138 89 3MB
German Pages 273 [275] Year 2018
Rechtsvergleichung und Rechtsvereinheitlichung Herausgegeben von der Gesellschaft für Rechtsvergleichung e.V.
53
Carmen Langhanke
Daten als Leistung Eine rechtsvergleichende Untersuchung zu Deutschland, Österreich und der Schweiz
Mohr Siebeck
Carmen Langhanke, geboren 1984; Studium der Rechtswissenschaften mit wirtschaftswissenschaftlicher Zusatzausbildung an der Universität Bayreuth; 2010 Erste Juristische Staatsprüfung; 2010–2015 Wissenschaftliche Mitarbeiterin am Lehrstuhl für Deutsches und Europäisches Verbraucherrecht und Privatrecht sowie Rechtsvergleichung und Geschäftsführerin der Forschungsstelle für Verbraucherrecht an der Universität Bayreuth; 2018 Zweite Juristische Staatsprüfung.
e-ISBN PDF 978-3-16-156166-5 ISBN 978-3-16-155634-0 ISSN 1861-5449 (Rechtsvergleichung und Rechtsvereinheitlichung) Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen National bibliog raphie; detaillierte bibliographische Daten sind im Internet über http://dnb.dnb.de abrufbar. © 2018 Mohr Siebeck Tübingen. www.mohr.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das Buch wurde von Gulde Druck in Tübingen gesetzt, auf alterungsbeständiges Werkdruck papier gedruckt und von der Buchbinderei Spinner in Ottersweier gebunden.
Meinen Eltern, in Liebe und Dankbarkeit
Vorwort Die vorliegende Arbeit entstand während meiner Tätigkeit als wissenschaftliche Mitarbeiterin am Lehrstuhl für Deutsches und Europäisches Verbraucherrecht und Privatrecht sowie Rechtsvergleichung an der Universität Bayreuth. Sie wurde im Sommersemester 2017 vom Promotionsausschuss der Rechtsund Wirtschaftswissenschaftlichen Fakultät der Universität Bayreuth als Dissertation angenommen. Rechtsprechung und Literatur konnten nachträglich bis einschließlich Mai 2017 berücksichtigt werden. Dasselbe gilt auch hinsichtlich des im Bundesgesetzblatt bzw. Amtsblatt der Europäischen Union veröffentlichten relevanten nationalen und europäischen Rechts. Für mich war die Erstellung dieser Arbeit eine Herausforderung und bereichernde Erfahrung zugleich. Den zahlreichen Personen, die mich in vielfältiger Art und Weise unterstützt und die mich während der Promotionszeit begleitet haben möchte ich an dieser Stelle ganz herzlich danken. Mein besonderer Dank gilt zunächst meinem Doktorvater, Herrn Prof. Dr. Martin Schmidt-Kessel, für die engagierte Betreuung und das große Interesse an meiner Arbeit. Seine freundliche Unterstützung und seine ständige Bereitschaft zu fachlichen Diskussionen und außerfachlichen Gesprächen mit vielen wertvollen Ratschlägen und konstruktiven Anregungen haben entscheidend zum Gelingen dieser Arbeit beigetragen. Die Arbeit am Lehrstuhl sowie die Diskussionen in Doktorandenseminaren und in persönlichen Gesprächen haben mir immer viel Freude bereitet. Herrn Prof. Dr. Markus Möstl danke ich für die Erstattung des Zweitgutachtens. Des Weiteren danke ich meinen Lehrstuhlkollegen, Dr. Malte Kramme und Isabel Gläser, für zahlreiche konstruktive fachliche Diskussionen und Hinweise, die für mich eine wertvolle Hilfe bei der Erstellung dieser Arbeit waren. Außerdem bedanke ich mich bei der Gesellschaft für Rechtsvergleichung e.V. für die Aufnahme meiner Arbeit in die Schriftenreihe „Rechtsvergleichung und Rechtsvereinheitlichung“. Einen großen Dank schulde ich ferner der „Johanna und Fritz Buch Gedächtnis-Stiftung, Hamburg“ und der Studienstiftung „ius vivum“ für die großzügige finanzielle Förderung der Veröffentlichung.
VIII
Vorwort
Schließlich bedanke ich mich auch sehr herzlich bei meinen Eltern, Kurt und Erika Langhanke, für ihren jahrelangen Rückhalt sowie bei meinem Freund, Martin Remke, für die großartige Unterstützung vor allem im Vorfeld der Veröffentlichung der Arbeit. Münster, im Oktober 2017
Carmen Langhanke
Inhaltsübersicht Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII Inhaltsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XI Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII
Kapitel 1: Einführung und Grundlagen . . . . . . . . . . . . . . . . . 1 A. Gegenstand der Untersuchung . . . . . . . . . . . . . . . . . . . . . 1 B. Auswahl der Rechtsordnungen und Methodik . . . . . . . . . . . . . 4 C. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . 5 D. Entwicklung des Datenschutzrechts . . . . . . . . . . . . . . . . . . 6 E. Internationale Grundlagen . . . . . . . . . . . . . . . . . . . . . . . 8 F. Unionsrechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . 13 G. Grundstrukturen des Datenschutzrechts in Deutschland, Österreich und der Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Kapitel 2: Das datenschutzrechtliche Einverständnis . . . . . . . . . 37 A. Rechtliche Einordnung des datenschutzrechtlichen Einverständnisses 37 B. Formale Anforderungen an das datenschutzrechtliche Einverständnis 45 C. Inhaltliche Anforderungen an das Einverständnis . . . . . . . . . . 73 D. Einverständnis bei besonderen Kategorien von Daten . . . . . . . . 88 E. Beseitigung des Einverständnisses . . . . . . . . . . . . . . . . . . . 89
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag . . . . 95 A. Personenbezogene Daten im Vertrag . . . . . . . . . . . . . . . . . . 96 B. Datenüberlassung als Leistungspflicht . . . . . . . . . . . . . . . . . 108 C. Behandlung von Leistungsstörungen . . . . . . . . . . . . . . . . . . 137 D. Zusammenfassende rechtsvergleichende Betrachtung . . . . . . . . 145
X
Inhaltsübersicht
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung – Einheits- oder Trennungslösung? . . . . . . . . . 147 A. Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 B. Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 C. Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 D. Zusammenfassende rechtsvergleichende Betrachtung . . . . . . . . 181
Kapitel 5: Einbeziehung und richterliche Kontrolle des datenschutzrechtlichen Einverständnisses . . . . . . . . . . . . . 183 A. Überblick über die Kontrolle von Allgemeinen (Vertrags-) Geschäftsbedingungen in Deutschland, Österreich und der Schweiz . 184 B. Einbeziehung des datenschutzrechtlichen Einverständnisses . . . . . 202 C. Kontrolle der einbezogenen Abreden . . . . . . . . . . . . . . . . . . 208 D. Rechtsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 E. Zusammenfassende rechtsvergleichende Betrachtung . . . . . . . . 220
Kapitel 6: Schlussbetrachtung . . . . . . . . . . . . . . . . . . . . . . 225 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 Sachregister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Inhaltsverzeichnis Vorwort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII Inhaltsübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IX Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII
Kapitel 1: Einführung und Grundlagen . . . . . . . . . . . . . . . . 1 A. Gegenstand der Untersuchung . . . . . . . . . . . . . . . . . . . . 1 B. Auswahl der Rechtsordnungen und Methodik . . . . . . . . . . . 4 C. Gang der Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . 5 D. Entwicklung des Datenschutzrechts . . . . . . . . . . . . . . . . . 6 E. Internationale Grundlagen . . . . . . . . . . . . . . . . . . . . . . 8 I. Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarates . . . . . . 9 II. Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten der OECD 11 III. „Richtlinien betreffend personenbezogene Daten in automatisierten Dateien“ der Vereinten Nationen . . . . . . . . . . . . . . . . . . . . 12
F. Unionsrechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . 13 I. Primärrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 1. Datenschutzgrundrecht, Art. 8 EU-Charta . . . . . . . . . . . . . 14 2. Datenschutzgrundrecht und datenschutzrechtliche Kompetenzbestimmung in Art. 16 AEUV / Art. 39 EUV . . . . 15 3. Recht auf Achtung des Privat- und Familienlebens, Art. 8 EMRK 16 II. Sekundärrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1. Datenschutzrichtlinie 95/46/EG . . . . . . . . . . . . . . . . . . . 17 2. Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3. Datenschutzgrundverordnung (DS-GVO) . . . . . . . . . . . . . 19 4. Mindeststandard oder Vollharmonisierung durch die Datenschutzrichtlinie? . . . . . . . . . . . . . . . . . . . . . . 20
XII
Inhaltsverzeichnis
5. Geltung der sekundärrechtlichen europäischen Vorgaben für die Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 a. Sektorielle oder bereichsübergreifende Maßgeblichkeit der Datenschutzrichtlinie RL 95/46/EG in der Schweiz? . . . 21 b. Bereichsübergreifende Maßgeblichkeit der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58 . . . 25 c. Bereichsübergreifende Maßgeblichkeit der Datenschutz- Grundverordnung (DS-GVO) . . . . . . . . . . . . . . . . . . 25
G. Grundstrukturen des Datenschutzrechts in Deutschland, Österreich und der Schweiz . . . . . . . . . . . . . . . . . . . . . . 26 I. Verfassungsrechtliche Grundlagen . . . . . . . . . . . . . . . . . . 26 II. Einfachgesetzliche Regelungsstrukturen . . . . . . . . . . . . . . . 29 III. Grundgedanke des Verbots mit Erlaubnisvorbehalt . . . . . . . . . 31 IV. Datenschutzkontrolle und Rechtsdurchsetzung . . . . . . . . . . . . 33
Kapitel 2: Das datenschutzrechtliche Einverständnis . . . . . . . . 37 A. Rechtliche Einordnung des datenschutzrechtlichen Einverständnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 I. Nationale Begrifflichkeiten für das Einverständnis . . . . . . . . . 38 II. Rechtsnatur des datenschutzrechtlichen Einverständnisses . . . . . 40 III. Ergebnis zur rechtlichen Einordnung des Einverständnisses . . . . 44
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 I. Abgabe der Einverständniserklärung . . . . . . . . . . . . . . . . . 45 1. Höchstpersönliche Abgabe . . . . . . . . . . . . . . . . . . . . . 45 2. Abgabe durch den Minderjährigen . . . . . . . . . . . . . . . . . 48 II. Gestaltung der Einverständniserklärung . . . . . . . . . . . . . . . 52 1. Schriftformerfordernis . . . . . . . . . . . . . . . . . . . . . . . 52 2. Weitere Gestaltungsmöglichkeiten der Einverständniserklärung . 56 a. Mündliche Einverständniserklärung . . . . . . . . . . . . . . 56 b. Einverständniserklärung durch schlüssiges Handeln . . . . . 56 c. Schweigen als Einverständniserklärung . . . . . . . . . . . . 59 d. Elektronische Einverständniserklärung . . . . . . . . . . . . . 60 (1) Elektronische Einwilligung gem. § 13 Abs. 2 TMG und § 94 TKG . . . . . . . . . . . . . . . . . . . . . . . . . 61 (2) Elektronische Einwilligung in Werbung und Adresshandel gem. § 28 Abs. 3a S. 1 BDSG . . . . . . . . . . . . . . . . 62
Inhaltsverzeichnis
XIII
(3) Generelle Zulassung der elektronischen Einwilligung . . . 62 e. Unterstellte Einverständniserklärung . . . . . . . . . . . . . . 63 f. Vorformulierte Einverständniserklärungen . . . . . . . . . . . 64 3. Sonderfall der Opt-in oder Opt-out Gestaltung . . . . . . . . . . 65 a. Die Payback-Entscheidung des Bundesgerichtshofs . . . . . . 66 b. Widerspruchs- oder Opt-Out-Obliegenheiten in Österreich . . 69 c. Opt- in und Opt- Out-Modelle in der Schweiz . . . . . . . . . 70 III. Ergebnis zu den formalen Anforderungen an das Einverständnis . . 71
C. Inhaltliche Anforderungen an das Einverständnis . . . . . . . . . 73 I. Autonomie des Einverständnisses . . . . . . . . . . . . . . . . . . . 73 1. Handeln ohne Zwang als Ausgangspunkt . . . . . . . . . . . . . 73 a. Die freie Entscheidung in Deutschland . . . . . . . . . . . . . 73 b. Erteilung ohne Zwang in Österreich . . . . . . . . . . . . . . 74 c. Freiwilligkeit in der Schweiz . . . . . . . . . . . . . . . . . . . 75 2. Erteilung des Einverständnisses im Zusammenhang mit einer vertraglichen Beziehung . . . . . . . . . . . . . . . . . 76 a. Das deutsche Koppelungsverbot . . . . . . . . . . . . . . . . . 76 b. Verbotene Koppelungen in Österreich . . . . . . . . . . . . . 79 c. Abhängigkeitsverhältnisse in der Schweiz . . . . . . . . . . . 81 d. Das neue Koppelungsverbot in Art. 7 Abs. 4 DS-GVO . . . . 83 II. Erklärung in Kenntnis der Sachlage . . . . . . . . . . . . . . . . . . 83 III. Ergebnis zu den inhaltlichen Anforderungen an das Einverständnis 86
D. Einverständnis bei besonderen Kategorien von Daten . . . . . . 88 E. Beseitigung des Einverständnisses . . . . . . . . . . . . . . . . . . 89 I. Beseitigung mit Wirkung für die Vergangenheit . . . . . . . . . . . 90 II. Beseitigung mit Wirkung für die Zukunft . . . . . . . . . . . . . . 90
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag . . . 95 A. Personenbezogene Daten im Vertrag . . . . . . . . . . . . . . . . 96 I. Personenbezogene Daten als Leistungsgegenstand . . . . . . . . . . 97 II. Datenschutzrechtliche Einordnung in Deutschland, Österreich und der Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 1. Datenschutzrechtliche Verortung in § 28 Abs. 1 BDSG? . . . . . 100 2. Datenschutzrechtliche Verortung in § 7 Abs. 1 DSG 2000? . . . 104 3. Datenschutzrechtliche Verortung in Art. 13 Abs. 2 lit. a DSG? . . 107 4. Ergebnis zur datenschutzrechtlichen Einordnung . . . . . . . . . 108
XIV
Inhaltsverzeichnis
B. Datenüberlassung als Leistungspflicht . . . . . . . . . . . . . . . 108 I. Möglichkeit einer Verpflichtung zur Leistung von Daten . . . . . . 108 1. Einschränkung der Vertragsfreiheit . . . . . . . . . . . . . . . . 110 a. Verstoß gegen ein gesetzliches Verbot oder zwingendes Recht 110 b. Verstoß gegen die guten Sitten . . . . . . . . . . . . . . . . . . 112 c. Verletzung des Rechts der Persönlichkeit . . . . . . . . . . . . 115 2. Möglichkeit des jederzeitigen Widerrufs . . . . . . . . . . . . . . 116 a. Ansätze zur Beschränkung des Widerrufsrechts in Deutschland 116 b. Widerruf und vertragliche Bindung in Österreich . . . . . . . 119 c. Dauerhafte Bindung und Widerruflichkeit in der Schweiz . . 120 II. Erfüllung – Leistungshandlung oder Leistungserfolg? . . . . . . . . 123 III. Durchsetzbarkeit der Leistungspflicht . . . . . . . . . . . . . . . . . 125 1. Unvollkommene Verbindlichkeiten . . . . . . . . . . . . . . . . . 126 2. Einwand des rechtsmissbräuchlichen Handelns . . . . . . . . . . 127 3. Durchsetzung im Wege der Zwangsvollstreckung . . . . . . . . 128 IV. Dauerschuldcharakter . . . . . . . . . . . . . . . . . . . . . . . . . . 129 V. Verknüpfung der Leistungspflichten und Koppelungsverbot . . . . 130 1. Koppelungsverbot des § 28 Abs. 3b BDSG . . . . . . . . . . . . 131 2. Koppelung in Österreich . . . . . . . . . . . . . . . . . . . . . . 133 3. Abhängigkeitsverhältnisse in der Schweiz . . . . . . . . . . . . . 134 4. Koppelungsverbot in der Datenschutzgrundverordnung . . . . . 136
C. Behandlung von Leistungsstörungen . . . . . . . . . . . . . . . . 137 I. Widerruf des datenschutzrechtlichen Einverständnisses als Pflichtverletzung . . . . . . . . . . . . . . . . . . . . . . . . . . 137 II. Angabe falscher personenbezogener Daten . . . . . . . . . . . . . . 142
D. Zusammenfassende rechtsvergleichende Betrachtung . . . . . . 145
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung – Einheits- oder Trennungslösung? . . . . . . . . 147 A. Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 I. Stufenleiter der Gestattungen als Ausgangspunkt . . . . . . . . . . 147 II. Trennung von schuldrechtlicher Verpflichtung und Einwilligung . . 148 III. Einwilligung als Verfügungsgeschäft? . . . . . . . . . . . . . . . . 151 1. Die Übertragbarkeit des Informationellen Selbstbestimmungsrechts 151 a. Anerkennung eines subjektiven Rechts am eigenen Datum . . 152 b. Dogmatische Ansätze zur Übertragung von Persönlichkeitsrechten . . . . . . . . . . . . . . . . . . . . 153
Inhaltsverzeichnis
XV
(1) Die Abtretung von Nutzungsbefugnissen . . . . . . . . . . 154 (2) Die translative Übertragung . . . . . . . . . . . . . . . . . 155 (3) Die gebundene Rechtsübertragung . . . . . . . . . . . . . 156 (4) Kritik an der Übertragbarkeit von Persönlichkeitsrechten 157 (5) Keine klare Linie in der Rechtsprechung . . . . . . . . . . 157 2. Verwertbarkeit ohne Übertragbarkeit . . . . . . . . . . . . . . . 159 IV. Folgen der Nichtigkeit des Schuldverhältnisses . . . . . . . . . . . . 163 1. Anwendbarkeit des Abstraktionsprinzips . . . . . . . . . . . . . 163 2. Anwendung des § 139 BGB . . . . . . . . . . . . . . . . . . . . . 166 V. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
B. Österreich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 I. Zustimmung und Gestattungsvertrag . . . . . . . . . . . . . . . . . 168 II. Zustimmung als Verfügungsgeschäft? . . . . . . . . . . . . . . . . 169 1. Übertragbarkeit von Persönlichkeitsrechten . . . . . . . . . . . . 170 2. Verwertbarkeit durch Orientierung am Urheberrecht . . . . . . . 171 III. Folgen der Nichtigkeit des Schuldverhältnisses . . . . . . . . . . . . 173 IV. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
C. Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 I. Die Einwilligung als Teil des Gestattungsvertrags . . . . . . . . . . 174 II. Die Einwilligung als Verfügungsgeschäft? . . . . . . . . . . . . . . 176 1. Die Übertragbarkeit von Persönlichkeitsrechten . . . . . . . . . 176 2. Verwertbarkeit ohne Übertragbarkeit . . . . . . . . . . . . . . . 179 III. Folgen der Nichtigkeit des Schuldverhältnisses . . . . . . . . . . . . 180 IV. Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 180
D. Zusammenfassende rechtsvergleichende Betrachtung . . . . . . 181
Kapitel 5: Einbeziehung und richterliche Kontrolle des datenschutzrechtlichen Einverständnisses . . . . . . . . . . . . 183 A. Überblick über die Kontrolle von Allgemeinen (Vertrags-)Geschäftsbedingungen in Deutschland, Österreich und der Schweiz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 I. Maßstab der Kontrolle von Allgemeinen (Vertrags-)Geschäftsbedingungen . . . . . . . . . . . . . . . . . . . 184 II. Allgemeine Einbeziehungsanforderungen . . . . . . . . . . . . . . 188 III. Insbesondere Überraschungssituationen . . . . . . . . . . . . . . . 193 IV. Maßstäbe der Inhaltskontrolle . . . . . . . . . . . . . . . . . . . . . 195
XVI
Inhaltsverzeichnis
B. Einbeziehung des datenschutzrechtlichen Einverständnisses . . 202 I. Anwendbarkeit des AGB-Rechts . . . . . . . . . . . . . . . . . . . . 202 II. Einbeziehung des datenschutzrechtlichen Einverständnisses . . . . 204
C. Kontrolle der einbezogenen Abreden . . . . . . . . . . . . . . . . 208 I. Maßstab der Inhaltskontrolle . . . . . . . . . . . . . . . . . . . . . . 208 II. Inhaltskontrolle des formularmäßigen Einverständnisses . . . . . . 210
D. Rechtsfolgen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 E. Zusammenfassende rechtsvergleichende Betrachtung . . . . . . 220
Kapitel 6: Schlussbetrachtung . . . . . . . . . . . . . . . . . . . . . . 225 I. Schaffung eines Persönlichkeitsvertragsrechts . . . . . . . . . . . . 225 II. Zusammenfassung der Ergebnisse und rechtsvergleichende Betrachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 Sachregister . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Abkürzungsverzeichnis a. A. a. M. a. F. ABGB ABl. Abs. aBV AcP AEMR AEUV AfP AGB AGVE Anm. AöR Art. Artt. ASVG Aufl. BB BbgVerf BBl. BDSG BG BGB BGBl. BGE BGer BGH BGHZ BR/BC BR-Drs. BT-Drs. BVerfG BVerfGE B-VG bzw.
