dann zu befürchten, wenn sich verschiedene Symbole am Markt etablieren und so die eindeutige Aussagekraft der Symbolik verloren geht.133 Die Nutzung von Bildsymbolen schafft neben diesen zu beachtenden potentiellen Nachteilen auch deutliche Transparenz-Vorteile. Bildsymbole bieten über die visuelle Darstellung das große Potential, den strukturellen Problemen der Informiertheit und Transparenz bei der Einwilligung zu begegnen.134 Eine symbolhafte Darstellung besticht vor allem durch ihre zeitliche Effizienz zur Informationsaufnahme und ihre verbesserte Inhaltsvermittlung: Anstatt Informationen über umfangreiche Texte aufzunehmen, kann der Nutzer Symbole mit einem Informationsgehalt verknüpfen.135 Neben der vereinfachten Wahrnehmungsmöglichkeit der Symbole aktivieren kompakte und einprägsame Symbole den Nutzer zur In 131

Veil, NVwZ, 2018, 686 (688). Richter, PinG 2017, 65 (66); Specht-Riemenschneider / Bienemann, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 324 (344). Letztere sehen darin sogar die Gefahr, dass durch die Überlastung ein Gewöhnungseffekt eintreten kann, der die Informationsaufnahme über Symbole in diesem Bereich dauerhaft versperrt. 133 Schröder, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 345 (349). 134 Pollmann / Kipker, DuD 2016, 378 (380). 135 Richter, PinG 2017, 65. 132

§ 8 Regulatorische Veränderungsmöglichkeiten

375

formationsaufnahme. Bei Verinnerlichung der Bildsymbole kann ein erfahrungsbasiertes Handeln gefördert werden.136 Hieraus resultierend kann der Nutzer ohne größeren kognitiven Aufwand die Verwendung derjenigen Apps bevorzugen, die ihren Datenumgang über Symbole eingängig offenlegen.137 Für den App-Anbieter können sich aus der Verwendung standardisierter Bildsymbole ebenfalls Vorteile ergeben. Die Nutzung kann einen Wettbewerbsvorteil gegenüber den Mitbewerbern eröffnen, indem die eigene App die Datenverarbeitung am transparentesten darstellt und insoweit vom Nutzer bevorzugt wird.138 Der App-Anbieter erhält so einen Anreiz, sich – soweit, wie nach seinem Geschäftsmodell möglich – datenschutzkonform zu verhalten, da er in der Folge mit datenschutzfreundlicherer Symbolik werben und Transparenz signalisieren kann.139 Auch kann im europäischen Kontext eine Sprachbarriere überbrückt werden, da die Bildsymbole unabhängig von der Landessprache eine einheitliche Bedeutung aufweisen. Dies kann es gerade kleineren Angeboten erleichtern, auch außerhalb des Landes der Entwicklung einen Markt zu finden. c) Die Umsetzbarkeit Für eine Wirksamkeit eines solchen Ansatzes kommt es vor allem auf die Einheitlichkeit der Symbolik an, da sich nur über eine Gemeingültigkeit und Standardisierung der Symbole eine Transparenzwirkung für den Nutzer entfalten kann.140 Auch die Erwägungen der Art. 29-Datenschutzgruppe machen deutlich, dass die Zweckmäßigkeit maßgeblich von der Standardisierung der Bildsymbole für den universellen und EU-weit anerkannten Einsatz abhängt.141 Bisher kam es allerdings noch nicht zur Festlegung standardisierter Symbole. Die Befugnis zum Erlass eines diesbezüglichen delegierten Rechtsakts obliegt nach Art. 12 Abs. 8 DSGVO der EU-Kommission. Die Bekräftigung zum Erlass eines delegierten Rechtsakts für standardisierte Bildsymbole findet sich auch in Erwägungsgrund 166 S. 2. Ein solcher Rechtsakt soll danach insbesondere auf die geltenden Kriterien und Anforderungen für Zertifizierungsverfahren, die durch

136

Kroeber-Riel, Bildkommunikation, S. 54; Specht-Riemenschneider / Bienemann, in: Specht-­ Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 324 (335, 344). 137 Albrecht, CR 2016, 88 (93). 138 Albrecht, CR 2016, 88 (93). 139 Specht-Riemenschneider / Bienemann, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 324 (343). 140 Richter, PinG 2017, 65 (66) erwägt, dass es hierfür plattform- und branchenübergreifender Regelungen bedarf. 141 Art. 29-Datenschutzgruppe, WP 260, Leitlinien für Transparenz, Rn. 52. Diese spricht sich insoweit für einen auf Fakten gestützten Ansatz bei der Entwicklung von Bildsymbolen aus. Dieser ist umfangreich zu untersuchen, um die Wirkungskraft der Symbolik sicherzustellen.

376

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

standardisierte Bildsymbole darzustellenden Informationen sowie die Verfahren zur Bereitstellung dieser Bildsymbole Bezug nehmen.142 Nach einem Überblick zu vergleichbaren Regelungen in anderen Rechtsgebieten und der Darstellung der für eine Symbolik geeigneten Informationen, sollen nachfolgend einige Vorschläge aufgezeigt werden, die für die Standardisierung von Bildsymbolen bisher zur Diskussion stehen. aa) Vergleichbare Ansätze in anderen Rechtsgebieten Im Bereich des Urheberrechts kommt es zu einer vergleichbaren Visualisierung vor allem durch „Creative Commons“-Lizenzen. Diese Lizenzen beruhen auf einer Dreiteiligkeit:143 Es besteht die Lizenzvertragsebene, die in juristischer Sprache gehalten ist und detaillierte Lizenz-Informationen enthält. Ferner bestehen eine angepasste, nicht-juristische Fassung von Teilen des Vertrags sowie eine bildliche maschinenlesbare Fassung. Der darüber erreichte Erfolg stellt einen der Gründe für die Umsetzung des Art. 12 Abs. 7 DSGVO dar.144 Auch der Entwurf der E-Privacy-VO145 sieht in Art. 8 die Umsetzung standardisierter Bildsymbole vor. Vergleichbar mit der DSGVO wird auch bei der E-PrivacyVO davon ausgegangen, dass der Einsatz der Symbole die schriftliche Information des Nutzers nicht ersetzt, sondern lediglich ergänzt.146 bb) Geeignete Symbole Standardisierte Bildsymbole können nur einen Überblick über die Datenverarbeitung gewähren und nicht alle Informationspflichten lassen sich gleichsam bildhaft darstellen. Es muss insoweit vor der Festlegung auf standardisierte Bildsymbole eine Vorüberlegung stattfinden, welche Verarbeitungsprozesse und Informationen sinnvollerweise dargestellt werden. Es sollten vor allem nicht bereits allgemeinbekannte Informationen dargestellt werden, die mit ihrer Visualisie­ rung  keinen Mehrwert erreichen. Vielmehr sollte sich die symbolisierte Information konkret auf die Besonderheiten der individuellen Datenverarbeitung beziehen.147

142 Ziel einer solchen Umsetzung liegt dabei neben der Transparenz-Verbesserung in der Sicherstellung des freien Verkehrs von personenbezogenen Daten, vgl. DSGVO ErwG 166 S. 1 und die zugrundeliegende Zielrichtung der DSGVO in Art. 1 Abs. 1. 143 Vgl. creativecommons.org / about / cclicenses/. Vertiefend Völtz, VuR 2016, 169. 144 Albrecht, CR 2016, 88 (93). 145 S. bereits § 4 B. III. 2. 146 Auer-Reinsdorff, MMR 2019, 209 (210). 147 In diese Richtung ebenfalls Auer-Reinsdorff, MMR 2019, 209 (210).

§ 8 Regulatorische Veränderungsmöglichkeiten

377

Diesbezüglich haben Sprecht-Riemenschneider / Bienemann eine Übersicht über zur symbolischen Darstellung geeignete Informationen erstellt.148 Danach sollten vor allem die Art der verarbeiteten Daten (etwa hinsichtlich ihrer Anonymität und Sensibilität), der Ort der Verarbeitung (innerhalb / außerhalb der EU), die Zwecke der Verarbeitung sowie besondere Verarbeitungssituationen (vor allem die Weitergabe von Daten) visualisiert werden. Die vorgenommene Herausstellung bestimmter Informationen deckt sich in weiten Teilen mit herausgearbeiteten Parametern in Teil 2 dieser Arbeit, die die Zulässigkeit und Rechtmäßigkeit einer Datenverarbeitung maßgeblich beeinflussen. Gerade die Anonymisierung, Pseudonymisierung, der Transfer der Daten ins Nicht-EU-Ausland, eine kommerzielle Verwertung der Daten sowie eine Offenlegung an Dritte haben massive Auswirkungen auf die datenschutzrechtliche Bewertung der Verarbeitung. Daher erscheint es sinnvoll, Informationen über ebendiese entscheidenden Faktoren dem Nutzer durch Bildsymbole transparent darzustellen. Die Symbole selbst sollten so gewählt werden, dass sie vom Nutzer leicht wahrgenommen und intuitiv verstanden werden können.149 Die Zugänglichkeit des einzelnen Symbols hängt maßgeblich von der Komplexität der Darstellung, der semantischen Abstraktionsebene sowie der Vertrautheit des Nutzers mit den Bildsymbolen ab.150 Bildsymbole entfalten vor allem dann ihre Wirkung, wenn sie einprägsam und zahlenmäßig begrenzt sind. Daher sollten nur Kernaussagen und Informationen mit besonderer Relevanz visualisiert werden.151 cc) Einzelne Vorschläge zu Bildsymbolen In den letzten Jahren wurden Vorschläge für taugliche Bildsymbole vorgelegt. Einige dieser werden nachfolgend näher vorgestellt. (1) Entwurfsfassung des Parlaments In der Entwurfsfassung zur DSGVO des EU-Parlaments fand sich im Anhang ein Vorschlag für eine Umsetzung der nachfolgend abgebildeten Bildsymbolik (vgl. Abbildung 2). In dieser Form konnten sich die Symbole im Abstimmungsprozess der DSGVO allerdings nicht durchsetzen, weshalb nun die Gestaltung nach Art. 12 Abs. 8 DSGVO der EU-Kommission obliegt. 148

Specht-Riemenschneider / Bienemann, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 324 (339). 149 Kroeber-Riel, Bildkommunikation, S. 150. 150 Vertiefend hierzu Schröder, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 345 (356 f.). 151 Schröder, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 345 (358).

378

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Abbildung 2: Bildsymbole laut Vorschlag des EU-Parlaments152

152 Anhang  – Darstellung der Hinweise nach Art. 13a, zu: Legislative Entschließung des Europäischen Parlaments vom 12. 3. 2014 zu dem Vorschlag für eine Verordnung des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)), S. 333, abrufbar unter: www.europarl.europa.eu/doceo/document/TA-72014-0212_DE.pdf?redirect.

§ 8 Regulatorische Veränderungsmöglichkeiten

379

Der dargestellten Symbolik sollte laut Art. 13 Abs. 2 lit. b) des Entwurfs einte textliche Erläuterung zur Seite gestellt werden. Der Umsetzungsvorschlag des Parlaments nimmt einige wichtige Parameter für die datenschutzrechtliche Bewertung in bildlicher Form auf. Aufgrund der Verneinung im Bedeutungsgehalt erscheint der Vorschlag nach Ansicht des Verfassers allerdings – abgesehen von der roten Farbe – eher kontraintuitiv. Zieht man etwa das Symbol mit dem Geldbeutel heran, würde sich aus der Darstellung eine Kommerzialisierung der jeweiligen Daten erschließen. Nach der Erklärung ist allerdings genau das Gegenteil impliziert und es liegt gerade kein „Verkauf“ der Daten vor. Auch die sonstigen Symbole erscheinen wenig geeignet, dem Nutzer eingängig entscheidende Verarbeitungsvorgänge zu visualisieren. (2) Ansätze von Mehldau und das Projekt PrimeLife Zeitlich bereits vor dem Vorschlag des Parlaments stellte Mehldau ein Icon-Set für eine vereinfachte Bildsprache vor.153 Der Fokus liegt bei den von ihm entwickelten Icons vor allem darauf, das „Wie“, „Wofür“ und „Wie lange“ der Verarbeitung darzustellen. Der Ansatz wurde vom EC FP7 PrimeLife-Projekt154 aufgegriffen und weiterentwickelt. Deren Vorschlag umfasst zahlreiche Icons (Abbildung 3), die unterschiedliche Verarbeitungsprozesse, Typen, Empfänger und Verarbeitungszwecke visualisiert darstellen. Schon vor Verabschiedung der DSGVO schlugen die Autoren vor, die Icons als visuellen Index in die Datenschutzerklärung einzufügen. Durch die Implementierung in die Datenschutzerklärung sollen die Icons mit textlicher Unterstützung verständlich gemacht werden, um sie im Anschluss zur besseren Transparenz einsetzen zu können. Im Unterscheid zum Vorschlag des Parlaments zeigt sich bei den Icons von Prime­Life, dass deren Icons sehr spezifisch ausfallen und wohl die einzelnen Prozesse nicht auf den ersten Blick verständlich darstellen. Gleichwohl schafft der Vorschlag selbst komplexe Verarbeitungsvorgänge – wenn auch mit notwendiger textlicher Ergänzung zum anfänglichen Verständnis – sehr präzise zu visualisieren. Ob eine solche Symbolik allerdings noch einen transparenten Erkenntnis­ gewinn für den Nutzer darstellt, ist aufgrund des bisher Erwogenen wohl eher zweifelhaft.

153

Mehldau, Iconset „Data-Privacy Icons v0.1“, abrufbar unter: netzpolitik.org/2007/iconsetfuer-datenschutzerklaerungen/; netzpolitik.org/wp-upload/data-privacy-icons-v01.pdf. Dieser Vorschlag wurde allerdings nicht selbstständig weiterentwickelt. 154 Fischer-Hübner / Wästlund / Zwingelberg, UI prototypes.

380

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Abbildung 3: Auszug von Icons des PrimeLife Projekts155

155

Fischer-Hübner / Wästlund / Zwingelberg, UI prototypes, S. 25.

§ 8 Regulatorische Veränderungsmöglichkeiten

381

(3) Ansatz von Specht-Riemenschneider und Bienemann Anhand der bereits dargestellten Kriterien für geeignete Bildsymbole stellten Specht-Riemenschneider / Bienemann hieran angeknüpft einen eigenen Vorschlag für Bildsymbole vor (Abbildung  4).156 Durch die entwickelten Symbole sollen die Schlüsselinformationen dargestellt, auf sonstige Zusätze bei der visuellen Darstellung allerdings verzichtet werden. Zusätzlich sollen die Symbole zum intuitiven Verständnis je nach Eingriffsintensität rot, gelb oder grün gefärbt werden – etwa für anonymisierte Daten eine grüne Symbolik aufgrund der geringen Eingriffsintensität. Die Umsetzung entspricht dabei einer modularen Lösung, bei der sich einzelne Symbole situationsabhängig miteinander kombinieren lassen. Diese visuellen Elemente könnten nach Ansicht der Entwickler mit kurzen Erklärungen in Textform durch Mouse-Over oder Anklickbarkeit der Symbole verknüpft und ergänzt werden.157 Durch die ergänzenden Informationen kann die Verständlichkeit aller Symbole auch bei erstmaligem Kontakt des Nutzers sichergestellt werden. Ferner muss über einen weiterführenden Link Zugriff auf die vollständige Datenschutzerklärung gewährt werden. Insoweit entsteht wie bei One-Pagern ein Mehrebenen-­ System, das überblicksartig Informationen über die wichtigsten Vorgänge gewährt, ohne hierdurch die Kenntnisnahme der vollständigen Datenschutzerklärung zu erschweren. Bei Betrachtung der entwickelten Symbole sorgt vor allem die Farbgebung und die – verglichen mit der dargestellten Komplexität der Vorgänge – einfache Darstellung dafür, dass die mit dem Icon verknüpfte Information gut erkennbar ist. Wie bei der Geeignetheit der Icons bereits abstrakt festgestellt, überschneiden sich die Kategorien der Visualisierung weitgehend mit den in dieser Arbeit festgestellten, wesentlichen Parametern, die die Eingriffsintensität der Verarbeitung bestimmen. Insoweit erscheint der bisherige Vorschlag sehr gelungen, um auf diesem Ansatz aufbauend eine standardisierte Symbolsprache für Datenverarbeitungen zu entwickeln.