andere Ansicht andere Meinung alte Fassung Allgemeines bürgerliches Gesetzbuch (Österreich) Amtsblätter der Europäischen Gemeinschaft bzw. Union Absatz alte Bundesverfassung (Schweiz) Archiv für die civilistische Praxis (Deutsche Zeitschrift) Allgemeinen Erklärung der Menschenrechte Vertrag über die Arbeitsweise der Europäischen Union Zeitschrift für Medien- und Kommunikationsrecht (Deutschland) Allgemeine Geschäftsbedingungen Aargauische Gerichts- und Verwaltungsentscheide (Schweiz) Anmerkung Archiv des öffentlichen Rechts (Deutsche Zeitschrift) Artikel (singular) Artikel (plural) Bundesgesetz über die Allgemeine Sozialversicherung (Österreich) Auflage Betriebs-Berater (Deutsche Zeitschrift) Verfassung des Landes Brandenburg Bundesblatt der Schweizer Eidgenossenschaft Bundesdatenschutzgesetz (Deutschland) Bundesgesetz Bürgerliches Gesetzbuch (Deutschland) Bundesgesetzblatt (Deutschland und Österreich) Entscheidungen des Bundesgerichts (Schweiz) Bundesgericht (Schweiz) Bundesgerichtshof (Deutschland) Entscheidungen des Bundesgerichtshof in Zivilsachen (Deutschland) Zeitschrift für Baurecht und Vergabewesen/Revue du droit de la construction et des marchés publics (Schweiz) Bundesratsdrucksache (Deutschland) Bundestagsdrucksache (Deutschland) Bundesverfassungsgericht (Deutschland) Entscheidung des Bundesverfassungsgerichts (Deutschland) Bundes-Verfassungsgesetz (Österreich) beziehungsweise
XVIII COPPA CR d. h. D-AA
Abkürzungsverzeichnis
US-Children Online Privacy Protection Act Computer und Recht (Deutsche Zeitschrift) das heißt Abkommen zwischen der Schweizerischen Eidgenossenschaft und der Europäischen Gemeinschaft über die Kriterien und Verfahren zur Bestimmung des zuständigen Staates für die Prüfung eines in einem Mitgliedstaat oder in der Schweiz gestellten Asylantrags (Dublin-Assoziierungsabkommen) ders. derselbe dies. dieselbe(n) dRdA Recht der Arbeit (Deutsche Zeitschrift) DSchK Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28.01.1981 (Europarats-Konvention Nr. 108) DSG Bundesgesetz über den Datenschutz (Schweiz) DSGNW Datenschutzgesetz Nordrhein-Westfalen DSG 2000 Bundesgesetz über den Schutz personenbezogener Daten (Österreich) DS-GVO-E Entwurf einer Datenschutzgrundverordnung DS-GVO Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) Datenschutzkommission, ursprüngliche Behörde für den Datenschutz von DSK 1979–2014, abgelöst durch die Datenschutzbehörde (Österreich) DSRL Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutzrichtlinie) DuD Datenschutz und Datensicherheit (Deutsche Zeitschrift) D-UrhG Urhebergesetz (Deutschland) D-UWG Gesetz gegen den unlauteren Wettbewerb (Deutschland) D-ZPO Zivilprozessordnung (Deutschland) Bundesgesetz, mit dem bestimmte rechtliche Aspekte des elektronischen ECG Geschäfts- und Rechtsverkehrs geregelt werden (E-Commerce-Gesetz, Österreich) EDSK Eidgenössische Datenschutzkommission Europäische Gemeinschaft EG EG Nr. Erwägungsgrund Nummer EGMR Europäische Gerichtshof für Menschenrechte E-GovG Bundesgesetz über Regelungen zur Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen (Österreich) EGV Vertrag zur Gründung der Europäischen Gemeinschaft (EG-Vertrag) EK-DSRL Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). EMRK Konvention zum Schutz der Menschenrechte und Grundfreiheiten endg. endgültig
Abkürzungsverzeichnis etc. EU EU-Charta EuCML EuGH EUV EuZW EWR f. FDV ff. FS gem. GestG GewO 1994 GG ggf. grds. GRUR GS h. L. h. M. HDSG HGA Hrsg. Hs. i. E. i. H. v. i. S. d. i. S. e. i. S. v. i. V. m. ITRB JBl JuS JZ K&R Kap. KKG KSchG KUG LDSG LG lit. m. w. N. MMR
XIX
et cetera Europäische Union Charta der Grundrechte der Europäischen Union Journal of European Consumer and Market Law (Deutschland) Europäischer Gerichtshof Vertrag über die Europäische Union Europäische Zeitschrift für Wirtschaftsrecht (Deutschland) Europäischer Wirtschaftsraum folgende Verordnung über Fernmeldedienste (Schweiz) fortfolgende Festschrift gemäß Bundesgesetz über den Gerichtsstand in Zivilsachen (Gerichtsstandsgesetz, Schweiz) Gewerbeordnung (Österreich) Grundgesetz (Deutschland) gegebenenfalls grundsätzlich Gewerblicher Rechtsschutz und Urheberrecht (Deutsche Zeitschrift) Gedächtnisschrift herrschende Lehre herrschende Meinung Hessisches Datenschutzgesetz Handelsgericht des Kantons Aargau (Schweiz) Herausgeber Halbsatz im Ergebnis in Höhe von im Sinne des im Sinne eine(s/r) im Sinne von in Verbindung mit Der IT-Rechtsberater (Deutsche Zeitschrift) Juristische Blätter (Österreichische Zeitschrift) Juristische Schulung (Deutsche Zeitschrift) Juristen Zeitung (Deutschland) Kommunikation & Recht (Deutsche Zeitschrift) Kapitel Bundesgesetz über den Konsumkredit (Schweiz) Konsumentenschutzgesetz (Österreich) Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (Deutschland) Landesdatenschutzgesetze (Deutschland) Landgericht (Deutschland) litera mit weiteren Nachweisen Multimedia & Recht (Deutsche Zeitschrift)
XX MuR n. F. NJW Nr. NZZ o. OECD OGer OGH ÖJZ OLG OR öRdA ÖR-UrhG PBV ProstG RDV RDV RdW RGZ RL Rn. S. s. S-AA
SCHUFA SigG SJZ sog. S-UWG S-ZPO TKG TKG 2003 TMG u. a. ULD Var. VersVG VfGH vgl. VuR VVG
Abkürzungsverzeichnis Medien und Recht (Österreichische Zeitschrift) neue Fassung Neue Juristische Wochenschrift (Deutsche Zeitschrift) Nummer Neue Zürcher Zeitung (Schweizer Tageszeitung) oben Organisation für wirtschaftliche Zusammenarbeit und Entwicklung Obergericht (Schweiz) Oberster Gerichtshof (Österreich) Österreichische Juristen Zeitung Oberlandesgericht (Deutschland) Obligationenrecht (Schweiz) Das Recht der Arbeit (Österreichische Zeitschrift) Urhebergesetz (Österreich) Verordnung über die Bekanntgabe von Preisen (Preisbekanntgabeverordnung, Schweiz) Prostitutionsgesetz (Deutschland) Recht der Datenverarbeitung (Deutsche Zeitschrift) Recht der Datenverarbeitung (Deutsche Zeitschrift) Recht der Wirtschaft (Österreichische Zeitschrift) Entscheidungen des Reichsgerichts in Zivilsachen (Deutschland) Richtlinie Randnummer Seite siehe Abkommen zwischen der Schweizerischen Eidgenossenschaft, der Europäischen Union und der Europäischen Gemeinschaft über die Assoziierung dieses Staates bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstands (Schengen-Assoziierungsabkommen) Schutzgemeinschaft für allgemeine Kreditsicherung Gesetz über Rahmenbedingungen für elektronische Signaturen vom 16. Mai 2001, BGBl. I S. 876 (Deutschland) Schweizerische Juristen-Zeitung sogenannt(e) Bundesgesetz gegen den unlauteren Wettbewerb (Schweiz) Zivilprozessordnung (Schweiz) Telekommunikationsgesetz (Deutschland) Telekommunikationsgesetz 2003 (Österreich) Telemediengesetz unter anderem Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Variante Versicherungsvertragsgesetz (Österreich) Verfassungsgerichtshof (Österreich) vergleiche Verbraucher und Recht (Deutsche Zeitschrift) Bundesgesetz über den Versicherungsvertrag (Versicherungsvertrags gesetz, Schweiz)
Abkürzungsverzeichnis WM WPR Z. z. B. ZBJV ZBl ZD ZfPW ZGB ZIP ZIR ZÖR ZSR
Zeitschrift für Wirtschafts- und Bankrecht (Deutschland) Wettbewerb in Recht und Praxis (Deutsche Zeitschrift) Ziffer zum Beispiel Zeitschrift des Bernischen Juristenvereins (Schweiz) Schweizerisches Zentralblatt für Staats- und Gemeindeverwaltung Zeitschrift für Datenschutz (Deutschland) Zeitschrift für die gesamte Privatrechtswissenschaft (Deutschland) Zivilgesetzbuch (Schweiz) Zeitschrift für Wirtschaftsrecht (Deutschland) Zeitschrift für Informationsrecht (Österreich) Zeitschrift für öffentliches Recht (Österreich) Zeitschrift für schweizerisches Recht
XXI
Kapitel 1
Einführung und Grundlagen A. Gegenstand der Untersuchung In nahezu jedem Bereich des täglichen Lebens geben wir relevante persönliche Daten preis, die für ein breites Spektrum an Außenstehenden von Interesse sind.1 Dazu kommt, dass die rasante Entwicklung der Informationstechnologie die Möglichkeiten, große Datenmengen unter vielfältigen Aspekten zu sammeln und auszuwerten in beinahe unbegrenztem Maß gesteigert hat.2 Die elektronische Datenverarbeitung macht es möglich, eine unvorstellbare Menge an Daten zu erheben, nach unterschiedlichsten Kriterien miteinander zu verknüpfen, beliebig lang aufzubewahren bzw. zu ergänzen und an Dritte im In- und Ausland weiterzugeben.3 Die international verzahnte IT-Architektur mit ihren vielfältigen technischen Möglichkeiten bietet mittlerweile ein nahezu unerschöpfliches Informationsreservoir über Personen und ihre Daten.4 Im vernetzten 21. Jahrhundert verwalten nicht der Staat, sondern große private Unternehmen wie „Google Inc.“ und „Facebook Inc.“ die umfangreichsten Datensammlungen der Welt. Daten sind zu einer der wichtigsten Ressource der Informationsgesellschaft geworden5, auf deren Sammlung und Verarbeitung eine ganze Branche ausgerichtet ist. Schlüssel zu dieser Ressource ist das datenschutzrechtliche Einverständnis. Klassischerweise kommt ihm die Funktion eines Rechtfertigungsgrunds zu – wer mit der Verletzung seiner Rechtsgüter einverstanden ist, schließt damit die Rechtswidrigkeit dieser Verletzung aus, unabhängig davon ob es um körperliche Unversehrtheit oder informationelle Selbstbestimmung geht.6 Gerade im Fall der informationellen Selbstbestimmung aber kommt dem Iraschko-Luscher, DuD 2006, 706 (706); Buchner, DuD 2010, 39 (39). Duschanek, Datenschutzrecht, in: Holoubek/Potacs (Hrsg.), Öffentliches Wirtschaftsrecht, Band I, 2. Aufl. 2007, S. 300. 3 Bleser, in: Bleser/Epiney/Waldmann (Hrsg.), Datenschutzrecht, Bern 2011, Einführung Rn. 4. 4 Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (169). 5 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 680. 6 Buchner, DuD 2010, 39 (39). 1 2
2
Kapitel 1: Einführung und Grundlagen
datenschutzrechtlichen Einverständnis darüber hinaus zunehmend auch eine andere Funktion zu, nämlich die eines Kommerzialisierungsinstruments.7 Der Einzelne gibt sein Einverständnis in die Verarbeitung und Nutzung seiner personenbezogenen Daten, um dafür im Gegenzug auch vom Datenverarbeiter eine Leistung in Form von Werbegeschenken, Rabatten, Bonuspunkten, vermeintlich kostenlosen Online-Diensten usw. zu erhalten.8 Einen wirtschaftlichen Wert haben die auf diese Weise gesammelten Daten vor allem zur Nutzung im Bereich der Werbung aber beispielsweise auch für Bonitätsfeststellung, die Berechnung von Kredit- und sonstigen Vertragsrisiken und der Akquisition und Bindung von Kunden.9 In den letzten Jahrzehnten haben sich zahlreiche Geschäftsmodelle entwickelt, bei denen der Umgang mit personenbezogenen Daten den Mittelpunkt der wirtschaftlichen Tätigkeit darstellt oder zumindest eine wesentliche Rolle einnimmt. Den Anfang machten 1993 die Kundebindungssysteme, wie das Viel fliegerprogramm Miles & More der Deutschen Lufthansa AG.10 Es folgten zahlreiche Kundenkarten unterschiedlicher Unternehmen, die durch das in Aussicht stellen großzügiger Rabatte bei den Kunden großen Anklang fanden.11 Mit Einzug der Payback-Karte im Jahr 2000 wurde schließlich eine neue, optimierte Variante der klassischen Kundenkarte eingeführt, zwei Jahre später folgte das Kundenbindungsprogramm Happy Digits.12 Google brachte 1998 seine Internet- Suchmaschine auf den Markt. Mittlerweile bietet das Unternehmen eine Reihe von „kostenlosen“ Diensten, wie beispielsweise G-Mail, Google Alert und Google Docs an. Im Jahr 2004 begann dann der Siegeszug der Social Media Plattform Facebook. Nach einer Studie von BITKOM sind 78 % der deutschen Internetnutzer in einem sozialen Netzwerk aktiv, allein bei Facebook sind es über 20 Mio.13 Der Großteil der Einnahmen der sozialen Netzwerke wird aus Werbung erzielt, die auf den Webseiten eingeblendet wird und vom Nutzer abgerufen werden kann. Dabei wird die Werbung gezielt auf die Interessen der Nutzer zugeschnitten, wobei die Grundlage dafür den selbst eingestellten Profilen und dem dokumentierten Nutzerverhalten entstammt.14 Buchner, DuD 2010, 39 (39). Buchner, DuD 2010, 39 (39). 9 Weichert, NJW 2001, 1463 (1464). 10 Gutachten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Kundenbindungssysteme und Datenschutz, 2003, S. 17. 11 Gutachten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Kundenbindungssysteme und Datenschutz, 2003, S. 17. 12 Gutachten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Kundenbindungssysteme und Datenschutz, 2003, S. 17. 13 http://www.bitkom.org/de/publikationen/38338_77778.aspx (Abgerufen: 02.05.2015). 14 Wiebe, ZIR 2014, 35 (37). 7 8
A. Gegenstand der Untersuchung
3
All diese Geschäftsmodelle haben etwas Verlockendes: Man gibt etwas nicht Sichtbares hin und erhält Materielles als Gegenleistung.15 Die Folgen zeigen sich oft erst später, etwa durch die massive Konfrontation mit Werbung, durch das zeitintensive Aktualisieren des zur eigenen Person bei Dritten geführten Datenbestands und durch das Bewusstsein dauernden Überwacht- oder zumindest Beobachtetwerdens.16 Bisher haben sich Rechtsprechung und Literatur vorwiegend mit den datenschutzrechtlichen Problemen solcher Geschäftsmodelle befasst. Nur wenige Autoren haben sich zu der Einordnung und schuldrechtlichen Behandlung von derartigen Geschäftsbeziehungen zwischen der datenverarbeitenden Stelle und des Betroffenen geäußert.17 Bis dato standen vor allem die datenschutzrechtliche Zulässigkeit einzelner Datenverarbeitungen durch bestimmte Funktionen18 oder bestimmte Einverständnisklauseln19 im Fokus der Betrachtung. Diese Arbeit soll daher vor allem die schuldrechtlichen Grundfragestellungen, die sich aus dem vermeintlichen Tausch „Daten gegen Leistung“ ergeben und die Rolle des datenschutzrechtlichen Einverständnisses in diesem Zusammenhang näher untersuchen. Hierbei wird sich immer wieder die Frage stellen, wie einerseits dem Schutz der informationellen Selbstbestimmung des Einzelnen und andererseits den ökonomischen Interessen der datenverarbeitenden Unternehmen am Umgang mit personenbezogenen Daten am besten Rechnung getragen und die Behandlung von Daten als Leistung in den untersuchten Rechtsordnungen kon struktiv bewältigt werden kann.
Weichert, NJW 2001, 1463 (1469). Weichert, NJW 2001, 1463 (1469). 17 So beispielsweise Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 39 ff. und ein Gutachten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Kundenbindungssysteme und Datenschutz, 2003, S. 17 zu den vertraglichen Beziehungen bei Kundenbindungssystemen oder Bräutigam, MMR 2012, 635 zur Einordnung des Nutzungsverhältnisses in sozialen Netzwerken. 18 Wie beispielsweise die Zulässigkeit des „Gefällt-mir-Buttons“, des „Freunde-Finders“ oder der „Gesichtserkennung“ bei Facebook. 19 Die Datenschutzerklärungen von Facebook, Google, Payback und Happy Digit standen schon mehrmals auf dem Prüfstand, vgl. BGHZ, 177, 253 = NJW 2008, 3055 ff. – Payback; BGH, MMR 2010, 138 – Happy Digits; LG Berlin, 15 O 402/12 = MMR 2014, 563 – Google, LG Berlin, VuR 2012, 366 – Facebook Freunde-Finder. 15 16
4
Kapitel 1: Einführung und Grundlagen
B. Auswahl der Rechtsordnungen und Methodik Als Vergleichsrechtsordnungen für die Untersuchung werden Österreich und die Schweiz herangezogen. Der Vergleich mit der Schweiz ist insbesondere im Hinblick auf die Frage der Verbindlichkeit der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr20 (Datenschutzrichtlinie) aufgrund des Schengener-Assoziierungsabkommens und der besonderen Vorschriften zum Schutz der Persönlichkeitsrechte in Artt. 27, 28 Zivilgesetzbuch (ZGB) interessant. Eine vergleich bare Regelung findet sich in der deutschen Rechtsordnung nicht. Der Blick nach Österreich ist vor allem deshalb lohnenswert, da hier eine rege Rechtsprechungsaktivität des Obersten Gerichtshofes zu den Wirksamkeitsvoraussetzungen – vor allem bezüglich vorformulierter datenschutzrechtlicher Einverständniserklärungen – zu verzeichnen ist. Gleichzeitig scheint das Interesse der österreichischen Kunden an solchen vermeintlich kostenlosen Geschäfts beziehungen vergleichsweise hoch zu sein. Beispielsweise haben laut dem Start- up-Unternehmen Stocard 21 die Österreicher mit durchschnittlich 13,8 die meisten Kundenkarten digitalisiert.22 Der Untersuchung liegt die Methodik der funktionalen Rechtsvergleichung23 zu Grunde, wobei teilweise auch versucht wird dogmatische Lösungsansätze – insbesondere für die deutsche Rechtsordnung – zu entwickeln. Während in Deutschland eine Fülle von persönlichkeits- und datenschutzrechtlicher Literatur herangezogen werden kann, existieren in Österreich und der Schweiz vergleichsweise wenig Quellen, die für die Untersuchung fruchtbar gemacht werden können. Vor allem in der Schweiz muss daher des Öfteren auf die Ausführungen zur Einwilligung im persönlichkeitsrechtlichen Schrifttum zu Artt. 27, 28 ZGB zurückgegriffen werden.
20
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281, 31. 21 Stocard ist Marktführer im Bereich „mobile Kundenbindung“ im deutschsprachigen Raum. 22 http://futurezone.at/apps/stocard-oesterreich-fuehrend-bei-digitalen-kundenkarten/ 74.614.688 (Abgerufen: 21.04.2015). 23 Vgl. hierzu Zweigert/Kötz, Einführung in die Rechtsvergleichung, 3. Aufl. 1996, S. 31 ff.
C. Gang der Untersuchung
5
C. Gang der Untersuchung Die Untersuchung beginnt in Kapitel 1 mit einer kurzen Darstellung der historischen Entwicklung des Datenschutzrechts sowie den maßgeblichen Rechtsgrundlagen im Internationalen Recht, im Europarecht und der Grundstruktur des Datenschutzrechts in Deutschland, Österreich und der Schweiz. Hier stehen vor allem die Fragen nach dem Harmonisierungsgrad der Datenschutzrichtlinie und deren Verbindlichkeit für die Schweiz im Vordergrund. Gegenstand des zweiten Kapitels der Arbeit sind die Wirksamkeitsvoraussetzungen des datenschutzrechtlichen Einverständnisses in den zu untersuchenden Rechtsordnungen sowie deren Vereinbarkeit mit den Vorgaben der Datenschutzrichtlinie. Dazu wird zuerst eine rechtliche Einordnung vorgenommen bevor dann die formalen und inhaltlichen Voraussetzungen des datenschutzrechtlichen Einverständnisses sowie dessen Beseitigung untersucht werden. Im dritten Kapitel der Arbeit werden dann vor allem die zentralen schuld rechtlichen Fragestellungen, die in Deutschland, Österreich und der Schweiz mit den beschriebenen Geschäftsmodellen verbunden sind erörtert. Im Mittelpunkt stehen hier vor allem die Ausgestaltung der Verpflichtung zur Leistung von personenbezogenen Daten, ihre Erfüllung und die Verknüpfung mit dem Erhalt der Gegenleistung. Außerdem werden zentrale Fälle von Leistungsstörungen behandelt. Allerdings würde es den Umfang der Arbeit sprengen, rechtsvergleichend ein umfassendes Leistungsstörungsrecht auszuarbeiten; dies bleibt daher künftiger Forschung vorbehalten. Im Anschluss daran setzt sich das vierte Kapitel mit dem Verhältnis der datenschutzrechtlichen Einverständnis und der schuldrechtlichen Verpflichtung zur Leistung von Daten auseinander. Im Fokus stehen hier vor allem die A nwendbarkeit des Trennungsprinzips und die Frage nach einem – durch das datenschutzrechtliche Einverständnis vermittelte – (dinglichen) Verwertungsrecht der datenverarbeitenden Stelle an den erlangten personenbezogenen Daten. Das fünfte Kapitel beschäftigt sich dann mit der Einbeziehung und richter lichen Kontrolle von vorformulierten, formularmäßig eingeholten datenschutzrechtlichen Einverständniserklärungen. Hierzu wird zunächst ein Überblick über die Kontrolle von allgemeinen (Vertrags-)Geschäftsbedingungen in Deutschland, Österreich und der Schweiz gegeben bevor dann die Voraussetzungen einer wirksamen Einbeziehung des datenschutzrechtlichen Einverständnisses und die Maßstäbe der Inhaltskontrolle in den jeweiligen Rechtsordnungen beleuchtet werden. Die Untersuchung schließt mit einer Zusammenfassung und rechtsvergleichenden Bewertung der Ergebnisse im sechsten Kapitel der Arbeit.
6
Kapitel 1: Einführung und Grundlagen
D. Entwicklung des Datenschutzrechts24 Aus einer historischen Perspektive heraus betrachtet ist das Datenschutzrecht noch ein recht junges Rechtsgebiet.25 Seine Entstehung ist mit dem technologischen Wandel im Bereich der Datenverarbeitung eng verknüpft. Angesichts der neuen technischen Möglichkeiten für die Sammlung, Bearbeitung und Auswertung immer größerer Datenmengen wurde es für die davon Betroffenen immer schwieriger, die sie betreffenden Datenverarbeitungen zwecks Wahrung ihrer Interessen zu beeinflussen oder auch nur zu überblicken.26 Die erste Generation datenschutzrechtlicher Normen war noch fixiert auf die Gefahren, die für den Einzelnen mit der automatisierten Datenverarbeitung durch den Staat verbunden sind und zielten darauf ab, die neuen technischen Möglichkeiten der Datenbearbeitung gesetzlich zu beschränken.27 Ziel der ersten Datenschutzgesetz gebung war es demnach, die staatliche Anwendung der Informationstechnologie zu regeln und für Transparenz in der Datenverarbeitung zu sorgen.28 In den frühen 60er Jahren planten verschiedene Staaten einige Projekte, welche alle staatlichen Register und Dateien automaisch steuern und verknüpfen konnten.29 Die USA bereitete die Errichtung eines nationalen Datenzentrums, des sog. „Federal Data Center“ vor, in welchem sämtliche Bürger mit einer Informa tionsnummer erfasst werden sollten. Dies löste in den Vereinigten Staaten einen Streit über das verfassungsmäßig garantierte Recht auf Privatsphäre, „the right to be (let) alone“, aus. Diese US-amerikanische Diskussion um das Verhältnis von Daten und Privatsphäre beeinflusste auch die europäische Auseinander setzung um den staatlichen Umgang mit Daten.30 In Deutschland setzte die Debatte um den Schutz der Privatsphäre ein, als die Regierung in Angriff nahm, große zentrale Datenbanken zu erstellen, die jeden 24 Die folgenden Ausführungen zum deutschen Recht folgen vor allem: Moss, Datenschutzrecht, Berlin/Heidelberg 2006, S. 4; zum österreichischen Recht: Duschanek, Die Entwicklung des Datenschutzes in Österreich, in: Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht, Wien 2009, S. 45; zum schweizer Recht: Bleser, in: Bleser/Epiney/Waldmann (Hrsg.), Datenschutzrecht, Bern 2011, § 2 Rn. 16; Seethaler, in: Maurer-Lambrou/Vogt, Basler Kommentar zum Datenschutzgesetz, 2. Aufl. 2006, Entstehungsgeschichte des Datenschutzgesetzes, Rn. 18. 25 di Martino, Datenschutz im Europäischen Recht, 1. Aufl. 2005, S. 16. 26 Duschanek, Die Entwicklung des Datenschutzes in Österreich, in: Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht, Wien 2009, S. 43. 27 Bleser, in: Bleser/Epiney/Waldmann (Hrsg.), Datenschutzrecht, Bern 2011, § 2 Rn. 14. 28 Jóri, Data Protection Law – An Introduction, 3.1.2. www.dataprotection.eu/pmwiki/ pmwiki.php?n=Main.Development (Abgerufen: 20.09.2011). 29 di Martino, Datenschutz im Europäischen Recht, 1. Aufl. 2005, S. 17. 30 Bleser, in: Bleser/Epiney/Waldmann (Hrsg.), Datenschutzrecht, Bern 2011, § 2 Rn. 16.
D. Entwicklung des Datenschutzrechts
7
Bürger erfassen sollten.31 Als Reaktion auf die technische Entwicklung verabschiedete Hessen als erstes Bundesland – überhaupt als erstes Land weltweit – im Jahre 1970 das erste Datenschutzgesetz.32 Dies war mit 17 Paragraphen noch sehr überschaubar, enthielt aber bereits einzelne zentrale Rechte und Instrumentarien im Bereich des Kundendatenschutzes.33 So konnte beispielsweise der Betroffene nach § 4 Abs. 1 HDSG a. F. die Berichtigung unrichtig gespeicherter Daten oder nach § 4 Abs. 2 HDSG a. F. die Wiederherstellung des ursprüng lichen Zustandes bzw. die zukünftige Unterlassung bei widerrechtlicher Einsicht, Änderung oder Vernichtung von gespeicherten Daten verlangen. Dennoch war es, wie alle Datenschutzgesetze der ersten Generation darauf ausgelegt, die informationelle Übermacht des Staates einzudämmen und gesetzlich zu regeln. Der Bund folgte 1977 mit dem ersten Bundesdatenschutzgesetz (BDSG), das am 01.01.1978 in Kraft trat. Auch zu den Datenschutzgesetzen der „ersten Stunde“ gehörte das Datenschutzgesetz des Kantons Genf.34 Dieses Gesetz versuchte dem Bürger durch die Schaffung unabhängiger Kontrollinstanzen und öffentlicher Register eine bessere Übersicht über die ihn betreffenden Datenbearbeitungen zu verschaffen.35 Die Schweiz selbst erließ erst im Jahr 1992 und nach einem langen und intensiven Gesetzgebungsprozess das erste Datenschutzgesetz (DSG). Aber auch dort ging man offenbar zunächst davon aus, dass das größte Gefährdungspotenzial vom Staat selbst ausginge, denn es wurde zunächst eine Expertenkommission36 eingesetzt, die aufgrund der bestehenden Verfassungsgrundlagen allgemeine gesetzliche Datenschutzvorschriften für die Bundesverwaltung ausarbeiten sollte.37 Die erste Regierungsvorlage enthielt daher lediglich einen knappen Verweis auf die schriftliche Zustimmung des Betroffenen für die Weitergabe von Daten im öffentlichen Bereich.38 Erst zwei Jahre später beauftragte man eine zweite Kommission39 mit der Ausarbeitung eines Gesetzesentwurfes Bleser, in: Bleser/Epiney/Waldmann (Hrsg.), Datenschutzrecht, Bern 2011, § 2 Rn. 16. Hessisches Datenschutzgesetz (HDSG) vom 7. Oktober 1970, GVBl. I 625. 33 Moss, Datenschutzrecht, Berlin/Heidelberg 2006, S. 4. 34 Loi sur la protection des informationes traitées automatiquement par ordinateur vom 24.06.1976. 35 Seethaler, in: Maurer-Lambrou/Vogt, Basler Kommentar zum Datenschutzgesetz, 2. Aufl. 2006, Entstehungsgeschichte des Datenschutzgesetzes, Rn. 9. 36 Expertenkommission unter dem Vorsitz von Professor Mario M. Pedrazzini, eingesetzt 1977. 37 Seethaler, in: Maurer-Lambrou/Vogt, Basler Kommentar zum Datenschutzgesetz, 2. Aufl. 2006, Entstehungsgeschichte des Datenschutzgesetzes, Rn. 18. 38 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 25. 39 Auch diese stand unter der Leitung von Professor Mario M. Pedrazzini und wurde 1979 eingesetzt. 31
32
8
Kapitel 1: Einführung und Grundlagen
für den privaten Bereich. Beide Entwürfe wurden später zusammengeführt und nach langer Diskussion und unter einigen Änderungen am 19.06.1992 verabschiedet.40 Außerdem ging man auch hier im öffentlichen Bereich grundsätzlich von einem Verbot der Datenverarbeitung mit Erlaubnisvorbehalt aus, das Bearbeiten von Personendaten wurde vom Vorhandensein einer Rechtsgrundlage abhängig gemacht.41 Im privatrechtlichen Bereich dagegen zählte der Gesetzgeber nicht abschließend und nur beispielhaft auf, unter welchen Voraussetzungen eine Datenbearbeitung zu einer Persönlichkeitsrechtsverletzung führt.42 Kurz nach der Bundesrepublik verabschiedete auch Österreich das erste Datenschutzgesetz (DSG 1978)43, das am 01.01.1980 in Kraft trat.44 Das DSG 1978 ging zwar von seiner Konzeption auch von einer Gefährdung der Privatsphäre durch Großrechenanlagen und Rechenzentren vor allem des Staates aus, der Gesetzgeber hielt jedoch die Gefährdung durch Private ebenso für wahrscheinlich.45 So verlangte § 6 DSG 1978 a. F. für die Zulässigkeit von Datenermittlungen und -verarbeitungen im automationsunterstützten Datenverkehr des öffentlichen Bereichs grundsätzlich eine ausdrückliche, gesetzliche Ermächtigung, während für den privaten Bereich ohne Einschaltung des Gesetzgebers auf den „berechtigten Zweck“ der Rechtsträger zurückgegriffen wurde, vgl. § 17 DSG 1978 a. F.46
E. Internationale Grundlagen Durch die zunehmende Globalisierung bzw. fortschreitende Digitalisierung und dem damit einhergehenden grenzüberschreitenden Datenaustausch47 zeigte sich Anfang der 70er Jahre die Notwendigkeit, auch auf internationaler Ebene speziZur Entstehungsgeschichte des DSG vgl. Müller, ZBl 1988, 425. Bründler, SJZ 1993, 129 (129). 42 Bründler, SJZ 1993, 129 (129). 43 Zur gleichen Zeit wurden auch in vielen anderen europäischen Staaten erste Datenschutzgesetze geschaffen: Frankreich (1978), Norwegen (1978), Dänemark (1978), Luxemburg (1979), später folgten Großbritannien (1984), Finnland (1987), Irland (1988), Niederlande (1988), Portugal (1991). 44 Graf, Datenschutzrecht im Überblick, 2. Aufl. 2010, S. 31. 45 Vgl. Initiativanträge der ÖVP zum DSG (IA 125/A II-3586 BlgNR 13. GP 2), wonach „Mißbräuche […] nicht allein von der Verwaltung kommen, es werden auch Klagen über den Datenmißbrauch in der Privatwirtschaft laut“; Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 47. 46 Duschanek, Die Entwicklung des Datenschutzes in Österreich, in: Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht, Wien 2009, S. 45. 47 Kühnling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 5. 40 41
E. Internationale Grundlagen
9
fische Vorgaben für den Umgang mit persönlichen Daten zu entwickeln.48 So wurden im Laufe der Jahre in verschiedenen internationalen Organisationen wie dem Europarat (I), der OECD (II) sowie den Vereinten Nationen (III) datenschutzrelevante Regelungen getroffen.
I. Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten des Europarates Der Europarat hatte sich schon sehr frühzeitig mit dem Thema Datenschutz auseinandergesetzt. Bereits 1973/74 hatte er in (unverbindlichen) Resolutionen auf die Notwendigkeit des Datenschutzes im privaten49 und öffentlichen Sektor50 hingewiesen. Das erste, völkerrechtlich auch tatsächlich bindende Abkommen wurde vom Europarat aber erst etwas später, am 28.01.1981 verabschiedet. Das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ (Datenschutzkonvention) wurde zunächst von fünf Staaten51 – darunter auch Deutschland – ratifiziert und trat zwischen diesen 1985 in Kraft. Österreich hinterlegte die Ratifikationsurkunde am 30.03.1988, die Schweiz folgte knapp zehn Jahre später im Jahr 1997. Die primäre Zielsetzung der Konvention ist die Harmonisierung der nationalen Rechtsordnungen und damit die Schaffung von datenschutzrechtlichen Mindeststandards, sowie die Regelung des grenzüberschreitenden Datenverkehrs.52 Nach Art. 4 Abs. 1 der Datenschutzkonvention (DSchK) sind die Mitgliedsstaaten verpflichtet die Regelungen in nationales Recht umzusetzen. Sie gilt nur für die automatisierte Verarbeitung personenbezogener Daten unabhängig davon, ob die Verarbeitung im öffentlichen oder nicht-öffentlichen Bereich stattfindet, vgl. Art. 3 Abs. 1 DSchK. Außerdem sieht die Konvention besondere Rechte für Betroffene vor. Art. 8 lit. a DSchK gewährt das Recht, das Vorhandensein von automatisierten Datensammlungen festzustellen, Art. 8 lit. b DSchK das Recht auf Auskunft. In Art. 8 lit. c DSchK ist der Anspruch auf Beseitigung oder Löschung geregelt, wenn die Datenverarbeitungsgrundsätze nicht eingehalten wurden und Art. 8 lit. d DSchK sieht die Möglichkeit vor über Rechtsmittel zu 48 Epiney/Hofstötter/Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europaund völkerrechtlichen Herausforderungen, Freiburg 2007, S. 42. 49 Entschließung (73) 22, „Resolution zum Schutz der Privatsphäre des einzelnen gegenüber elektronischen Datenbanken im privaten Sektor“. 50 Entschließung (74) 29, „Resolution zum Schutz der Privatsphäre des einzelnen gegenüber elektronischen Datenbanken des öffentlichen Sektors“. 51 Zunächst ratifizierten Frankreich, Norwegen, Schweden, Spanien und die Bundesrepublik Deutschland die Konvention. 52 Viethen, Datenschutz als Aufgabe der EG, Münster 2003, S. 31 f.