156

Zum Ganzen Specht-Riemenschneider / Bienemann, in: Specht-Riemenschneider / Werry /  Werry, Datenrecht in der Digitalisierung, S. 324 (340 f.). 157 Dies befürwortet auch Schröder, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 345 (357 f.).

382

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

Abbildung 4: Symbole für Informationsvermittlung Datenschutz (Specht-Riemenschneider / Bienemann / Rui)158

dd) Umsetzungschancen und -risiken Die Normierung in verschiedenen Europäischen Verordnungen legt die Vermutung nahe, dass dem Europäischen Gesetzgeber die gesetzliche Umsetzung 158 S. Specht-Riemenschneider / Bienemann, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 324 (340).

§ 8 Regulatorische Veränderungsmöglichkeiten

383

standardisierter Bildsymbole tatsächlich ernst ist.159 Auch wenn insoweit erste legislative Umsetzungsvorschläge gescheitert sind, erscheint es nur eine Frage der Zeit, bis im digitalen Kontext solche Symbole eingeführt werden. Bewertet man die Umsetzungschancen und -risiken einer standardisierten Symbolik, sind für ein Gelingen der Standardisierung vor allem die Verständlichkeit der Symbole und die gesamt-europäische Umsetzung von entscheidender Bedeutung. Werden hingegen im europäischen Binnenmarkt eine Vielzahl unterschiedlicher Symbole mit gleichem oder ähnlichem Bedeutungsgehalt verwendet, kann sich die Transparenz für den Nutzer gerade im digitalen Bereich schnell ins Gegenteil verkehren und die Übersichtlichkeit massiv beschränken.160 Wenn sich etwa die Symbole von DSGVO und E-Privacy-VO – trotz ihres unterschiedlichen Regelungsbereichs – maßgeblich unterschieden, könnte hierdurch die Wirksamkeit beider Visualisierungsansätze beschädigt werden. Anstelle einer Transparenzerleichterung könnte die Information der Nutzer noch weiter verkompliziert werden. Es bleibt insoweit zu hoffen, dass es zu einer hinreichenden Gemeingültigkeit der Symbolik kommt. Nur so kann sichergestellt werden, dass diese vom Nutzer berücksichtigt und auch verstanden wird. Wie sich an den bisherigen Ansätzen zeigt, fällt eine taugliche Umsetzung von Bildsymbolen keineswegs einfach aus. Gelingt allerdings eine funktionale Umsetzung mit passenden Symbolen, für die der Vorschlag von Specht-Riemenschneider / Bienemann bereits eine gute Grundlage bildet, dann kann hierüber ein massiver Transparenzgewinn für die Nutzer erreicht werden. Gerade in Bezug auf datenfinanzierte Angebote, denen das Problem einer mangelnden Kenntnisnahme der Datenverarbeitung durch den Nutzer in besonderer Weise immanent ist, können taugliche Bildsymbole die verarbeitungsbezogenen Informationen dem Nutzer deutlich einfacher vermitteln. Betrachtet man die Bildsymbole hinsichtlich der Schaffung von Transparenz für die Datenverarbeitung, zeigen sich nach der bisherigen Analyse in dieser Arbeit einige Bereiche, die für die Bewertung von Datenverarbeitungen eine entscheidende Rolle spielen. Können diese Inhalte über Bildsymbole visualisiert werden, könnte die bestehende Informationsasymmetrie zwischen App-Anbieter und Nutzer deutlich verringert werden. Zu diesen notwendigen Informationen gehören insbesondere folgende Parameter: – die Nutzung von Daten als Gegenleistung zur Bereitstellung der App (Entgeltfunktion), – die Art und der Zweck der Datenverarbeitung, etwa die Aggregation oder die wirtschaftliche Nutzung der Daten, 159

Auch die Bundesregierung unterstützt die Umsetzung standardisierter Bildsymbole, vgl. BT-Drs. 19/9168, S. 8 f. 160 Specht-Riemenschneider / Bienemann, in: Specht-Riemenschneider / Werry / Werry, Datenrecht in der Digitalisierung, S. 324 (344).

384

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

– eine Offenlegung der Daten an Dritte oder innerhalb eines Konzerns, – eine Übermittlung in Staaten außerhalb der EU sowie – die Umsetzung von Schutzkonzepten, etwa Pseudonymisierung oder Anonymisierung. III. Die Stärkung der Transparenz bei datenfinanzierten Angeboten Die Transparenz-Problematik lässt sich durch One-Pager und eine Visualisierung der Verarbeitungsprozesse also bereits mithilfe von DSGVO-konformen Instrumenten angehen. Sowohl eine standardisierte Symbolik für die Datenverarbeitung wie auch vorgelagerte One-Pager ermöglichen dem Nutzer bei ihrer Umsetzung, sich schnell und überblicksartig über die ablaufenden Verarbeitungsprozesse innerhalb von datenfinanzierten Angeboten zu informieren. Hierdurch kann praktische Transparenz „auf den ersten Blick“ geschaffen und eine vereinfachte Inanspruchnahme der informationellen Selbstbestimmung sichergestellt werden. Dabei werden One-Pager zum Teil schon (freiwillig) in der Praxis verwendet, während eine Umsetzung der Kommission zu standardisierten Bildsymbolen noch auf sich warten lässt. Falls die Umsetzung eines Rechtsakts zu standardisierten Bildsymbolen gelingt, wird hierüber die Möglichkeit einer visuellen Informationsvermittlung geschaffen. Bildsymbole mögen zwar nicht vollständig über komplexe Verarbeitungsvorgänge aufklären können. Sie schaffen demgegenüber mehr Transparenz als eine umfangreiche und detaillierte textliche Aufschlüsselung aller Verarbeitungsschritte, die vom Nutzer aus Zeit- und Komplexitätsgründen tatsächlich nicht zur Kenntnis genommen wird. Gerade bei datenfinanzierten Angeboten könnten taugliche Bildsymbole maßgeblich zum Abbau der Informationsasymmetrie beitragen und dem Nutzer eine einfache Möglichkeit verschaffen, sich über die wesentlichen Vorgänge der Datenverarbeitung transparent zu informieren. Damit könnte die informierte Entscheidung des Nutzers unterstützt und die Durchsetzung von praktisch umsetzbarer Selbstbestimmung des Nutzers erleichtern. Beide Instrumente verhindern trotz der vereinfachten Informationsübermittlung im Übrigen nicht, dass ein interessierter Nutzer die vollständigen Informationen weiterhin zur Kenntnis nehmen kann. Beiden Vorschlägen ist immanent, dass ein direkter Link zur umfangreichen Datenschutzerklärung unumgänglich ist. Bei Interesse kann der Nutzer nach wie vor die nachgelagerten, umfangreichen Informationen, die der App-Anbieter gem. Art. 13 bzw. 14 DSGVO verpflichtend bereithalten muss, berücksichtigen und ggf. seine Rechte nach Art. 15 ff. DSGVO wahrnehmen. Somit verbessern beide Vorschläge die Transparenz für den Nutzer, ohne hierdurch seine Informiertheit in irgendeiner Form zu beschränken.

§ 8 Regulatorische Veränderungsmöglichkeiten

385

D. Fazit Datenfinanzierte Angebote verdeutlichen anschaulich das Spannungsfeld des aktuellen Datenschutzregimes zur Digitalisierung, das sich aus immer weiter anwachsenden Datenmengen und deren Verarbeitung, vor allem durch Big Data-Technologien, ergibt. Diese Arbeit hat bei der Untersuchung aufgezeigt, dass datenfinanzierte Angebote aus den bei der Verarbeitung gewonnenen Nutzerdaten einen wirtschaftlichen Wert schöpfen können. Die Daten stellen hierbei die Gegenleistung für die Bereitstellung des Dienstes dar. Aus dieser Verwendung der Daten ergibt sich der maßgebliche Konflikt zum Datenschutz und insbesondere zur informationellen Selbstbestimmung der Nutzer. Zur Sicherstellung des Datenschutzes bietet die DSGVO ausgewogene und verhältnismäßige Regulierungsansätze. Dabei normiert Art. 6 DSGVO die zulässigen Erlaubnistatbestände zur Datenverarbeitung, wobei für die Verarbeitung innerhalb datenfinanzierter Angebote insbesondere die Einwilligung sowie die Verarbeitung zur Erfüllung eines Vertrags und aufgrund berechtigter Interessen in Betracht kommen. Nach wie vor gilt unter der DSGVO das Verbot mit Erlaubnisvorbehalt, nach dem es auch für App-Anbieter als private Datenverarbeiter einer tauglichen Rechtsgrundlage zur Datenverarbeitung bedarf. Diesbezüglich hat die Untersuchung der einzelnen Verarbeitungsschritte innerhalb von datenfinanzierten Angeboten aufgezeigt, dass viele Verarbeitungen, die der direkten Funktionsfähigkeit der App dienen, keiner Einwilligung bedürfen. Solche Verarbeitungen lassen sich zur Erfüllung des Vertrags bzw. zur Umsetzung berechtigter Interessen des Datenverarbeiters rechtfertigen. Die Rechtmäßigkeit dieser Erlaubnistatbestände bedarf allerdings eines engen Verhältnisses der Verarbeitung zur Erfüllung des Vertrags oder zum berechtigten Interesse, so dass hierüber kein Raum für eine weitreichende Nutzung der Daten entgegen der Interessen des Nutzers verbleibt. Die Einwilligung ermöglicht daneben von Umfang und Zweck darüberhinausgehende Datenverarbeitungen. Hierzu gehört insbesondere diejenige Art von Verarbeitung, mit der der Anbieter den wirtschaftlichen Wert aus den Daten ziehen kann. An die einzelne Datenverarbeitung innerhalb datenfinanzierter Angebote stellt die DSGVO – unabhängig vom Erlaubnistatbestand – zum Teil weitreichende Anforderungen. Durch das Zweckbindungsgebot müssen selbst umfangreiche Datenverarbeitungsprozesse und eine etwaige Offenlegung der Daten zum Zeitpunkt der Erhebung bereits feststehen und dem Nutzer mitgeteilt werden. Der Grundsatz der Datenminimierung erfordert, dass bestmögliche Schutzmaßnahmen für die Daten erfolgen, wobei insbesondere die Pseudonymisierung und Anonymisierung der Daten in Betracht kommen. Beruht die Verarbeitung auf der Einwilligung des Nutzers sind zusätzlich spezielle Anforderungen zu erfüllen. Hierzu gehören insbesondere die Freiwilligkeit und jederzeitige Widerrufbarkeit der Einwilligung. Aufgrund der Freiwilligkeit einer Einwilligung muss diese auf der freien Entscheidung des Nutzers beruhen,

386

Teil 3: Die Behandlung datenfinanzierter Angebote de lege ferenda 

was gerade beim Austauschverhältnis von Datenpreisgabe für die Bereitstellung und Nutzungsmöglichkeit der App (Daten gegen Leistung) häufig in Frage steht. Nach Ansicht des Verfassers wird die Freiwilligkeit durch das Kopplungsverbot in Art. 7 Abs. 4 DSGVO in ausreichendem Maße gewahrt, ohne dabei das Geschäftsmodelle Daten gegen Leistung vollständig zu unterbinden. Zur rechtssicheren Gestaltung eines solchen Modells bietet es sich allerdings zusätzlich an, eine entgeltliche App-Variante bereitzustellen. Die Rechtmäßigkeit dieses Austauschverhältnisses Daten gegen Leistung hängt nach den Erkenntnissen aus der vorliegenden Untersuchung maßgeblich von der Transparenz der Datenverarbeitung ab. Kann ein Nutzer den Umfang und die Folgen der Verarbeitung konkret abschätzen, eröffnet sich ihm auch eine tatsächliche Selbstbestimmung über die preiszugebenden Daten. Ist der Nutzer hinreichend transparent informiert und beruht seine Entscheidung auf keiner faktischen Zwangslage, muss es ihm regulatorisch auch gestattet sein, mit seinen Daten für die Bereitstellung und Nutzung einer App zu „bezahlen“. Diese geforderte Transparenz und Informiertheit des Nutzers entspricht allerdings häufig nicht den tatsächlichen Gegebenheiten. Insbesondere die komplexen Verarbeitungsprozesse vieler datenfinanzierten Angebote, aber auch die mangelnde Bedeutung, die der Nutzer solchen Apps entgegenbringt, führen zu Intransparenz. Informationen werden vom Nutzer oft überlesen und weggeklickt, so dass faktisch keine informierte Entscheidung über die Datenverarbeitung vorliegt. Diese Problematik lässt sich über die in der DSGVO bereits angelegten Instru­ mente zur Transparenzverbesserung durchaus angehen. Über One-Pager sowie effektiver über (geschäfts- und länderübergreifende) standardisierte Bildsymbole kann erreicht werden, dem Nutzer ohne großen Aufwand einen Überblick über die Datenverarbeitung zu verschaffen. Hierüber kann der Nutzer dem App-Anbieter auf Augenhöhe begegnen. So kann der Nutzer in Kenntnis der wirtschaftlichen Verwertung der Daten selbstbestimmt über den Datenumgang entscheiden, ob er ein solches Angebot wahrnehmen möchte. Dem App-Anbieter verbleibt gleichzeitig die Möglichkeit, Nutzerdaten zu monetarisieren. Es bestünde schlussendlich  – ohne größere Veränderungen des datenschutzrechtlichen Regulierungsrahmens – kein unüberbrückbares Spannungsverhältnis zwischen kommerzieller Datenverarbeitung und dem Datenschutz der Nutzer.

Zusammenfassung der Arbeit in Thesen § 1 Auf Grundlage von Big Data entstehen vollständig datengetriebene Geschäftszweige, bei denen Nutzerdaten eine monetäre Vergütung des Kunden ersetzen. Vor allem internetbasierte Programme und mobile Applikationen (Apps) verwenden häufig solche „datenfinanzierten“ Geschäftsmodelle, bei denen Daten das Zahlungsmittel für die Bereitstellung und Nutzung der App darstellen. Deren gesellschaftliche Relevanz lässt sich schon über die Vielzahl von vermeintlich kostenlosen Angeboten in den App-Stores der beiden größten Anbieter Google und Apple verdeutlichen. Ohne die hierin liegenden Vorteile marginalisieren zu wollen, liegt in der Nutzung dieser Geschäftsmodelle gleichzeitig eine Gefahr für die Selbstbestimmung der einzelnen Nutzer. Die Apps erheben und übermitteln eine Vielzahl von Daten – zum Teil ohne offensichtliche Mitteilung an den Nutzer – und die Datenverarbeitung dient vielfach kommerziellen Zwecken. Je mehr Daten erhoben werden, desto schwieriger ist es für betroffene Personen sich den Inhalt ihrer preisgegebenen Daten zu verdeutlichen. Denn jedem einzelnen Datum kann – dem Grundgedanken von Big Data folgend – durch die kumulierte und unter Umständen viel spätere Verbindung mit anderen Daten eine neue, erweiterte Aussagekraft zukommen. § 2 Bei den in dieser Arbeit untersuchten datenfinanzierten Angeboten handelt es sich um Apps, Software und browserbasierte Angebote, die einem Nutzer entgeltfrei zur Verfügung gestellt werden. Aus Nutzersicht stellen all diese Anwendungen ähnliche oder gleiche Angebote und Dienstleistungen bereit, so dass es für den Nutzer keine Rolle spielt, wie die Installation und der Zugriff auf das Angebot erfolgt. Im Gegenzug zur Bereitstellung werden Daten vom Nutzer erhoben, die diesem zugeordnet werden können. Ohne die Erhebung von Nutzerdaten ist die datenschutzrechtliche Relevanz für diese Arbeit nicht gegeben, so dass solche Angebote von vorneherein unberücksichtigt bleiben können. Für die Einordnung als datenfinanziertes Angebot ist demgegenüber unerheblich, was für Daten verarbeitet werden. Bei datenfinanzierten Angeboten wird durch die Datenerhebung vom Nutzer und vor allem durch die Datenaggregation ein ökonomischer Wert geschaffen, der einen (entgeltfreien) Austauschvertrag von App-Bereitstellung gegen die Datenpreisgabe rechtfertigt. Die faktische Werthaftigkeit von Daten ermöglicht datenfinanzierte Geschäftsmodelle, bei denen die Datenpreisgabe als Entgelt die monetäre Gegenleistung ersetzt. Dass die tatsächliche Monetarisierung der Daten für den App-Anbieter oft erst auf dem Sekundärmarkt stattfindet, ist für diese Bewertung unerheblich. Die gesteigerte Bedeutung der Verarbeitung personenbezogener Daten spiegelt sich auch darin wider, dass der Datenpreisgabe als vertragliche

388

Zusammenfassung der Arbeit in Thesen

Gegenleistung seitens der Literatur in der Diskussion um Datenschuldrecht und Dateneigentum sowie auch in der Gesetzgebung (Richtlinie über die Bereitstellung digitaler Inhalte) eine hohe Aufmerksamkeit eingeräumt wird. Der Anreiz für die Preisgabe personenbezogener Daten liegt für den Nutzer darin, dass ihm die Verwendungsmöglichkeiten des datenfinanzierten Angebots kostenlos zur Verfügung gestellt werden. Dies stellt gleichzeitig die Grundproblematik dieser Angebote dar, da die Daten oft bereitwillig preisgegeben werden. Nur die wenigsten Nutzer verstehen die technischen Umstände der Datenverarbeitung vollständig. Es kommt häufig zu einer Asymmetrie zwischen den von den Nutzern preisgegebenen Daten und dem Nutzen für den Anbieter bzw. für den Dritten, der Zugriff zu den Daten erhält. Da der Begriff „datenfinanzierte Angebote“ eher abstrakt ausfällt, bietet es sich zur besseren Greifbarkeit, Darstellung und Bewertung an, diese in verschiedene Kategorien einzuteilen. Dabei erscheint lediglich eine Kategorisierung anhand der jeweiligen Datenverarbeitung innerhalb der App sinnvoll: Es wird zwischen der Sofortnutzung der Daten (Kategorie I), der Speicherung und späteren Nutzung der Daten (Kategorie II) sowie der Offenlegung innerhalb eines Konzerns (Kategorie III a) und an Dritte (Kategorie III b) unterschieden. Durch diese Kategorien können einerseits verschiedenste Datenverarbeitungsprozesse einbezogen werden, andererseits ergibt sich durch die steigende Intensität der Datenverarbeitung auch ein deutlicher qualitativer Unterschied zwischen den einzelnen Kategorien. § 3 Zivilrechtlich erscheint es aufgrund der der Werthaftigkeit von Daten vorzugswürdig, datenfinanzierte Angebote als typengemischte Verträge im Sinne von § 311 Abs. 1 BGB einzuordnen. Diese haben je nach Art der App kauf- bzw. dienst- oder mietvertraglichen Einschlag und es kommt zu einer atypischen Gegenleistung in Form der Preisgabe von Daten. Neben der Art des Vertrags ist bei datenbasierten Geschäftsmodellen aufgrund der Mehr-Personen-Konstellationen (Nutzer, App-Anbieter und App-Store) auch die Bestimmung der Vertragsparteien von Interesse. Dabei handelt der jeweilige App-Stores in Vertretung für den AppAnbieter, da vor allem durch die Gestaltung des App-Stores und die diesbezügliche Wahrnehmung des Nutzes eine Offenkundigkeit der Vertretungshandlung besteht. Datenfinanzierte Angebote sind ferner als Telemediendienste im Sinne des TMG zu qualifizieren. § 4 Die Betrachtung von datenfinanzierten Angeboten wirft hinsichtlich ihrer Wesensart und Ausgestaltung Fragen zum Schutz der erhobenen Nutzerdaten auf. Auf nationaler Ebene wurde hierzu das Recht auf informationelle Selbstbestimmung seit den 1980er Jahren immer weiter präzisiert. Innerhalb der EU wird Datenschutz primär über Art. 8 GRCh sichergestellt, der aufgrund vieler Parallelen zur Datenschutzrichtlinie 95/46/EG sehr normgeprägt ausfällt. Die Ausgestaltung der beiden Grundrechte ist – trotz Unterschieden im Detail – in vielen Aspekten vergleichbar und folgt der gleichen Zielrichtung. Die Frage nach dem Rangverhältnis des nationalen und europäischen Grundrechtsschutzes hat vor allem durch

Zusammenfassung der Arbeit in Thesen

389

das Inkrafttreten der DSGVO an Brisanz gewonnen. Innerhalb des unmittelbaren Geltungsbereichs der DSGVO ist der Grundrechtsschutz dabei allein durch die Grundrechte-Charta begründet. die einen einheitlichen und ausreichenden Schutz gewährt. Da es zu einer vollständigen Determinierung durch das Unionsrecht kommt, findet der Maßstab der informationellen Selbstbestimmung keine Anwendung. Seit der Entscheidung Recht auf Vergessen II sieht das Bundesverfassungsgericht insoweit eine eigene Prüfungskompetenz der fachgerichtlichen Anwendung der Unionsgrundrechte vor. Über ihre jeweilige Drittwirkung wirken die Datenschutzgrundrechte in das Verhältnis zwischen dem App-Anbieter  – häufig selbst grundrechtsberechtigte juristische Personen des Privatrechts – und dem Nutzer ein. Dabei ist die Datenverarbeitung der App-Anbieter vor allem über die unternehmerische Freiheit aus Art. 16 GRCh geschützt. Der Ausgleich der konfligierenden Grundrechte hängt im Rahmen der praktischen Konkordanz von verschiedenen, miteinander abzuwägenden Faktoren ab. Diese sind bei der regulatorischen Umsetzung des Datenschutzrechts zu berücksichtigen. Bei der Bewertung datenfinanzierter Angebote stellt sich hierbei vor allem die Frage, ob das geltende Datenschutzregime den geldwerten Charakter der persönlichen Daten hinreichend aufgreift und ob sich der Konflikt zwischen der Selbstbestimmung der Nutzer und der ökonomischen Verwertung durch die App-Anbieter angemessen auflösen lässt. Dieser Konflikt stellt sich vor allem hinsichtlich der „freiwilligen“ Preisgabe von Nutzerdaten. § 5 Die datenschutzrechtliche Regulierung datenfinanzierter Angebote findet maßgeblich über die DSGVO statt, deren sachlicher Anwendungsbereich sich auf die Verarbeitung personenbezogener Daten richtet. Der App-Anbieter ist in aller Regel der Verantwortliche der Datenverarbeitung, da er innerhalb der App die Daten vom Nutzer erhebt und verarbeitet. Bei der Offenlegung der Daten kommt es häufig zu einer zusätzlichen (alleinigen) Verantwortlichkeit des Empfängers. Bei konzerninterner Datenverarbeitung ist  – mangels „Konzernprivileg“ in der DSGVO – der jeweilige Einzelfall zur Beurteilung der Verantwortlichkeit maßgeblich, wobei die gesamten konzerninternen Datenflüsse und Verarbeitungsvorgänge berücksichtigt und analysiert werden müssen. Für das Bestehen eines Personenbezugs muss der jeweilige Nutzer identifiziert oder identifizierbar sein. Die Identifizierbarkeit ist anhand einer objektiven Betrachtungsweise weit auszulegen. Einschränkend liegt hingegen kein Personenbezug vor, wenn lediglich eine abstrakt theoretische Möglichkeit der Identifizierbarkeit unter unverhältnismäßigem Aufwand besteht. Entscheidend ist für das Vorliegen eines Personenbezugs also die Frage, ob der App-Anbieter zum Zeitpunkt der Verarbeitung seine Möglichkeiten zur Identifizierung aller Wahrscheinlichkeit nach nutzen kann und wird. Eine Identifizierung – sollte nicht ohnehin der tatsächliche Name des Nutzers bekannt sein – ist bei datenfinanzierten Angeboten über eindeutige Kennungen möglich, etwa die Geräte-ID des Smartphones, das Nutzerkonto in einem App-Store oder die Mailadresse, soweit letztere als technisch

390

Zusammenfassung der Arbeit in Thesen

einzigartige Kennung verarbeitet wird. Auch lässt sich der Nutzer über die Zuordnung von IP-Adressen oder Cookies identifizieren. Hierdurch weisen beinahe alle bei der Nutzung datenfinanzierter Angebote erhobenen Daten einen Personenbezug auf. Daran ändert sich für den verantwortlichen App-Anbieter grundsätzlich auch dann nichts, wenn dieser die Daten pseudonymisiert. Der Personenbezug kann allerdings durch die Anonymisierung oder die anonymisierende Wirkung einer Pseudonymisierung entfallen. Bei datenfinanzierten Angeboten muss jederzeit im Blick behalten werden, welche Daten der jeweilige Datenverarbeiter bei welchem Verarbeitungsschritt konkret innehat und ob hierüber eine Identifizierung (weiterhin) möglich ist. Speichert der App-Anbieter die Nutzerdaten (Kategorie II), ist der Speicherzweck für die Möglichkeit zur Anonymisierung maßgeblich. Die Verarbeitungsschritte, bei denen es auf die jeweilige Identifizierbarkeit der Nutzer gerade nicht ankommt – etwa statistische Aussagen –, können auch nach einer Anonymisierung weiterhin durchgeführt werden. Anonymisierung und Pseudonymisierung werden gerade bei der Offenlegung der Daten (Kategorie III) bedeutsam. Durch eine vorherige Anonymisierung von Daten kann sichergestellt werden, dass sich bei der Weitergabe sowohl innerhalb des eigenen Konzerns als auch an Dritte keine weiteren datenschutzrechtlichen Verpflichtungen ergeben. Dies gilt sowohl für den App-Anbieter, der die nun anonymen Daten überträgt, wie auch für den Empfänger. Auch die Pseudonymisierung entfaltet für den Empfänger eine anonymisierende Wirkung, wenn kein Zugriff auf die Entschlüsselung des Pseudonyms oder eine sonstige Identifizierungsmöglichkeit besteht. Bei der Verarbeitung personenbezogener Daten müssen die datenschutzrechtlichen Grundsätze aus Art. 5 DSGVO beachtet werden. Diese bilden die (kumulativen) Leitlinien und fundamentalen Regelungen für die Auslegung der DSGVO und dürfen aufgrund ihrer grundrechtlichen Herkunft nicht in ihrem Wesensgehalt unterlaufen werden. Für die Verarbeitung in datenfinanzierten Angeboten entfalten vor allem die Grundsätze der Transparenz, Zweckbindung und Datenminimierung eine maßgebliche Wirkung. Der Grundsatz der Transparenz gewährleistet umfassende Informationen und Informationsmaßnahmen über die (bevorstehende) Datenverarbeitung, die in Art. 12– 15 DSGVO näher ausgestaltet und präzisiert werden. Durch die Transparenz muss ein Zusammenhang zwischen den verschiedenen Elementen innerhalb der Datenverarbeitung hergestellt werden, so dass der Nutzer über das „wer, wie, wann und warum“ der Verarbeitung informiert wird. Bei datenfinanzierten Angeboten stellt sich vor allem dann ein Transparenzproblem ein, wenn die Verarbeitung sehr komplex ausfällt oder der Anbieter die Daten zusätzlich an Dritte offengelegt. Die erforderlichen Informationen sind dem Nutzer präzise, leicht zugänglich, verständlich und in klarer und einfacher Sprache darzulegen. Da die Nutzer häufig eine Vielzahl verschiedener Apps verwenden, übersteigen die erforderlichen Informationen häufig die mögliche Aufmerksamkeit des Nutzers. Dies führt zu einer Marginalisierung der einzelnen Verarbeitungen, woraus sich Schwierigkeiten für

Zusammenfassung der Arbeit in Thesen

391

eine transparente und effektive Übersicht über die einzelnen Datenverarbeitungsprozesse sowie die Datenverarbeitung im Ganzen ergeben. Der Grundsatz der Zweckbindung verpflichtet den App-Anbieter, schon bei der Erhebung personenbezogener Daten die Zwecke der Datenverarbeitung festzulegen und jede nachfolgende Verarbeitung nur zu diesen Zwecken durchzuführen. Der festgelegte Zweck muss vor der Datenverarbeitung hinreichend eindeutig, detailliert und konkret bestimmt sein, so dass Zweifel an diesem ausgeschlossen sind. Ist die Datenverarbeitung mit dem Erhebungszweck nicht vereinbar, liegt in der Verarbeitung eine Zweckänderung. Bei einer solchen bedarf die Verarbeitung in der Regel einer erneuten Rechtsgrundlage, da die Verarbeitung nicht mehr vom ursprünglich festgelegten Zweck gedeckt ist. Es kann jedoch anhand des Einzelfalles die Möglichkeit einer Privilegierung der Zweckänderung untersucht werden. Diese Möglichkeit besteht bei datenfinanzierten Angeboten vor allem im Falle der Sofortnutzung der Daten (Kategorie I). Je intensiver oder komplexer die Datenverarbeitung ausfällt, desto unwahrscheinlicher ist eine Privilegierung. Werden Daten von datenfinanzierten Angeboten gespeichert, um diese später anderweitig zu nutzen (Kategorie II), so ist schon im Primärzweck die spätere Weiterverarbeitung eindeutig festzulegen, welche einem legitimen Zweck dienen muss. Massive Probleme ergeben sich wiederum bei der Offenlegung der Daten (Kategorie III), da die Offenlegung selbst eindeutig festgelegt und zusätzlich die Verarbeitungszwecke im Anschluss benannt werden müssen. Gerade eine Übertragung der Daten an externe Dritte wird hierdurch bedeutend erschwert, da diese im Vergleich zum App-Anbieter häufig völlig andere (monetäre) Interessen an der Datenverarbeitung haben. Der Grundsatz der Datenminimierung vereint drei zueinander in Bezug stehende Anforderungen unter einen Grundsatz: die Angemessenheit, die Erheblichkeit sowie die Beschränkung der personenbezogenen Daten in Bezug zu ihrem Erhebungszweck. Eine konkrete Ausprägung erfährt der Grundsatz durch Art. 25 DSGVO, der den Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) in die DSGVO implementiert. Durch die Ausrichtung der Datenminimierung an dem Zweck der Verarbeitung ergeben sich bei datenfinanzierten Angeboten ähnliche Umsetzungsprobleme wie beim Grundsatz der Zweckbindung. Bei einer Speicherung und späteren Weiterverarbeitung und Analyse der Daten (Kategorie II) ist anhand einer Verhältnismäßigkeitsprüfung im Einzelfall abzuwägen, ob insbesondere die Speicherung in einem angemessenen Verhältnis zum Zweck der Verarbeitung steht und ob der Schutz der Nutzerdaten ausreichend berücksichtigt wird. Die Offenlegung (Kategorie III) der Daten stellt den App-Anbieter vor noch größere Herausforderungen, da er die Zwecke der Verarbeitung auch für den Empfänger bereits festlegen muss, um die Erheblichkeit und Angemessenheit der Verarbeitung feststellen zu können. Verschiedene Datenschutzkonzepte eröffnen bei datenfinanzierten Angeboten eine Möglichkeit, das Spannungsverhältnis zwischen den Datenschutzgrundsätzen