10
Kapitel 1: Einführung und Grundlagen
verfügen, mit denen der Betroffene gegen eine Verweigerung seiner Rechte vorgehen kann. Diese Rechte sind auch im Zusammenhang mit Art. 10 DSchK zu sehen, nachdem sich jede Vertragspartei verpflichtet, Sanktionen und Rechtsmittel für den Fall von Verletzungen der nationalen Regelungen, die den Grundprinzipien der Konvention Wirksamkeit verleihen, vorzusehen.53 Schließlich regelt die Konvention die Zusammenarbeit zwischen den Vertrags staaten und fordert die Unterstützung der betroffenen Personen, wenn sie gegen eine Datenverarbeitung im Ausland Rechte geltend gemacht haben, vgl. Art. 14 DSchK.54 Der Europarat musste jedoch bald erkennen, dass die allgemeinen Verarbeitungsgrundsätze, wie sie die Konvention enthält, nicht ausreichen.55 Er sprach sich deshalb schon sehr früh dafür aus, die Konvention um bestimmte Empfehlungen zu ergänzen.56 Es folgten Empfehlungen zu unterschiedlichen Anwendungsbereichen bzgl. der Verwendung personenbezogener Daten, wie beispielsweise der wissenschaftlichen Forschung und der Statistik57, der Direktwerbung58, der sozialen Sicherheit59, dem Zahlungsverkehr60, den Telekommunika tionsdiensten61 und dem Internet62. Allerdings ging der Einfluss des Europarates, dem mittlerweile 47 Staaten angehören, infolge der zunehmenden Aktivitäten der EG auf dem Gebiet des Datenschutzes immer weiter zurück.63 Hervorzuheben ist das Zusatzprotokoll aus dem Jahr 2001.64 Darin fordert der Europarat von den beitretenden Staaten die Einrichtung unabhängiger Kontrollstellen und die Einführung von Vorschriften für die Übermittlung von personenbezogenen Daten in Staaten, die die Datenschutzkonvention nicht ratifiziert haben.65 Deutschland
53 Epiney/Hofstötter/Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europaund völkerrechtlichen Herausforderungen, Freiburg 2007, S. 60. 54 Schweizer/Burkert, DuD 1994, 422 (423). 55 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, Einleitung Rn. 178. 56 Burkert, CR 1988, 751 (756 f.). 57 Empfehlung Nr. R (83) 10 v. 23.09.1983, EU DS, EuRat-R (83) 10 und Empfehlung Nr. R (97) 18 v. 30.09.1997, EU DS, EuRat-R (97) 18. 58 Empfehlung Nr. R (85) 20 v. 25.10.1985, EU DS, EuRat-R (85) 20. 59 Empfehlung Nr. R (86) 1 v. 31.01.1986, EU DS, EuRat-R (86) 1. 60 Empfehlung Nr. R (90) 19 v. 13.09.1990, EU DS, EuRat-R (90) 19. 61 Empfehlung Nr. R (95) 4 v. 07.02.1995, EU DS, EuRat-R (95) 4. 62 Empfehlung Nr. R (99) 5 v. 23.02.1999, EU DS, EuRat-R (99) 5. 63 Westphal, Grundlagen und Bausteine des europäischen Datenschutzrechts, in: Bauer/ Reimer (Hrsg.), Handbuch Datenschutzrecht, Wien 2009, S. 47. 64 Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows, European Treaty Series No. 181 http://conventions.coe.int/treaty/ger/treaties/html/ 181.htm (Abgerufen: 15.09.2011). 65 Vgl. hierzu Hornung, DuD 2004, 719.
E. Internationale Grundlagen
11
r atifizierte das Zusatzprotokoll bereits im Jahr 2002, die Schweiz und Österreich folgten im Jahr 2007 bzw. 2008.66
II. Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten der OECD Die Organisation für europäische wirtschaftliche Zusammenarbeit und Entwicklung begann in den 70er Jahren, sich mit den Fragen des Datenschutzes zu beschäftigen.67 Eine 1978 gegründete „Expert Group on Transborder Data Barriers“ wurde mit der Ausarbeitung von Vereinbarungen zum internationalen Datenaustausch beauftragt. Am 23.09.1980 verabschiedeten die Mitgliedstaaten der OECD „Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezogener Daten“.68 Die OECD-Leitlinien richten sich an öffentliche und nicht-öffentliche Stellen gleichermaßen (Nr. 2) und orientierten sich an der Bedeutung und den Auswirkungen der automatisierten Verarbeitung.69 Sie enthalten acht Verarbeitungsgrundsätze (Nr. 7 bis 14), darunter die Verpflichtung, personenbezogene Daten nur rechtmäßig zu erheben und sich dabei nach Treu und Glauben zu richten (Nr. 7) sowie die Notwendigkeit einer zweckgebundenen und transparenten Verarbeitung (Nr. 12).70 Auch die OECD-Leitlinien garantieren bereits Rechte der Betroffenen, angefangen beim Auskunfts- bis hin zum Berichtigungs- und Löschungsrecht (Nr. 14).71 Jede Person hat demnach Anspruch auf Erlangung einer Bestätigung über das Vorhandensein oder Nichtvorhandensein von sie betreffenden Daten, sowie auf Übermittlung und auf Anfechtung der selbigen, woraufhin bei Erfolg die Löschung, Berichtigung, Vervollständigung oder Änderung der Daten verlangt werden kann.72 Zwar wird im Vorspann bzw. „operativen Teil“ der Leitlinien der Schutz der Privatsphäre als Zielsetzung betont, das primäre Interesse der OECD liegt aber vielmehr in der Sicherstellung eines reibungslosen Informa 66 Stand der Ratifikation: http://conventions.coe.int/treaty/Commun/ChercheSig.asp?NT= 181&CM=8&DF=8/8/2008&CL=ENG (Abgerufen: 15.09.2011). 67 OECD, Policy Issues in Data Protection and Privacy, OECD Information Studies 10/1976. 68 OECD, Guidelines governing the Protection of Privacy an Transborder Flows of Personal Data, Document C (80) 58 (Final) v. 01.10.1980; Kurzfassung abrufbar unter: http://www. oecd.org/dataoecd/16/7/15589558.pdf (Stand: 08.09.2011). 69 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Einleitung Rn. 186. 70 Epiney/Hofstötter/Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europaund völkerrechtlichen Herausforderungen, Freiburg 2007, S. 47. 71 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, Einleitung Rn. 187. 72 Vgl. OECD, Guidelines governing the Protection of Privacy an Transborder Flows of Personal Data, Document C (80) 58 (Final) v. 01.10.1980, Nr. 14.
12
Kapitel 1: Einführung und Grundlagen
tionsflusses und der Beseitigung von Hindernissen für den internationalen Datenverkehr.73 Der Schwerpunkt liegt damit wohl eher auf der Informationsfreiheit, was natürlich auch der wirtschaftlichen Ausrichtung der OECD geschuldet ist.74 Die Wirkung der Leitlinien ist allerdings beschränkt: Zum einen besteht gegenüber den mittlerweile 34 Mitgliedstaaten75 völkerrechtlich keine Bindungswirkung, da es sich nur um Empfehlungen nach Art. 5b des OECD-Übereinkommens76 handelt, zum anderen steht es den Mitgliedstaaten sowieso frei, Ausnahmen von den genannten Grundsätzen festzulegen.77 Obwohl die Mitgliedstaaten nicht verpflichtet sind, die getroffenen Vereinbarungen in nationales Recht umzusetzen, haben sie doch entscheidend dazu beigetragen, den Datenschutz als Gegenstand internationaler Regulierung zu etablieren.78
III. „Richtlinien betreffend personenbezogene Daten in automatisierten Dateien“ der Vereinten Nationen Seit Ende der 60er Jahre befassen sich – parallel zu den Datenschutzdiskussionen in den USA – die Vereinten Nationen mit den Auswirkungen der elektronischen Datenverarbeitung auf die Menschenrechte.79 Nach verschiedenen Berichten des Generalsekretärs und dem Leitlinienentwurf von 1985 verabschiedete die Generalversammlung der Vereinten Nationen am 04.12.1990 die „Richtlinien betreffend personenbezogene Daten in automatisierten Dateien“.80 Ihr Ziel ist es, den Datenschutzgedanken zu verbreiten und Impulse für die Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Einleitung Rn. 188; Epiney/Hofstötter/ Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen, Freiburg 2007, S. 45. 74 Epiney/Hofstötter/Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europaund völkerrechtlichen Herausforderungen, Freiburg 2007, S. 45. 75 Gründungsstaaten von 1948: Belgien, Dänemark, Deutschland, Frankreich, Griechenland, Irland, Island, Italien, Kanada, Luxemburg, Niederlande, Norwegen, Österreich, Portugal, Schweden, Spanien, Schweiz, Türkei, Vereinigte Staaten, Vereinigtes Königreich; später beigetreten (nach Beitrittsjahr geordnet): Japan (1964), Finnland (1969), Australien (1971), Neuseeland (1973), Mexiko (1994), Tschechien (1995), Südkorea (1996), Ungarn (1996), Polen (1996), Slowakei (2000). 76 Übereinkommen über die Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung vom 14.12.1960, BGBl. 1961 II, 1151. 77 Wuermeling, Handelshemmnis Datenschutz, Köln 2000, S. 8. 78 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 6; von einem „Apellcharakter“ der Leitlinien sprechen: Epiney/Hofstötter/Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen, Freiburg 2007, S. 45. 79 Burkert, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 99. 80 Guidelines of the Regulation of Computerized Personal Data Files, Doc. E/CN.4/1990/ 72. 73
F. Unionsrechtliche Grundlagen
13
Rechtsetzung in den Mitgliedstaaten der Vereinten Nationen zu geben.81 Den Richtlinien sind allgemeine Grundsätze zur Richtigkeit und Zweckbestimmung von Daten zu entnehmen, die von den Mitgliedstaaten in den nationalen Gesetzgebungsverfahren berücksichtigt werden sollten.82 Hier lehnen sich die Vereinten Nationen eng an die Datenschutzkonvention des Europarates und die OECD- Leitlinien an.83 Nur in einem Punkt gehen die Richtlinien allerding weiter: Sie sind das erste internationale Dokument, das ausdrücklich die Einrichtung einer unabhängigen Kontrollinstanz verlangt.84 Die Richtlinien sind völkerrechtlich nicht nur nicht bindend – haben also lediglich nur empfehlenden Charakter – sondern bleiben auch hinsichtlich ihrer materiellen Ausgestaltung weit hinter den bereits dargestellten Abkommen zurück.85
F. Unionsrechtliche Grundlagen Auf europäischer Ebene spielen datenschutzrechtliche Fragen heute eine besonders wichtige Rolle. Die grenzüberschreitenden Datenströme haben durch die Schaffung eines europäischen Binnenmarktes erheblich zugenommen.86 In der europäischen Union gibt es inzwischen eine Vielzahl von Bestimmungen, sowohl auf primär- (I) wie auch auf sekundärrechtlicher Ebene (II), die den Datenschutz betreffen und damit die entsprechenden rechtlichen Vorgaben in den Mitgliedstaaten prägen.87
I. Primärrecht Rechtsquellen zum Datenschutz in Europa finden sich bereits auf oberster, primärrechtlicher Ebene. Zunächst soll ein Blick auf die – durch den Vertrag von Lissabon nun auch rechtsverbindliche – Charta der Grundrechte der Europäischen Union (EU-Charta) geworfen werden (1), bevor dann das Datenschutzgrundrecht und die Kompetenzbestimmungen in Art. 16 AEUV und Art. 39 EUV näher beleuchtet werden soll (2). Zum Schluss wird noch auf Art. 8 der 81 Epiney/Hofstötter/Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europaund völkerrechtlichen Herausforderungen, Freiburg 2007, S. 75. 82 Epiney/Civitella/Zbinden, Datenschutzrecht in der Schweiz, Freiburg 2009, S. 9. 83 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Einleitung Rn. 197. 84 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Einleitung Rn. 197. 85 Kühling/Seidel/Sivridis, Datenschutzrecht, 1. Aufl. 2008, S. 35. 86 Zilkens, RDV 2007, 196 (196). 87 Epiney/Schleiss, in: Bleser/Epiney/Waldmann (Hrsg.), Datenschutzrecht, Bern 2011, § 4 Rn. 1.
14
Kapitel 1: Einführung und Grundlagen
Europäischen Menschenrechtskonvention (EMRK) aus dem Jahr 1950 (3) eingegangen. Zwar sieht der Änderungsvertrag von Lissabon in Art. 6 Abs. 2 EUV n. F. einen Beitritt der EU zur EMRK88 vor, daraus folgt jedoch kein direkter Aufstieg der EMRK zur eigenen Rechtsquelle – sie erhält also keinen Primärrechtsstatus, vgl. Art. 216 AEUV – jedoch genießt sie Vorrang vor dem europäischen Sekundärrecht89, weshalb sie hier mit behandelt werden soll. 1. Datenschutzgrundrecht, Art. 8 EU-Charta Art. 8 EU-Charta normiert als lex specials gegenüber Art. 7 EU-Charta ein eigenes Datenschutzgrundrecht. Zwar wurde die Grundrechtecharta durch den Vertrag von Lissabon nicht förmlich in den EU-Vertrag inkorporiert. Dennoch wird in Art. 6 I EUV ausdrücklich auf sie Bezug genommen, was ihr Primärrechtsstatus verleiht und damit zu rechtsverbindlichem Unionsrecht erhebt. Damit erhält die EU erstmals einen geschriebenen Grundrechtskatalog.90 Der Europäische Gerichtshof (EuGH) hatte aber auch schon lange zuvor die Grundrechte, wie sie sich aus den gemeinsamen Verfassungsüberlieferungen der Mit gliedstaaten sowie aus der Europäischen Menschenrechtskonvention ergeben, als allgemeine Grundsätze des Gemeinschafts- bzw. Unionsrechts anerkannt.91 Der sachliche Schutzbereich umfasst alle Informationen über eine bestimmte oder bestimmbare Person.92 Einen Eingriff in Art. 8 EU-Charta stellt grundsätzlich jede Art der Verarbeitung personenbezogener Daten dar, d. h. von der Erhebung über die Weitergabe bis hin zur Löschung der personenbezogenen Daten.93 Jeder Eingriff bedarf einer gesonderten Rechtfertigung. Die Unionsgrundrechte werden dabei nicht schrankenlos gewährleistet, hier ist vor allem Art. 52 EU-Charta zu beachten, wonach „jede Einschränkung der Ausübung der in dieser Charta anerkannten Rechte und Freiheiten gesetzlich vorgesehen sein und den Wesensgehalt dieser Rechte und Freiheiten achten“ muss. Art. 8 Abs. 2 EU-Charta enthält selbst eine Qualifikation der Einschränkungsgründe.94 Personenbezogene Daten dürfen demnach nur nach Treu und Glauben für 88
Art. 218 AEUV bestimmt, dass der für einen Beitritt zur EMRK notwendige Beschluss im Europarat einstimmig und nach Zustimmung des Europäischen Parlaments zu erfolgen hat. Zudem bedarf es einer gesonderten Ratifikation des Beitrittvertrags durch die Mitgliedstaaten, hierzu auch: Reich, EuZW 2011, 379 (379). 89 Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (172). 90 Möstl, Vertrag von Lissabon, München 2010, S. 62. 91 Siehe etwa EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01, „ORF“, Rn. 68 ff. 92 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 17. 93 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 18. 94 Schorkopf, in: Ehlers (Hrsg.), Europäische Grundrechte und Grundfreiheiten, 3. Aufl. 2009, § 16 Rn. 47.
F. Unionsrechtliche Grundlagen
15
festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. In Art. 7 EU-Charta enthält das Recht auf Achtung des Privat- und Familienlebens sowie der Kommunikation. Nach dem Wortlaut von Art. 7 EU-Charta, der in seiner Formulierung weitgehend Art. 8 EMRK entspricht, lassen sich vier Gewährleistungen innerhalb des Schutzbereiches dieses Grundrechts unterscheiden; nämlich die Achtung des Privat- und Familienlebens, der Wohnung und der Korrespondenz. Geschützt ist damit insbesondere das Brief-, Post- und Telekommunikationsgeheimnis, wobei auch moderne Kommunikationsmittel wie E-Mail und SMS unter den Schutzbereich fallen.95 Der Schutz von personenbezogenen Daten ist jedoch speziell in Art. 8 EU-Charta geregelt, wobei es durchaus auch zu Überschneidungen beider Grundrechte kommen kann. Beide Grundrechte verpflichten jedoch nur die Grundrechtsadressaten des Art. 51 Abs. 1 EU-Charta, also die Union und ihre Stellen sowie die Mitgliedsstaaten und deren Stellen, soweit sie Unionsrecht ausführen.96 Privatpersonen werden demnach durch Art. 8 EU-Charta nicht gebunden, können aber (mittelbar) durch Regelungen zur Umsetzung der Schutzpflicht verpflichtet werden.97 Außerdem spielt die grundrechtskonforme Auslegung bei privatrechtlichen Vorschriften eine Rolle.98 2. Datenschutzgrundrecht und datenschutzrechtliche Kompetenzbestimmung in Art. 16 AEUV / Art. 39 EUV Durch den Lissaboner Vertrag, der sich von der Säulenarchitektur des Maastrichter Vertrages löst, wird der Datenschutz mit Art. 16 AEUV an prominenter Stelle platziert.99 Vor allem durch den Abs. 2 wurde eine datenschutzrechtliche Kompetenznorm zur Regelung des Schutzes personenbezogener Daten geschaffen, damit verfügen das Europäische Parlament und der Rat über eine einheitliche Ermächtigungsgrundlage in diesem Bereich.100 Nach Art. 16 Abs. 2 AEUV hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. Der Wortlaut entspricht exakt dem von Art. 8 EU-Charta, schafft aber inhaltlich keinen darüber hinausgehenden Schutzeffekt. Art. 16 AEUV enthält im Gegensatz zu Art. 8 EU-Charta keine Schrankenbestimmung, weshalb die Anwendung des Art. 52 Abs. 2 EU-Charta ausgeschlossen wird, um ein LeerKühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 16. Jarass, EU-Grundrechte, München 2005, § 13 Rn. 3. 97 Jarass, EU-Grundrechte, München 2005, § 13 Rn. 3. 98 Tinnefeld, DuD 2009, 505 (504). 99 Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (172). 100 Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (172). 95
96
16
Kapitel 1: Einführung und Grundlagen
laufen der Schranken aus Art. 8 Abs. 2 EU-Charta und des Allgemeinvorbehalts des Art. 52 Abs. 1 EU-Charta zu vermeiden.101 Diese Doppelung der Anspruchsgrundlage wird daher auch als symbolische Erwägung interpretiert, die Bedeutung des Datenschutzes hervorzuheben.102 3. Recht auf Achtung des Privat- und Familienlebens, Art. 8 EMRK Art. 8 EMRK gewährleistet das Recht auf Achtung des Privat- und Familienlebens. Nach dessen Abs. 1 hat jede Person das Recht auf Achtung ihres Privatund Familienlebens, ihrer Wohnung und ihrer Korrespondenz. Nach dem Wortlaut von Art. 8 EMRK lassen sich vier Gewährleistungen innerhalb des Schutzbereiches dieses Grundrechts unterscheiden – nämlich die Achtung des Privat – und Familienlebens, der Wohnung und der Korrespondenz.103 Der Schutz persönlicher Daten ist Ausfluss des Rechts einer Person auf Schutz ihres Privat lebens.104 Der Schutzbereich ist eröffnet, wenn Daten eines Grundrechtsträgers erhoben, gespeichert oder verarbeitet werden und dieser dadurch in seinem Privatleben beeinträchtigt wird.105 Art. 8 EMRK ist als Abwehrgrundrecht ausgestaltet106 und verpflichtet gem. Art. 1 EMRK in erster Linie die Staaten, welche die EMRK ratifiziert haben.107 An Private richtet sich Art. 8 Abs. 1 EMRK jedoch nicht direkt verpflichtend.108 Ansatzpunkte für eine „unmittelbare Drittwir kung“ der in der EMRK verbürgten Grundrechte sind in keiner Garantie der EMRK zu finden.109 Auch der Europäische Gerichtshof für Menschenrechte (EGMR) hat bisher nichts Gegenteiliges zu Art. 8 EMRK verlauten lassen.110 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 19. Spiecker gen. Döhmann/Eisenbarth, JZ 2011, 169 (172). 103 Grabenwarter, Europäische Menschenrechtskonvention, 3. Aufl. 2008, § 22 Rn. 5. 104 Meyer-Ladewig, Europäische Menschenrechtskonvention, Handkommentar, 2. Aufl. 2006, Art. 8 Rn. 11. 105 Grabenwarter, Europäische Menschenrechtskonvention, 3. Aufl. 2008, § 22 Rn. 10. 106 Weber/Sommerhalder, Das Recht der personenbezogenen Information, Zürich 2006, S. 52. 107 Deutschland ratifizierte 1952 die Konvention, Österreich folgte 1956. In Deutschland steht die Menschenrechtskonvention im Rang eines einfachen Gesetzes, während in Österreich ihr Rang im Verhältnis zum nationalen Recht zunächst strittig war. Letztendlich wurde jedoch durch ein besonderes Verfassungsgesetz der Verfassungsrang der EMRK klargestellt. Die Schweiz hinterlegte die Ratifikationsurkunde im Jahr 1974, so dass die EMRK in der Schweiz direkt anwendbares Recht darstellt. Ausführlich zur Geltung der EMRK in der Schweiz: Haefliger, Die Europäische Menschenrechtskonvention und die Schweiz, Bern 2008, S. 6 ff. 108 Weber/Sommerhalder, Das Recht der personenbezogenen Information, Zürich 2006, S. 52. 109 Grabenwarter, Europäische Menschenrechtskonvention, 3. Aufl. 2008, § 19 Rn. 14. 110 Weber/Sommerhalder, Das Recht der personenbezogenen Information, Zürich 2006, 101
102
F. Unionsrechtliche Grundlagen
17
Damit ist Art. 8 EMRK für den Kundendatenschutz zwar nicht unmittelbar von zentraler Bedeutung, jedoch spielen die Bestimmungen der EMRK sowie auch die EU-Charta bei der Auslegung der Datenschutzrichtlinie 95/46/EG und der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG, auf die im Folgenden noch ausführlich eingegangen werden soll, eine bedeutende Rolle.111
II. Sekundärrecht Für die Mitgliedstaaten von besonderer Bedeutung sind die von der EU erlassenen Rechtsakte auf sekundärrechtlicher Ebene, allen voran die Richtlinie 95/46/ EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr112 , die zunächst genauer beleuchtet werden soll (1). Weitere zentrale Rechtsgrundlagen im Bereich des Datenschutzes bilden noch die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation113 (2) sowie die Datenschutzgrundverordnung, auf die ebenfalls eingegangen werden soll (3). Da die Schweiz kein Mitgliedsaat der Europäischen Union ist, wird schließlich auf die Geltung der sekundärrechtlichen europäischen Vorgaben für die Schweiz im Speziellen einzugehen sein (4). 1. Datenschutzrichtlinie 95/46/EG Die Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr wurde 1995 von der Europäischen Gemeinschaft zum Schutz der Privatsphäre von natürlichen Personen bei der Verarbeitung von personenbezogenen Daten erlassen. Die Richtlinie soll einerseits die personenbezogenen Daten natürlicher Personen schützen, andererseits aber auch den freien Datenverkehr ermöglichen.114 Diese beiden Zielvorstellungen schließen sich nicht gegenseitig aus; die angestrebte S. 52. Ausführlich zur Rechtsprechung des EMRG zu Art. 8 EMRK: Schweizer, DuD 2009, 462 (462). 111 Tinnefeld, DuD 2009, 504 (504). 112 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281, 31. 113 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl. Nr. L 201 S. 37. 114 Ehmann/Helfrich, EG Datenschutzrichtlinie 1999, Einleitung Rn. 4.