392

Zusammenfassung der Arbeit in Thesen

und ihrem Geschäftsmodell zu verringern. Hierfür bietet sich insbesondere eine Anonymisierung und Pseudonymisierung der erhobenen personenbezogenen Daten an, wodurch sich eine Unvereinbarkeit mit den Grundsätzen der Zweckbindung und Datenminimierung vermeiden lässt. § 6 Jede Verarbeitung personenbezogener Daten bedarf einer tauglichen Rechtsgrundlage. Die einzelnen Rechtsgrundlagen listet Art. 6 Abs. 1 DSGVO als zentrale Vorschrift auf. Für datenfinanzierte Angebote kommen als Erlaubnistatbestände vor allem eine Verarbeitung zur Erfüllung eines Vertrags oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten sowie die Einwilligung in Betracht. Die Verarbeitung von Daten zur Erfüllung eines Vertrags (Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO) ist rechtmäßig, wenn sie für die Vertragspartei als betroffene Person erforderlich ist. Auch datenfinanzierte Angebote unterliegen trotz ihrer Unentgeltlichkeit dem datenschutzrechtlichen Vertragsbegriff. Das Merkmal der Erforderlichkeit beinhaltet bei der Datenverarbeitung durch Private keine Verhältnismäßigkeitsprüfung im Sinne einer Interessenabwägung. Es muss vielmehr ein unmittelbarer sachlicher Zusammenhang zwischen der Datenverarbeitung und dem konkreten Zweck des Vertrags bestehen. Bei Apps lässt sich dieser Zusammenhang zumeist eindeutig aus der Leistungsbeschreibung herauslesen. Speziell aufgrund der monetären Kostenfreiheit von datenfinanzierten Angeboten erscheint es überlegenswert, ob das „Bezahlen mit Daten“ die notwendige Gegenleistung des Nutzers für die Bereitstellung der App darstellt. Eine solche Deutung entfernt sich allerdings zu weit vom gesetzlichen Wortlaut und dient nicht dem Sinn und Zweck der Regelung. Wenn lediglich durch die kostenlose Bereitstellung der App eine Datenerhebung bereits „erforderlich“ würde, ließen sich hiermit das Datenschutzrecht weitreichend aushebeln und die Daten missbräuchlich verwenden. Einzelne datenfinanzierte Angebote könnten unter dem Deckmantel des Austauschverhältnisses „Daten gegen Leistung“ beliebig personenbezogene Daten erheben und weiterverarbeiten. Die Erforderlichkeit ist stattdessen daran zu messen, ob die Datenverarbeitung gegenüber dem Nutzer (akzessorisch) zur Vertragsverwirklichung notwendig ist. Eine Offenlegung der Daten durch die App-Anbieter lässt sich dementsprechend schwerlich über diesen Erlaubnistatbestand rechtfertigen. Für die Rechtmäßigkeit einer Verarbeitung zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO) muss das Interesse des App-Anbieters gegenüber den schutzwürdigen Interessen des Nutzers überwiegen. Dieser Erlaubnistatbestand ist zwar zu den anderen Rechtsgrundlagen gleichrangig, darf deren Begrenzungen jedoch nicht aushöhlen. Die vorzunehmende Abwägung mit den schutzwürdigen Nutzerinteressen hat anhand der konkreten, im Einzelfall divergierenden Interessen stattzufinden. Lediglich wirtschaftliche Interessen haben hierbei zwar eine Berechtigung, allerdings keinen allzu hohen Stellenwert. Gerade in Fällen, in denen die Bereitstellung und Nutzungsmöglichkeit einer App selbst bereits jedwede (zweckfremde) Datenverarbeitung rechtfertigen soll, sind

Zusammenfassung der Arbeit in Thesen

393

die persönlichkeitsbezogenen Grundrechtsinteressen der Nutzer insoweit höher zu bewerten. Über diesen Erlaubnistatbestand kann bei datenfinanzierten Angeboten maßgeblich die direkte Verarbeitung und Speicherung der Daten innerhalb der App (Kategorie I) gerechtfertigt werden. Eine hierauf gestützte Speicherung und spätere Datennutzung (Kategorie II) ist in der Regel nur dann zulässig, wenn auch die spätere Verarbeitung nicht in Konflikt zu den Nutzerinteressen steht. Die Einwilligung bildet trotz der grundsätzlichen Gleichrangigkeit der verschiedenen Erlaubnistatbestände nach wie vor die maßgebliche Möglichkeit zur Rechtfertigung einer Datenverarbeitung. Sie ermöglicht den App-Anbietern unter den gestellten Anforderungen mit Daten kommerziell tätig zu werden. Eine Erteilung der Einwilligung durch den Nutzer kann bei datenfinanzierten Angeboten an verschiedener Stelle erfolgen. Klassischerweise wird der Nutzer beim Download, der Installation, der Registrierung oder dem erstmaligen Start zur Einwilligung aufgefordert. Dies erfolgt in der Praxis in aller Regel dadurch, dass der Nutzer nach dem (vorgeblichen) Lesen der Datenschutzerklärung diese mit dem Setzen eines Häkchens bestätigt. Zur Rechtfertigung der Datenverarbeitung in datenfinanzierten Angeboten durch die Einwilligung des Nutzers sind besonders die Einwilligungsanforderungen der Bestimmtheit, Transparenz, Freiwilligkeit und jederzeitigen Widerrufbarkeit von Bedeutung (vgl. Art. 6 Abs. 1 UAbs. 1 lit. a), 7 DSGVO). Die Anforderung der Bestimmtheit bezieht sich auf die inhaltliche Ausgestaltung der Einwilligung. Über eine hinreichend bestimmte Einwilligung muss der Nutzer erkennen können, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden und wie weit ihre Einwilligungserklärung reicht. Es besteht also ein eindeutiger Bezug zum Grundsatz der Zweckbindung Die vorzunehmende Bewertung anhand des jeweiligen Einzelfalles führt für App-Anbieter häufig dazu, dass die Grenze zwischen einer hinreichend bestimmten und einer zu pauschal formulierten Einwilligung fließend verläuft. Diese Problematik verstärkt sich wiederum bei der Offenlegung, da der Verarbeitungszweck von Dritten schon im Voraus dargestellt werden muss. An die Bestimmtheit schließen sich die Anforderungen an Informiertheit und Transparenz der Einwilligung an. Eine Einwilligung muss die Kenntnisnahme des Nutzers ermöglichen und diesen transparent über die Datenverarbeitung informieren. Daraus resultiert die Notwendigkeit eines verständlichen Erklärungstexts und einer hinreichend spezifischen Beschreibung des Einwilligungsinhalts. Der gesamte Inhalt der Datenverarbeitung muss sich möglichst einfach und nicht verklausuliert aus dem Einwilligungstext ergeben. Eine solche Notwendigkeit wird insbesondere dadurch deutlich, dass in der Praxis enorme Informationslücken auf Seiten der Nutzer über die zum Teil hochkomplexen Verarbeitungsprozesse bestehen. Gleichzeitig messen die Nutzer den Apps in der Regel eine eher geringe Bedeutung im Hinblick auf die Datenverwendung und den Datenschutz bei. Dadurch eröffnet sich ein entscheidender Widerspruch zwischen der Sicherstellung einer angemessenen Transparenz und der Erfüllung der Informationspflichten:

394

Zusammenfassung der Arbeit in Thesen

Es muss zur Umsetzung der Informationspflichten über die zahlreichen Vorgänge komplexer Datenverarbeitungen informiert werden und gleichzeitig muss eine vom Umfang her tatsächlich zumutbarer Möglichkeit zur Kenntnisnahme sichergestellt werden. Bei datenfinanzierten Angeboten besteht mithin ein abstraktes Spannungsverhältnis zwischen der Verständlichkeit über komplexe Verarbeitungsvorgänge, der Opportunitätshürde zur Wahrnehmung und der Vollständigkeit der Informationen. Datenfinanzierte Angebote verwenden häufig eine Datenschutzerklärung, die sämtliche datenschutzrechtlich relevanten Verarbeitungen sowie weitere Informationen zum Datenumgang in einer Erklärung zusammenfasst. Hier vereinen App-Anbieter häufig Informationen über die verschiedenen Rechtsgrundlagen, die kumulativ zur Datenverarbeitung genutzt werden. Befindet sich eine Einwilligung innerhalb der Datenschutzerklärung, muss dieser Teil in leicht zugänglich gestaltetet, in klarer und einfacher Sprache verfasst sowie klar von den anderen Sachverhalten zu unterscheiden sein. Diese Erklärung ist an den Maßstäben der §§ 305–309 BGB zu messen. Vom App-Anbieter vorformulierte Leistungsbeschreibungen in der Einwilligung, die eine Datenverarbeitung und Datenpreisgabe des Nutzers als Gegenleistung des Vertrags benennen, unterliegen einer grundsätzlichen Missbrauchskontrolle. Es ist allerdings zu berücksichtigen, dass die Datenpreisgabe die Hauptleistungspflicht des Nutzers darstellt und insoweit nur eine eingeschränkte Inhaltskontrolle stattfindet. Voraussetzung für eine eingeschränkte Kontrolle ist, dass die Datenpreisgabe in der Klausel deutlich als die Leistung des Nutzers dargestellt wird. Das Konzept der Freiwilligkeit stellt ein wesentliches Fundament der Einwilligung dar, das sich bereits aus Art. 8 GRCh ableiten lässt. Durch die Freiwilligkeit muss der Nutzer in der Lage sein, die Einwilligung zu verweigern oder zurückzunehmen, ohne daraus direkte Nachteile zu erleiden. Indes hebt nicht jedweder, für den Fall einer Verweigerung der Einwilligung vom Datenverarbeiter in Aussicht gestellte Nachteil sofort die Freiwilligkeit dieser auf. Die für datenfinanzierte Angebote bedeutsamste Situation, bei der die Freiwilligkeit in Frage steht, liegt in einer Kopplung der Einwilligung an eine versprochene Leistung, wozu Art. 7 Abs. 4 DSGVO das sog. „Kopplungsverbot“ normiert, dessen Reichweite höchst umstritten ist. Zunächst besteht weitestgehend Einigkeit darüber, dass Art. 7 Abs. 4 DSGVO einer Kopplung zumindest einen gewissen Gestaltungsspielraum belässt und ein „absolutes“ Kopplungsverbot mithin ausscheidet. Bei zu strikter Auslegung des Kopplungsverbots ist festzustellen, dass ein Eingriff sowohl in die Grundrechte des Datenverarbeiters wie auch der betroffenen Person vorliegt. Dem ist im Rahmen des Verhältnismäßigkeitsprinzip Rechnung zu tragen. Dabei sollte ein weniger restriktives Kopplungsverbot herangezogen werden, bei dem im Einzelfall die divergierenden Interessen der beteiligten Akteure im Rahmen einer Güterabwägung zu berücksichtigen sind. Hierdurch kann festgestellt werden, ob die Kopplung einer Leistung an eine Einwilligung zur Datenverarbeitung noch als freiwillige Entscheidung zu beurteilen ist.

Zusammenfassung der Arbeit in Thesen

395

Bei datenfinanzierten Angeboten hat die Reichweite des Kopplungsverbots besondere Bedeutung, da diesen das Geschäftsmodell „Daten gegen Leistung“ in Form der Bereitstellung und Nutzungsmöglichkeit der App zugrunde liegt. Die Blockierung einer derartigen Einwilligung aufgrund des Kopplungsverbots hätte als Konsequenz, dass eine Bezahlung mit persönlichen Daten als Gegenleistung generell nicht möglich wäre. Es erscheint vielmehr sachgemäß die Voraussetzung der Erforderlichkeit einer Datenverarbeitung im Sinne von Art. 7 Abs. 4 DSGVO zumindest abstrakt auf die Hauptleistungspflichten des Nutzers auszudehnen und nicht vollständig deckungsgleich zu Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO zu verstehen. Eine Verarbeitung ist demnach in solchen Situationen erforderlich, in denen die personenbezogenen Daten selbst den Gegenstand der Hauptleistungspflicht ausmachen und die Datenpreisgabe an die vertragliche Gegenleistung des Datenverarbeiters „koppeln“. Dies verdeutlicht den Charakter der Leistungsbeziehung, die für die Bereitstellung und Nutzungsmöglichkeit der App eine Datenpreisgabe und die Zustimmung zur wirtschaftlichen Verwertungsmöglichkeit der Daten verlangt. Wie weitreichend die an die Leistung gekoppelte Datenpreisgabe konkret ausfallen kann, lässt sich bei den sehr heterogenen digitalen, datenfinanzierten Angeboten schwerlich abstrakt bestimmen. Eine solche Bewertung muss sich aber zwingend an den in Art. 5 DSGVO normierten Grundsätzen der Datenverarbeitung orientieren. Die konkrete Datenverarbeitung muss dem Nutzer im Vertragstext und vor allem im Rahmen der Einwilligung hinreichend deutlich und transparent gemacht werden. Insbesondere muss deutlich werden, dass eine Kommerzialisierung der Nutzerdaten stattfindet. Die Widerrufbarkeit der Einwilligung ist in Art. 7 Abs. 3 DSGVO geregelt. Sie ermöglicht es dem Nutzer, die erteilte Einwilligung jederzeit zu widerrufen. Dies soll den Nutzer vor einer unwiederbringlichen Datenpreisgabe schützen. Da mit dem Widerruf der Erlaubnistatbestand der Einwilligung entfällt, kann eine Datenverarbeitung nachfolgend nur noch über einen der anderen Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO gerechtfertigt werden. Hierfür muss der betroffenen Person verständlich mitgeteilt werden, dass die Datenverarbeitung auf mehreren Erlaubnistatbeständen beruht, so dass im Falle des Widerrufs auf eine der anderen Rechtsgrundlagen zurückgegriffen werden kann. Der Wiederruf ist jedoch im Falle einer Interessenabwägung zu berücksichtigen. Bei datenfinanzierten Angeboten ist die Widerrufsmöglichkeit nicht einzuschränken und führt zum Ausbleiben der Leistung des Nutzers. Allerdings kann der App-Anbieter nach dem Widerruf der betroffenen Person den Vertrag kündigen und seine Leistung nach dem erfolgten Widerruf zukünftig verweigern. § 7 Angesichts des häufigen internationalen Kontexts bei der Datenverarbeitung von datenfinanzierten Angeboten rückt die Reichweite und Durchsetzungsmöglichkeit des europäischen Datenschutzrechts in den Fokus. Die grundsätzlichen Regeln zum räumlichen Anwendungsbereich finden sich in Art. 3 DSGVO, der für die räumliche Anwendbarkeit zwischen dem sog. Sitz- und Niederlassungsprinzip und dem Marktortprinzip unterscheidet. Für die Anwendbarkeit der DSGVO muss

396

Zusammenfassung der Arbeit in Thesen

der App-Anbieter entweder über einen Sitz oder eine Niederlassung innerhalb der EU verfügen oder seine App innerhalb der EU anbieten. Letzteres dürfte bei den allermeisten datenfinanzierten Angeboten vorliegen, solange sie über in der EU abrufbare App-Stores angeboten werden. Häufig findet eine Datenübermittlung – gerade aufgrund der Vielzahl amerikanischer Digitalunternehmen – jedoch in Länder außerhalb der EU statt. In diesen Fällen schaffen Art. 44 ff. DSGVO zusätzliche Anforderungen an die Übermittlung. Die Normen sollen über verschiedene Instrumente sicherstellen, dass das durch die DSGVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. Hierzu gehören Angemessenheitsbeschlüsse (Art. 45 DSGVO), geeignete Garantien (Art. 46 f. DSGVO), worunter verbindliche konzerninterne Datenschutzvorschriften und Standarddatenschutzklauseln fallen, sowie Ausnahmeregelungen (Art. 49 DSGVO). Mit dem Schrems II-Urteil hat der EuGH das EU-US-Privacy Shield-Abkommen und damit den wichtigsten Angemessenheitsbeschluss für unwirksam erklärt und höhere Anforderungen an die Nutzung von geeigneten Garantien gestellt. Ob eine Datenübermittlung für die Anbieter von datenfinanzierten Angeboten unkompliziert möglich ist, hängt maßgeblich vom Vorliegen eines Angemessenheitsbeschlusses ab. Liegt ein solcher vor, ist eine Übermittlung in das jeweilige Drittland nach Art. 45 DSGVO vergleichbar einfach möglich. Daneben bieten – gerade für eine Datenübermittlung in die USA – verbindliche konzerninterne Datenschutzvorschriften und Standarddatenschutzklauseln nur noch dann ausreichende Garantien, wenn der App-Anbieter in einer Einzelfallprüfung feststellt, dass auch im Drittland weiterhin ein adäquates Datenschutzniveau hergestellt werden kann. Anderenfalls müssen die Garantien durch weitere Maßnahmen ergänzt werden. Als solche Maßnahme käme eine (teilweise) Pseudonymisierung oder Anonymisierung der Daten vor der Übermittlung in Betracht. Bei der Rückübermittlung nach Abschluss der Analyse bzw. nach Abrufung vom Server kann die Pseudonymisierung der Daten innerhalb der EU wieder aufgehoben werden. § 8 Hat sich im Hauptteil gezeigt, dass sich die Datenverarbeitung datenfinanzierter Angebote durchaus als mit der DSGVO vereinbar erweist, erwachsen doch an vielen Stellen – gerade bei komplexen Datenverarbeitungen – datenschutzrechtliche Schwierigkeiten. Die insoweit fragliche Notwendigkeit eines veränderten Regulierungsniveaus stellt sich vor allem hinsichtlich des (vermeintlich) auftretenden Privacy Paradox. Dieses äußert sich darin, dass die Nutzer bei datenfinanzierten Angeboten – und im übrigen Digitalkontext – zwar durchaus Wert auf den Schutz ihrer Daten legen, gleichzeitig aber bereit sind, große Mengen persönlicher Daten zu teilen. Bei der Betrachtung der spezifischen technischen und verwendungsbezogenen Eigenschaften von Apps wird deutlich, dass die Nutzer die Kosten der Informationssuche oft über- und den Wert der preisgegebenen Daten unterschätzen. Kritik am aktuellen Datenschutzregime kommt danebenvor allem von denjenigen, die im Datenschutz eine zu paternalistische Regulierung sehen.

Zusammenfassung der Arbeit in Thesen

397

An diese Kritikpunkte schließt sich denklogisch die Frage an, ob ein nicht ideales datenschutzrechtliches Regulierungsniveau entweder zu einer Verschärfung oder Verringerung der Datenschutzstandards führen sollte. Nach der vorliegend vertretenen Auffassung ist die DSGVO durchaus flexibel ausgestaltet und ein paternalistischer Eingriff in die Privatsphäre der Nutzer kann hinreichend berücksichtigt werden. Aufgrund des angelegten Verständnisses vom Kopplungsverbot verbleiben dem App-Anbieter vielschichtige Möglichkeiten, um datenfinanzierte Angebote datenschutzkonform bereitzustellen. Nach der hier vorgenommenen Lesart schafft es die DSGVO gerade aufgrund ihrer abstrakten Risikoneutralität, dass sich selbst bei zunehmender Digitalisierung und immer komplexer ausfallenden Datenverarbeitungen taugliche und praktikabel anpassbare Wertungen finden lassen. Zwar besteht gerade für App-Anbieter die Gefahr eines jederzeitigen Widerrufs, hierin liegt allerdings ein durchaus tauglicher regulativer Kompromiss, der dem Datenverarbeiter dank eines weichen Kopplungsverbots weitreichende wirtschaftliche Spielräume lässt. Die Gefahr eines Widerrufs kann über das Eingreifen anderer Erlaubnistatbestände für den App-Anbieter zusätzlich abgefedert werden. Das Kopplungsverbot weist gleichwohl eine gewisse Problematik für datenfinanzierte Geschäftsmodelle auf, untersagt es doch – zumindest in Ansätzen – die Koppelung zwischen Einwilligung und Gegenleistung. Insoweit ließe sich über eine alternative Monetarisierung datenfinanzierter Angebote nachdenken. Eine solche könnte dem Austauschverhältnis „Dienst gegen Daten“ die Alternative „Dienst gegen Geld“ gegenüberstellen. Im Gegenzug könnte ein allzu striktes Kopplungsverbot oder eine ausufernde Zweckbindung für die weiterhin monetär kostenfreie Alternative reduziert werden. Diese Geschäftsmodelle könnten daher eine Balance zwischen der wirtschaftlichen Verwendung von Daten und dem Datenschutz der Nutzer bilden, da hierüber der Anbieter die Wirtschaftlichkeit der (ansonsten vollständig) datenfinanzierten Angebote und gleichzeitig durch die Wahlmöglichkeit die Selbstbestimmung der Nutzer verbessern könnte. Auch lässt sich das Risiko verringern, dass durch reihenweise widerrufene Einwilligungen das Geschäftsmodell des App-Anbieters in Gefahr gerät. Aufgrund der Einschränkungen der unternehmerischen Freiheit des App-Anbieters und der Schwierigkeit, einen geeigneten Preis für die alternative App festzulegen, kommt eine regulative Verpflichtung zur Schaffung alternativer entgeltlicher Geschäftsmodelle jedoch kaum in Betracht. Gleichwohl wäre es im Sinne der Selbstbestimmung der Nutzer, wenn gerade große, viel genutzte Apps eine solche Alternative anböten. Dies ließe sich regulativ fördern, indem Erleichterungen im Rahmen des Kopplungsverbots aus Art. 7 Abs. 4 DSGVO ermöglicht würden. Die Analyse des Datenschutzes bei datenfinanzierten Angeboten hat darüber hinaus offenbart, dass die tatsächlich stattfindende Datenverarbeitung für den Nutzer oft nicht zu überblicken ist. Zusätzlich übersteigt häufig die Anzahl genutzter Apps, bei denen selbst unzählige verschiedene Verarbeitungsprozesse ablaufen, die Aufmerksamkeitskapazität des Nutzers. Damit der Nutzer bei datenfinanzierten Angeboten seine Gegenleistung in Form der Datenpreisgabe tatsächlich abschät-

398

Zusammenfassung der Arbeit in Thesen

zen kann, sollten regulative Maßnahmen einen selbstbestimmten und bewussteren Umgang mit den Nutzerdaten fördern. Dies kann vor allem durch eine Förderung der Transparenz erreicht werden, was gerade bei digitalen Angeboten durch eine verbesserte Visualisierung der Informationen möglich erscheint. Hierfür kommen sog. „One-Pager“ in Betracht, die zusätzlich zur Datenschutzerklärung wichtige Datenschutzinformationen zusammenfassen. Der Vorteil des One-Pager liegt in einer zumindest auf den ersten Blick übersichtlichen und gegliederten Darstellung der wichtigsten Informationen zur Datenverarbeitung. Gerade bei datenfinanzierten Angeboten auf dem Smartphone stellt sich hinsichtlich des Überblicks allerdings das Problem, dass selbst eine derartige Zusammenfassung aufgrund der Größe des Displays oft unübersichtlich ausfällt. Eine verbesserte Transparenz kann auch über eine Visualisierung sonst verschriftlichter Informationen erreicht werden. Die DSGVO sieht bereits eine Grundlage zur Umsetzung solcher Symbole in Art. 12 Abs. 7 DSGVO vor. Es ist bei einer symbolartigen Darstellung allerdings keinesfalls sicher, ob die Symbole tatsächlich zu einer verbesserten Verständlichkeit und Transparenz führen. Daher werden im Rahmen der Arbeit einige der bisherigen Vorschläge auf ihre Tauglichkeit überprüft. Bewertet man dabei die Umsetzungschancen und -risiken einer standardisierten Symbolik, sind für ein Gelingen vor allem die Verständlichkeit der Symbole und die gesamt-europäische Umsetzung von entscheidender Bedeutung. Gelingt dies, könnte die bestehende Informationsasymmetrie zwischen App-­Anbieter und Nutzer deutlich verringert und dem Nutzer eine einfache Möglichkeit verschafft werden, sich über die wesentlichen Vorgänge der Datenverarbeitung transparent zu informieren.

Literaturverzeichnis Alle Internet-Quellen dieser Arbeit wurden zuletzt am 4. April 2022 aufgerufen. Albers, Marion: Grundrechtsschutz der Privatheit, DVBl 2010, S. 1061–1069. Albrecht, Jan Philipp / Jonson, Nils J.: Datenschutz und Meinungsfreiheit nach der Datenschutzgrundverordnung, CR 2016, S. 500–509. Ambrock, Jens / Karg, Moritz: Ausnahmetatbestände der DS-GVO als Rettungsanker des internationalen Datenverkehrs?, ZD 2017, S. 154–161. Arning, Marian Alexander: Datenpools – Big Data datenschutzkonform umsetzen, K&R Beihefter 3/2015, S. 7–12. Arnold, René / Hillebrand, Annette / Waldburger, Martin: Informed Consent in Theorie und Praxis, DuD 2015, S. 730–734. Art. 29-Datenschutzgruppe (Hrsg.): WP 216, Stellungnahme 5/2014 zu Anonymisierungstechniken, 2014. Art. 29-Datenschutzgruppe (Hrsg.): WP 217, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Art. 7 der Richtlinie 95/46/EG, 2014. Art. 29-Datenschutzgruppe (Hrsg.): WP 259, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, 2017. Art. 29-Datenschutzgruppe (Hrsg.): WP 260, Leitlinien für Transparenz gemäß der Verordnung 2016/679, 2017. Auer-Reinsdorff, Astrid: Noch mehr Informationspflichten, aber keine transparenten Icons in Sicht, MMR 2019, S. 209–210. Auer-Reinsdorff, Astrid / Conrad, Isabell (Hrsg.): Handbuch IT- und Datenschutzrecht, 3. Auflage, München 2019. Autorité concurrence / Bundeskartellamt (Hrsg.): Algorithms and Competition, 2019, abrufbar unter: www.bundeskartellamt.de/SharedDocs/Publikation/EN/Berichte/Algorithms_ and_Competition_Working-Paper.html. Autorité concurrence / Bundeskartellamt (Hrsg.): Competition Law and Data, 2016, abrufbar unter: www.bundeskartellamt.de/SharedDocs/Publikation/DE/Berichte/Big%20Data %20Papier.html. Barczok, Achim: Appgehört. Smartphone-Schnüfflern auf der Spur, c’t 9/2015, S. 122–125. Baumgartner, Ulrich / Ewald, Konstantin: Apps und Recht, 2. Auflage, München 2016. Becker, Maximilian: Ein Recht auf datenerhebungsfreie Produkte, JZ 2017, S. 170–181.

400

Literaturverzeichnis

Becker, Maximilian: Reconciliating Data Privacy and Trade in Data – A Right to Data-avoiding Products, ZGE 2017, S. 371–393. Bender, Anouk Marie: Die Freiwilligkeit der datenschutzrechtlichen Einwilligung bei unentgeltlichen Dienstleistungen im Internet, Baden-Baden 2021. Benedikt, Kristin: ePrivacy-VO – Was lange währt, wird endlich gut?, RDV 2019, S. 283–290. Bergt, Matthias: Die Bestimmbarkeit als Grundproblem des Datenschutzrechts – Überblick über den Theorienstreit und Lösungsvorschläge, ZD 2015, S. 365–371. Berliner Beauftragte für Datenschutz und Informationsfreiheit: Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzen, 2021, abrufbar unter: www.datenschutzberlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_ Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf. Beyerbach, Hannes: Social Media im Verfassungsrecht und in der einfachgesetzlichen Medienregulierung, in: Gerrit Hornung / Ralf Müller-Terpitz, Rechtshandbuch Social Media, 2. Auflage, Heidelberg 2021, S. 507–593. Bidler, Margarita / Steuder, Tobias / Schumann, Jan H. / Widjaja, Thomas: Kundenwahrnehmung und Kundenverhalten beim Bezahlen von digitalen Dienstleistungen mit personenbezogenen Daten, in: Louisa Specht-Riemenschneider / Nikola Werry / Susanne Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2020, S. 285–304. Bieker, Felix / Hansen, Marit: Datenschutz „by Design“ und „by Default“ nach der neuen europäischen Datenschutz-Grundverordnung, RDV 2017, S. 165–170. BITKOM (Hrsg.): Apps & Mobile Services – Tipps für Unternehmen, 2. Auflage, 2014, abrufbar unter: www.bitkom.org/sites/default/files/file/import/140121-Apps-und-MobileServices-2014.pdf. BITKOM (Hrsg.): Big Data im Praxiseinsatz  – Szenarien, Beispiele, Effekte, 2012, abrufbar unter: www.post-und-telekommunikation.de/PuT/1Fundus/Dokumente/Info_und_Leit faeden/BITKOM/Big_Data_BITKOM-Leitfaden_Sept.2012.pdf. BITKOM (Hrsg.): Big Data und Geschäftsmodell-Innovation in der Praxis: 40 Beispiele, 2015, abrufbar unter: www.bitkom.org/noindex/Publikationen/2015/Leitfaden/Big-Data-undGeschaeftsmodell-Innovationen/151229-Big-Data-und-GM-Innovationen.pdf. Boehme-Neßler, Volker: Das Ende der Anonymität, DuD 2016, S. 419–423. Bolsinger, Harald J.: Wo bleibt die digitale Dividende für Europas Konsumenten, DuD 2016, S. 382–385. Botta, Jonas: Eine Frage des Niveaus: Angemessenheit drittstaatlicher Datenschutzregime im Lichte der Schlussanträge in „Schrems II“, CR 2020, S. 82–89. Boyd, Danah / Crawford, Kate: Six Provocations for Big Data, 2011, abrufbar unter: papers. ssrn.com/sol3/papers.cfm?abstract_id=1926431. Bräutigam, Peter: Das Nutzungsverhältnis bei sozialen Netzwerken. Zivilrechtlicher Austausch von IT-Leistung gegen personenbezogene Daten, MMR 2012, S. 635–641. Bräutigam, Peter / Rücker, Daniel (Hrsg.): E-Commerce Rechtshandbuch, München 2017.

Literaturverzeichnis

401

Brendle-Weith, Anne-Katrin: Datenhandel im Rahmen der Datenschutzgrundverordnung, VuR 2018, S. 331–336. Breyer, Jonas: Verarbeitungsgrundsätze und Rechenschaftspflicht nach Art. 5 DS-GVO, DuD 2018, S. 311–317. Brink, Stefan: Die informationelle Selbstbestimmung – umzingelt von Freunden?, CR 2017, S. 433–436. Britz, Gabriele: Europäisierung des grundrechtlichen Datenschutzes?, EuGRZ 2009, S. 1–11. Britz, Gabriele: Informationelle Selbstbestimmung zwischen rechtswissenschaftlicher Grundsatzkritik und Beharren des Bundesverfassungsgerichts, in: Wolfgang Hoffmann-Riem (Hrsg.), Offene Rechtswissenschaft, Tübingen 2010, S. 561–598. Buchner, Benedikt: Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DSGVO, DuD 2016, S. 155–161. Buchner, Benedikt: Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006. Buchner, Benedikt: Is there a Right to One’s Own Personal Data?, ZGE 2017, S. 416–419. Buchner, Benedikt / Kühling, Jürgen: Die Einwilligung in der Datenschutzordnung 2018, DuD 2017, S. 544–548. Buck, Christoph / Germelmann, Claas Christian / Eymann, Torsten: Datenweitergabe als Bedro­hung? Konsumentenwahrnehmung am Beispiel mobiler Applikationen, in: Martin Schmidt-Kessel / Carmen Langhanke (Hrsg.), Datenschutz als Verbraucherschutz, Jena 2016, S. ­49–67. Buhl, Hans Ulrich / Röglinger, Maximilian / Moser, Florian / Heidemann, Julia: Big Data. Ein (ir-)relevanter Modebegriff für Wissenschaft und Praxis?, in: Martin Schmidt-Kessel /  Carmen Langhanke (Hrsg.), Datenschutz als Verbraucherschutz, Jena 2016, S. 37–47. Bundeskartellamt (Hrsg.): Fallbericht v. 15. 02. 2019 – Facebook; Konditionenmissbrauch gemäß § 19 Abs. 1 GWB wegen unangemessener Datenverarbeitung, 2019, abrufbar unter: www. bundeskartellamt.de/SharedDocs/Entscheidung/DE/Fallberichte/Missbrauchsaufsicht/2019/ B6-22-16.pdf?__blob=publicationFile&v=4. Bundesministerium für Wirtschaft und Energie (Hrsg.): Leitplanken Digitaler Souveränität, Berlin 2015, abrufbar unter: www.de.digital/DIGITAL/Redaktion/DE/Downloads/itgipfel-2015-leitplanken-digitaler-souveraenitaet.pdf?__blob=publicationFile&v=1. Bunnenberg, Jan Niklas: Privates Datenschutzrecht, Baden-Baden 2020. Calliess, Christian / Ruffert, Matthias (Hrsg.): EUV / A EUV Kommentar, 5. Auflage, München 2016. Cavoukian, Ann: Privacy by Design – The 7 Foundational Principles, 2011, abrufbar unter: ryerson.ca/content/dam/pbdce/seven-foundational-principles/The-7-Foundational-Principles. pdf. Chiusi, Tiziana J. / Herrler, Sebastian (Hrsg.): J. von Staudingers Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen, Buch 2 Recht der Schuldverhältnisse §§ 516–534, Neubearbeitung 2021, Berlin 2021.