18
Kapitel 1: Einführung und Grundlagen
Freiheit des Datenverkehrs findet vielmehr dort ihre Grenze, wo nach dem Willen des europäischen Gesetzgebers dem Persönlichkeitsrecht des Betroffenen der Vorrang einzuräumen ist.115 Der Anwendungsbereich der Richtlinie ist sehr weit, er bezieht sich auf alle Fälle der (teil-)automatisierten Verarbeitung personenbezogener Daten, sowie manuell erhobener personenbezogene Daten, die in einer Datei gespeichert sind, vgl. Art. 3 DSRL. Die Richtlinie versteht unter personenbezogenen Daten zwar nur solche von natürlichen Personen, schließt aber nicht aus, auf nationaler Ebene Regeln zum Schutz personenbezogener Daten von juristischen Personen zu erlassen.116 Als zentrale Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung verlangt die Richtlinie entweder die Einwilligung des Betroffenen oder das Vorliegen eines weiteren in Art. 7 DSRL normierten Rechtfertigungsgrundes. Die Datenverarbeitung ist also nur in den dort aufgeführten Fällen zulässig; Art. 7 DSRL normiert damit den für das Datenschutzrecht prägenden Grundsatz eines Verbots mit Erlaubnisvorbehalt.117 2. Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG Die Richtlinie über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation (EK-DSRL))118 ersetzt die EG-Telekommunikationsdatenschutz-Richtlinie 97/66/EG und enthält grundlegende Verpflichtungen, die die Sicherheit und Vertraulichkeit der Kommunikation über elektronische Netze in der EU – einschließlich des Internet und mobiler Dienste – gewährleisten sollen. Sie stellt eine Detaillierung und Ergänzung der Richtlinie 95/46/EG, also der Datenschutzrichtlinie dar, vgl. Art. 1 Abs. 2 EK-DSRL. Außerdem verankert die Richtlinie das Telekommunikationsgeheimnis im unionrechtlichen Sekundärrecht. Die von den Mitgliedstaaten erlassenen rechtlichen, ordnungspolitischen und technischen Bestimmungen zum Schutz personenbezogener Daten und der Privatsphäre im Bereich der elektronischen Kommunikation sollten harmonisiert werden, um Behinderungen des Binnenmarktes der elektronischen Kommunikation zu beseitigen.119 Während die Datenschutzrichtlinie nur den Schutz von natürlichen Personen gewährleistet, erstreckt sich der Schutz dieser Richtlinie auch auf juristische Personen, vgl. Ehmann/Helfrich, EG Datenschutzrichtlinie 1999, Einleitung Rn. 4. Vgl. Art. 2a DSRL und EG Nr. 24 DSRL. 117 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 29. 118 Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation). 119 Vgl. EG Nr. 8 EK-DSRL. 115 116
F. Unionsrechtliche Grundlagen
19
Art. 1 Abs. 2 EK-DSRL.120 Die Richtlinie enthält spezielle Erlaubnistatbestände und Verarbeitungsregeln für Verkehrs- und Standortdaten, die grundsätzlich nur für die in Artt. 6, 9 EK-DSRL genannten Zwecke verarbeitet werden.121 Sollen darüber hinaus Daten verarbeitet werden, ist die vorherige Einwilligung des Nutzers (Betroffener) einzuholen. 3. Datenschutzgrundverordnung (DS-GVO) Am 27.04.2016 haben das Europäische Parlament und der Rat nach langjährigem Ringen die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) beschlossen, die ab 25.05.2018 in den Mitgliedstaaten direkt zur Anwendung kommt. Sie ist Teil der EU-Datenschutzreform, welche die Europäische Kommission im Frühjahr 2012 vorgestellt hatte.122 Die Verordnung knüpft an die Grundsätze der Datenschutzrichtlinie an und entwickelt sie entsprechend der heutigen Informationsgesellschaft weiter.123 Die Mehrheit der Beteiligten war sich einig, dass eine Anpassung der Regelungen notwendig sei, um besser auf die rasante Entwicklung neuer Technologien – vor allem Online-Technologien – und die zunehmende Globalisierung reagieren zu können.124 Mit der Rechtsvereinheitlichung sollen mehr Rechtssicherheit erreicht und europaweit tätige Unternehmen finanziell entlastet werden.125 Die Verordnung enthält ein bisher noch nicht normiertes „Recht auf Vergessenwerden“126 und das Recht auf Datenportabilität, d. h. das Recht, seine Daten aus einem automatisierten Datenverarbeitungssystem auf ein anderes System zu übertragen, ohne dass der für die Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 39. Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 40. 122 Das Reformpaket umfasst neben dem Verordnungsvorschlag noch zwei weitere Elemente: Eine Mitteilung über die politischen Ziele der Kommission sowie den Vorschlag einer Richtlinie zum Schutz personenbezogener Daten, die zum Zweck der Verhütung, Auf deckung, Untersuchung oder Verfolgung von Straftaten und für damit verbundene justizielle Tätigkeiten. 123 Koós, ZD 2014, 9 (10). 124 Eckhardt, CR 2012, 195 (195). 125 Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Daten verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 27.04.2016, EG Nr. 13. 126 Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Daten verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 27.04.2016, Art. 17. 120 121
20
Kapitel 1: Einführung und Grundlagen
Verarbeitung Verantwortliche ihn daran hindern kann.127 Außerdem soll die Verordnung auch für Unternehmen gelten, die ihren Sitz außerhalb der Europäischen Union haben, EU-Bürgern aber in der Union Waren oder Dienstleistungen anbieten.128 Betroffen davon wären unter anderem Unternehmen wie Facebook und Google, die derzeit dem Safe Harbor-Abkommen unterfallen.129 4. Mindeststandard oder Vollharmonisierung durch die Datenschutzrichtlinie? Nach Art. 288 AEUV ist eine Richtlinie für jeden Mitgliedstaat, an den sie sich richtet, hinsichtlich der Erreichung ihres vorgegebenen Ziels verbindlich. Der Europäische Gesetzgeber überlässt es dabei grundsätzlich den innerstaatlichen Stellen, die Form und die Mittel auszuwählen, die sie für die Erreichung des Ziels als geeignet ansehen. Die Art der Zielsetzung hat einen bestimmten Einfluss auf den Umsetzungsspielraum der Mitgliedstaaten; eine Richtlinie, die sich mit der Formulierung von Zielen begnügt und den Mitgliedstaaten hinsichtlich der Form und der Mittel völlig freie Hand lässt gibt es eigentlich nicht.130 Aus der Zielsetzung ergibt sich daher, ob den Mitgliedstaaten noch ein gewisser Spielraum bei der Umsetzung i. S. e. Mindestharmonisierung verbleibt oder ob die Richtlinie die Anforderungen an die Umsetzungen in den Mit gliedstaaten vollumfänglich i. S. e. Vollharmonisierung festlegt.131 Die Frage nach dem Harmonisierungsgrad der Datenschutzrichtlinie wurde vom EuGH in mehreren Urteilen höchstrichterlich geklärt.132 Die Datenschutzrichtlinie setze nicht nur einen Mindeststandard für den Datenschutz in der Europäischen Union so der Gerichtshof, sondern gebe exakt das Schutzniveau vor, welches die Mitgliedstaaten zu gewährleisten haben.133 Den Mitgliedstaaten bleibt demnach kein Spielraum bei der Umsetzung der Datenschutzrichtlinie, das vorgegebene Schutzniveau darf weder unterlaufen noch überschritten werden. Öster127 Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Daten verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 27.04.2016, Art. 20. 128 Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Daten verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 26.04.2016, Art. 3 Abs. 2 lit. a. 129 Der Europäische Gerichtshof hat das Safe-Harbour-Abkommen zwischenzeitlich für ungültig erklärt, vgl. EuGH, C-362/14. 130 Oppermann/Classen/Nettesheim, Europarecht, 6. Aufl. 2014, S. 122. 131 Vulin, ZD 2012, 414 (415). 132 EuGH, C‑468/10 und C‑469/10 – ASNEF und FECEMD = ZD 2012, 33. 133 EuGH, C‑468/10 und C‑469/10, Rn. 1. So auch bereits angedeutet in: EuGH, C-101/01, Rn. 96 und C-524/06, Rn. 51.
F. Unionsrechtliche Grundlagen
21
reich und Deutschland haben daher die Vorgaben der Richtlinie im Bereich des datenschutzrechtlichen Einverständnisses zwingend nach den Vorgaben umzusetzen. 5. Geltung der sekundärrechtlichen europäischen Vorgaben für die Schweiz134 Im Jahr 1992 lehnten Volk und Stände einen Beitritt der Schweiz zum Euro päischen Wirtschaftsraum (EWR) ab. Die Teilnahme am EWR hätte für die Schweiz eine vollständige wirtschaftliche Integration und damit einen gleich berechtigten Zugang zum Europäischen Binnenmarkt ermöglicht. In der Folge der Ablehnung setzte die Schweiz im Verhältnis zu Europa auf den bilateralen Weg, d. h. den Abschluss von sektoriellen Staatsverträgen und auf die autonome Anpassung der schweizerischen Gesetzgebung an das Gemeinschafts- bzw. Europarecht (sog. autonomer Nachvollzug)135. Die schweizerische Rechtsordnung wird seither immer stärker durch das europäische Recht und die dazugehörige Rechtsprechung geprägt. Das Verhältnis der Schweiz zur Europäischen Union basiert auf verschiedenen Abkommen mit teilweise dynamischem Inhalt.136 Für den Datenschutz von besonderer Bedeutung sind die bilateralen Abkommen zwischen der Schweiz und der Europäischen Union über die Assoziierung an Schengen und an Dublin. Mit der Ratifizierung der „Bilateralen II“ hat die Schweiz auch einige datenschutzrechtliche Bestimmungen des Unionsrechts anzuwenden. Wie weit diese Verpflichtung reicht soll für die Datenschutzrichtlinie (a), die Datenschutzrichtlinie für elektronische Kommunika tion (b) und die künftige Datenschutzgrundverordnung (c) im Folgenden kurz erörtert werden. a. Sektorielle oder bereichsübergreifende Maßgeblichkeit der Datenschutzrichtlinie RL 95/46/EG in der Schweiz? Nach Art. 2 Abs. 1, 2 S-AA ist der im Einzelnen in den Anhängen A und B aufgeführte Schengen-Besitzstand137 zu übernehmen; gleiches gilt grundsätzlich auch für dessen Weiterentwicklung (Art. 2 Abs. 3 S-AA). Nach Anhang B Schengen-Assoziierung „wendet die Schweiz den Inhalt der nachstehend aufge-
134 Die folgenden Ausführungen beruhen hauptsächlich auf einem bereits veröffentlichen Beitrag zum schweizer Datenschutzrecht vgl. Langhanke, ZD 2014, 621 ff. 135 BGE 129 III 335. 136 http://www.europa.admin.ch/themen/00500/ (Abgerufen: 01.02.2014). 137 Der Schengen-Besitzstand bezeichnet die Gesamtheit der Abkommen und Verträge in Zusammenhang mit dem Schengener System. http://www.auswaertiges-amt.de/cae/servlet/ contentblob/350358/publicationFile/3763/SchengenBesitzstand.pdf (Abgerufen 01.02.2014).
22
Kapitel 1: Einführung und Grundlagen
führten Rechtsakte“, zu denen eben auch die Datenschutzrichtlinie gehört, an.138 Durch diese Formulierung wird die Frage aufgeworfen, ob die Schweiz die Datenschutzrichtlinie vollumfänglich, also letztlich genauso wie die Mitgliedstaaten umzusetzen hat oder ob sie deren Anwendung auf die von der Schengen-Assoziierung erfassten Bereiche beschränken kann.139 Da der Anwendungsbereich der Datenschutzrichtlinie sehr weit gefasst ist, hat die Beantwortung dieser Frage unter Umständen erhebliche Auswirkungen auf das schweizer Datenschutzrecht. Trotzdem wurde die Frage der Reichweite der Verpflichtung der Schweiz in der Botschaft des Bundesrates zu den Bilateralen II140 nicht explizit erörtert. Der Bundesrat führt hier lediglich aus, dass die Datenschutzrichtlinie ganz allgemein den Datenschutz im Bereich des Gemeinschaftsrechts (vgl. Art. 3 Abs. 2 DSRL) regele und seit der Integration des Schengen-Besitzstands in den rechtlichen Rahmen der EU sie mithin auch für alle Aspekte der Schengener Zusammenarbeit, welche vergemeinschaftet wurden gelte und in diesem Sinne Bestandteil des Schengen-Besitzstands sei.141 Der Bundesrat und mit ihm das Parlament scheinen also von einer lediglich sektoriellen Maßgeblichkeit der Datenschutzrichtlinie in den von Schengen erfassten Bereichen auszugehen.142 Die einzelnen Bestimmungen des Assoziierungsabkommens sind jedoch in Bezug auf diese Frage alles andere als eindeutig. Art. 2 S-AA differenziert zunächst zwischen den Anhängen A und B. Die im Anhang A „aufgeführten Bestimmungen des Schengen-Besitzstands, die für die Mitgliedstaaten der Europäischen Union gelten, werden von der Schweiz umgesetzt und angewendet“, vgl. Art. 2 Abs. 2 S-AA. Dagegen werden die in Anhang B aufgeführten Bestimmungen der Rechtsakte der Europäischen Union und der Europäischen Gemeinschaft, soweit sie entsprechende Bestimmungen des Schengener Durchführungsübereinkommen143 „ersetzen und/oder weiterentwickeln oder aufgrund des genannten Übereinkommens angenommen worden sind, von der Schweiz umgesetzt und angewendet“, vgl. Art. 2 Abs. 2 S-AA. 138 Abkommen zwischen der Schweizerischen Eidgenossenschaft, der Europäischen Union und der Europäischen Gemeinschaft über die Assoziierung dieses Staates bei der Umsetzung, Anwendung und Entwicklung des Schengen-Besitzstandes, BBl. 2004, 6467. 139 Epiney, SJZ 102 (2006), 121 (122). 140 Vgl. Botschaft zur Genehmigung der bilateralen Abkommen zwischen der Schweiz und der Europäischen Union, einschliesslich der Erlasse zur Umsetzung der Abkommen (Bilaterale II) vom 01.10.2004, BBl. 2004, 5965. 141 Vgl. Botschaft zur Genehmigung der bilateralen Abkommen zwischen der Schweiz und der Europäischen Union, einschließlich der Erlasse zur Umsetzung der Abkommen (Bilaterale II) vom 01.10.2004, BBl. 2004, 6108. 142 Epiney, SJZ 102 (2006), 121 (124) mit weiteren Anhaltspunkten. 143 Übereinkommen zur Durchführung des Übereinkommens betreffend den schritt weisen Abbau der Kontrollen an den gemeinsamen Grenzen vom 19.06.1990.
F. Unionsrechtliche Grundlagen
23
Die Datenschutzrichtlinie gehört zu den in Anhang B aufgeführten Bestimmungen. Sie soll demnach also nur umgesetzt werden, wenn sie das Schengener Durchführungsabkommen ersetzt und/oder weiterentwickelt oder aufgrund des Durchführungsabkommens von der Schweiz angenommen worden ist. Da die Datenschutzrichtlinie nicht zum Ziel hat das Durchführungsabkommen weiterzuentwickeln oder gar zu ersetzen144, kommt von vorne herein nur die zweite Alternative in Betracht. Nicht klar ist, was genau unter der Voraussetzung „aufgrund des genannten Abkommens angenommen“ zur verstehen ist. Die Datenschutzrichtlinie selbst wurde jedenfalls nicht aufgrund des Durchführungs übereinkommens angenommen. Die Formulierung könnte sich jedoch auch nur auf einzelne Bestimmungen beziehen oder wie Epiney vermutet, lediglich ein Hinweis auf den Hintergrund der Einbeziehung der Richtlinie in Anhang B darstellen.145 Die Frage der bereichsübergreifenden oder nur sektoriellen Maßgeblichkeit der Richtlinie wird durch Art. 2 Abs. 2 S-AA jedenfalls nicht beantwortet. Auch die Formulierung aus Art. 1 S-AA vermag hier nicht weiter zu helfen, wonach die Schweiz „bei der Tätigkeit der Europäischen Gemeinschaft und der Europäischen Union in den Bereichen, die Gegenstand der in den Anhängen A und B genannten Bestimmungen sind sowie bei der Weiterentwicklung dieser Bestimmungen assoziiert“ wird. Art. 1 S-AA besagt damit nichts anders, als dass die Schweiz sich zur Umsetzung, Anwendung und Entwicklung des Schengen Besitzstands in Anhang A und den Bestimmungen der Rechtsakte in Anhang B mit der Europäischen Union vertraglich zusammenschließt.146 Näheres zur Anwendung und Umsetzung dieser Bestimmungen regelt dann Art. 2 S-AA. Dieser ist jedoch wie bereits dargelegt bzgl. des Anwendungsbereiches der in Anhang B aufgeführten Rechtsakte nicht eindeutig. Bleibt noch der Wortlaut des ersten Satzes in Anhang B, nachdem „die Schweiz den Inhalt der nachstehend aufgeführten Rechtsakte ab dem vom Rat gemäss Artikel 15 festgelegten Zeitpunkt“ anwendet. Diese Formulierung legt den Schluss nahe, dass die Schweiz die genannten Rechtsakte vollumfänglich anzuwenden hat. Dies wird meines Erachtens von Art. 15 S-AA weiter untermauert, da dieser für den Zeitpunkt des Inkrafttretens der in Anhang A und B genannten Bestimmungen, auf den Beschluss der Mitglieder des Europäischen 144 Dies sei schon aufgrund der chronologischen Abfolge her abwegig, so Epiney, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen, S. 269. 145 Epiney, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen, S. 269. 146 A. A. Epiney, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen, S. 269, die daraus den Schluss für eine bereichsübergreifende Maßgeblichkeit der RL 95/46/EG im Gegensatz zu Art. 2 Abs. 2 S-AA zieht.
24
Kapitel 1: Einführung und Grundlagen
Rates, die die Regierungen der Mitgliedstaaten vertreten, die alle in den Anhängen A und B genannten Bestimmungen vollumfänglich anwenden, abstellt. Mitglieder des Rates, die dagegen Regierungen der Mitgliedstaaten vertreten, die gemäß ihrem Beitrittsvertrag nur einen Teil der in den Anhängen A und B genannten Bestimmungen anwenden, nehmen nur eingeschränkt an dieser Beschlussfassung über den Zeitpunkt des Inkrafttretens in der Schweiz teil, vgl. Art. 15 Abs. 1 S-AA. Es wird also zwischen Mitgliedstaaten differenziert, die die Bestimmungen der Anhänge A und B vollumfänglich oder nur teilweise anwenden. Ob dies so ist, geht aus den jeweiligen Beitrittsverträgen hervor. Im Assoziierungsabkommen mit der Schweiz hat man aber auf eine eindeutige Regelung hierzu verzichtet. Dagegen sind die Vorschriften des Dublin-Assoziierungsabkommens in diesem Punkt eindeutiger formuliert. Art. 1 Abs. 4 D-AA legt fest, dass die Bestimmungen der Datenschutzrichtlinie, die für die Mitgliedstaaten in Bezug auf die Daten gelten, die zum Zwecke der Umsetzung und Anwendung der in Abs. 1 genannten Bestimmungen verarbeitet werden, von der Schweiz entsprechend umzusetzen und anzuwenden sind. Damit dürfte klar sein, dass die Richtlinie in Bezug auf die Dublin-Assoziierung nur eingeschränkt und im Zusammenhang mit den für das Abkommen relevanten Vorschriften von der Schweiz anzuwenden ist, auch wenn dies mit Erwägungsgrund 3 der Präambel147 in einem gewissen Widerspruch steht.148 Eine solche Formulierung fehlt aber dem Schengen-Assoziierungsabkommen, so dass alle Aspekte auf eine bereichsübergreifende Maßgeblichkeit der in Anhang B genannten Vorschriften und damit auch der Datenschutzrichtlinie hindeuten. Im Übrigen ist eine Differenzierung bei der Umsetzung der Datenschutzrichtlinie nach schengen- oder dublinrelevanten bzw. irrelevanten Bereichen im Einzelfall schwierig durchzuführen, da gerade bei der Speicherung und Verarbeitung von personenbezogenen Daten vielfältige Verbindungen verschiedener Sachverhalte bestehen.149 Die Schweiz hat damit die Pflicht, die in Anhang B genannten Bestimmungen vollumfänglich wie ein Mitgliedstaat anzuwenden.150 147
Dieser sieht vor, dass die Richtlinie 95/46/EG bei der Verarbeitung von Daten für die Zwecke des D-AA von der Schweizerischen Eidgenossenschaft in derselben Weise anzuwenden ist, in der sie die Mitgliedstaaten der Europäischen Union anwenden. 148 Epiney, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen, S. 267. 149 Epiney, SJZ 102 (2006), 121 (125). Als Beispiel führt Epiney einen Asylbewerber in Behandlung in einem Krankenhaus an, dessen Krankendaten nicht angemessen geschützt werden. 150 So auch Epiney, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen, S. 274; a. A. Brunner, Datenschutz im Rahmen von Schengen in: Schengen in der Praxis, S. 201.
F. Unionsrechtliche Grundlagen
25
b. Bereichsübergreifende Maßgeblichkeit der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58 Die Datenschutzrichtlinie für elektronische Kommunikation ersetzte – wie bereits erwähnt – die EG-Telekommunikationsdatenschutz-Richtlinie 97/66/EG und stellt eine Detaillierung und Ergänzung der Richtlinie 95/46/EG, also der Datenschutzrichtlinie dar. Trotzdem wird sie, obwohl zu der Zeit schon in Kraft, nicht im Anhang B des Schengener-Assoziierungsabkommens aufgeführt. Nach Art. 1 Abs. 1 S-AA wird die Schweiz bei der Tätigkeit der Europäischen Union in den Bereichen, die Gegenstand der in den Anhängen A und B genannten Bestimmungen (sog. Schengen-Besitzstand) sind sowie bei der Weiterentwicklung dieser Bestimmungen assoziiert. Die Schweiz ist grundsätzlich also verpflichtet, die Weiterentwicklungen des relevanten Besitzstandes zu übernehmen, so dass jede Modifikation der Rechtsakte, die in den Abkommen aufgeführt sind, sowie diejenigen neuen Rechtsakte, die als Weiterentwicklung von „Schengen“ oder „Dublin“ anzusehen sind, ebenfalls verbindlich werden.151 Werden Rechtsakte modifiziert bzw. neu erlassen, die den Schengen- oder Dublin-Besitzstand weiterentwickeln, wird dies jeweils im Rechtsakt selbst vermerkt.152 Ein solcher Vermerk findet sich jedoch nicht in der Datenschutzrichtlinie für elektronische Kommunikation, so dass sie von der Schweiz auch nicht angewendet bzw. umgesetzt werden muss. c. Bereichsübergreifende Maßgeblichkeit der Datenschutz-Grundverordnung (DS-GVO) Im Gegensatz zur Richtlinie, die von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden musste, wird die Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten gelten. Da die Schweiz kein Mitgliedstaat ist, wird die Verordnung dort nicht ohne weiteres Geltung erlangen. Sie wird jedoch mit ihrem Inkrafttreten die Datenschutzrichtlinie vollständig ersetzen, deren Bestimmungen Teil des Schengen-Besitzstandes sind. Wie bereits dargelegt wird in neu erlassenen Rechtsakten, die den Schengen-Besitzstand weiterentwickeln sollen, dies auch explizit so vermerkt. Der Entwurf der Grundverordnung sah einen solchen Vermerk auch ursprünglich vor.153 Die Schweiz hätte dann nach Inkrafttreten der Datenschutz-GrundverEpiney/Civitella/Zbinden, Datenschutzrecht in der Schweiz, Freiburger Schriften zum Europarecht Nr. 10, S. 16. 152 Beispielhaft für einen solchen Vermerk vgl. Rahmenbeschluss 2008/977/JI des Rates vom 27. November 2008 über den Schutz personenbezogener Daten, die im Rahmen der poli zeilichen und justiziellen Zusammenarbeit in Strafsachen verarbeitet werden, EG Nr. 46. 153 Vgl. Vorschlag für Verordnung des Europäischen Parlamentes und des Rates zum 151
26
Kapitel 1: Einführung und Grundlagen
ordnung gem. Artt. 2 Abs. 3 und 7 S-AA innerhalb von 30 Tagen zu entscheiden gehabt, ob sie deren Inhalt akzeptieren und in ihre innerstaatliche Rechtsordnung umsetzen will. Dieser Vermerk wurde jedoch nicht in die Endfassung übernommen.
G. Grundstrukturen des Datenschutzrechts in Deutschland, Österreich und der Schweiz Abschließend soll in diesem Kapitel noch die Grundstruktur des Datenschutzrechts in Deutschland, Österreich und der Schweiz dargestellt werden. Dabei werden zunächst die verfassungsrechtlichen Grundlagen (I) und das Prinzip des Verbots mit Erlaubnisvorbehalt (II) in den Blick genommen, bevor die einfachgesetzliche Ausgestaltung (III), die Regelungsstruktur (IV) und die Methoden der Rechtsdurchsetzung (V) in den einzelnen Rechtsordnungen näher beleuchtet werden.
I. Verfassungsrechtliche Grundlagen In der Schweiz sind die verfassungsrechtlichen Grundlagen des Datenschutzes in Art. 10 Abs. 2 und Art. 13 Abs. 2 Bundesverfassung (BV) zu finden. Bis 1963 gewährleisteten lediglich die kantonalen Verfassungen das Recht auf persön liche Freiheit.154 1963 erkannte das Bundesgericht (BGer) in einem wegweisenden Entscheid die persönliche Freiheit als ungeschriebenes Verfassungsrecht des Bundes an.155 Das Recht auf Persönliche Freiheit, so das Bundesgericht, garantiere „als zentrales Freiheitsrecht nicht nur die Bewegungsfreiheit und die körperliche Integrität, sondern darüber hinaus alle Freiheiten, die elementare Entscheidungen der Persönlichkeitsentfaltung darstellen“.156 Dazu zähle auch
Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) vom 25.01.2012 EG Nr. 137: „As regards Switzerland, this Regulation constitutes a development of provisions of the Schengen acquis to the extent that it applies to the processing of personal data by authorities involved in the implementation of that acquis, as provided for by the Agreement between the European Union, the European Community and the Swiss Confederation concerning the association of the Swiss Confederation with the implementation, application and development of the Schengen acquis.“ 154 Maurer-Lambrous/Kunz, in: Maurer-Lambrous/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 1 Rn. 17. 155 BGE 89 I 92 (98). 156 BGE 122 I 360 (362).
G. Grundstrukturen des Datenschutzrechts in Deutschland, Österreich und der Schweiz 27
der Datenschutz.157 Seit Inkrafttreten der neuen Bundesverfassung am 01.01.2000 ist der Schutz der persönlichen Freiheit nun in Art. 10 Abs. 2 BV geregelt. Ergänzt wird er durch Art. 13 Abs. 2 BV, der dem Einzelnen einen Anspruch auf Schutz vor Missbrauch seiner persönlichen Daten gewährt. Im Schrifttum ist man aber überwiegend der Auffassung, dass es sich bzgl. des Schutzbereichs von Art. 13 Abs. 2 BV nicht nur um den Schutz vor Missbrauch von persönlichen Daten, sondern um ein vollumfassendes Recht auf informa tionelle Selbstbestimmung handelt.158 Ein solches hatte das Bundesgericht bereits 1987 als ungeschriebenes Grundrecht anerkannt und später auch mehrfach bestätigt.159 Das Informationelle Selbstbestimmungsrecht gewährt einer Person den Anspruch, selbst zu bestimmen, wem er persönliche Lebenssachverhalte und Informationen offenbart oder wer persönliche Daten über ihn gesammelt und gespeichert hat.160 Der Schutzbereich von Art. 13 Abs. 2 i. V. m. Art. 10 Abs. 2 BV umfasst jedes staatliche Erheben, Sammeln, Aufbewahren und Weitergeben von Daten, die sich auf die Privatsphäre einer Person beziehen.161 Zwar bezieht sich der Schutz der Grundrechte in der Schweiz auch primär auf den Schutz vor staatlichen Behörden, in Literatur und Rechtsprechung ist die in direkte Drittwirkung von Grundrechten aber seit längerem anerkannt.162 Außerdem normiert Art. 35 Abs. 3 BV, dass die Grundrechte auch unter Privaten wirksam werden, „soweit sie sich dazu eignen“. In Österreich liegt dagegen die verfassungsrechtliche Dimension des Datenschutzes nicht im Bundes-Verfassungsgesetz (B-VG), sondern im DSG 2000, das das Grundrecht auf Datenschutz in § 1 DSG 2000 normiert.163 Es ist eines 157
BGE 122 I 360 (362). Maurer-Lambrous/Kunz, in: Maurer-Lambrous/Vogt (Hrsg.) Datenschutzgesetz, 2. Aufl. 2006, Art. 1 Rn. 18; Häfelin/Haller/Keller, Schweizerisches Bundesstaatsrecht, 8. Aufl. 2012, § 12 Rn. 389. 159 Vgl. BGE 113 Ia 1; ausdrücklich dann erstmals in BGE 120 II 118 (121); Maurer- Lambrous/Kunz, in: Maurer-Lambrous/Vogt (Hrsg.) Datenschutzgesetz, 2. Aufl. 2006, Art. 1 Rn. 18. Das BGer entwickelte den Anspruch auf informationelle Selbstbestimmung ausgehend von den Verfahrensgarantien in Art. 4a BV und in Anlehnung an die Rechtsprechung des deutschen Bundesverfassungsgerichts im Volkszählungsurteil, BVerfGE 65, 1. 160 Maurer-Lambrous/Kunz, in: Maurer-Lambrous/Vogt (Hrsg.) Datenschutzgesetz, 2. Aufl. 2006, Art. 1 Rn. 19. 161 BGE 122 I 360 (362). 162 Maurer-Lambrous/Kunz, in: Maurer-Lambrous/Vogt (Hrsg.) Datenschutzgesetz, 2. Aufl. 2006, Art. 1 Rn. 4; BGE 80 II 26; BGE 101 IV 176. Die These von der direkten Drittwirkung wird dagegen in der Schweiz kaum vertreten, vgl. Häfelin/Haller/Keller, Schweizerisches Bundesstaatsrecht, 8. Aufl. 2012, § 7 Rn. 281. 163 Das Bundes-Verfassungsgesetz, ist ein im Verfassungsrang stehendes österreichisches Bundesgesetz. Es stellt zwar den Kern der österreichischen Bundesverfassung dar, ist allerdings nicht das einzige Verfassungsdokument. Daneben gibt es weitere einfache Gesetze, die 158
28
Kapitel 1: Einführung und Grundlagen
der jüngsten Grundrechte der österreichischen Rechtsordnung und besteht aus dem zentralen Anspruch auf Geheimhaltung personenbezogener Daten, vgl. § 1 Abs. 1 DSG 2000, sowie den Teilrechten auf Auskunft, vgl. § 1 Abs. 3 Z. 1 DSG 2000 und auf Richtigstellung und Löschung, vgl. § 1 Abs. 3 Z. 2 DSG 2000.164 Diese Teilgrundrechte stehen gem. § 1 Abs. 3 DSG 2000 unter Ausgestaltungsvorbehalt.165 Die Verfassung umschreibt den Inhalt des Rechts daher nicht selbst abschließend, sondern überlässt die nähere Ausformung dem einfachen Gesetzgeber und räumt ihm so einen gewissen Spielraum ein. Eine Besonderheit des Grundrechts auf Datenschutz ist seine unmittelbare Drittwirkung.166 Damit ist es das einzige verfassungsgesetzlich gewährleistete Recht in Österreich, das seinen Schutz nicht nur gegenüber staatlichen Eingriffen entfaltet, sondern auch gegenüber Privatpersonen wirkt und diesbezüglich auch vor den Zivilgerichten geltend gemacht werden kann.167 Im deutschen Grundgesetz (GG) ist kein namentliches Grundrecht auf Datenschutz normiert.168 Der verfassungsrechtliche Schutz von personenbezogenen Daten ist vor allem im vom Bundesverfassungsgericht entwickelten Recht auf informationelle Selbstbestimmung, vgl. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG verankert. Dieses erschöpft sich nicht in der Funktion des Abwehrrechts des Bürgers gegen den Staat, sondern entfaltet als Grundrecht Drittwirkung und beeinflusst hierdurch auch die Werteordnung des Privatrechts.169 Bestimmte personenbezogene Daten wie Kommunikations- und Verkehrsdaten werden durch das Fernmeldegeheimnis, vgl. Art. 10 Abs. 1 Var. 3 GG, das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme, vgl. Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG und durch die Garantie der Unverletzlichkeit der Wohnung, vgl. Art. 13 Abs. 1 GG geschützt. Das Bundesverfassungsgericht hat 1983 in seinem Volkszählungsurteil170 aus dem Allgeentweder in Gänze oder von denen einzelne Normen im Verfassungsrang stehen (sog. Bundesverfassungsgesetze oder Verfassungsbestimmungen). 164 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 36. 165 VfGH, VfSlg 11.548/1987 und 12.194/1989 bereits zu den insoweit gleichlautenden Regelungen des § 1 DSG 1978: „[…] schafft die Pflicht zur Auskunft einen Anspruch auf Leistung, der seiner Natur nach einer näheren Konkretisierung bedarf […]“. 166 Ausführlich zur Drittwirkung der Grundrechte in Österreich: Bydlinski, ZÖR 12 (1963), 423; Mayer, JBl 1990, 768; ders., JBl 1992, 768. 167 Lehner/Lachmayer, Datenschutz im Verfassungsrecht, in: Bauer/Reimer (Hrsg.), Hand buch Datenschutzrecht, Wien 2009, S. 96; Graf, Datenschutzrecht im Überblick, 2. Aufl. 2010, S. 34; Jahnel, Datenschutzrecht, Wien 2010, S. 6. 168 Dagegen enthalten manche Landesverfassungen ein explizites Grundrecht auf Datenschutz, vgl. Art. 11 der Verfassung des Landes Brandenburg (BbgVerf) vom 20.08.1992. 169 BVerfGE 7, 198 = NJW 1958, 97. 170 BVerfGE 65, 1.