402

Literaturverzeichnis

Coughlan, Steve / Currie, Robert J. / Kindred, Hugh M. / Scassa, Teresa: Global Reach, Local Grasp: Construction Extraterritorial Jurisdiction in the Age of Globalization, 2006, abrufbar unter: papers.ssrn.com/sol3/papers.cfm?abstract_id=2114298. Culik, Nicolai: Big Data & Privacy – Was kommt aus Brüssel, in: Thomas Hoeren / Babara ­Kolany-Raiser (Hrsg.), Big Data zwischen Kausalität und Korrelation, Berlin 2016, S. 36– 43. Culik, Nicolai / Döpke, Christian: Zweckbindungsgrundsatz gegen unkontrollierten Einsatz von Big Data-Anwendungen, ZD 2017, S. 226–230. Czajkowski, Nico / Müller-ter Jung, Marco: Datenfinanzierte Premiumdienste und Fernabsatzrecht, CR 2018, S. 157–166. Dammann, Ulrich: Erfolge und Defizite der EU-Datenschutzgrundverordnung, ZD 2016, S. 307–314. Data Protection Commissioner Ireland (Hrsg.): Facebook Ireland Ltd. Report of Audit, 2011, abrufbar unter: www.europe-v-facebook.org/Facebook_Ireland_Audit_Report_Final.pdf. Datenethikkommission der Bundesregierung (Hrsg.): Gutachten vom 23. Oktober 2019, Berlin 2019, abrufbar unter: www.bmj.de/SharedDocs/Downloads/DE/Themen/Fokusthemen/ Gutachten_DEK_DE.pdf;jsessionid=C8A1F1FD82A6A67F3182980D393D3D15.2_cid29 7?__blob=publicationFile&v=5. Denga, Michael: Gemengelage privaten Datenrechts, NJW 2018, S. 1371–1376. Denham, Elizabeth: Report of Findings into the complaint filed by the Canadian Internet Policy and Public Interest Clinic (CIPPIC) against Facebook Inc. under the personal Information Protection and Electronic Document Act, 2009, abrufbar unter: www.priv.gc.ca/ media/1033/2009_008_0716_e.pdf. Determann, Lothar: Gegen Eigentumsrechte an Daten, ZD 2018, S. 503–508. Deutscher Anwaltsverein (Hrsg.): Stellungnahme Nr. 07/2021, 2021, abrufbar unter: anwaltverein.de/ de/newsroom/sn-07-21-harmonisierung-von-tmg-und-tkg-an-die-dsgvo. Dewenter, Ralf / Lüth, Hendrik (Hrsg.): ABIDA – Datenhandel und Plattformen, 2019, abrufbar unter: www.abida.de/de/blog-item/gutachten-datenhandel-und-plattformen. Dewenter, Ralf / Lüth, Hendrik: Big Data: Eine ökonomische Perspektive, in: Torsten Körber /  Ulrich Immenga (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, Baden-­Baden 2017, S. 9–29. Dewenter, Ralf / Rösch, Jürgen: Einführung in die neue Ökonomie der Medienmärkte, Wiesbaden 2015. Dieckhoff, Anke: Datenschutz und Smartphone-Nutzung im Konflikt, Baden-Baden 2020. Diegmann, Heinz / Kuntz, Wolfgang: Praxisfragen bei Onlinespielen, NJW 2010, S. 561–566. Dienlin, Tobias: Das Privacy Paradox aus psychologischer Perspektive, in: Louisa SpechtRiemenschneider / Nikola Werry / Susanne Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2020, S. 305–323. Dörr, Oliver / Grote, Rainer / Marauhn, Thilo (Hrsg.): EMRK / GG Konkordanz-Kommentar, Band I, 2. Auflage, Tübingen 2013.

Literaturverzeichnis

403

Dreier, Horst (Hrsg.): Grundgesetz Kommentar, Band I, 3. Auflage, Tübingen 2013. Drexl, Josef: Neue Regeln für die Europäische Datenwirtschaft? Ein Plädoyer für einen wettbewerbspolitischen Ansatz – Teil 1, NZKart 2017, S. 339–344. Drexl, Josef: Neue Regeln für die Europäische Datenwirtschaft? Ein Plädoyer für einen wettbewerbspolitischen Ansatz – Teil 2, NZKart 2017, S. 415–421. DSK, Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Hrsg.): Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, 2009. DSK, Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Hrsg.): Orientierungshilfe Videokonferenzsysteme, 2020. DSK, Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Hrsg.): Positionspapier der DSK zur Datenschutz-Grundverordnung, DuD 2015, 722. Edenharter, Andrea: Grundrechtsschutz in föderalen Mehrebenensystemen, Tübingen 2018. Ehlers, Dirk (Hrsg.): Europäische Grundrechte und Grundfreiheiten, 4. Auflage, Berlin 2014. Ehmann, Eugen / Selmayr, Martin (Hrsg.): Datenschutz-Grundverordnung Kommentar, 2. Auflage, München 2018. Eichenhofer, Johannes: Vom Zweckbindungsgrundsatz zur Interessenabwägung?, PinG 2017, S. 135–140. Engeler, Malte: Das überschätze Kopplungsverbot, ZD 2018, S. 55–62. Engeler, Malte: Die ePrivacy-Verordnung zwischen Trilog und Ungewissheit, ZD 2017, S. 549– 550. Engels, Babara: IW-Trends 2/2018, Datenschutzpräferenzen von Jugendlichen in Deutschland, Köln 2018, abrufbar unter: www.iwkoeln.de/fileadmin/user_upload/Studien/IW-Trends/ PDF/2018/IW-Trends_2018-02-02_Datenschutzpr%c3%a4ferenzen_Engels.pdf. Ennulat, Mark: Datenschutzrechtliche Verpflichtungen der Gemeinschaftsorgane und -Einrichtungen, Frankfurt a. M. 2008. Ernst, Stefan: Die Einwilligung nach der Datenschutzgrundverordnung, ZD 2017, S. 110–114. Eßer, Martin / Kramer, Philipp / v. Lewinski, Kai (Hrsg.): Auernhammer Datenschutz-Grundverordnung, Bundesdatenschutzgesetz und Nebengesetze Kommentar, 7. Auflage, Köln 2020. Europäische Kommission (Hrsg.): Special Eurobarometer 431: Data Protection, 2015, abrufbar unter: data.europa.eu/data/datasets/s2075_83_1_431_eng?locale=en. European Data Protection Board (Hrsg.): ANNEX. Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data, 2019, abrufbar unter: edps.europa.eu/sites/edp/files/publication/19-07-10_edpb_edps_cloudact_ annex_en.pdf. European Data Protection Board (Hrsg.): Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des Unionsrechtlichen Schutzniveaus für personenbezogene Daten, 2020, abrufbar unter: edpb.europa.eu/sites/default/files/ consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_de.pdf.

404

Literaturverzeichnis

European Data Protection Board (Hrsg.): Guidelines 4/2019 on Article 25, 2019, abrufbar unter: edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_201904_data protection_by_design_and_by_default.pdf. European Data Protection Board (Hrsg.): Guidelines 05/2020 on consent under Regulation 2016/679, Version 1.1, 2020, abrufbar unter: edpb.europa.eu/sites/default/files/files/file1/ edpb_guidelines_202005_consent_en.pdf. European Data Protection Board (Hrsg.): Häufig gestellte Fragen zum Urteil des Gerichtshofs der Europäischen Union in der Rechtssache C-311/18, 2020, abrufbar unter: edpb.europa. eu/sites/default/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_de.pdf. European Data Protection Board (Hrsg.): Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, 2018, abrufbar unter: edpb.europa.eu/sites/default/files/ files/file1/edpb_guidelines_2_2018_derogations_de.pdf. Fischer-Hübner, Simone / Wästlund, Erik / Zwingelberg, Harald: UI prototypes: Policy administration and presentation version 1, deliverable D.4. 3. 1. of the EC FP7 project PrimeLife, 2009, abrufbar unter: primelife.ercim.eu/images/stories/deliverables/d4.3.1-ui_prototypespolicy_administration_and_presentation_v1.pdf. Frowein, Jochen / Peukert, Wolfgang: Europäische Menschenrechtskonvention Kommentar, 3. Auflage, Kehl am Rhein 2009. Gallwas, Hans-Ullrich: Der allgemeine Konflikt zwischen dem Recht auf informationelle Selbstbestimmung und der Informationsfreiheit, NJW 1992, S. 2785–2790. GDD, Gesellschaft für Datenschutz und Datensicherheit e. V. (Hrsg.): GDD-Praxishilfe ePrivacy I, Bonn 2018. Gersdorf, Hubertus: Regulierung der OTT-Dienste, in: Torsten Körber / Jürgen Kühling (Hrsg.), Regulierung – Wettbewerb – Innovation, Baden-Baden 2017, S. 185–212. Gersdorf, Hubertus / Paal, Boris (Hrsg.): BeckOK Informations- und Medienrecht, 34. Edition, München 2021. Gierschmann, Sibylle: Gestaltungsmöglichkeiten bei Verwendung von personenbezogenen Daten in der Werbung, MMR 2018, S. 7–12. Gola, Peter: Die Entwicklung des Datenschutzrechts im Jahre 1994/95, NJW 1995, S. 3283–3291. Gola, Peter: Neues Recht – neue Fragen: Einige aktuelle Interpretationsfragen zur DSGVO, K&R 2017, S. 145–149. Gola, Peter (Hrsg.): Datenschutz-Grundverordnung Kommentar, 2. Auflage, München 2018. Goldhammer, Klaus / Wiegand, André: Ökonomischer Wert von Verbraucherdaten für Adressund Datenhändler, Berlin 2017, abrufbar unter: www.bmjv.de/SharedDocs/Downloads/DE/ PDF/Berichte/Oekon_Wert_Daten_Adresshaendler.pdf?__blob=publicationFile&v=6. Golland, Alexander: Das Kopplungsverbot in der Datenschutz-Grundverordnung, MMR 2018, S. 130–133. Golland, Alexander: Datenschutzrechtliche Anforderungen an internale Datentransfers, NJW 2020, S. 2593–2596. Golland, Alexander: Der räumliche Anwendungsbereich der DS-GVO, DuD 2018, S. 351–357.

Literaturverzeichnis

405

Golland, Alexander: Gemeinsame Verantwortlichkeit in mehrstufigen Verarbeitungsszenarien, K&R 2018, S. 433–438. Gonzáles Fuster, Gloria / Scherrer, Amandine: Big Data and smart devices and their impact on privacy, 2015, abrufbar unter: www.europarl.europa.eu/RegData/etudes/STUD/2015/ 536455/IPOL_STU(2015)536455_EN.pdf. Grabenwarter, Christoph (Hrsg.): Europäischer Grundrechteschutz, Baden-Baden 2014. Grabenwarter, Christoph / Pabel, Katharina: Europäische Menschenrechtskonvention, 7. Auflage, München 2021. Grabitz, Eberhard / Hilf, Meinhard / Nettesheim, Martin (Hrsg.): Das Recht der Europäischen Union, Band I: EUV / A EUV, 73. Ergänzungslieferung, München 2021. Greve, Holger: Das neue Bundesdatenschutzgesetz, NVwZ 2017, S. 737–744. Greve, Holger: Drittwirkung des grundrechtlichen Datenschutzes im digitalen Zeitalter, in: Claudio Franzius et. al. (Hrsg.): Beharren. Bewegen. Festschrift für Michael Kloepfer zum 70. Geburtstag, Berlin 2013, S. 665–677. Grimm, Anna: Telematiktarife Existierende Tarifmodelle und ihre Funktionsweisen, in: ­Martin Schmidt-Kessel / Anna Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, VersR-Schriften 63, Karlsruhe 2018, S. 47–60. von der Groeben, Hans / Schwarze, Jürgen / Hatje, Armin (Hrsg.): Europäisches Unionsrecht, Band 1, 7. Auflage, Baden-Baden 2015. Grüneberg, Christian (Hrsg.): Grüneberg Bürgerliches Gesetzbuch, 81. Auflage, München 2022. Grzeszick, Bernd / Rauber, Jochen: Anwendbarkeit der DS-GVO durch Einschaltung Dritter?, ZD 2018, S. 560–564. Gumm, Heinz-Peter / Sommer, Manfred: Einführung in die Informatik, 10. Auflage, München 2013. Gurlit, Elke: Verfassungsrechtliche Rahmenbedingungen des Datenschutzes, NJW 2010, S. 1035–1041. Hansen, Marit / Walczak, Benjamin: Pseudonymisierung á la DS-GVO und verwandte Methoden, RDV 2019, S. 53–57. Härting, Niko: „Dateneigentum“ – Schutz durch Immaterialgüterrecht?, CR 2016, S. 646–649. Härting, Niko: Digital Goods und Datenschutz – Daten sparen oder monetarisieren, CR 2016, S. 735–740. Härting, Niko / Gössling, Patrick: Gemeinsame Verantwortlichkeit bei einer Facebook-Fanpage, NJW 2018, S. 2523–2526. Härting, Niko / Gössling, Patrick / Dimov, Vitorio: „Berechtigte Interessen“ nach der DSGVO, ITRB 2017, S. 169–172. Heinzke, Philippe / Engel, Lennart: Datenverarbeitung zur Vertragserfüllung – Anforderungen und Grenzen, ZD 2020, S. 189–194. Herbst, Tobias: Was sind personenbezogene Daten?, NVwZ 2016, S. 902–906.

406

Literaturverzeichnis

Herdegen, Matthias: Völkerrecht, 20. Auflage, München 2021. Herfurth, Constantin: Interessenabwägung nach Art. 5 Abs. 1 lit. f DS-GVO, ZD 2018, S. 514– 520. Hermstrüwer, Yoan: Contraction Around Privacy, JIPITEC 2017, S. 9–26. Hermstrüwer, Yoan: Informationelle Selbstgefährdung, Tübingen 2016. Hesse, Konrad: Grundzüge des Verfassungsrechts der Bundesrepublik Deutschland, 20. Auflage, Heidelberg 1999. Hilty, Reto M.: Die Rechtsnatur des Softwarevertrages, CR 2012, S. 625–637. Hoeren, Thomas: Datenbesitz statt Dateneigentum, MMR 2019, S. 5–8. Hoeren, Thomas: Open Source und das Schenkungsrecht  – eine durchdachte Liaison?, in: Reinhard Bork / T homas Hoeren / Petra Pohlmann, Recht und Risiko. Festschrift für Helmut Kollhosser, Band II, Karlsruhe 2004, S. 229–240. Hoeren, Thomas: Personenbezogene Daten als neue Währung der Internetwirtschaft, WuW 2013, S. 463. Hoeren, Thomas: Wenn Sterne kollabieren, entsteht ein schwarzes Loch  – Gedanken zum Ende des Datenschutzes, ZD 2011, S. 145–146. Hoffmann, Bernhard: Zweckbindung als Kernpunkt eines prozeduralen Datenschutzansatzes, Baden-Baden 1991. Hoffmann, Jan Martin: Unionsgrundrechte als verfassungsrechtlicher Prüfungsmaßstab, NVwZ 2020, S. 33–37. Hofmann, Johanna M. / Johannes, Paul C.: DS-GVO: Anleitung zur autonomen Auslegung des Personenbezugs, ZD 2017, S. 221–226. Hornung, Gerrit: Eine Datenschutz-Grundverordnung für Europa?, ZD 2012, S. 99–106. Hornung, Gerrit / Wagner, Bernd: Anonymisierung als datenschutzrelevante Verarbeitung?, ZD 2020, S. 223–228. IAPP-EY (Hrsg.): Annual Privacy Governance Report 2019, 2020, abrufbar unter: iapp.org/ resources/article/privacy-governance-report/. Immenga, Ulrich / Mestmäcker, Ernst-Joachim (Begr.): Wettbewerbsrecht, Band 1, 6. Auflage, München 2019. Isensee, Josef / K irchhof, Paul (Hrsg.): Handbuch des Staatsrechts, Band IX, 3. Auflage, Heidelberg 2011. Janal, Ruth: Die AGB-Einbeziehung im „M-Commerce“, NJW 2016, S. 3201–3205. Jandt, Silke: Spezifischer Datenschutz für Telemedien und die DS-GVO, ZD 2018, S. 405–408. Jarass, Hans D.: Charta der Grundrechte der Europäischen Union Kommentar, 4. Auflage, München 2021. Jarass, Hans D.: Das allgemeine Persönlichkeitsrecht im Grundgesetz, NJW 1989, S. 859–862. Jobst, Simon: Konsequenzen einer unmittelbaren Grundrechtsbindung Privater, NJW 2020, S. 11–16.

Literaturverzeichnis

407

Johannes, Paul C. / Richter, Philipp: Privilegierte Verarbeitung im BDSGE-E, DuD 2017, S. 300–305. Johne, Marc: Verdeckte Verbraucherprofile. Methodik und normative Grenzen, Marburg 2016. Jung, Alexander / Hansch, Guido: Die Verantwortlichkeit in der DS-GVO und ihre praktischen Auswirkungen, ZD 2019, S. 143–148. Kahl, Wolfgang / Waldhoff, Christian / Walter, Christian (Hrsg.): Bonner Kommentar zum Grundgesetz, Ordner 2: Art. 2–3, Ordner 3: Art. 4–5, 214. Aktualisierung, Heidelberg 2021. Kämmerer, Jörn Axel / Kotzur, Markus: Die BVerfG-Beschlüsse zum „Recht auf Vergessen“ als Fanal, NVwZ 2020, S. 177–184. Kamp, Meike / Rost, Martin: Kritik an der Einwilligung, DuD 2013, S. 80–83. Karg, Moritz: Anonymität, Pseudonyme und Personenbezug revisited, DuD 2015, S. 520–526. Karpenstein, Ulrich / Kottmann, Matthias: Vom Gegen- zum Mitspieler – Das BVerfG und die Unionsgrundrechte, EuZW 2020, S. 185–189. Karpenstein, Ulrich / Mayer, Franz C. (Hrsg.): Konvention zum Schutz der Menschenrechte und Grundfreiheiten Kommentar, 3. Auflage, München 2022. Katko, Peter / Babaei-Beigi, Ayda: Accountability statt Einwilligung?, MMR 2014, S. 360–364. Kilian, Wolfgang: Strukturwandel der Privatheit, in: Hansjürgen Garstka / Wolfsgang Coy (Hrsg.), Wovon  – für wen  – wozu. Systemdenken wider die Diktatur der Daten, Berlin 2014, S. 195–224. Klein, Urs Albrecht / Datta, Amit: Vertragsstrukturen beim Erwerb kostenloser Apps, CR 2016, S. 587–590. Klement, Jan Henrik: Öffentliches Interesse an Privatheit, JZ 2017, S. 161–170. Körber, Torsten: Die Facebook-Entscheidung des Bundeskartellamtes  – Machtmissbrauch durch Verletzung des Datenschutzrechts?, NZKart 2019, S. 187–195. Kozyreva, Anastasia / Herzog, Stefan / L orenz-Spreen, Philipp / Hertwig, Ralph / L ewandowsky, Stephan: Künstliche Intelligenz in Online-Umgebungen, Berlin 2020, abrufbar unter: pure. mpg.de/rest/items/item_3190264_9/component/file_3195146/content. Kramer, Philipp: Verbot mit Erlaubnisvorbehalt zeitgemäß?, DuD 2013, S. 380–382. Kremer, Sascha: Gemeinsame Verantwortlichkeit: die neue Auftragsverarbeitung?, CR 2019, S. 225–234. Kremer, Sascha: Vertragsgestaltung bei Entwicklung und Vertrieb von Apps für mobile Endgeräte, CR 2011, S. 769–776. Kremer, Sascha: Wer braucht warum das neue BDSG, CR 2017, S. 367–378. Kroeber-Riel, Werner: Bildkommunikation, 2. Auflage, München 1995. Krohm, Niclas: Abschied vom Schriftformgebot der Einwilligung, ZD 2016, S. 368–373. Krönke, Christoph: Datenpaternalismus, Der Staat 2016, S. 319–351. Krügel, Tina: Das personenbezogene Datum nach der DS-GVO, ZD 2017, S. 455–460.

408

Literaturverzeichnis

Krusche, Jan: Kumulation von Rechtsgrundlagen zur Datenverarbeitung, ZD 2020, S. 232– 237. Kugelmann, Dieter: Datenfinanzierte Internetangebote, DuD 2016, S. 566–570. Kühling, Jürgen: Das „Recht auf Vergessenwerden“ vor dem BVerfG – November(r)evolution für die Grundrechtsarchitektur im Mehrebenensystem, NJW 2020, S. 275–280. Kühling, Jürgen: Datenschutz und die Rolle des Rechts, in: Stiftung Datenschutz (Hrsg.), Zukunft der informationellen Selbstbestimmung, Berlin 2016, S. 49–62. Kühling, Jürgen: Der Fall der Vorratsdatenspeicherungsrichtlinie und der Aufstieg des EuGH zum Grundrechtsgericht, NVwZ 2014, S. 681–685. Kühling, Jürgen: Die Europäisierung des Datenschutzrechts, Baden-Baden 2014. Kühling, Jürgen: What to do with OTT? – Die Regulierung von Gmail, WhatsApp & Co. de lege ferenda, in: Torsten Körber / Jürgen Kühling (Hrsg.), Regulierung – Wettbewerb – Innovation, Baden-Baden 2017, S. 165–184. Kühling, Jürgen / Buchner, Benedikt (Hrsg.): Datenschutz-Grundverordnung / BDSG Kommentar, 3. Auflage, München 2020. Kühling, Jürgen / Martini, Mario: Die Datenschutz-Grundverordnung: Revolution oder Evolution im europäischen und deutschen Datenschutzrecht?, EuZW 2016, S. 448–454. Kühling, Jürgen / Sackmann, Florian: Irrweg „Dateneigentum“. Neue Großkonzepte als Hemmnis für die Nutzung und Kommerzialisierung von Daten, ZD 2020, S. 24–30. Lammerant, Hans / De Hert, Paul: Visions of Technology, in: Serge Gutwirth / Ronald Leenes /  Paul De Hert (Hrsg.), Data protection on the move, Dordrecht 2016, S. 163–194. Langhanke, Carmen: Daten als Leistung, Tübingen 2018. Langhanke, Carmen / Schmidt-Kessel, Martin: Consumer Data as Consideration, EuCML 2015, S. 218–223. Lehner, Franz: Preis- und Wertermittlung für Daten und Informationen, in: Louisa SpechtRiemenschneider / Nikola Werry / Susanne Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2020, S. 471–488. Lenaerts, Koen: Kooperation und Spannung im Verhältnis von EuGH und nationalen Verfassungsgerichten, EuR 2015, S. 3–27. Lewinski, Kai von / Herrmann, Christoph: Vorrang des europäischen Datenschutzrechts gegenüber Verbrauchschutz- und AGB-Recht, Teil 1, PinG 2017, S. 165–172. Lezzi, Lukas / Oberlin, Jutta Sonja: Gemeinsam Verantwortliche in der konzerninternen Datenverarbeitung, ZD 2018, S. 398–404. Linardatos, Dimitrios: Daten als Gegenleistung im Vertrag mit Blick auf die Richtlinie über digitale Inhalte, in: Louisa Specht-Riemenschneider / Nikola Werry / Susanne Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2020, S. 506–559. Linardatos, Dimitrios: Die Einbeziehung von AGB im digitalen Rechtsverkehr mit Verbraucher, JZ 2020, S. 1097–1106.

Literaturverzeichnis

409

Mangoldt, Herrmann v. / Klein, Friedrich / Starck, Christian (Hrsg.): Grundgesetz Kommentar, Band 1 Art. 1–19, 7. Auflage, München 2018. Mantelero, Alessandro: Defining a new paradigm for data protection in the world of Big Data analytics, 2014, abrufbar unter: www.researchgate.net/publication/281450862_Defining_ a_new_paradigm_for_data_protection_in_the_world_of_Big_Data_analytics. Marly, Jochen: Praxishandbuch Softwarerecht, 7. Auflage, München 2018. Marnau, Ninja: Anonymisierung, Pseudonymisierung und Transparenz für Big Data, DuD 2016, S. 428–433. Masing, Johannes: Herausforderungen des Datenschutzes, NJW 2012, S. 2305–2311. Maunz, Theodor / Dürig, Günter (Hrsg.): Grundgesetz-Kommentar, Band I, 94. Ergänzungslieferung, München 2021. Maunz, Theodor / Dürig, Günter (Hrsg.): Grundgesetz-Kommentar, Band II, 94. Ergänzungslieferung, München 2021. Mayer, Ansgar: App-Economy. Milliardenmarkt Mobile Business, München 2012. Mense, Maximilian: EU-US-Privacy-Shield – der kleinste gemeinsame Nenner angemessenen Datenschutzes?, ZD 2019, S. 351–356. Merten, Detlef / Papier, Hans-Jürgen (Hrsg.): Handbuch der Grundrechte, Band II, Heidelberg 2006. Merten, Detlef / Papier, Hans-Jürgen (Hrsg.): Handbuch der Grundrechte, Band VI/1, Heidelberg 2010. Merveldt, Christina Gräfin v.: Zulässigkeit langfristiger Laufzeiten für Software­überlassungs­ verträge, CR 2006, S. 721–729. Meyer, Jürgen / Hölscheidt, Sven (Hrsg.): Charta der Grundrechte der Europäischen Union, 5. Auflage, Baden-Baden 2019. Meyer-Ladewig, Jens / Nettesheim, Martin / Raumer, Stefan von (Hrsg.): Europäische Menschenrechtskonvention Handkommentar, 4. Auflage, Baden-Baden 2017. Michl, Walther: Das Verhältnis zwischen Art. 7 und Art. 8 GRCh  – zur Bestimmung der Grundlage des Datenschutzgrundrechts im EU-Recht, DuD 2017, S. 349–353. Monreal, Manfred: „Der für die Verarbeitung Verantwortliche“ – das unbekannte Wesen des deutschen Datenschutzrechts, ZD 2014, S. 611–616. Monreal, Manfred: Weiterverarbeitung nach einer Zweckänderung in der DS-GVO, ZD 2016, S. 507–512. Moos, Flemming: „Geht nicht“ gibt es nicht: Datennutzung als rechtliche Gestaltungsaufgabe, K&R Beihefter 3/2015, S. 12–16. Müller, Günter / Flender, Christian / Peters, Martin: Vertrauensinfrastruktur und Privatheit als ökonomische Fragestellung, in: Johannes Buchmann (Hrsg.), Internet Privacy, Heidelberg 2012, S. 143–188. Müller, Johannes Karl Martin: Dateneigentum in der vierten industriellen Revolution?, DuD 2019, S. 159–166.

410

Literaturverzeichnis

Müller-Terpitz, Ralf: Die Grundrechtsberechtigung juristischer Personen im Zeitalter der Globalisierung und Digitalisierung, JZ 2020, S. 1080–1086. Müller-Terpitz, Ralf: Filter als Gefahr für die Meinungspluralität? – Verfassungsrechtliche Erwägungen zum Einsatz von Filtertechnologien, ZUM 2020, S. 365–374. von Münch, Ingo / Kunig, Philip (Hrsg.): Grundgesetz Kommentar, Band 1, 7. Auflage, München 2021. Niederprüm, Eric: Das Erfordernis einer Kommunikationsordnung für soziale Netzwerke, Hamburg 2021. Nipperdey, Hans Carl: Grundrechte und Privatrecht, Krefeld 1961. Ochs, Carsten: BIG DATA – little privacy? Eine soziologische Bestandsaufnahme, in: P ­ hilipp Richter (Hrsg.), Privatheit, Öffentlichkeit und demokratische Willensbildung in Zeiten von Big Data, Baden-Baden 2015, S. 169–186. OECD (Hrsg.): Data-Driven Innovation: Big Data for Growth and Well-Being, Paris 2015, abrufbar unter: http://dx.doi.org/10.1787/9789264229358-en. OECD (Hrsg.): The App Economy. OECD Digital Economy Papers No. 230, Paris 2013, abrufbar unter: http://dx.doi.org/10.1787/5k3ttftlv95k-en. Ohly, Ansgar: „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002. Paal, Boris P. / Hennemann, Moritz: Big Data im Recht, NJW 2017, S. 1697–1701. Paal, Boris P. / Pauly, Daniel A. (Hrsg.): Kompakt-Kommentar Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3. Auflage, München 2021. Papier, Hans-Jürgen: Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, S. 3025–3031. Pechstein, Mathias / Nowak, Carsten / Häde, Ulrich (Hrsg.): Frankfurter Kommentar zu EUV, GRC und AEUV, Band II, Tübingen 2017. Piltz, Carlo: Die Datenschutz-Grundverordnung, Teil 1, K&R 2016, S. 557–567. Piltz, Carlo: Die Datenschutz-Grundverordnung, Teil 4: Internationale Datentransfers und Aufsichtsbehörden, K&R 2016, S. 777–784. Plath, Kai-Uwe (Hrsg.): Kommentar zu DSGVO, BDSG und den Datenschutzbestimmungen von TMG und TKG, 3. Auflage, Köln 2018. Pollmann, Maren / Kipker, Dennis-Kenji: Informierte Einwilligung in der Online-Welt, DuD 2016, S. 378–381. Raabe, Oliver / Wagner, Manuela: Verantwortlicher Einsatz von Big Data, DuD 2016, S. 434–439. Radlanski, Philip: Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, Tübingen 2016. Rath, Michael / Heins, Markus / Éles, Kata: Internationaler Datentransfer im Konzern, CR 2019, S. 500–505. Reichert, Ramón: Einführung, in: Ramón Reichert (Hrsg.), Big Data; Analysen zum digitalen Wandel von Wissen Macht und Ökonomie, Bielefeld 2014, S. 9–31.

Literaturverzeichnis

411

Reif, Yvette: Gemeinsame Verantwortlichkeit beim Lettershopverfahren – praktische Konsequenzen der EuGH-Rechtsprechung zu den „Fanpages“ und „Zeugen Jehovas“, RDV 2019, S. 30–32. Reiners, Wilfried, Datenschutz in der Personal Data Economy. Eine Chance für Europa, ZD 2015, S. 51–55. Richter, Frederick: Aus Sicht der Stiftung Datenschutz – Simplifizierung als Lösung für die „Daten-AGB“?, PinG 2017, S. 65–66. Richter, Philipp: Big Data, Statistik und die Datenschutz-Grundverordnung, DuD 2016, S. 581–586. Riechert, Anne: Dateneigentum – ein unauflösbarer Interessenkonflikt?, DuD 2019, S. 353–360. Rogosch, Patricia Maria: Die Einwilligung im Datenschutzrecht, Baden-Baden 2013. Roßnagel, Alexander: Big Data – Small Privacy? Konzeptionelle Herausforderungen für das Datenschutzrecht, ZD 2013, S. 562–567. Roßnagel, Alexander: Datenschutzgrundsätze  – unverbindliches Programm oder verbind­ liches Recht?, ZD 2018, S. 339–344. Roßnagel, Alexander: Gesetzgebung im Rahmen der Datenschutz-Grundverordnung, DuD 2017, S. 277–281. Roßnagel, Alexander: Kein „Verbotsprinzip“ und kein „Verbot mit Erlaubnisvorbehalt“ im Datenschutzrecht, NJW 2019, S. 1–5. Roßnagel, Alexander: Pseudonymisierung personenbezogener Daten, ZD 2018, S. 243–247. Roßnagel, Alexander: Wie zukunftsfähig ist die Datenschutz-Grundverordnung?, DuD 2016, S. 561–565. Roßnagel, Alexander / Friedewald, Michael / Geminn, Christian / Hagendorf, Thilo / Heesen, Jessica / Hess, Thomas / Kreutzer, Michael / Neubaum, German / Ochs, Carsten / Fhom, ­Hervais: Datensparsamkeit oder Datenreichtum?, 2017, abrufbar unter: www.forum-privatheit.de/ wp-content/uploads/PolicyPaper-Datensparsamkeit.pdf. Roßnagel, Alexander / Nebel, Maxi / Richter, Philipp: Was bleib vom Europäischen Datenschutzrecht? Überlegungen zum Ratsentwurf der DS-GVO ZD 2015, S. 455–460. Roßnagel, Alexander / Pfitzmann, Andreas / Garstka, Hansjürgen: Modernisierung des Datenschutzrechts, Berlin 2001. Roßnagel, Alexander / Scholz, Phillip: Datenschutz durch Anonymität und Pseudonymität, MMR 2000, S. 721–731. Röttgen, Charlotte: Rechtspositionen an Daten: Die Rechtslage im europäischen Rechtsraum, in: Louisa Specht-Riemenschneider / Nikola Werry / Susanne Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2020, S. 371–407. Ruffert, Matthias: Vorrang der Verfassung und Eigenständigkeit des Privatrechts, Tübingen 2001. Ruffert, Matthias / Fehling, Michael (Hrsg.): Regulierungsrecht, Tübingen 2010. Sachs, Michael (Hrsg.): Grundgesetz Kommentar, 9. Auflage, München 2021.