G. Grundstrukturen des Datenschutzrechts in Deutschland, Österreich und der Schweiz 29
meinen Persönlichkeitsrecht das Recht auf informationelle Selbstbestimmung abgeleitet.171 Das Gericht versteht darunter die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.172 Seither hat das BVerfG in zahlreichen weiteren Entscheidungen das Recht auf informationelle Selbstbestimmung konkretisiert und weiterent wickelt.173
II. Einfachgesetzliche Regelungsstrukturen Beim Datenschutzrecht handelt es sich um eine klassische „Querschnittsmaterie“. Dies zeigt sich vor allem darin, dass auf einfachgesetzlicher Ebene, neben den einzelnen allgemeinen Datenschutzgesetzen eine Fülle von bereichsspezifischen Datenschutzvorschriften bestehen, die sowohl den öffentlichen als auch den privaten Sektor betreffen können. So ist im deutschen Recht das allgemeine Datenschutzrecht im Bundesdatenschutzgesetz (BDSG) und in den jeweiligen Landesdatenschutzgesetzen (LDSG) geregelt. Daneben bestehen zahlreiche bereichsspezifische Regelungen, welche die Regelungen des BDSG bzw. LDSG teilweise verdrängen. Die Frage welche gesetzliche Grundlage für die Beurteilung eines datenschutzrechtlich relevanten Vorgangs heranzuziehen ist, hängt davon ab, wer die Daten erhebt und welche Art von Daten betroffen ist.174 Sind Daten betroffen, für die bereichsspezifische bundesrechtliche Regelungen bestehen, so gehen diese bereichsspezifischen Bestimmungen im Umfang ihres Regelungsgehalts den allgemeinen Regelungen des BDSG bzw. LDSG vor.175 Diese Subsidiarität des Bundesdatenschutzgesetzes kommt in § 1 Abs. 3 BDSG zum Ausdruck.176 So sind beispielsweise im Online- und Telekommunikationsbereich auch die speziellen Regeln des Telemediengesetzes (TMG) und des Telekommunikationsgesetzes (TKG) zu beachten. Existieren keine bereichsspezifischen Regelungen, kommt das BDSG für datenrelevante Handlungen aller öffentlichen Stellen des Bundes, vgl. § 1 Abs. 2 Nr. 1 BDSG und aller nicht öffentlichen Stellen, vgl. § 1 Abs. 2 Die Wurzeln in der Literatur sind dagegen wesentlich älter, vgl. Schmidt, JZ 1974, 240 (241 ff.); Steinmüller/Lutterbeck/Mallmann/Harbort/Kolb/Schneider, Grundfragen des Datenschutzes: Gutachten im Auftrage des Bundesministeriums des Innern, 1971, BT-Drs. VI/3826, Anlage 1, 51; m. w. N. Trute, in: Roßnagel, Handbuch Datenschutzrecht, München 2003, S. 162 Rn. 7. 172 BVerfGE 65, 1 (43). 173 BVerfG, 1 BvR 1550/03, 1 BvR 2357/04, 1 BvR 603/05, DStrRE 2007, 1196 (1200). 174 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 71. 175 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 72. 176 Für die Landesdatenschutzgesetze ergibt sich die Subsidiarität gegenüber bundesrechtli chen Regelungen schon aus dem Grundsatz „Bundesrecht bricht Landesrecht“, vgl. Art. 31 GG. 171
30
Kapitel 1: Einführung und Grundlagen
Nr. 3 BDSG zur Anwendung, während die Landesdatenschutzgesetze für die Datenverarbeitung der öffentlichen Stellen der Länder einschlägig sind, soweit sie eigene Regelungen enthalten, vgl. § 1 Abs. 2 Nr. 2 BDSG.177 Das schweizer Datenschutzgesetz gilt für den gesamten Privatbereich sowie für die Bundesverwaltung und andere öffentliche Organe, vgl. Art. 2 Abs. 1 DSG. Die Kantone regeln aufgrund der verfassungsrechtlichen Kompetenzverteilung den Datenschutz in ihren öffentlichen Bereichen selbst. Das Datenschutzgesetz ist als Rahmengesetz konzipiert. Bereichsspezifische Regelungen für den privaten und den öffentlichen Bereich bleiben vorbehalten.178 Das DSG enthält einen allgemeinen Teil, der bestimmte materielle Rechtsgrundsätze, das Auskunftsrecht der betroffenen Personen sowie die Registrierungs- und Meldepflichten der Inhaber von Datensammlungen umfasst. An die materiellen Bestimmungen für private Bearbeiter schließen sich dann die zu beachtenden Regelungen für Bundesbehörden und Verwaltungsstellen an. Da der Bund für den Datenschutz auf dem Gebiet des Privatrechts179 sowie bezüglich der Organisa tion und des Verfahrens der Bundesbehörden zuständig ist, verbleibt den Kantonen die Aufgabe der Regelung des Datenschutzes in ihrem öffentlich-recht lichen Zuständigkeitsbereich bzw. bezüglich der Organisation und des Verfahrens ihrer Verwaltungsbehörden.180 Das kantonale Datenschutzrecht ist also nur in Bereichen einschlägig, die nicht durch das Bundesrecht geregelt sind.181 In Österreich sind auch sowohl der Bundes- als auch die Landesgesetzgeber berufen Datenschutzbestimmungen zu erlassen, vgl. § 2 DSG 2000. Je nachdem, ob die Verwendung automationsunterstützt oder manuell erfolgt, sind entweder der Bund oder die Länder gesetzgebungsermächtigt. Während im DSG 1978 noch eine strenge Trennung zwischen dem öffentlichen und privaten Bereich vorgesehen war, wurde diese im DSG 2000 fast vollständig aufgegeben.182 Im Gegensatz zu Deutschland und der Schweiz gelten jetzt bis auf wenige Ausnahmen nun für beide Bereiche dieselben Regeln.183 Die einfachgesetzlichen Regelungen des DSG 2000 finden sich in den §§ 4 ff. DSG 2000.184 Daneben existieren auch in Österreich zahlreiche bereichsspezifische Regelungen, die Taeger, Datenschutzrecht, Frankfurt a. M. 2014, S. 45. Schweizer, DuD 1992, 362. 179 Vgl. Art. 6 4a BV, Art. 122 BV. 180 Epiney, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen, S. 237 f. 181 Epiney, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen, S. 238. 182 Graf, Datenschutzrecht im Überblick, 2. Aufl. 2010, S. 40. 183 Graf, Datenschutzrecht im Überblick, 2. Aufl. 2010, S. 40. 184 Die §§ 1–3 DSG 2000 sind Bestimmungen mit Verfassungsrang, vgl. Kapitel 1, G, I. 177 178
G. Grundstrukturen des Datenschutzrechts in Deutschland, Österreich und der Schweiz 31
den Datenschutz betreffen.185 Als österreichische Besonderheit wurde beim Bundeskanzleramt ein Datenschutzrat186 eingerichtet. Er berät die Bundesregierung und die Landesregierungen auf deren Ersuchen in rechtspolitischen Fragen des Datenschutzes. Außerdem ist er zur Wahrung des Datenschutzes berufen und hat in dieser Funktion die primäre Zielsetzung, die Entwicklung des Datenschutzes in Österreich zu beobachten und Vorschläge für seine Verbesserung zu erarbeiten, vgl. §§ 41 bis 44 DSG 2000.
III. Grundgedanke des Verbots mit Erlaubnisvorbehalt Art. 7 DSRL ist die zentrale Vorschrift der Richtlinie zur Zulässigkeit der Verarbeitung personenbezogener Daten.187 Sie statuiert ein Verbot mit Erlaubnisvorbehalt, d. h. die Verarbeitung der Daten darf nur dann erfolgen, wenn mindestens eine der in Art. 7 lit. a-f DSRL aufgeführten Voraussetzungen erfüllt ist.188 Diesem liegt der Gedanke zu Grunde, dass jede Verarbeitung personenbezogener Daten einer besonderen Legitimierung bedarf, also grundsätzlich zunächst alle datenrelevanten Handlungen, wie das Sammeln, Speichern und Weitergeben von Daten rechtswidrig sind.189 Die rechtmäßige Datenverarbeitung setzt daher – soweit keine gesetzliche Ermächtigung vorliegt – nach der Richtlinie eine wirksame Einwilligung des Betroffenen voraus. Das österreichische Datenschutzgesetz geht – dem Konzept der EU-Richtlinie folgend – im Bereich der privaten Datenbearbeitung auch von einem grundsätzlichen Verbot der Bearbeitung aus.190 Daten dürfen gem. § 7 Abs. 1 DSG 2000 nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen. Beispielsweise ist dies bei der Verwendung 185
Beispielsweise im Bundesstatistikgesetz 2000, BGBl. I Nr. 163/1999; E-Government-Gesetz (E-GovG), BGBl. I Nr. 10/2004; Gentechnikgesetz (GTG), BGBl. Nr. 510/1994; Meldegesetz 1991 (MeldeG), BGBl. Nr. 9/1992; Rundfunkgebührengesetz, BGBl. I Nr. 159/ 1999; Sicherheitspolizeigesetz (SPG), BGBl. Nr. 566/1991; Telekommunikationsgesetz 2003 (TKG 2003), BGBl. I Nr. 70/2003. 186 Ausführlich zur Entwicklung und den Aufgaben des Datenschutzrates: Wögerbauer, Datenschutz – Teil II: Datenschutzrat (DSR), in: Sachs/Thanner (Hrsg.), Verfahren vor Sonderbehörden, Wien 2006, S. 45 ff. 187 Dammann/Simitis, EG Datenschutzrichtlinie Kommentar, 1. Aufl. 1997, S. 147. 188 Epiney/Hofstötter/Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europaund völkerrechtlichen Herausforderungen, S. 280. 189 Brühmann, in: Grabitz/Hilf (Hrsg.), Das Recht der Europäischen Union, 40. Aufl. 2009, Art. 7 RL 95/46/EG Rn. 6. 190 Schleutermann, CR 1995, 577 (582).
32
Kapitel 1: Einführung und Grundlagen
nicht sensibler Daten bei Bestehen einer ausdrücklichen gesetzlichen Ermäch tigung der Fall, wenn der Betroffene der Verwendung zugestimmt hat oder lebenswichtige Interessen des Betroffenen bzw. überwiegende Interessen des Auftraggebers bzw. eines Dritten die Verwendung erfordern, vgl. § 8 Abs. 1 DSG 2000. Genauso unterliegt die Verarbeitung und Nutzung personenbezogener Daten auch in Deutschland einem grundsätzlichen Verbot mit Erlaubnisvorbehalt, vgl. § 4 Abs. 1 BDSG. Dies bedeutet, dass die Erhebung, Verarbeitung und Nutzung der Daten stets verboten ist, es sei denn, dass sie durch das BDSG oder eine andere Vorschrift aus dem bereichsspezifischen Datenschutzrecht ausdrücklich erlaubt oder angeordnet ist oder dass der Betroffene seine Einwilligung zur Datenverarbeitung erklärt hat.191 Das Vorliegen des erforderlichen Erlaubnistat bestands ist für jede einzelne Phase der Datenverarbeitung gesondert bzw. erneut zu prüfen.192 Die Schweiz verfolgt dagegen das Konzept, dass personenbezogene Daten grundsätzlich bearbeitet werden dürfen, Private jedoch eines Rechtsfertigungsgrundes, vgl. Artt. 12, 13 DSG und Bundesorgane einer gesetzlichen Grundlage, vgl. Art. 17 Abs. 1 DSG bedürfen.193 Um die Konzeption des DSG in Bezug auf Persönlichkeitsverletzungen zu verstehen, muss man sich zuerst das System des Art. 28 ZGB vergegenwärtigen.194 Dieser gewährt in Abs. 1 jedem, der in seiner Persönlichkeit widerrechtlich verletzt wird Rechtsschutz vor Gericht.195 Nach Abs. 2 ist eine Verletzung widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Das DSG hat dieses Regelungssystem fast wörtlich in Art. 12 Abs. 1 und Art. 13 Abs. 1 DSG übernommen, es konkretisiert und ergänzt damit Art. 28 ZGB.196 Wer Personendaten im privaten Bereich bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen, vgl. Art. 12 Abs. 1 DSG. Nach Art. 13 Abs. 1 DSG ist eine Verletzung der Persönlichkeit widerrechtlich, wenn sie nicht durch Ein willigung des Verletzten, durch ein überwiegendes privates oder öffentliches Holznagel/Enaux/Nienhaus, Telekommunikationsrecht, 2. Aufl. 2006, Rn. 656. Gola/Schomerus, BDSG Kommentar, 11. Aufl. 2012, § 4 Rn. 5. 193 Epiney/Hofstötter/Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europaund völkerrechtlichen Herausforderungen, S. 280. 194 Maurer-Lambrou/Kunz, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 1 Rn. 8. 195 Art. 28 Abs. 1 ZGB lautet: „Wer in seiner Persönlichkeit widerrechtlich verletzt wird, kann zu seinem Schutz gegen jeden, der an der Verletzung mitwirkt, das Gericht anrufen.“ 196 Maurer-Lambrou/Kunz, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 1 Rn. 8; Botschaft zum Bundesgesetz über den Datenschutz [DSG] vom 23. März 1988, BBl 1988 II 458 Ziff. 221.3; BGE 127 III 481 (493). 191
192
G. Grundstrukturen des Datenschutzrechts in Deutschland, Österreich und der Schweiz 33
Interesse oder durch Gesetz gerechtfertigt ist. Art. 12 Abs. 1 DSG bildet dabei das Korrelat zu Art. 28 Abs. 1 ZGB. Da das schweizer Datenschutzgesetz in seinem privatrechtlichen Teil eine Ergänzung und Konkretisierung des Zivil gesetzbuches darstellt197, wollte man wohl von den bereits für Persönlichkeitsrechtsverletzung entwickelten Grundsätzen nicht abweichen. Die schweizer Rechtsordnung bedient sich zwar einer anderen Regelungstechnik, im Kern ist diese aber funktionsäquivalent zur deutschen und österreichischen Regelung. Damit ist ebenso in der Schweiz eine gesetzliche Gestattung oder ein wirksames Einverständnis des Betroffenen für den Umgang mit personenbezogenen Daten erforderlich.
IV. Datenschutzkontrolle und Rechtsdurchsetzung Die Datenschutzrichtlinie verlangt in Art. 22 DSRL von den Mitgliedstaaten, dass jede Person bei der Verletzung der Rechte, die ihr durch die für die betreffende Verarbeitung geltenden einzelstaatlichen Rechtsvorschriften garantiert sind, bei den nationalen Gerichten Rechtsschutz suchen kann. Außerdem haben sie gem. Art. 24 DSRL geeignete Maßnahmen zu ergreifen, um die volle Anwendung der Bestimmungen der Richtlinie sicherzustellen. Mögliche Schäden, die den Personen aufgrund einer unzulässigen Verarbeitung entstehen, sollen von dem für die Verarbeitung Verantwortlichen ersetzt werden. Unabhängig davon, ob es sich um eine Person des Privatrechts oder des öffentlichen Rechts handelt, müssen Sanktionen jede Person treffen, die die einzelstaatlichen Vorschriften zur Umsetzung der Datenschutzrichtlinie nicht einhält.198 Für die Kontrolle und Sanktionierung von Verstößen gegen datenschutzrechtliche Bestimmungen unterscheidet das österreichische DSG 2000 im Wesent lichen – ebenso wie hinsichtlich der Voraussetzungen zulässiger Datenverwendung – zwischen dem öffentlichen und dem privaten Bereich.199 Beschwerden gegen staatliche Eingriffe – also gegen Auftraggeber des öffentlichen Bereichs – über behauptete Verletzungen des Rechts auf Geheimhaltung nach § 1 Abs. 1 und 2 und § 7 DSG 2000, des Rechts auf Auskunft nach § 1 Abs. 3 Z. 1 DSG 2000 oder des Rechts auf Richtigstellung oder auf Löschung nach § 1 Abs. 3 197
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.03.1988, BBl 1988 II 413, 464; Hausheer/Aebi-Müller, Das Personenrecht des Schweizer Zivilgesetzbuches, 3. Aufl. 2012, S. 218. 198 EG Nr. 55 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 199 Duschanek, Die Entwicklung des Datenschutzes in Österreich, in: Bauer/Reimer (Hrsg.), Handbuch Datenschutzrecht, Wien 2009, S. 46.
34
Kapitel 1: Einführung und Grundlagen
Z. 2 und § 27 DSG 2000 sind gem. § 31 DSG 2000 an die Datenschutzbehörde200 – früher Datenschutzkommission – zu richten. Sowohl das Recht auf Auskunft als auch das Recht auf Richtigstellung und Löschung sind als Grundrechte mit Verfassungsrang ausgestaltet. Sie können aufgrund des in § 1 Abs. 3 DSG 2000 verankerten Ausführungsvorbehaltes – „nach „Maßgabe gesetzlicher Bestimmungen“ – nur nach den Bestimmungen der §§ 26 und 27 DSG 2000 geltend gemacht werden, die die Ausführungsvorschriften zu diesen Grundrechten darstellen.201 Als Berufungs- bzw. Beschwerdeinstanz gegen die Entscheidungen der Datenschutzbehörde ist seit Anfang 2014 das Bundesverwaltungsgericht zuständig. Ansprüche wegen Verletzung dieser Rechte durch Auftraggeber des privaten Bereiches können dagegen nur durch Klage auf dem Zivilrechtsweg geltend gemacht werden, vgl. § 32 Abs. 1 DSG 2000. Außerdem kann der Betroffene eine Verletzung seiner Rechte nach dem DSG 2000 auch in einem sogenannten (nicht-förmlichen) Ombudsmann-Verfahren nach § 30 DSG 2000 vor der Datenschutzbehörde geltend machen. In diesem Verfahren können sowohl Auftraggeber des öffentlichen wie des privaten Bereichs belangt werden; es ergehen aber keine rechtlich durchsetzbaren Entscheidungen. Außerdem ist die Datenschutzbehörde zuständig für Beschwerden gegen Auftraggeber des öffentlichen und des privaten Bereichs über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 1 Abs. 3 Z. 1 und § 26 DSG 2000. Auch das schweizer DSG unterscheidet hinsichtlich der Rechtsdurchsetzung zwischen Datenbearbeitern aus dem privaten und dem öffentlichen Bereich. Art. 25 DSG stellt den von der Bearbeitung von Personendaten durch Bundes organe Betroffenen gesetzliche Ansprüche auf Unterlassung, Art. 25 Abs. 1 lit. a DSG, Folgenbeseitigung, Art. 25 Abs. 1 lit. b DSG, Feststellung der Widerrechtlichkeit der Bearbeitung, Art. 25 Abs. 1 lit. c DSG und Berichtigung falscher Daten, Art. 25 Abs. 3 lit. a DSG zur Verfügung. Diese Ansprüche geben dem Betroffenen in Verbindung mit dem Auskunftsrecht gem. Art. 8 DSG eine Handhabe, mögliche Verletzungen abzuklären, indem sie eine Verfügung über die Gewährung oder Ablehnung eines Anspruchs erlangen und sich gegebenenfalls 200 Mit Ablauf des 31.12.2013 wurde die Datenschutzkommission durch die Datenschutzbehörde abgelöst. Aufgrund der früher engeren organisatorischen Angliederung an das Bundeskanzleramt hatte der EuGH in seinem Urteil vom 16.10.2012, Rs C-614/10 festgestellt, dass die Datenschutzkommission nicht die von der Datenschutzrichtlinie vorgeschriebene „völlige Unabhängigkeit“ aufwies. Diese Verurteilung ging auf eine Beschwerde der Österreichischen Gesellschaft für Datenschutz „ARGE Daten“ bei der Europäischen Kommission zurück, die gegen Österreich ein Vertragsverletzungsverfahren einleitete. Auf das EuGHUrteil hin wurde die Datenschutzbehörde als unabhängige Behörde eingerichtet um ihre völlige Unabhängigkeit im Sinne der Datenschutz-Richtlinie sicherzustellen. 201 Jahnel, Datenschutzrecht, Wien 2010, S. 411.
G. Grundstrukturen des Datenschutzrechts in Deutschland, Österreich und der Schweiz 35
auf dem Rechtsweg zur Wehr setzen können.202 Dagegen regelt Art. 15 DSG die Ansprüche der Betroffenen bei widerrechtlicher, persönlichkeitsrechtsverletzender Datenbearbeitung durch Private. Dabei wird grundsätzlich auf das System der Artt. 28 ff. ZGB verwiesen. Den betroffenen Personen stehen damit die gleichen Ansprüche zu wie bei anderen Persönlichkeitsrechtsverletzungen.203 Ausdrücklich in Art. 15 Abs. 1 und 3 DSG genannt werden die Ansprüche auf Berichtigung, Vernichtung und Sperrung sowie Urteilsmitteilung und Veröffentlichung. Darüber hinaus gewähren die Artt. 28 ff. ZGB Ansprüche auf Unterlassung, Art. 28a Abs. 1 Zi. 1 ZGB, Beseitigung, Art. 28a Abs. 1 Zi. 2 ZGB, Feststellung, Art. 28a Abs. 1 Zi. 3 ZGB und Gegendarstellung, Artt. 28 g-l ZGB, sowie Schadensersatz, Art. 28a Abs. 3 ZGB i. V. m. Artt. 41 ff. OR, Genugtuung, Art. 28a Abs. 3 ZGB i. V. m. Art. 49 OR, und Gewinnherausgabe, Art. 28a Abs. 3 ZGB i. V. m. Art. 423 OR. Ergänzt werden diese Ansprüche durch das Auskunftsrecht aus Art. 8 DSG, dessen Ausübung meist erst die Grundlage für eine anderweitige Rechtsdurchsetzung schafft.204 Die Durchsetzung datenschutzrechtlicher Ansprüche im privaten Bereich erfolgt grundsätzlich im ordentlichen Verfahren.205 Dieses ist in den Artt. 219 ff. S-ZPO geregelt. Für die Durchsetzung des Auskunftsanspruchs ist gem. Art. 15 Abs. 4 DSG ein vereinfachtes Verfahren nach den Artt. 243 ff. S-ZPO vorgesehen. Der deutsche Gesetzgeber kombiniert bei der Datenschutzkontrolle zwei verschiedene Ansätze. Zum einen bestehen als „Fremdkontrolle“ externe, unabhängige Kontrollinstanzen auf Bundes- und Landesebene und zum anderen findet eine „Eigenkontrolle“ durch interne Datenschutzbeauftragte statt.206 Im Bereich der „Fremdkontrolle“ wird zwischen dem öffentlichen und privaten Bereich getrennt. Sie erfolgt im öffentlichen Bereich gem. §§ 22 ff. BDSG durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bzw. durch den entsprechenden Landesdatenschutzbeauftragten.207 Für den nicht-öffentlichen Bereich sind entsprechende Aufsichtsbehörden zuständig, vgl. § 38 BGSG. Als Ansprüche des Betroffenen bei der Erhebung und Verarbeitung von Daten durch öffentliche Stellen sehen die §§ 19 ff. BDSG die Auskunft an den Betroffenen, die Benachrichtigung, den Anspruch auf Berichtigung, Löschung 202 Bangert, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 25 Rn. 17. 203 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 15 Rn. 1. 204 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 15 Rn. 1. 205 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 15 Rn. 34. 206 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 197. 207 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 197.
36
Kapitel 1: Einführung und Grundlagen
und Sperrung von Daten, das Widerspruchsrecht und die Anrufung des Bundes beauftragten für den Datenschutz und die Informationsfreiheit vor. Die Rechte des Betroffenen bei einer Datenverarbeitung durch nicht-öffentliche Stellen sind in §§ 33 ff. BDSG geregelt. Auch hier kann der Betroffene Benachrichtigung, Auskunft und Berichtigung, Löschung und Sperrung von Daten verlangen. Zur Sanktionierung von Verstößen gegen die datenschutzrechtlichen Bestimmungen enthält § 43 BDSG einen umfangreichen Katalog mit Tatbeständen, die als Ordnungswidrigkeiten bußgeldbewehrt sind. Im Übrigen sind in den §§ 7 und 8 BDSG Schadensersatzbestimmungen normiert. § 7 BDSG enthält eine verschuldensabhängige Haftung für Datenschutzverstöße; § 8 BDSG dagegen begründet eine verschuldensunabhängige Gefährdungshaftung.208 Die konkrete Ausgestaltung des Rechtsschutzes erfolgt in Abhängigkeit vom vorliegenden Rechtsverhältnis und von der jeweiligen datenverarbeitenden Stelle.209 Die Geltendmachung von Ansprüchen gegen private Datenverarbeiter erfolgt vor den Zivilgerichten. Für die Rechtswahrnehmung im Bereich des Arbeitnehmerdatenschutzes wird der Rechtsweg zu den Arbeitsgerichten eröffnet, für die Erhebung und Verarbeitung von Sozialdaten durch hoheitliche Stellen sind die Sozialgerichte, bei Finanzdaten die Finanzgerichtsbarkeit zuständig.210
Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 217. Wedde, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 568. 210 Wedde, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 569. 208
209
Kapitel 2
Das datenschutzrechtliche Einverständnis In den letzten Jahrzehnten haben sich – wie eingangs erwähnt – zahlreiche Geschäftsmodelle entwickelt, bei denen der Umgang mit personenbezogenen Daten im Mittelpunkt der wirtschaftlichen Tätigkeit steht. Dreh- und Angelpunkt dieser Modelle ist das datenschutzrechtliche Einverständnis in den Umgang mit den personenbezogenen Daten der Kunden und Nutzer. Die Frage, unter welchen Voraussetzungen dieses eingeholte datenschutzrechtliche Einverständnis wirksam ist, ist daher für die Praxis und die Rechtswissenschaft von besonderem Interesse. In diesem Kapitel soll nun näher auf die Regelungen des datenschutzrechtlichen Einverständnisses in Deutschland, Österreich und der Schweiz, sowie deren Vereinbarkeit mit den Vorgaben der Datenschutzrichtlinie eingegangen werden. Dazu wird zuerst eine rechtliche Einordnung vorgenommen (A) bevor dann die formalen (B) und inhaltlichen (C) Voraussetzungen des datenschutzrechtlichen Einverständnisses sowie seine Anforderungen bei besonderen Arten von Daten (D) in den jeweiligen Rechtsordnungen untersucht werden. Abschließend soll dann auf die Möglichkeit der Beseitigung des Einverständnisses (E) eingegangen werden. Begrifflich wird dabei im Folgenden für die übergreifende vergleichende Perspektive der – rechtsordnungsneutral zu verstehende – Begriff des Einverständnisses gebraucht. Die nationalen Begriffe der Einwilligung bzw. Zustimmung werden hingegen wegen der möglichen Konnotationen nur bei den einzelnen Rechtsordnungen ihrer Verwendung benutzt. Dasselbe gilt für den Begriff des Datenumgangs, der die jeweiligen nationalen Begriffe der Verarbeitung, Verwendung und Bearbeitung umfasst.
A. Rechtliche Einordnung des datenschutzrechtlichen Einverständnisses Bevor die einzelnen Wirksamkeitsvoraussetzungen des datenschutzrechtlichen Einverständnisses näher beleuchtet werden, sollen vorab der Begriff (I) und die Rechtsnatur (II) in den einzelnen Rechtsordnungen erörtert werden.
38
Kapitel 2: Das datenschutzrechtliche Einverständnis
I. Nationale Begrifflichkeiten für das Einverständnis Die Datenschutzrichtlinie definiert in Art. 2 lit. h DSRL, was unter dem Begriff der Einwilligung zu verstehen ist. Danach ist eine Einwilligung der betroffenen Person „jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betreffende Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet1 werden“. Die Richtlinie verlangt damit eine nach außen tretende, vom Adressaten erkennbare Handlung, die bei objektiver Würdigung als Ausdruck der Zustimmung zu verstehen ist.2 Das deutsche Recht kennt – im Gegensatz zur Richtlinie – keine Legaldefinition der Einwilligung, sondern normiert in § 4a BDSG die Voraussetzungen unter der sie rechtswirksam ist. Dies ist der Fall, „wenn sie auf der freien Entscheidung des Betroffenen beruht“. Begrifflich knüpft die Einwilligung an die bürgerlich-rechtliche Einwilligung an, wie sie in § 183 BGB normiert ist.3 Dort wird die Einwilligung als „vorherige Zustimmung“ definiert. In der Schweiz hat sich der Gesetzgeber bzgl. des Begriffs der Einwilligung an denjenigen der Einwilligung des aufgeklärten Patienten orientiert,4 denn auch hier muss die betroffene Person im konkreten Fall über alle Informationen verfügen, die erforderlich sind, damit sie eine freie Entscheidung treffen kann. Die Einwilligung wird deshalb gem. Art. 4 Abs. 5 DSG als gültig angesehen, „wenn sie nach angemessener Information freiwillig erfolgt.“ Wie bereits dar gelegt, kennt die Schweiz kein grundsätzliches Verbot der Datenverarbeitung, es werden im DSG deshalb lediglich gewisse Grundsätze definiert, die bei der Verarbeitung zu beachten sind. Zu diesen Grundsätzen zählt auch die Bestimmung über die Einwilligung. Im Gegensatz zum deutschen und zum schweizer Recht spricht das Datenschutzgesetz in Österreich begrifflich von der Zustimmung, die gem. § 4 Z. 14 DSG 2000 als „gültige, insbesondere ohne Zwang abgegebene Willenserklä1 Verarbeiten gem. Art. 2 lit. b DSRL: „[…] jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten.“ 2 Dammann/Simitis, EG-Datenschutzrichtlinie, Kommentar, 1. Aufl. 1997, Art. 2 S. 115. 3 Tinnefeld/Buchner/Petri, Einführung in das Datenschutzrecht, 5. Aufl. 2012, S. 341; Gola/Schomerus, BDSG Kommentar, 10. Aufl. 2010, § 4a Rn. 2. 4 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 67; vgl. Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127).
A. Rechtliche Einordnung des datenschutzrechtlichen Einverständnisses
39
rung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung5 seiner Daten einwilligt“ definiert wird. In anderen datenschutzrechtlichen Spezialgesetzen6 wird dagegen auch der Begriff der Einwilligung verwendet. Bei genauer Betrachtung kann man wohl davon ausgehen, dass die Begriffe Zustimmung und Einwilligung zumindest im österreichischen Datenschutzrecht synonym verwendet werden.7 Die Abweichung lässt sich wahrscheinlich mit der unterschiedlichen Federführung beim DSG 2000 und TKG 2003 erklären.8 Außerdem ist die Zustimmung in § 1 Abs. 2 DSG 2000 als Eingriffstatbestand in das Grundrecht auf Datenschutz genannt. Obgleich derselbe Begriff wie in § 4 Z. 14 DSG 2000 verwendet wurde, bestehen in der österreichischen Literatur Zweifel daran, dass die beiden Zustimmungsbegriffe sich zu 100 Prozent entsprechen.9 Zwar wurde die Verfassungsbestimmung des § 1 Abs. 2 DSG 2000 zeitgleich mit der Legaldefinition des § 4 Z. 14 DSG 2000 erlassen, doch werden nicht einmal innerhalb der Verfassungsbestimmung die gleichen Begrifflichkeiten verwendet.10 Deshalb wird im Schrifttum teilweise angenommen, dass die Legaldefinitionen des § 4 DSG 2000 nicht in die „Begriffswelt“ des Grundrechts übernommen werden können, sofern das Grundrecht nicht unter Ausführungsvorbehalt steht.11 Darauf deutet auch der Wortlaut des § 4 DSG 2000 hin, der von den „folgenden Bestimmungen dieses Bundesgesetzes“ spricht und damit die Verfassungsbestimmungen der §§ 1–3 DSG 2000 auszuschließen scheint. Außerdem bezieht sich der Zustimmungsbegriff des § 4 Z. 14 DSG 2000 auf die Verwendung von personenbezogenen Daten i. S. v. § 4 Z. 7 5 Verwenden von Daten: „[…] jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z. 9) als auch das Übermitteln (Z. 12) von Daten,“ vgl. § 4 Z. 8 DSG 2000. 6 Vgl. § 107 TKG 2003 und § 151 GewO 1994. In § 107 TKG 2003 wird auch der Begriff der Einwilligung verwendet, obwohl es sich nach den Vorgaben der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG) bei der Zustimmung nach § 107 TKG 2003 um eine Zustimmung im Sinne der Datenschutzrichtlinie (RL 95/46/EG) und letztendlich damit um eine Zustimmung nach § 4 Z. 14 DSG 2000 handeln müsste, vgl. Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 104 Fn. 474; Mosing/Otto, MR 2003, 267 (269); so wohl auch OGH, 4 Ob 221/06p. 7 Näher dazu Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 105; Resch, Die Einwilligung des Geschädigten, Wien 1997, S. 10. 8 Für das DSG 2000 liegt die Federführung beim Bundeskanzleramt, während für das TKG 2003 das Bundesministerium für Verkehr, Innovation und Technologie zuständig ist. 9 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 105. 10 So wird der Träger des Grundrechts in § 1 Abs. 1 und Abs. 3 als „jedermann“ bezeichnet in § 1 Abs. 2 DSG 2000 dagegen als Betroffener betitelt oder der Verpflichtete wird mit „wer“ umschrieben aber nicht als „Auftraggeber“ wie in § 4 Z. 4 DSG 2000, vgl. Jahnel, Datenschutzrecht, Wien 2010, S. 32. 11 So berichtet Jahnel, Datenschutzrecht, Wien 2010, S. 32.
40
Kapitel 2: Das datenschutzrechtliche Einverständnis
und 8 DSG 2000, d. h. auf Daten, die zumindest teilwiese automatisiert verarbeitet wurden. Vom Schutzbereich des Rechts auf Geheimhaltung – als Teilgrundrecht des Grundrechts auf Datenschutz, das nicht unter Ausführungsvorbehalt steht – werden jedoch auch Daten erfasst, die nicht automationsunterstützt verwendet werden. Das Grundrecht auf Geheimhaltung gem. § 1 Abs. 1 DSG 2000 gewährt einen umfassenden Geheimnisschutz, bei dem es nicht darauf ankommt, ob die Daten überhaupt verarbeitet werden oder nicht.12 Der verfassungsrechtliche Zustimmungsbegriff ist demnach wohl weiter gefasst als der in § 4 Z. 14 DSG 2000.13
II. Rechtsnatur des datenschutzrechtlichen Einverständnisses In der schweizer Literatur zum Datenschutz wird die Frage nach der Rechts natur der datenschutzrechtlichen Einwilligung nicht weiter thematisiert, sondern – wenn überhaupt – auf die Literatur zum zivilrechtlichen Persönlichkeitsschutz verwiesen, was wohl mit der zentralen Stellung der Artt. 27, 28 ZGB im Bereich der Persönlichkeitsrechte zusammenhängt. Im persönlichkeitsrechtlichen Schrifttum wird angenommen, dass die Einwilligung entweder ein Rechtsgeschäft14 oder ein Zustand15 bzw. Realakt darstellt.16 Da die Einwilligung darauf gerichtet ist bestimmte Rechtsfolgen – nämlich den Ausschluss der Widerrechtlichkeit einer Persönlichkeitsverletzung – eintreten zu lassen, tendiert der überwiegende Teil der Literatur dazu, sie als Rechtsgeschäft einzuordnen.17 Handelt es sich um ein Rechtsgeschäft, so ist eine entsprechende Willenserklärung18 des Betroffenen erforderlich.19 Dass die datenschutzrechtliche Einwilligung eine Willenserklärung darstellt, wird von der entsprechenden FachliteraJahnel, Datenschutzrecht, Wien 2010, S. 41. dazu Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, 78 ff.; a. A. Jahnel, Datenschutzrecht, Wien 2010, S. 32 ff. 14 So Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 103; Jäggi, ZSR 1960, 135a (205a); BGer, 5C.212/2003, E. 3.2.2. 15 So Geiser, Die Persönlichkeitsverletzung insbesondere durch Kunstwerke, Basel 1990, S. 120 m. w. N.; Buchner, in: Wiegand (Hrsg.), Arzt und Recht, Bern 1985, S. 43. 16 Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 101. 17 Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 103. 18 Die Willenserklärung oder Willensäußerung besteht in der Mitteilung des Willens zur Begründung, Änderung oder Beendigung eines Rechts oder Rechtsverhältnisses, vgl. Gauch/ Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 33. 19 Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 103. 12
13 Ausführlich
A. Rechtliche Einordnung des datenschutzrechtlichen Einverständnisses
41
tur als ganz selbstverständlich angenommen und nicht weiter hinterfragt oder diskutiert.20 Auf sie sollen die Grundsätze zur Auslegung von Willenserklärungen – insbesondere das Willens- und Vertrauensprinzip21 – sowie die Regelungen zur Anfechtung wegen Willensmängeln anwendbar sein.22 In Österreich wird die Frage der Rechtsnatur der Zustimmung in Bezug auf verschiedene Sachfragen diskutiert, welche vor allem die Zuordnung zu einem Rechtsbereich, die Auslegung der Zustimmungserklärung und die Behandlung von Willensmängeln betreffen. Zu Beginn der 90er Jahre wurde zunächst über die Frage gestritten, ob die datenschutzrechtliche Zustimmungserklärung nach privatrechtlichen 23 oder öffentlich-rechtlichen 24 Gesichtspunkten auszulegen sei.25 Hintergrund dieses Streits war die ursprüngliche Gliederung des DSG 1978 in Vorschriften zum öffentlichen und privaten Bereich und die Tatsache, dass die Zustimmung nach § 7 DSG 1978 dem öffentlichen Bereich zugeordnet war.26 Da das aktuelle DSG 2000 nicht mehr zwischen dem öffentlichen und privaten Bereich unterscheidet und die Bestimmungen des bürgerlichen Rechts – insbesondere des ABGB – grundsätzlich auch auf die datenschutzrechtliche Zustimmung anwendbar sind, ist dieser Streit eigentlich obsolet.27 Dennoch herrscht weiter Uneinigkeit bzgl. der rechtlichen Einordnung der Zustimmungserklärung. Für Jahnel steht die Zustimmung i. S. v. § 4 Z. 14 DSG 2000 in einem engen und untrennbaren Zusammenhang mit dem verfassungsrechtlich gewährleisteten Grundrecht auf Geheimhaltung personenbezogener Daten, weshalb er übereinstimmend mit Kuderna28 die Zustimmung als sowohl für den öffentlichen als auch den privaten Bereich als öffentlich-rechtlich qualiRosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 66 ff. dem Vertrauensprinzip sind Willenserklärungen so auszulegen, wie sie vom Empf änger in „in guten Treuen“ verstanden werden durften und mussten, vgl. Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 40. 22 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 86. 23 Mayer, ecolex 1992 (812) 812. 24 Kuderna, öRdA 1992, 421 ff. 25 So berichten Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 111; Jahnel, Datenschutzrecht, Wien 2010, S. 176 ff. 26 Zum damaligen Zeitpunkt wurde die Zustimmung als Rechtsgrundlage für die Datenverwendung zweimal im DSG 1978 erwähnt: Einmal im 2. Abschnitt über den öffentlichen Bereich, vgl. § 7 DSG 1978 und einmal im 3. Abschnitt über den privaten Bereich, vgl. § 18 DSG 1978; Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 112. 27 Zur Anwendbarkeit der Bestimmungen des bürgerlichen Rechts: Winkler, JBl 1993, 279 (282); für die Datenschutzkommission lässt der Begriff „Willenserklärung“ in § 4 Z. 14 DSG 2000 erkennen, „dass für datenschutzrechtliche Zustimmungen grundsätzlich auf die Bestimmungen des bürgerlichen Rechts verwiesen wird“ DSK 14.02.2006, K211.634/0004DSK/2006. 28 Kuderna, öRdA 1992, 421 ff. 20
21 Nach
42
Kapitel 2: Das datenschutzrechtliche Einverständnis
fiziert.29 Dagegen geht Reimer,30 wie bereits dargelegt,31 davon aus, dass sich der verfassungsrechtliche und der einfachgesetzliche Zustimmungsbegriff unterscheiden, weshalb er jedenfalls in der Zustimmung nach § 4 Z. 14 DSG 2000 ausschließlich eine privatrechtliche Erklärung sieht.32 Dazu ist anzumerken, dass die österreichische Zivilrechtslehre menschliche Äußerungen und Handlungen unterschiedlich behandelt, je nachdem, ob sie auf die Mittelung von Wissen oder einem Willen gerichtet sind und ob damit rechtliche Folgen verbunden sein sollen.33 Während Willenserklärungen und Willensmitteilungen die Kundgabe eines Willens oder einer Handlung nach außen bezwecken, verfolgen Willensbetätigungen und Realakte keinen Kundgabezweck.34 Die Datenschutzrichtlinie definiert das Einverständnis als „Willensbekundung“.35 Da es dabei um das Deutlichmachen oder zum Ausdruck bringen des Willens des Betroffenen – also um eine Kundgabe nach außen – geht, kann es sich nach der Auffassung von Reimer bei der Zustimmung i. S. v. § 4 Z. 14 DSG 2000 nur um eine Willenserklärung oder eine Willensmitteilung handeln.36 Auch im deutschen Recht ist die Rechtsnatur der datenschutzrechtlichen Einwilligung umstritten. Sie wird zum Teil als rechtsgeschäftliche Erklärung37, als geschäftsähnliche Handlung38 oder als Realhandlung39 eingeordnet. In der datenschutzrechtlichen Literatur wird überwiegend die Einordnung als geschäftsJahnel, Datenschutzrecht, Wien 2010, S. 178. Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 111 ff. Im Ergebnis zustimmend Pawlik, Datenschutz versus Kreditschutz, Dissertation Wien 2009, S. 73. 31 Vgl. Kapitel 2, A, I. 32 Außerdem vertritt Reimer die Auffassung, dass es sich bei der Zustimmung i. S. d. § 1 Abs. 2 DSG 2000 um einen Grundrechtsverzicht handelt, der auch in einem Realakt oder in einer Willensbetätigung liegen kann, vgl. Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 111 ff. 33 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 141. 34 Koziol/Welser, Bürgerliches Recht, Band I, 13. Aufl. 2006, S. 98 f. 35 Vgl. Art. 2 lit. h DSRL. 36 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 141; a. A. Jahnel, Datenschutzrecht, Wien 2010, S. 182; zustimmend für die Einwilligung im Privatrecht Resch, Die Einwilligung des Geschädigten, Wien 1997, S. 37. 37 LG Hamburg, ZIP 1982, 1313 (1315); Simitis, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4a Rn. 20; Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 40. 38 Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 32 f.; Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 116; Holz nagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 686; Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 318; Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.) Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 5; Drees/Siegert, RDV 2006, 139 (141). 39 Gola/Schomerus, BDSG Kommentar, 10. Aufl. 2010, § 4a Rn. 10; für die einseitige Einwilligung so auch Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 44. 29
30
A. Rechtliche Einordnung des datenschutzrechtlichen Einverständnisses
43
ähnliche Handlung propagiert.40 Dies liege nach Ansicht der Befürworter vor allem deshalb nahe, da die datenschutzrechtliche Einwilligung eine Erklärung darstelle, die sich auf eine tatsächliche Handlung – nämlich auf die Datenverarbeitung – beziehe.41 Diese Einordnung eröffne sowohl die Möglichkeit der Anwendung der Vorschriften über Willensmängel (§ 116 ff. BGB), Auslegung (§ 133, 157 BGB), Wirksamwerden (§§ 130 ff. BGB) und der Stellvertretung (§§ 164 ff. BGB) als auch eine differenzierte Betrachtung bzgl. der Einwilligungs erklärung von Minderjährigen (§§ 104 ff. BGB). Andere wiederrum gehen grundsätzlich vom rechtsgeschäftlichen Charakter der datenschutzrechtlichen Einwilligung aus.42 Teilweise wird auch zwischen der einseitigen Einwilligung als Realhandlung und der schuldrechtlichen Einwilligung mit rechtsgeschäft lichem Charakter unterschieden.43 Die Rechtsprechung hat sich bisher sehr zurückhaltend zur Frage der Rechtsnatur der datenschutzrechtlichen Einwilligung geäußert.44 Der Bundesgerichtshof geht im Bereich der AGB-Kontrolle jedoch von einer rechtsgeschäftlichen Erklärung aus.45 Den Vorschriften des Allgemeinen Teils des BGB liegt das Leitbild von wirtschaftlichen Austauschgeschäften zu Grunde.46 Es ist daher verständlich, dass es in der Literatur Vorbehalte gibt, den wirtschaftlich geprägten Rechtsgeschäfts begriff auf eine stark persönlichkeitsrechtlich geprägte Einwilligung anzuwenden47, vor allem dann, wenn es um höchstpersönliche Dispositionen geht. Dennoch beruht die Einwilligung auf einem Kommunikationsakt, der eine bestimmte Rechtsfolge bewirkt.48 Mit der Einwilligung legitimiert der Betroffene Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 32 f.; Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 116; Holznagel/ Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 686; Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 318; Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.) Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 5; Drees/Siegert, RDV 2006, 139 (141). 41 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 686. 42 Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 109 ff.; Liedke, Die Einwilligung im Datenschutzrecht, Edewecht 2012, S. 7 f. 43 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 253 ff.; Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 44, vgl. dazu auch später die Ausführungen in Kapitel 4, A, II. 44 LG Bremen, DuD 2001, 620 bejaht den rechtsgeschäftlichen Charakter der Einwilligung. 45 BGH, NJW 2000, 2677; dazu noch ausführlich Kapitel 5, B, I. 46 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 212; Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 109 ff. 47 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 213. 48 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 213. 40
44
Kapitel 2: Das datenschutzrechtliche Einverständnis
die verantwortliche Stelle seine personenbezogenen Daten zu erheben, zu verarbeiten und zu nutzen, womit vor allem die Ausübung seiner Dispositionsbefugnis verbunden ist.49 Auch vor dem Hintergrund der hier zu untersuchenden Geschäftsmodelle spricht einiges für eine Einordnung als Rechtsgeschäft. Dennoch sollte die Frage der abschließenden Einordnung nicht überbewertet werden.50 Welche einzelnen Vorschriften auf höchstpersönliche Dispositionen Anwendung finden können muss immer im Einzelfall geprüft werden. Ob man nun im Grundsatz von einem Rechtsgeschäft ausgeht und im Einzelfall eine teleologische Reduktion vornimmt51 oder hinter der Einwilligung eine tatsächliche Handlung sieht, auf die ausnahmsweise die Vorschriften über Willenserklärungen analog Anwendung finden können52 , wird in der Regel nicht „kriegsentscheidend“ sein.
III. Ergebnis zur rechtlichen Einordnung des Einverständnisses Begrifflich verwenden Deutschland und die Schweiz – in Übereinstimmung mit der Datenschutzrichtlinie – den Terminus der Einwilligung, während Österreich zumindest im DSG 2000 von der Zustimmung spricht. Durch die österreichische Besonderheit der Verankerung des Grundrechts auf Datenschutz im österreichischen Datenschutzgesetz ergibt sich die Frage, ob die beiden Zustimmungsbegriffe in der verfassungsrechtlichen Vorschriften des § 1 DSG 2000 und des einfachgesetzlichen § 4 Z. 14 DSG 2000 einander entsprechen. Darüber herrscht in der Literatur weitgehend Uneinigkeit; der verfassungsrechtliche Zustimmungsbegriff dürfte aber weiter gefasst sein als der in § 4 Z. 14 DSG 2000. Die Rechtsnatur des Einverständnisses ist in allen drei Rechtsordnungen umstritten. Während in der schweizer Literatur zum Datenschutz die Frage nach der Rechtsnatur der Einwilligung nicht weiter thematisiert, sondern weitgehend auf die Literatur zum zivilrechtlichen Persönlichkeitsschutz verwiesen wird, findet in Österreich und Deutschland in der fachspezifischen Literatur eine breite Diskussion statt. In der Schweiz wird das Einverständnis überwiegend als Rechtsgeschäft eingeordnet, während in Deutschland die Mehrheit im Schrifttum wohl zur Einordnung als geschäftsähnliche Handlung tendiert. Meines Erachtens erscheint – vor allem vor dem Hintergrund der hier zu untersuchenden 49 So auch Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 109 ff.; vgl. hierzu noch später Kapitel 4, A, III, 1, a. 50 Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 166, hält beispielsweise die Einordnung für Geschmacksache. 51 So Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 214. 52 So beispielsweise BGHZ 29, 33 (36).
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
45
Geschäftsbeziehungen – eine Einordnung als rechtsgeschäftliche Erklärung naheliegend. In Österreich dagegen steht eher die Frage der öffentlich- oder privatrechtlichen Qualifizierung im Vordergrund. Übereinstimmend wird in allen drei Rechtsordnungen mehrheitlich aber davon ausgegangen, dass die allgemeinen Regeln des jeweiligen Vertragsrechts auf das Einverständnis grundsätzlich Anwendung finden können.
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis Nach der rechtlichen Einordnung des datenschutzrechtlichen Einverständnisses sollen nun die formalen Anforderungen wie die wirksame Abgabe der Einverständniserklärung (I) durch den Betroffenen sowie bestimmte Gestaltungsmöglichkeiten (II) wie die Schriftform (1) und andere Gestaltungsalternativen (2) in den Blick genommen werden.
I. Abgabe der Einverständniserklärung Da das datenschutzrechtliche Einverständnis in allen drei Rechtsordnungen überwiegend als rechtsgeschäftliche oder zumindest geschäftsähnliche Handlung eingestuft wird, können – wie bereits dargelegt – die allgemeinen Regeln des jeweiligen Vertragsrechts auch zur Anwendung kommen. Im Hinblick auf die Abgabe des Einverständnisses im Allgemeinen und derjenigen durch Minderjährige im Speziellen ergeben sich jedoch einige Unklarheiten. 1. Höchstpersönliche Abgabe Bei allen Rechten, die den höchstpersönlichen Lebensbereich betreffen stellt sich die Frage, ob deren Ausübung nicht nur durch den Rechteinhaber selbst möglich ist bzw. sein sollte. Denn durch die eigene Willensbildung des Vertreters53 wird das Informationelle Selbstbestimmungsrecht des Vertretenen eingeschränkt; im Falle der gesetzlichen Vertretung ist diese Einschränkung sogar noch stärker, da diese im Gegensatz zur gewillkürten Vertretung nicht zur Disposition des Vertretenen steht.54 Es ist also zu erörtern, ob die Abgabe des datenschutzrechtlichen Einverständnisses nur durch den Betroffenen selbst oder auch durch einen Vertreter möglich ist. Die Datenschutzrichtlinie macht hierzu 53
Vgl. für die Schweiz Art. 32 ff. OR; für Österreich die §§ 1002 ff. ABGB; für Deutschland §§ 164 ff. BGB. 54 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 166.