412

Literaturverzeichnis

Säcker, Franz Jürgen / Rixecker, Roland / Oetker, Hartmut / Limperg, Bettina (Hrsg.): Münchener Kommentar zum Bürgerlichen Gesetzbuch, Band 4, 8. Auflage, München 2019. Sandfuchs, Babara: Privatheit wider Willen?, Tübingen 2015. Sattler, Andreas: Personenbezogene Daten als Leistungsgegenstand, JZ 2017, S. 1036–1046. Schantz, Peter: Die Datenschutz-Grundverordnung  – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, S. 1841–1847. Schantz, Peter / Wolff, Heinrich Amadeus: Das neue Datenschutzrecht, München 2017. Schaper, Tim: BGH bestätigt vorläufig den Vorwurf der missbräuchlichen Ausnutzung einer marktbeherrschenden Stellung durch Facebook, Newsdienst Compliance 2020, 310007. Scheffcyk, Fabian: Verfassungsprozessuale Folgefragen von „Recht auf Vergessen 1+2“, NVwZ 2020, S. 977–982. Schefzig, Jens: Wem gehört das neue Öl? – Die Sicherung der Rechte an Daten, K&R Beihefter 3/2015, S. 3–7. Schleipfer, Stefan: Pseudonymität in verschiedenen Ausprägungen, ZD 2020, S. 284–291. Schmidt, Bernd / Freund, Bernhard: Perspektiven der Auftragsverarbeitung, ZD 2017, S. 17–18. Schmidt-Bleibtreu, Bruno / Hofmann, Hans / Henneke, Hans-Günter (Hrsg.): GG Kommentar zum Grundgesetz, 15. Auflage, Köln 2021. Schneider, Jochen / Härting, Niko: Warum wir ein neues BDSG brauchen, ZD 2011, S. 63–68. Schöttle, Hendrik: Mobile Apps: Vorgaben der Datenschutz-Grundverordnung, DB 2018, S. 1197–1202. Schröder, Kay: Potentiale der Informationsvisualisierung im Datenschutz – eine kommunikationswissenschaftliche Betrachtung, in: Louisa Specht-Riemenschneider / Nikola Werry /  Susanne Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2020, S. 345–359. Schubert, Tobias: (Keine) unmittelbare Grundrechtsbindung von Facebook? – Anmerkungen zu BVerfG, Beschluss vom 22. 5. 2019 – 1 BvQ 42/19, ZUM-RD 2019, S. 431–433. Schulte, Laura: Transparenz im Kontext der DSGVO, PinG 2017, S. 227–230. Schulz, Sebastian: Pseudonyme Datenverarbeitung, Transparenz und Betroffenenrechte, PinG 2019, S. 238–240. Schulze, Reiner (Hrsg.): Bürgerliches Gesetzbuch Handkommentar, 11. Auflage, Baden-­ Baden 2022. Schwartmann, Rolf / Benedikt, Kirstin / Reif, Yvette: Entwurf zum TTDSG: Für einen zeitgemäßen Online-Datenschutz?, MMR 2021, S. 99–102. Schwartmann, Rolf / Jaspers, Andreas / T hüsing, Gregor / Kugelmann, Dieter (Hrsg.): Heidelberger Kommentar Datenschutz-Grundverordnung / Bundesdatenschutzgesetz, 2. Auflage, Heidelberg 2020. Schwartmann, Rolf / Weiß, Steffen: Ein Entwurf für einen Code of Conduct zum Einsatz DSGVO-konformer Pseudonymisierung, RDV 2020, S. 71–75.

Literaturverzeichnis

413

Schweitzer, Heike / Peitz, Martin: Ein neuer europäischer Ordnungsrahmen für Datenmärkte?, NJW 2018, S. 275–280. Sesing, Andreas: Eine Bestandsaufnahme zum bereichsspezifischen Datenschutz für Telemedien, MMR 2019, S. 347–350. Simitis, Spiros: Auf dem Weg zu einem neuen Datenschutzkonzept, Die zweite Novellierungsstufe des BDSG, DuD 2000, S. 714–722. Simitis, Spiros (Hrsg.): Nomos Kommentar Bundesdatenschutzgesetz, 8. Auflage, Baden-­ Baden 2014. Simitis, Spiros / Hornung, Gerrit / Spiecker gen. Döhmann, Indra (Hrsg.): Datenschutzrecht Großkommentar – DSGVO mit BDSG, Baden-Baden 2019. Simo, Hervais: Big Data: Opportunities and Privacy Challenges, in: Philipp Richter (Hrsg.), Privatheit, Öffentlichkeit und demokratische Willensbildung in Zeiten von Big Data, Baden-­Baden 2015, S. 13–44. Solmecke, Christian / Taeger, Jürgen / Feldmann, Thorsten (Hrsg.): Mobile Apps. Rechtsfragen und rechtliche Rahmenbedingungen, Berlin 2013. Solove, Daniel J.: The Myth of the Privacy Paradox, 89 George Washington Law Review 1 (2021), abrufbar unter: papers.ssrn.com/sol3/papers.cfm?abstract_id=3536265#. Specht, Louisa: Das Verhältnis möglicher Datenrechte zum Datenschutzrecht, GRUR Int. 2017, S. 1040–1047. Specht-Riemenschneider, Louisa / Bienemann, Linda: Informationsvermittlung durch standardisierte Bildsymbole, in: Louisa Specht-Riemenschneider / Nikola Werry / Susanne Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2020, S. 324–344. Spiecker gen. Döhmann, Indra: Die Durchsetzung datenschutzrechtlicher Mindestanforderungen bei Facebook und anderen sozialen Netzwerken, K&R 2012, S. 717–725. Spiecker gen. Döhmann, Indra / Eisenbarth, Markus: Kommt das „Volkszählungsurteil“ nun durch den EuGH?, JZ 2011, S. 169–177. Spindler, Gerald: Verträge über digitale Inhalte – Anwendungsbereich und Ansätze, MMR 2016, S. 147–153. Spindler, Gerald / Schmitz, Peter (Hrsg.): Telemediengesetz mit Netzwerkdurchsetzungsgesetz Kommentar, 2. Auflage, München 2018. Spindler, Gerald / Schuster, Fabian (Hrsg.): Recht der elektronischen Medien Kommentar, 4. Auflage, München 2019. Spindler, Gerald / Sein, Karin: Die endgültige Richtlinie über Verträge über digitale Inhalte und Dienstleistungen, MMR 2019, S. 415–420. Spitz, Malte: Daten – Das Öl des 21. Jahrhunderts?, Hamburg 2017. Staudenmayer, Dirk: Verträge über digitalen Inhalt. Der Richtlinienvorschlag der Europäischen Kommission, NJW 2016, S. 2719–2725. Steinebach, Martin / Krempel, Erik / Jung, Christian / Hoffmann, Mario: Datenschutz und Daten­ analyse, DuD 2016, S. 440–445.

414

Literaturverzeichnis

Stern, Klaus / Sachs, Michael (Hrsg.): Europäische Grundrechte-Charta Kommentar, München 2016. Stichtenoth, Jonas: Softwareüberlassungsverträge nach dem Schuldrechtsmodernisierungs­ gesetz, K&R 2003, S. 105–110. Streinz, Rudolf (Hrsg.): Beck’sche Kurz-Kommentare EUV / AEUV, 3. Auflage, München 2018. Streinz, Rudolf / Michl, Walter: Die Drittwirkung des europäischen Datenschutzgrundrechts (Art. 8 GRCh) im deutschen Privatrecht, EuZW 2011, S. 384–388. Sydow, Gernot (Hrsg.): Europäische Datenschutzgrundverordnung Handkommentar, 2. Auflage, Baden-Baden 2018. Szczekalla, Peter: Die sogenannten grundrechtlichen Schutzpflichten im deutschen und europäischen Recht, Berlin 2002. Taeger, Jürgen / Gabel, Detlev (Hrsg.): Kommentar DSGVO – BDSG – TTDSG, 4. Auflage, Frankfurt a. M. 2022. Taeger, Jürgen / Kremer, Sascha: Recht im E-Commerce und Internet, 2. Auflage, Frankfurt a. M. 2021. Taeger, Jürgen / Pohle, Jan (Hrsg.): Computerrechts-Handbuch, 36. Ergänzungslieferung, München 2021. Tene, Omer / Polonetsky, Jules: Big Data for All: Privacy and User Control in the Age of Analytics, 2012, abrufbar unter: papers.ssrn.com/sol3/papers.cfm?abstract_id=2149364. Thüsing, Gregor / Schmidt, Maximilian / Forst, Gerrit: Das Schriftformerfordernis der Einwilligung nach § 4a BDSG im Pendelblick zu Art. 7 DS-GVO, RDV 2017, S. 116–122. Tinnefeld, Marie-Theres / Conrad, Isabell: Die selbstbestimmte Einwilligung im europäischen Recht, ZD 2018, S. 391–398. Trepte, Sabine / Teutsch, Doris: Privacy Paradox, in: Nicole C.  Krämer / Stephan Schwan /  Dagmar Unz / Monika Suckfüll (Hrsg.), Medienpsychologie, 2. Auflage, Stuttgart 2016, S. 372–377. Uecker, Philip: Die Einwilligung im Datenschutzrecht und ihre Alternativen – Mögliche Lösungen für Unternehmen und Vereine, ZD 2019, S. 248–251. Uecker, Philip: Extraterritorialer Anwendungsbereich der DS-GVO, ZD 2019, S. 67–71. Veil, Winfried: Die Datenschutz-Grundverordnung: des Kaisers neue Kleider, NVwZ 2018, S. 686–696. Veil, Winfried: DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme, ZD 2015, S. 347–353. Veil, Winfried: Einwilligung oder berechtigtes Interesse?  – Datenverarbeitung zwischen Skylla und Charybdis, NJW 2018, S. 3337–3344. Vesting, Thomas: Das Internet und die Notwendigkeit der Transformation des Datenschutzes, in: Karl-Heinz Ladeur, Innovationsoffene Regulierung des Internet, Baden-Baden 2003, S. 155–190. Völtz, Gregor: Creative Commons Lizenzen im Lichte des Verbraucherschutzes, VuR 2016, S. 169–174.

Literaturverzeichnis

415

Voßkuhle, Andreas: „Integration durch Recht“ – Der Beitrag des Bundesverfassungsgerichts, JZ 2016, S. 161–168. Walker, Matthias: Die Kosten kostenloser Dienste, Berlin 2021. Wandtke, Artur-Axel: Ökonomischer Wert von persönlichen Daten, MMR 2017, S. 6–12. Weber, Albrecht: Die Europäische Grundrechtscharta – auf dem Weg zu einer europäischen Verfassung, NJW 2000, S. 537–544. Weichert, Thilo: Big Data und Datenschutz  – Chancen und Risiken einer neuen Form der Datenanalyse, ZD 2013, S. 251–259. Weichert, Thilo / Schuler, Karin: Datenschutz contra Wirtschaft und Big Data? Eine poli­ tische Fehlentwicklung, 2015, abrufbar unter: www.netzwerk-datenschutzexpertise.de/ sites/default/files/analyse_2015_12_bigdata.pdf. Weiß, Wolfgang: Grundrechtsquellen im Verfassungsvertrag, ZEuS 2005, S. 323–353. Wendehorst, Christiane / Westphalen, Friedrich Graf von: Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, NJW 2016, S. 3745–3750. Wendel, Mattias: Das Bundesverfassungsgericht als Garant der Unionsgrundrechte, JZ 2020, S. 157–168. Werkmeister, Christoph / Brandt, Elena: Datenschutzrechtliche Herausforderungen für Big Data, CR 2016, S. 233–238. Werner, Matthias: Eingriff in das (Rollen-)Spielsystem, CR 2013, S. 516–523. Westphalen, Friedrich Graf von / Wendehorst, Christiane: Herausgabe personenbezogener Daten für digitale Inhalte – Gegenleistung, bereitzustellendes Material oder Zwangsbeitrag zum Datenbinnenmarkt?, BB 2016, S. 2179–2187. Winter, Christian / Battis, Verena / Halvani, Oren: Herausforderung für die Anonymisierung von Daten, ZD 2019, S. 489–493. Wójtowicz, Monika / Cebulla, Manuel: Anonymisierung nach der DSGVO, PinG 2017, S. ­186–192. Wolff, Heinrich Amadeus / Brink, Stefan (Hrsg.): BeckOK Datenschutzrecht, 39. Edition, München 2021. Wybitul, Tim / Ströbel, Lukas / Ruess, Marian: Übermittlung personenbezogener Daten in Drittländer, ZD 2017, S. 503–509. Zech, Herbert: Building a European Data Economy – The European Commission’s Proposal for a Data Producer’s Right, ZGE 2017, S. 317–330. Zech, Herbert: Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“, CR 2015, S. 137–146. Ziegenhorn, Gero / von Heckel, Katharina: Datenverarbeitung durch Private nach der europäischen Datenschutzreform, NVwZ 2016, S. 1585–1591.

Stichwortverzeichnis Angemessenheitsbeschluss 309 Anonymisierung 148 Auftragsverarbeitung 169 Big Data  27 – Datenschutzgrundsätze 215 – Makro-Ebene 31 – Mikro-Ebene 32 – Parameter 28 Bildsymbole 377 Bundesdatenschutzgesetz 124 Datenfinanzierte Angebote  33 – Abgrenzung 51 – Datenerhebung 36 – Datenschutzgrundsätze 217 – Freeware 37 – Freiwilligkeit 275 – Kategorie I  62 – Kategorie II  63 – Kategorie III  64 – Kategorisierung 60 – Kostenfreiheit 35 – Vertragsart 69 – Vertragsparteien 74 – Web-Apps 37 – Widerrufbarkeit 282 Datenminimierungsgrundsatz 203 – Datenschutzfreundliche Voreinstellungen ​207 – Technikgestaltung 206 Datenschutzerklärungen 286 Datenschutz-Grundverordnung 120 – Räumlicher Anwendungsbereich  297 Datenübermittlung in Drittländer  306 Datenverarbeitung 140 Einwilligung 241 – Bestimmtheit 250 – Freiwilligkeit 260 – Informiertheit und Transparenz  255

– Voraussetzungen 243 – Widerrufbarkeit 277 Geeignete Garantie  311 Grenzüberschreitender Datenschutz  296 Identifizierbarkeit 142 – im digitalen Kontext  147 Kartellähnliche Angebotslagen  262 Kopplungsverbot 263 – Daten gegen Leistung  271 – horizontal 264 – Reichweite 267 – vertikal 265 Marktortprinzip 299 Mittelbare Drittwirkung  88, 105 Monetarisierungsmodelle 347 – Nachteile 354 – Tauglichkeit 358 – Vorteile 352 One-Pager 368 Paternalismus im Datenschutz  333 Personenbezug 141 – bei Big Data  155 – bei datenfinanzierten Angeboten  158 Privacy Paradox  330 Pseudonymisierung 151 – anonymisierende Wirkung  153 Recht auf Vergessen I und II  129 Rechte an Daten  57 Rechtmäßigkeitsgrundsatz 174 Richtlinie (EU) 2019/770  53 Schrems II-Urteil  319 Sitz- und Niederlassungsprinzip  297 Standarddatenschutzklausel  314, 321

Stichwortverzeichnis

417

Telemedien  78, 125 Transparenzgrundsatz  175, 362 – Informationspflichten 362 – Transparenzpflichten 364 – Verbesserungsmöglichkeiten 368 TTDSG 126

Verarbeitung zur Verwirklichung berechtigter Interessen  230 Verbindliche interne Datenschutzvorschrift ​ 313, 323 Visualisierung der Verarbeitung  372 Volkszählungsurteil 83

Unternehmerische Freiheit  110, 115

Werthaftigkeit von Daten  39 – Warencharakter 41 – Wertschöpfung 45

Verantwortlichkeit 163 – alleinig 166 – gemeinsam 167 – konzernintern 171 Verarbeitung zur Erfüllung eines Vertrags ​ 222

Zweckbindungsgrundsatz 181 – Voraussetzungen 182 – Weiterverarbeitung 184 – Zweckänderung 187