46
Kapitel 2: Das datenschutzrechtliche Einverständnis
keine Vorgaben, so dass die Regelung dieser Frage den Mitgliedstaaten überlassen bleibt.55 Im schweizer Recht ist eine Einwilligung in eine Persönlichkeitsverletzung grundsätzlich nur durch die betroffene Person selbst möglich.56 Eine Stellvertretung soll jedoch bei der Einwilligungserklärung nach Art. 4 Abs. 5 DSG zulässig sein, es gelten insoweit die allgemeinen Regeln des Obligationenrechts, also vor allem die Artt. 32 ff. OR.57 Betrifft die Datenverarbeitung den höchstpersönlichen Bereich, so kann die Einwilligung auch vertretungsfeindlich sein.58 Ob dies der Fall ist kommt auf den Einzelfall an. Teilweise wird auch die Auffassung vertreten, dass eine Vertretung bei schweren Eingriffen in die Persönlichkeit ausgeschlossen sei.59 Die österreichische Rechtsprechung60 geht davon aus, dass es sich beim Grundrecht auf Datenschutz nach § 1 Abs. 1 DSG 2000 und damit auch bei der Zustimmungserklärung um ein höchstpersönliches Recht handelt und deshalb eine Vertretung generell ausgeschlossen ist.61 Für den Obersten Gerichtshof liegt in der fehlenden Übertragbarkeit ein „charakteristisches Merkmal der Persönlichkeitsrechte eines Menschen, die dem unmittelbaren Schutz seiner Person dienen.“62 Diese Auffassung wird scheinbar auch vom Wortlaut des § 4 Z. 14 DSG 2000, der ausdrücklich nur auf Daten des Betroffenen abstellt („seiner Daten“), untermauert. Dem gegenüber wird aber in § 18 E-Government-Gesetz (E-GovG)63 die Möglichkeit der Vertretung bzgl. des Ausstellens von Nachweisen, die personenbezogene Daten enthalten, explizit erwähnt.64 Außerdem schützt nach h. M. das Grundrecht auf Datenschutz auch juristische Personen, welche nur durch Vertreter handeln können. Es spricht also einiges dafür, dass Dammann/Simitis, EG-Datenschutzrichtlinie, Baden-Baden 1997, Art. 2 Rn. 21. Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 120. 57 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 107. 58 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 107. 59 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 107. 60 OGH, 28.06.2000, 6 Ob 148/00h; DSK vom 12.09.2003, K202, 028/006 – DSK/2003: „Das Grundrecht auf Datenschutz ist ein höchstpersönliches Recht, das mit dem Tod des Betroffenen erlischt und nicht auf den Rechtsnachfolger übergeht;“ DSK vom 24.10.2007, K121.287/0024-DSK/2007: „[…] dass das Grundrecht auf Geheimhaltung personenbezogener Daten iSd § 1 DSG 2000 ein höchstpersönliches Recht ist, weshalb ihm hinsichtlich der Daten anderer die Aktivlegitimation zur Beschwerdeerhebung fehlt;“ OGH, 15 Os 83/97. 61 So berichtet Jahnel, Datenschutzrecht, Wien 2010, S. 179. 62 OGH, 6 Ob 106/03m E. 3 = SZ 2003/105. 63 Bundesgesetz über Regelungen zur Erleichterung des elektronischen Verkehrs mit öffentlichen Stellen (E-Government-Gesetz – E-GovG), BGBl. I Nr. 10/2004. 64 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 168. 55
56
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
47
es sich bei Grundrecht auf Datenschutz zwar um ein höchstpersönliches Recht handelt, eine Vertretung jedoch grds. möglich ist. Dagegen ist im deutschen Recht umstritten, wie die Abgabe der Einverständniserklärung zu erfolgen hat. Teile der Literatur65 verlangen die höchstpersönliche Abgabe der Erklärung, andere66 halten eine Stellvertretung für möglich. Befürworter einer ausschließlich höchstpersönlichen Abgabe der Einwilligung beziehen sich dabei auf das Schriftformerfordernis des § 4a Abs. 1 BDSG und den Zweck der Informationspflichten der datenverarbeitenden Stelle.67 Der Betroffene müsse sich selbst zur der Frage äußern können, ob und unter welchen Voraussetzungen auf seine Daten zugegriffen werden dürfe.68 Dem kann entgegengehalten werden, dass das Bundesdatenschutzgesetz keine explizite Aussage über die Frage der höchstpersönlichen Abgabe der Einwilligung trifft. Auch der Verweis auf das – im Übrigen auch europarechtswidrige69 – Schriftform erfordernis vermag hier nicht weiter zu helfen, da die Rechtsprechung70 davon ausgeht, dass der Stellvertreter im Namen des Vertretenen unterschreiben kann.71 Außerdem ist die Einwilligung Ausdruck des Informationellen Selbstbestimmungsrechts eines jeden Einzelnen. Es muss dem Betroffenen also offen stehen, ob er die Entscheidung über die Erteilung der Einwilligung in die Hände eines anderen legt.72 Sofern der zu Bevollmächtigende in der gesetzlich vorgeschriebenen Weise informiert wird und sich die Vollmacht auch auf die Erteilung der datenschutzrechtlichen Einwilligung erstreckt steht einer Stellvertretung eigentlich nichts entgegen.73 Die Frage der Höchstpersönlichkeit der Erklärung ist also in allen drei Rechtsordnungen strittig, eine mögliche Stellvertretung wird aber von einigen Stimmen in der Literatur befürwortet. Vor allem für die Schweiz und für Österreich spricht der Umstand, dass auch juristische Personen unter den Anwen65 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 321; Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, § 4a Rn. 30; Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.) Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 6; Zscherpe, MMR 2004, 723 (725). 66 Gola/Schomerus, BDSG Kommentar, 10. Aufl. 2010, § 4a Rn. 10; Kühling, in: Wolff/ Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 47; Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 18. 67 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 124. 68 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, § 4a Rn. 30. 69 Vgl. hierzu Kapitel 2, B, II, 1. 70 BGHZ 45, 193 (195). 71 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 124. 72 Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 47. 73 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 124.
48
Kapitel 2: Das datenschutzrechtliche Einverständnis
dungsbereich der Datenschutzgesetze fallen, für die Annahme einer möglichen Stellvertretung. 2. Abgabe durch den Minderjährigen Nicht nur Erwachsene, sondern auch immer mehr Kinder geben – vor allem bedingt durch die vielfältigen Angebote im Internet – ihr datenschutzrechtliches Einverständnis zur Verarbeitung ihrer personenbezogenen Daten ab. Problematisch in diesem Zusammenhang ist vor allem, dass Kinder aufgrund ihrer Unerfahrenheit die Auswirkungen des datenschutzrechtlichen Einverständnisses eventuell nicht richtig einschätzen können.74 Bereichsspezifische Normen des Datenschutzes, die ausdrücklich auf die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten Minderjähriger eingehen und diese regeln, finden sich jedoch – im Gegensatz zur Datenschutzgrundverordnung – in der Datenschutzrichtlinie nicht75, genauso wenig wie im deutschen oder österreichischen Recht. Auch in der Schweiz existieren keine bereichsspezifischen Regelungen zum Einverständnis von Minderjährigen, so dass die allgemein entwickelten Grundsätze und Vorschriften zum Schutze Minderjähriger der jeweiligen Rechtsordnung zum Tragen kommen. In der Schweiz gilt als unmündig – und damit als minderjährig, – wer das 18. Lebensjahr noch nicht vollendet hat, vgl. Art. 14 ZGB.76 Unmündige sind gem. Artt. 13, 17 ZGB nicht handlungsfähig, d. h. sie sind nicht ohne weiteres in der Lage durch ihre Handlungen auch rechtliche Wirkungen herbeizuführen. Die Schweiz knüpft an die Handlungsfähigkeit nach Art. 14 ZGB zwei Voraussetzungen, die Mündigkeit und die Urteilsfähigkeit. Doch auch eine unmündige Person kann, sofern sie urteilsfähig77 ist, zumindest in eingeschränktem Maß handlungsfähig sein.78 Urteilsfähige Minderjährige bedürfen zur Vornahme rechtlich verpflichtender Handlungen grundsätzlich der Zustimmung ihres gesetzlichen Vertreters, es sei denn, sie erlangen durch die Handlung unentgeltliche Vorteile oder üben Rechte aus, die ihnen um ihrer Persönlichkeit willen zustehen, vgl. Art. 19 Abs. 1 und 2 ZGB. Das schweizer Recht räumt damit urteilsfähigen Unmündigen explizit die Möglichkeit ein, höchstpersönliche Rechte wie das Persönlichkeitsrecht selbst Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 48. Gola/Schulz, ZD 2010, 475 (475). 76 Die Begriffe Unmündigkeit und Minderjährigkeit werden im ZGB synonym verwendet, vgl. Art. 17 ZGB. 77 Urteilsfähig ist jede Person, der nicht wegen ihres Kindesalters, infolge geistiger Behinderung, psychischer Störung, Rausch oder ähnlicher Zustände die Fähigkeit mangelt, vernunftgemäß zu handeln, vgl. Art. 16 ZGB. 78 Bigler-Eggenberger, in: Honsell/Vogt/Geiser (Hrsg.), Zivilgesetzbuch Band I, 4. Aufl. 2010, Art. 14 Rn. 22. 74
75
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
49
wirksam auszuüben (sog. beschränkte Handlungsunfähigkeit). Daher bedürfen urteilsfähige Minderjährige für die Abgabe einer wirksamen datenschutzrechtlichen Einwilligung nicht der Zustimmung ihres gesetzlichen Vertreters, sofern die Einwilligung lediglich datenschutzrechtlichen Charakter hat.79 Ab wann ein Minderjähriger urteilsfähig ist lässt sich nicht pauschal sagen. Eine feste Altersgrenze, wie sie beispielsweise in § 106 BGB vorgesehen ist, existiert in der Schweiz nicht.80 Es ist daher von Fall zu Fall zu untersuchen, ob im Blick auf die konkrete Situation die Entwicklung des Kindes und seine geistige Reife der vom Gesetz geforderten Vernunft und Selbstverantwortlichkeit entspricht.81 Sind mit der Einwilligung jedoch zugleich rechtsgeschäftliche Handlungen verbunden, für die der Minderjährige der Zustimmung des gesetzlichen Vertreters nach Art. 19 Abs. 1 ZGB bedarf, so soll die datenschutzrechtliche Einwilligung nur wirksam sein, wenn auch das damit verbundene Geschäft wirksam ist bzw. wird.82 Das österreichische ABGB teilt Minderjährige – also natürliche Personen unter 18 Jahren, vgl. § 21 Abs. 2 ABGB – in drei Altersgruppen ein: Wer noch nicht das 7. Lebensjahr vollendet hat, ist unmündig und voll geschäftsunfähig vgl. §§ 20 Abs. 2, 865 S. 1 ABGB. Minderjährige zwischen sieben und 14 Jahren gelten weiterhin als unmündig, sind aber gem. § 865 S. 2 ABGB beschränkt geschäftsfähig. Sie können ein bloß zu ihrem Vorteil gemachtes Versprechen selbst wirksam annehmen. Wenn sie aber eine damit verknüpfte Last übernehmen oder selbst etwas versprechen, bedürfen sie der Einwilligung des gesetz lichen Vertreters, vgl. § 865 S. 2 ABGB. Wer dagegen das 14. Lebensjahr vollendet hat gilt als mündig und kann bestimmte Rechtsgeschäfte im Rahmen einer eigenen Geschäftsfähigkeit vornehmen, vgl. §§ 170 Abs. 2, 171 ABGB. Eine solche eigene Geschäftsfähigkeit kommt dem mündigen Minderjährigen beispielsweise im Bereich medizinischer Behandlungen und zwar insbesondere für die dafür erforderliche Einwilligung zu, vgl. § 173 Abs. 1 ABGB. Hier wird nicht auf das Erreichen einer starren Altersgrenze, sondern auf die Urteils- und Einsichtsfähigkeit des Minderjährigen abgestellt. § 173 Abs. 1 ABGB enthält eine Vermutung hinsichtlich des Vorliegens dieser Einsichts- und Urteilsfähigkeit bei mündigen Minderjährigen.83 Da auch hier der höchstpersönliche LeRosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 69. Der Gesetzgeber spricht in Art. 16 ZGB lediglich vom Kindesalter, ohne eine altersmäßige Beschränkung vorzunehmen. 81 Bigler-Eggenberger, in: Honsell/Vogt/Geiser (Hrsg.), Zivilgesetzbuch Band I, 4. Aufl. 2010, Art. 16 Rn. 15; zum relativen Begriff der Urteilsfähigkeit auch BGE 90 II 9. 82 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 69. 83 Gleixner-Eberle, Die Einwilligung in die medizinische Behandlung Minderjähriger, Frankfurt 2014, S. 50. 79
80
50
Kapitel 2: Das datenschutzrechtliche Einverständnis
bensbereich des Minderjährigen betroffen ist, könnte man darüber nachdenken, dieses Regelungsmodell auch auf die datenschutzrechtliche Zustimmung zu überragen. In der Literatur greift jedoch lediglich Reimer diesen Gedanken auf, verneint aber die Übertragbarkeit, da im Gegensatz zum ärztlichen Heilangriff, an dem lediglich der Betroffene (und seine Familie) Interesse hat, im Datenschutzrecht regelmäßig auch Interessen Dritter bestünden.84 Die Rechtsprechung hat sich – soweit ersichtlich – hierzu noch nicht geäußert. Daher ist wohl davon auszugehen, dass für die wirksame Abgabe der datenschutzrechtlichen Zustimmung auch der mündige Minderjährige der Einwilligung seines gesetz lichen Vertreters bedarf. Genauso wie in der Schweiz und in Österreich tritt auch im deutschen Recht die Volljährigkeit mit der Vollendung des 18. Lebensjahres ein; damit ist minderjährig, wer das das 18. Lebensjahr noch nicht vollendet hat, vgl. § 2 BGB. Grundsätzlich bedürfen Minderjährige zur Abgabe von wirksamen Willenserklärungen gem. §§ 104 ff. BGB der Zustimmung (Einwilligung oder Genehmigung) durch den gesetzlichen Vertreter. Da die datenschutzrechtliche Einwilligung gem. § 4a BDSG nach hier vertretener Auffassung eine rechtsgeschäftliche Handlung darstellt, sind die Vorschriften des BGB zu Willenserklärungen grundsätzlich auch anwendbar.85 Bezüglich der Frage der Wirksamkeit der Einwilligung von Minderjährigen stellt die Literatur jedoch primär auf die Einsichtsfähigkeit des (minderjährigen) Betroffenen und nicht auf seine Geschäftsfähigkeit ab.86 Während bei der Abgabe von Willenserklärungen Minderjährige vor allem vor (finanziell) nachteiligen Rechtsgeschäften geschützt werden sollen, geht es bei der datenschutzrechtliche Einwilligung um die eigenverantwortliche Bestimmung des Umgangs mit personenbezogenen Daten.87 Die Erteilung der Einwilligung steht in unmittelbarem Zusammenhang mit der selbstständigen Wahrnehmung von Grundrechten, weshalb der Betroffene ohne Rücksicht auf sein Alter eine Einwilligung abgeben kann, wenn er in der Lage ist, die Tragweite seiner Entscheidung selbst zu begreifen.88 Wann dies der Fall ist, hängt vom Einzelfall ab und ist – vor allem im Bereich des Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 171 f. Vgl. hierzu Kapitel 2, A, II. 86 Gola/Schomerus, BDSG Kommentar, 10. Aufl. 2010, § 4a Rn. 10; Taeger, in: Taeger/ Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 29; Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, § 4a Rn. 21; Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 687; Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 5; Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 318 f.; Liedke, Die Einwilligung im Datenschutzrecht, Edewecht 2012, S. 14. 87 Zscherpe, MMR 2004, 723 (724). 88 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 319. 84 85
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
51
Internets – schwer zu beurteilen, vor allem, da die Erfahrungshorizonte von Minderjährigen in Bezug auf verschiedene Sachverhalte unterschiedlich sind.89 So geht beispielsweise das Oberlandesgericht Hamm nicht davon aus, dass Minderjährige ab dem 15. Lebensjahr grundsätzlich die nötige Reife haben, um die Tragweite der Einwilligungserklärung zur Datenspeicherung und Datenverwendung zu Werbezwecken abzusehen.90 In diesem Fall verlangte die Klägerin von einer Krankenkasse die Unterlassung der Erhebung von personenbezogenen Daten zu Werbezwecken im Zusammenhang mit Gewinnspielen, die diese für Minderjährige veranstaltete. Das OLG war der Auffassung, dass hier die geschäftliche Unerfahrenheit von Minderjährigen ausgenutzt werde. Geschäftliche Unerfahrenheit liege vor allem dann vor, wenn eine Person nicht die Erfahrungen im Geschäftsleben habe, die bei einem durchschnittlich informierten, aufmerksamen und verständigen Verbraucher zu erwarten sei und die es ihm ermöglichen würden, die rechtliche und wirtschaftliche Bedeutung einer Handlung zu erfassen und kritisch zu bewerten. Dabei handle es sich nicht um eine feste Größe; vielmehr sei das Fehlen geschäftlicher Erfahrung in Bezug auf die konkrete Handlung und den konkret angesprochenen Personenkreis festzustellen.91 Teilweise wird in der Literatur auch auf den konkreten Verwendungszusammenhang der Daten abgestellt.92 Weißt die Einwilligung in die Datenverarbeitung einen höchstpersönlichen Einschlag auf, soll es auf die Einsichtsfähigkeit des Minderjährigen ankommen, während bei einem vermögensrechtlichen Einschlag die Regeln zu Geschäftsfähigkeit alleine93 oder kumulativ94 zum Zuge kommen sollen. Es wäre also denkbar, dass ein beschränkt Geschäftsfähiger eine wirksame datenschutzrechtliche Einwilligung erteilt hat, aber der schuld Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 29; a. A. Zscherpe, MMR 2004, 723 (724), die dagegen eine starre Altersgrenze von 16 Jahren befürwortet; die USA hat deshalb für den Onlinebereich eine Altersgrenze von 13 Jahren festgelegt, vgl. US-Children Online Privacy Protection Act (COPPA) vom 21.04.2000. 90 OLG Hamm, I-4 U 85/12 = DuD 2013, 106 = ZD 2013, 29. 91 OLG Hamm, I-4 U 85/12 = DuD 2013, 106 (108). 92 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, § 4a Rn. 21; Holznagel/ Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 687; Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 5; Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 318 f.; Liedke, Die Einwilligung im Datenschutzrecht, Edewecht 2012, S. 14. 93 So Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 687; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, in: Verhandlungen des 71. Deutschen Juristentages, Essen 2016, S. A 21; zustimmend Wendehorst, NJW 2016, 2609 (2612). 94 So Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 319; Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, § 4a Rn. 21. 89
52
Kapitel 2: Das datenschutzrechtliche Einverständnis
rechtliche Vertrag mangels Zustimmung des gesetzlichen Vertreters schwebend unwirksam bzw. nach Verweigerung der Genehmigung endgültig unwirksam ist. Das Auseinanderklaffen von datenschutzrechtlicher Einwilligungsf ähigkeit und Geschäftsfähigkeit führt dennoch zu sachgerechten Ergebnissen.95 Der gesetzliche Vertreter kann den schwebend unwirksamen Vertrag nachträglich genehmigen, wenn er ihn als günstig erachtet. Tut er dies nicht kann der Minderjährige seine wirksam erteilte Einwilligung widerrufen. In der Datenschutzgrundverordnung ist in Art. 8 Abs. 1 DS-GVO eine eigenständige, allein auf die Verarbeitung von personenbezogenen Daten eines Kindes, Bezug nehmende Regelung vorgesehen.96 Demnach sollen Kinder, denen Dienste der Informationsgesellschaft direkt angeboten werden, bis zu ihrem 16. Lebensjahr der Einwilligung ihres gesetzlichen Vertreters bedürfen. Die Altersgrenze kann jedoch durch das nationale Recht bis auf 13 Jahre abgesenkt werden.
II. Gestaltung der Einverständniserklärung 1. Schriftformerfordernis Sowohl in der Schweiz97 als auch in Österreich98 kann die Einverständniserklärung formlos abgegeben werden.99 Dagegen bedarf die Einwilligung in Deutschland gem. § 4a Abs. 1 S. 3 BDSG der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Das Formerfordernis hat seinen Ursprung im deutschen Datenschutzrecht, existiert in keinem anderen Mitglied-
auch Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, in: Verhandlungen des 71. Deutschen Juristentages, Essen 2016, S. A 23. 96 Gola/Schulz, ZD 2010, 475 (476). 97 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127); Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 77; vgl. allgemein zur Einwilligung in Persönlichkeitsrechtsverletzungen Geiser, Die Persönlichkeitsrechtsverletzung insbesondere durch Kunstwerke, Basel 1990, S. 123. 98 Unger, Grundzüge des Datenschutzrechts, Wien 2012, S. 17; Gärtner, Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts, Hamburg 2011, S. 338; Andreéwitch/ Steiner, ITRB 2005, 260 (261); in der ersten Fassung des Datenschutzgesetzes war für die Übermittlung von Daten noch die ausdrückliche schriftliche Zustimmung vorgesehen, vgl. §§ 7 Abs. 1, 18 Abs. 1 DSG 1978 – Bundesgesetz vom 18.10.1978 über den Schutz personenbezogener Daten. 99 In der Literatur wird aber immer wieder darauf hingewiesen, dass es sich aus Beweisgründen empfiehlt, die Einverständniserklärung zu dokumentieren, sei es durch ein Bestätigungsschreiben, durch Unterschrift oder durch eine E-Mail, vgl. Rosenthal, Handkommentar DSG, Zürich 2008, § 4 Rn. 77; Baeriswyl, Datenschutzgesetz, Bern 2015, Art. 4 Rn. 70. 95 So
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
53
staat der EU und wird auch nicht durch die Datenschutzrichtlinie vorgegeben.100 Die Richtlinie verlangt lediglich, dass die betroffene Person ohne jeden Zweifel ihre Einwilligung gegeben hat; eine bestimmte Form wird nicht vorgeschrieben. Schriftlich ist die Einwilligung gem. § 126 BGB dann, wenn der Betroffene die Erklärung eigenhändig durch Namensunterschrift unterzeichnet.101 Das Formerfordernis soll vor allem den Betroffenen vor schnellen und unüberlegten Entscheidungen schützen (Warnfunktion).102 Außerdem kommt ihm auch eine Beweisfunktion zu.103 Die Schriftform kann gem. § 126 Abs. 3 i. V. m. § 126a Abs. 1 BGB durch die Verwendung einer qualifizierten elektronischen Signatur i. S. d. Signaturgesetzes (SigG)104 ersetzt werden105, die sich aber im elektronischen Geschäftsverkehr – vermutlich aufgrund der schwierigen technischen Umsetzung – nie richtig etabliert hat.106 Sie darf nicht mit der einfachen elektronischen Einwilligung nach § 13 Abs. 2 TMG, § 94 TKG oder § 28 Abs. 3a S. 1 Hs. 2 BDSG verwechselt werden.107 Außerdem räumt das Gesetz die Möglichkeit ein, vom Schriftformerfordernis abzuweichen, wenn aufgrund besonderer Umstände des Einzelfalls eine andere Form angemessen erscheint, vgl. § 4a Abs. 1 S. 3 BDSG. Was darunter zu verstehen ist und welche Umstände hiervon erfasst sind ist – abgesehen von der Regelung des § 4a Abs. 2 BDSG zum Bereich der wissenschaftlichen Forschung – unklar. Teile der Literatur108 gehen davon aus, dass es sich nach Wortlaut des Gesetzes und Intention des historischen Gesetzgebers um eine Ausnahme handelt, welche möglichst restriktiv anzuwenden sei. Eine pauschale Betrachtung komme daher nicht in Betracht, vielmehr sei jeweils unter Abwägung der beteiligten Interessen und unter Berücksichtigung der jeweiligen Verarbeitungsumstände zu entscheiden.109 Besondere Umstände können sich beispielsweise aus
Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 56. Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.) Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 11; Schaar, MMR 2001, 644 (646). 102 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, § 4a Rn. 33. 103 Tinnefeld/Ehmann/Gerling, Einführung in das Datenschutzrecht, 4. Aufl. 2005, S. 321. 104 Gesetz über Rahmenbedingungen für elektronische Signaturen vom 16. Mai 2001, BGBl. I S. 876. 105 Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 33. 106 Roßnagel, NJW 2005, 385 (385). 107 Zur Frage ob diese auch in den Anwendungsbereich des § 4a BDSG fallen können ausführlich Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 162 ff. 108 Wohlgemuth/Gerloff, Datenschutzrecht, 3. Aufl. 2005, S. 49; Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 690. 109 Raabe/Lorenz, DuD 2011, 279 (280). 100 101
54
Kapitel 2: Das datenschutzrechtliche Einverständnis
der Eilbedürftigkeit der Datenverarbeitung110, dem ausschließlich telefonischen Kontakt111 oder einem Eigeninteresse112 des Betroffenen ergeben.113 Ein Verstoß gegen das Schriftformerfordernis führt in entsprechender Anwendung der §§ 125, 126 BGB zur Unwirksamkeit der Einwilligung und hat die Unzulässigkeit der Datenverarbeitung zur Folge.114 Da das grundsätzliche Erfordernis einer schriftlichen Einwilligungserklärung von der Datenschutzrichtlinie nicht vorgegeben wird, weicht der deutsche Gesetzgeber von den europäischen Vorgaben inhaltlich ab und errichtet diesbezüglich ein höheres Schutzniveau.115 Wie bereits dargelegt vertritt der Europäische Gerichtshof in Bezug auf die Datenschutzrichtlinie die Auffassung, dass sich die Harmonisierung der nationalen Rechtsvorschriften durch die Datenschutzrichtlinie nicht auf eine Mindestharmonisierung beschränkt, sondern zu einer grundsätzlich umfassenden Harmonisierung (Vollharmonisierung) führt.116 Damit ist das Schriftform erfordernis des § 4a Abs. 1 S. 3 BDSG europarechtswidrig.117 Die Rechtsfolgen einer nicht vollständigen Umsetzung einer Richtlinie nach Fristablauf sind grundsätzlich die unmittelbare Anwendbarkeit der Richtlinie und eine eventuell eintretende Staatshaftung.118 Der Betroffene kann sich demnach gegenüber den nationalen Behörden und Gerichten auf die jeweilige Richtlinienvorschrift berufen.119 Richtlinien sind jedoch in erster Linie an die Mitgliedstaaten gerichtete Normen, so dass sie auch nur gegenüber den einzelnen Staaten, nicht aber im Verhältnis unter Privaten unmittelbar Anwendung finden können.120 Der EuGH hat eine solche unmittelbare bzw. horizontale Drittwir-
110 Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.) Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 15. 111 Voigt, DuD 2008, 780 (782). 112 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 690, wobei die Datenverarbeitung im Eigeninteresse im nicht-öffentlichen Bereich i. d. R. bereits durch § 28 Abs. 1 BDSG erlaubt sein wird. 113 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 59. 114 Franzen, in: Müller-Glöge/Preis/Schmidt (Hrsg.), Erfurter Kommentar zum Arbeitsrecht, 14. Aufl. 2014, § 4a BDSG Rn. 3. 115 Vulin, ZD 2012, 414 (415). 116 EuGH, C‑468/10 und C‑469/10, Rn. 1; so auch bereits angedeutet in: EuGH, C-101/01, Rn. 96 und EuGH, C-524/06, Rn. 51. 117 So auch Vulin, ZD 2012, 414 (417); a. A. Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 14. 118 EuGH, C-9/70, Slg. 1970, 825/837 ff.; BVerfGE 75, 223 (235 ff.); Oppermann/Classen/ Nettesheim, Europarecht, 6. Aufl. 2014, S. 125; Streinz, Europarecht, 8. Aufl. 2008, § 5 Rn. 444. 119 Streinz, Europarecht, 8. Aufl. 2008, § 5 Rn. 4 45. 120 Wiedmann, Die Anwendung des europäischen Rechts, in: Gebauer/Wiedmann (Hrsg.), Zivilrecht unter europäischem Einfluss, 2. Aufl. 2010, S. 46.
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
55
kung im Grundsatz stets abgelehnt.121 Der Gerichtshof vertritt die Auffassung, dass ein nationales Gericht bei der Anwendung und Interpretation des nationalen Rechts „seine Auslegung so weit wie möglich am Wortlaut und Zweck der Richtlinie ausrichten muss, um das mit der Richtlinie verfolgte Ziel zu erreichen.“122 Die Pflicht zur richtlinienkonformen Auslegung ergibt sich auch aus der Umsetzungspflicht der Mitgliedstaaten gem. Art. 114 i. V. m. Art. 288 AEUV, die auch nach erfolgter Umsetzung in den Mitgliedstaaten gilt.123 In Ausnahmefällen hat der EuGH bisher vereinzelnd zugelassen, dass sich Private in einem Rechtsstreit untereinander auf eine Richtlinie berufen, die vom nationalen Gesetzgeber missachtet worden ist.124 Begründe eine der Parteien ihren zivilrechtlichen Anspruch mit richtlinienwidrigem nationalem Recht, könne ihr die andere Partei die Richtlinienwidrigkeit im Zivilprozess entgegenhalten.125 Die datenschutzrechtliche Einwilligung wird jedoch nicht unwirksam, nur weil sie schriftlich erteilt wurde. Beruft sich die datenverarbeitende Stelle auf eine solche Einwilligung so kann der Betroffene nicht die Richtlinien widrigkeit einwenden, um nicht mehr an die Erklärung gebunden zu sein. Ihm bliebe insoweit nur der Widerruf.126 Weitaus schwieriger ist die Frage, ob eine lediglich mündlich abgegebene Einwilligungserklärung unter Berufung auf die Richtlinie wirksam ist. Vereinzelnd wird vertreten, dass das Schriftformerfordernis aufgrund der Richtlinienwidrigkeit von den Gerichten außer Acht zu lassen ist.127 Folgt man dem EuGH und der soeben dargestellten Rechtsprechung, wird sich die datenverarbeitende Stelle aufgrund der klaren Vorgaben der Richtlinie auf die Wirksamkeit einer mündlichen Einwilligung gegenüber dem Betroffenen berufen können. Das entbindet den deutschen Gesetzgeber freilich nicht von der Verpflichtung, den Vorgaben an eine effektive Umsetzung – im Hinblick auf die Normenklarheit, als Ausfluss des Gebots der Rechtssicherheit – durch die Anpassung des Norm textes gerecht zu werden.128
EuGH, Rs. C-80/06, Rn. 20; EuGH, Rs. C-91/92, Slg. 1994- I-3325 – Faccini Dori. EuGH, Rs. C-106/89, Slg. 1990, I-4135 Rn. 8. 123 Vulin, ZD 2012, 414 (417); Streinz, Europarecht, 8. Aufl. 2008, § 5 Rn. 457. 124 Wiedmann, Die Anwendung des europäischen Rechts, in: Gebauer/Wiedmann (Hrsg.), Zivilrecht unter europäischem Einfluss, 2. Aufl. 2010, S. 51. 125 EuGH, Rs. C-194/94, Slg. 1996, I-2201. 126 Dazu ausführlich Kapitel 2, E. 127 Vulin, ZD 2012, 414 (417). 128 EuGH, C-29184, Slg. 1985, 1661. 121
122
56
Kapitel 2: Das datenschutzrechtliche Einverständnis
2. Weitere Gestaltungsmöglichkeiten der Einverständniserklärung Grundsätzlich sind verschiedene Gestaltungsformen der Einverständniserklärung denkbar. In Betracht kommt eine mündliche Erklärung (a), eine Erklärung durch Handeln (b) oder Schweigen (c), eine elektronische (d), eine unterstellte (e) sowie eine vorformulierte Einverständniserklärung (f). a. Mündliche Einverständniserklärung Wie bereits dargelegt, kann sowohl in Österreich als auch in der Schweiz das Einverständnis formlos abgegeben werden129; eine mündliche Erklärung ist also grundsätzlich zulässig und wirksam. Anders im deutschen Recht, wo es gem. § 4a Abs. 1 BDSG für eine wirksame Einwilligung der Schriftform bedarf. Aber auch, wenn man – wie die herrschende Meinung in der Literatur – grundsätzlich am Schriftformerfordernis festhält130, können besondere Umstände vorliegen die das Formerfordernis entfallen lassen und eine mündliche Einwilligung die Datenverarbeitung legitimieren kann.131 Dies wird insbesondere bei telefonischen Umfragen oder Aufträgen bejaht.132 Besonders zu erwähnen ist an dieser Stelle die mündliche Einwilligung in Werbung und Adresshandel; hier hat die verantwortliche Stelle die zuvor mündlich erteilte Einwilligung schriftlich zu bestätigen, vgl. § 28 Abs. 3a S. 1 Hs. 1 BDSG.133 b. Einverständniserklärung durch schlüssiges Handeln Im ersten Entwurf der Datenschutzrichtlinie sah die Europäische Kommission zunächst vor, dass die Einwilligung ausdrücklich zu erfolgen habe.134 Davon rückte der geänderte Richtlinienentwurf aber wieder ab.135 Eine ausdrückliche Erklärung wird nunmehr nur noch bei besonderen Kategorien von Daten – also Daten, aus denen die rassische oder ethnische Herkunft, politische Meinung, religiöse oder philosophische Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über die Gesundheit und das Sexualleben – verlangt, vgl. Art. 8 Abs. 2 lit. a DSRL. Grundsätzlich sieht also die Richtlinie eine Einwilligung durch schlüssiges Handeln vor.136 129
Vgl. hierzu Kapitel 2, B, II, 1. Vgl. hierzu Kapitel 2, B, II, 1. 131 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 60. 132 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 125. 133 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 60. 134 Ehmann/Helfrich, EG Datenschutzrichtlinie, Köln 1999, Art. 2 Rn. 68. 135 Ehmann/Helfrich, EG Datenschutzrichtlinie, Köln 1999, Art. 2 Rn. 68; im Ergebnis wurde der Begriff „ausdrücklich“ durch „jede“ ersetzt. 136 Dammann/Simitis, EG-Datenschutzrichtlinie, Baden-Baden 1997, Art. 2 Rn. 22; Schleutermann, CR 1995, 577 (579). 130
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
57
Im österreichischen Datenschutzrecht ist die Ausdrücklichkeit der Zustimmung keine Wirksamkeitsvoraussetzung; sie wird weder in § 4 Z. 14 DSG 2000 noch in § 8 Abs. 1 Z. 2 DSG 2000 erwähnt.137 Der überwiegende Teil der Literatur geht daher von der Zulässigkeit konkludenter Zustimmungserklärungen bei Verwendung nicht-sensibler Daten aus. In der ersten Fassung des DSG von 1978 war die ausdrückliche Zustimmung für die Übermittlung personenbezogener Daten noch vorgesehen, vgl. §§ 7 Abs. 1 Z. 2, 18 Abs. 1 Z. 2 DSG 1978. Die Datenschutzkommission138 zog vereinzelt auch § 864a ABGB zur Beurteilung von Zustimmungserklärungen heran, wonach Bestimmungen ungewöhnlichen Inhaltes in AGB nicht Vertragsbestandteil werden, wenn sie für den anderen Teil nachteilig sind und er mit ihnen auch nach den Umständen, vor allem nach dem äußeren Erscheinungsbild der Urkunde, nicht zu rechnen brauchte.139 Anders verhält es sich bei der Verwendung von sensiblen Daten, hier ist gem. § 9 Z. 6 DSG 2000 die ausdrückliche Zustimmung des Betroffenen erforderlich. Ebenso ist in der Schweiz anerkannt, dass die Einwilligung durch konkludentes Handeln erfolgen kann.140 Die wohl h. M.141 geht davon aus, dass eine konkludente Einwilligung dann vorliegt, wenn sich die Zustimmung aus den Umständen klar ergibt, d. h. hinreichend schlüssige, tatsächliche Anhaltspunkte vorhanden sind, die nach Treu und Glauben keinen anderen Schluss zulassen.142 Eine ausdrückliche Einwilligung wird dagegen bei der Bearbeitung von besonders schützenswerten Daten oder Persönlichkeitsprofilen verlangt, vgl. Art. 4 Abs. 5 S. 2 DSG. Nicht ganz klar ist, ob sich dieses Erfordernis auf den Inhalt der Daten oder die Art und Weise der Erklärung bezieht. Während die Gesetzesbegründung wohl davon ausgeht, dass eine ausdrückliche Erklärung erforderlich ist143, wird in der Literatur teilweise angenommen, dass eine ausdrückliche Einwilligung dann vorliegt, wenn sie sich auch ausdrücklich auf die Verwendung dieser Daten bezieht.144
Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 142. Vgl. hierzu die Ausführungen zur Datenschutzkommission Kapitel 1, G, IV, Fn. 200. 139 DSK 14.02.2006, K211.634/0004-DSK/2006; vgl. hierzu auch Kapitel 5, B, II. 140 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 78; Wermelinger/Schweri, Jusletter 3. März 2008, 4; Geiser, Die Persönlichkeitsverletzung insbesondere durch Kunstwerke, Basel 1990, S. 123 m. w. N. 141 BGE 52 II 292; Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 78; Epiney, in: Bleser/Epiney/Waldmann (Hrsg.), Datenschutzrecht, Bern 2011, S. 523. 142 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 78. 143 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127). 144 So Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 83; Epiney, in: Bleser/ Epiney/Waldmann (Hrsg.), Datenschutzrecht, Bern 2011, S. 524 geht dagegen davon aus, 137
138
58
Kapitel 2: Das datenschutzrechtliche Einverständnis
Im deutschen Recht wird die konkludente Einwilligung in die Verarbeitung nicht-sensibler Daten dagegen nur teilweise als zulässig erachtet.145 Viele datenverarbeitende Stellen berufen sich darauf, dass der Betroffene seine Einwilligung konkludent durch die bloße Nutzung einer Webseite oder durch Teilnahme an einem Gewinnspiel erteilt hätte.146 Von den Gegnern wird die Zulässigkeit der konkludenten Einwilligung unter Hinweis auf den Ausnahmecharakter von § 4a Abs. 1 S. 3 BDSG verneint.147 Das deutsche BGB enthält anders als das schweizer Obligationenrecht – vgl. Art. 1 Abs. 2 OR – keine Regelung, wonach die Willenserklärung ausdrücklich oder stillschweigend erfolgen kann.148 Eine ausdrückliche Willenserklärung liegt vor, wenn der Erklärende seinen Geschäftswillen expressis verbis äußert, während bei einer konkludenten Willenserklärung es darauf ankommt, ob der rechtsgeschäftliche Wille unmittelbar aus der auf einen rechtlichen Erfolg gerichteten Handlung oder mittelbar aus anderen Indizien erschlossen werden kann.149 Im Zivilrecht gibt es einen Konsens darüber, dass die geltenden Grundsätze zur ausdrücklichen Willenserklärung auch bei konkludenten Willenserklärungen anzuwenden sind150, sie also grundsätzlich gleich stehen.151 In anderen Rechtsgebieten werden dagegen unterschied liche Auffassungen vertreten. So wird bei der kunsturheberrechtlichen Einwilligung eine konkludente Erklärung für möglich erachtet152 , während im Wettbewerbsrecht eine ausdrückliche Einwilligung für notwendig gehalten wird.153 dass eine Einwilligung wohl immer erst dann ausdrücklich erteilt ist, wenn sowohl ihr Inhalt als auch die Form ausdrücklich erfolgt. 145 OLG Frankfurt, CR 2001, 294 (296); Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 16; Iraschko-Luscher, DuD 2006, 706 (707); van Raay/Meyer-van Raay, VuR 2009, 103 (104); Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 62; Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 41; a. A. BGHZ 116, 268 (273); Simitis, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4a Rn. 44; Wohlgemuth/Gerloff, Datenschutzrecht, 3. Aufl. 2005, S. 50; Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 171. 146 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 61; Schenke, Individualisierung und Datenschutz, Wiesbaden 2006, S. 201. 147 Simitis, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4a Rn. 4 4. 148 Armbrüster, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, Vorbemerkungen vor §§ 116 ff. Rn. 6. 149 Armbrüster, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, Vorbemerkungen vor §§ 116 ff. Rn. 6. 150 Singer, in: Staudinger, Kommentar zum Bürgerlichen Gesetzbuch, 2011, § 133 Rn. 26. 151 So schon RGZ 95, 122, 124. 152 BGH, GRUR 2005, 74, (75) – Charlotte Casiraghi II; Specht, in: Dreier/Schulze, Urheberrechtsgesetz, 15. Aufl. 2015, § 22 KUG Rn. 17. 153 Zur ausdrücklichen Einwilligung nach § 7 Abs. 2 UWG vgl. Kapitel 2, B, II, 3, a.
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
59
Aus den Vorgaben der Datenschutzrichtlinie und der Europarechtswidrigkeit des Schriftformerfordernisses lässt sich die Zulässigkeit einer konkludenten Erklärung durchaus ableiten.154 Für die Zulässigkeit spricht auch, dass sich bei der Verarbeitung von besonderen Arten von Daten gem. § 4a Abs. 3 BDSG, die Einwilligung ausdrücklich auf diese Daten beziehen muss. Daraus kann im Umkehrschluss gefolgert werden, dass für andere Datenkategorien keine ausdrückliche Einwilligung vorliegen muss.155 Damit eine konkludente Einwilligung wirksam ist, muss aber ein eindeutiges Erklärungsverhalten vorliegen, das einen Rückschluss auf den eindeutigen Willen des Erklärenden zulässt.156 Die Erforderlichkeit einer eindeutigen Verhaltensweise führt dazu, dass eine konkludente Einwilligung zwar möglich ist, aber in der Praxis – vor allem im Bereich des Internets – kaum vorliegen wird.157 Lediglich in § 28 Abs. 3a BDSG wird eine ausdrückliche Einwilligung auch für nicht-sensible Daten gefordert.158 c. Schweigen als Einverständniserklärung Eine Einwilligung durch Schweigen erfüllt nach einhelliger Meinung weder im österreichischen159 noch im deutschen Recht160 die Anforderungen an eine wirksame Einverständniserklärung, da keinerlei Willensäußerungen vorliegen und der Betroffene sein Recht auf informationelle Selbstbestimmung nicht ausgeübt hat. Auch in der Schweiz kann bloßes Schweigen oder Nichtstun grundsätzlich nicht als Willenserklärung und damit als Einwilligung i. S. d. Art. 4 Abs. 5 DSG gelten.161 Liegt jedoch eine Abrede z. B. in den Allgemeinen Geschäftsbedingungen vor, wonach Schweigen als Zustimmung gewertet werden kann, soll aber ausnahmsweise Schweigen eine wirksame Einwilligung begründen kön-
154 So im Ergebnis auch Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 63; Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 693. 155 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 694. 156 Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 41. 157 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 6 4 f. 158 BT-Drs. 16/12011, S. 33. 159 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 143 f.; OGH, 31.03.2005, 3 Ob 248/04y, wonach „Schweigen […] grundsätzlich weder Annahme noch Ablehnung [ist], sondern überhaupt keine Willenserklärung.“; Jahnel, Datenschutzrecht, Wien 2010, S. 208. 160 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 693; vgl. auch BGHZ, 116, 268 (273), wonach ein Arzt die Einwilligung des Patienten zur Weitergabe seiner Daten unmissverständlich einzuholen habe. 161 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 80.
60
Kapitel 2: Das datenschutzrechtliche Einverständnis
nen.162 Strittig ist, ob auch aufgrund anderer, besonderer Verhältnisse Schweigen als Einwilligung gelten kann.163 Dies wird beispielsweise im Hinblick auf das Schweigen auf ein Informationsschreiben diskutiert.164 Rosenthal165 erwägt in solchen Fällen Art. 6 OR analog heranzuziehen, wonach dort, wo aufgrund der besonderen Natur eines Geschäfts oder nach den Umständen eine ausdrückliche Annahme nicht zu erwarten ist, der Vertrag als geschlossen gilt, wenn der Antrag nicht binnen angemessener Frist abgelehnt wird. Der überwiegende Teil der Literatur geht in Bezug auf Art. 6 OR jedoch davon aus, dass darunter – neben den gesetzlich geregelten Fällen – nur Angebote fallen, die den Empfänger ausschließlich begünstigen.166 Das wäre aber bei einer persönlichkeitsverletzenden Datenverarbeitung allerdings nicht der Fall. d. Elektronische Einverständniserklärung In den vergangenen Jahren ist das Bedürfnis nach neuen elektronischen Handlungsformen stetig gestiegen. Besonders im Online-Bereich führen bestimmte Formerfordernisse oft zu Medienbrüchen, die sich als hinderlich oder lästig erweisen. Die elektronische Einverständniserklärung gewinnt daher in der Praxis immer mehr an Bedeutung, sie soll eine medienbruchfreie Abwicklung im Internet erzielen und den elektronischen Geschäftsverkehr erleichtern. Anders als in Deutschland kommt der Frage der Zulässigkeit von elektronischen Einverständniserklärungen in Österreich167 und in der Schweiz nur eine untergeordnete Rolle zu. Das lässt sich wahrscheinlich damit begründen, dass das BDSG grundsätzlich die Schriftform verlangt, während das DSG 2000 und das schweizer DSG die formlose Einverständniserklärung zulässt.168 Angesichts der in Österreich mit der Einführung des DSG 2000 wesentlich gelockerten, formellen Voraussetzungen wird es als unzweifelhaft angesehen, dass die
162 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 11. 163 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 80. 164 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 11. 165 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 80; ablehnend Rampini, in: Maurer-Lambrou/Vogt (Hrsg.) Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 11. 166 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 11. 167 Lediglich in § 23 Abs. 4 TKG 2003 wird die Möglichkeit einer elektronischen Zustimmung in Bezug auf die Rufnummernübermittlung im Bereich der Telekommunikation erwähnt. 168 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 145.
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
61
Zustimmung auch durch Anklicken entsprechender Felder von elektronischen Formularen geschehen kann.169 Das deutsche Recht dagegen kennt – neben der qualifizierten elektronischen Einwilligung – zusätzlich die „einfache“ elektronische Einwilligung nach § 13 Abs. 2 TMG im Bereich der Telemedien, § 94 TKG im Bereich der Telekommunikation und § 28 Abs. 3a S. 1 Hs. 2 BDSG für die Einwilligung zu Zwecken der Werbung und des Adresshandels170, die jeweils das Schriftformerfordernis aus § 4a Abs. 1 S. 3 BDSG ersetzt. (1) Elektronische Einwilligung gem. § 13 Abs. 2 TMG und § 94 TKG Eine solche Einwilligung ist wirksam, wenn die verantwortliche Stelle sicherstellt, dass der Betroffene sie bewusst und eindeutig erteilt hat, die Erklärung protokolliert wird, der Betroffene den Inhalt jederzeit abrufen und sie jederzeit mit Wirkung für die Zukunft widerrufen kann.171 Die Voraussetzungen nach §§ 13 Abs. 2 Nr. 1 TMG bzw. § 94 Nr. 1 TKG sollen sicherstellen, dass der Betroffene bei der Abgabe der Einwilligungserklärung den erforderlichen subjektiven Erklärungswillen gebildet hat.172 Er muss erkennen können, dass er rechtsverbindlich einer Verarbeitung seiner personenbezogenen Daten zustimmt.173 Hierfür genügt beispielsweise das Setzen eines Häkchens in einer Checkbox.174 Die Einwilligung muss gem. §§ 13 Abs. 2 Nr. 2 und 3 TMG bzw. § 94 Nr. 2 und 3 TKG protokolliert und während des Vertragsverhältnisses auch vom Betroffenen jederzeit abgerufen werden können. Im Bereich der Telemedien muss der Diensteanbieter nach § 13 Abs. 3 TMG auf die Möglichkeit des Widerrufs hinweisen. Dieser Hinweis muss nach § 13 Abs. 3 S. 2, Abs. 1 S. 3 TMG für den Nutzer jederzeit abrufbar sein. Der Telemedienanbieter ist daher gehalten, die notwendige technische Infrastruktur anzubieten, damit der Betroffene auch tatsächlich von seinem Widerrufsrecht Gebrauch machen kann.175
Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 145. Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 60. Außerdem ergibt sich noch eine dritte Form der elektronischen Einwilligung aus den Datenschutzgesetzen der Länder, vgl. beispielsweise § 4 Abs. 4 LDSG BW. 171 Vgl. § 13 Abs. 2 TMG, § 94 TKG und § 28 Abs. 3a S. 1 Hs. 2. BDSG. 172 Müller-Broich, Telemediengesetz, 1. Aufl. 2012, § 13 Rn. 5; Moos, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 13 TMG Rn. 17; Munz, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 94 TKG Rn. 8. 173 Müller-Broich, Telemediengesetz, 1. Aufl. 2012, § 13 Rn. 5. 174 OLG Brandenburg, MMR 2006, 405 (406); vgl. hierzu auch später Kapitel 2, B, II, 3, a. 175 Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 13 TMG Rn. 17. 169 170
62
Kapitel 2: Das datenschutzrechtliche Einverständnis
(2) Elektronische Einwilligung in Werbung und Adresshandel gem. § 28 Abs. 3a S. 1 BDSG Für die Einwilligung in den Adresshandel und die Werbung sind Abweichungen von der Schriftform gesondert in § 28 Abs. 3a BDSG geregelt. Nach § 28 Abs. 3a S. 1 BDSG hat die verantwortliche Stelle im Falle einer nicht schriftlich erteilten Einwilligung dem Betroffenen den Inhalt der Einwilligung schriftlich zu bestätigen, es sei denn, dass die Einwilligung elektronisch erklärt wird und die verantwortliche Stelle sicherstellt, dass die Einwilligung protokolliert wird und der Betroffene deren Inhalt jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Damit ähnelt die Regelung in § 28 Abs. 3a BDSG sehr der in § 13 Abs. 2 TMG bzw. § 94 TKG, ist aber nicht ganz identisch. So findet sich die Anforderung der bewussten und eindeutigen Erteilung aus § 13 Abs. 2 Nr. 1 TMG bzw. § 94 Nr. 1 TKG nicht in § 28 Abs. 3a S. 1 BDSG wieder. Wie sich diese Vorschriften zueinander verhalten ist weitgehend ungeklärt. § 28 Abs. 3a BDSG stellt eine Sonderregelung speziell für die Einwilligung im Bereich des Adresshandels und der Werbung dar und ist soweit vorrangig.176 Soll jedoch elektronisch in die Verwendung von Daten zu Zwecken der Werbung in einem Telemedien- oder Telekommunikationsdienst eingewilligt werden ist unklar, ob nun die Sondervorschriften zur Einwilligung zu Zwecken der Werbung aus § 28 Abs. 3a BDSG oder die zur elektronischen Einwilligung in § 13 Abs. 2 TMG oder § 94 TKG herangezogen werden soll. § 28 Abs. 3a BDSG soll wie § 13 Abs. 2 TMG und § 94 TKG eine elektronische Einwilligung ermöglichen und die Warn- und Beweisfunktion der Schriftform ersetzen.177 Die Warnfunktion wird aber nur adäquat ersetzt, wenn wie bei § 13 Abs. 2 Nr. 1 TMG bzw. § 94 Nr. 1 TKG eine bewusste Einwilligung sichergestellt wird.178 Ansonsten wäre das Schutzniveau gerade im Bereich der Werbung niedriger, als bei sonstigen elektronischen Einwilligungen nach § 13 Abs. 2 TMG. Teilweise wird daher eine analoge Anwendung des § 13 Abs. 2 Nr. 1 TMG im Rahmen der elektronischen Einwilligung nach § 28 Abs. 3a S. 1 BDSG befürwortet.179 (3) Generelle Zulassung der elektronischen Einwilligung Da die elektronische Kommunikation und die Nutzung der digitalen Medien in den letzten Jahren stark zugenommen haben, werden zunehmend Rufe laut, generell die „einfache“ elektronische Einwilligung als Substitut der Schriftform, Gola/Schomerus, BDSG Kommentar, 12. Aufl. 2015, § 28 Rn. 42. von Zimmermann, Die Einwilligung im Internet, Berlin 2014, S. 108. 178 von Zimmermann, Die Einwilligung im Internet, Berlin 2014, S. 108. 179 Ausführlich dazu von Zimmermann, Die Einwilligung im Internet, Berlin 2014, S. 108. 176
177
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
63
zumindest im Internet, zuzulassen.180 Das BDSG sieht vor, dass nur bei Vorliegen besonderer Umstände von der Schriftform abgewichen werden darf. Wie bereits dargelegt, geht der überwiegende Teil der Literatur davon aus, dass diese Ausnahmeregelung restriktiv zu handhaben sei.181 Vor allem die Nutzung eines elektronischen Kommunikationsmediums soll für sich genommen noch keinen besonderen Umstand darstellen, der es rechtfertigt, vom Schriftformerfordernis oder seinem elektronischen Äquivalent abzuweichen.182 Die Befürworter183 der Möglichkeit einer „einfachen“ elektronischen Einwilligung im Bereich des Internets argumentieren hingegen damit, dass jemand, der auf einer Webseite über ein Formular Daten über sich einträgt, nicht die Erwartungshaltung haben wird, in schriftlicher Form einwilligen zu müssen.184 Der unvermeidliche Medienbruch wäre an sich schon ein ausreichender Grund, von der Schriftform abzuweichen.185 Gerade in Hinblick auf die Europarechtswidrigkeit des Schriftform erfordernisses steht dem grundsätzlich nichts entgegen. e. Unterstellte Einverständniserklärung Eine unterstellte und damit mutmaßliche Einwilligung erfüllt in Deutschland nicht die Anforderungen an § 4a BDSG.186 Bei einer mutmaßlichen Einwilligung müsste man davon ausgehen, dass die Datenverarbeitung – und damit auch der Eingriff in das Recht auf informationelle Selbstbestimmung – im Interesse des Betroffenen liegt. Diese Annahme verbiete sich laut Taeger aber, da die Zulässigkeit dann nicht mehr vom Willen des Betroffenen, sondern von einem Abwägungsprozess bei der verantwortlichen Stelle abhinge.187 Dies käme ausschließlich nur dort in Betracht, wo der Gesetzgeber es ausdrücklich zulässt.188 In der Schweiz wird hingegen die mutmaßliche Einwilligung in Notsituationen als zulässig erachtet.189 Dies sei der Fall, wenn ein Zwang besteht, eine be180 Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 35; Schaar, MMR 2001, 644 (647). 181 Vgl. Kapitel 2, B, II, 1. 182 Raabe/Lorenz, DuD 2011, 279 (280). 183 Plath/Frey, CR 2009, 613 (618); Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 35; Schaar, MMR 2001, 644 (647). 184 Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 35. 185 Schaar, MMR 2001, 644 (647). 186 BGH, Beschluss vom 10.12.2009, I ZR 201/07 für die Einwilligung nach § 7 Abs. 2 Nr. 3 UWG; Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 46; Liedke, Die Einwilligung im Datenschutzrecht, Edewecht 2012, S. 19 f. 187 Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 46. 188 Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 46. 189 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 12; Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Per-
64
Kapitel 2: Das datenschutzrechtliche Einverständnis
stimmte Datenbearbeitung vorzunehmen, die betroffene Person aber nicht in der Lage ist eine Entscheidung zu treffen bzw. keine Möglichkeit besteht sie danach zu fragen und die Verletzung der Persönlichkeit im Interesse des Betroffenen liegt.190 Dennoch besteht für die mutmaßliche Einwilligung im Datenschutzrecht nur wenig Raum, da im privaten Bereich nach Art. 13 Abs. 1 DSG auch das „überwiegende Interesse der betroffenen Person“ als Rechtfertigung für die Datenbearbeitung herangezogen werden kann.191 Im Rahmen der letzten Revision des DSG wurde sie für den öffentlichen Bereich in Art. 17 DSG sogar gestrichen.192 Dagegen wird in Österreich die Möglichkeit einer mutmaßlichen Zustimmung in der datenschutzrechtlichen Literatur nicht diskutiert, obwohl sie als Rechtfertigungsgrund im Straf- und Medizinrecht anerkannt ist. Nach der Payback-Entscheidung des Bundesgerichtshofes wurde die Frage der Notwendigkeit einer ausdrücklichen Einwilligung und die Möglichkeit einer konkludenten oder gar mutmaßlichen Einwilligung im Rahmen des § 107 Abs. 2 TKG vereinzelt in der österreichischen Literatur aufgegriffen.193 Der Oberste Gerichtshof hat aber mittlerweile entschieden, dass im Bereich der E-Mail Werbung eine ausdrückliche Einwilligung erforderlich ist.194 f. Vorformulierte Einverständniserklärungen Neben den individuell vereinbarten Einverständniserklärungen sind vor allem bereits vorformulierte Erklärungen weit verbreitet und daher in der datenschutzrechtlichen Praxis besonders relevant. Vor allem die Verknüpfung der Einverständniserklärung mit Allgemeinen Geschäftsbedingungen scheint für Unternehmen ein effizienter Weg zu sein, sich den Umgang mit personenbezogenen Daten legitimieren zu lassen.195 In allen drei Rechtsordnungen ist anerkannt, dass datenschutzrechtliche Einverständniserklärungen in Allgemeinen Geschäftsbedingungen und Formularverträgen vorgesehen werden und durch deren Annahme gültig sein können.196 Unter welchen Voraussetzungen dies der sönlichkeitsschutzes, Bern 2005, S. 117 ff. spricht insoweit von der hypothetischen Einwilligung. 190 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 111. 191 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 112. 192 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 111. 193 Hofmann/Hödl, jusIT 2010, 178 (179). 194 OGH, 7 Ob 168/09w. 195 Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 190. 196 Für die Schweiz: Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 90; für Österreich: Knyrim, Datenschutzrechtliche Zustimmungserklärungen richtig formulieren
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
65
Fall ist und wie weit die gerichtliche Kontrollmöglichkeit reicht, soll später noch ausführlich in einem eigenen Kapitel erörtert werden.197 3. Sonderfall der Opt-in oder Opt-out Gestaltung Vor allem im Zusammenhang mit formularmäßig eingeholten Einverständniserklärungen taucht – insbesondere im deutschen Recht – die Frage auf, ob neben einer positiv vorformulierten, aktiv gegebenen Einverständniserklärung (sog. Opt-in-Modell) auch die negativ formulierte „Auskreuz- oder Ausstreichlösung“ (sog. Opt-out-Modell)“ zulässig ist.198 Bei dem sog. Opt-in-Modell muss das Einverständnis aktiv erklärt werden z. B. durch Ankreuzen eines dafür vorgesehenen Kästchens, während beim Opt-out-Modell das Einverständnis zunächst als erteilt angesehen wird.199 Der Betroffene kann erst durch Auskreuzen oder Durchstreichen sein Einverständnis verweigern.200 Besonders beliebt ist diese Vorgehensweise zur Einholung des Einverständnisses zu Zwecken der Zusendung von Werbung. Der Betroffene bestellt beispielsweise etwas online und soll ganz nebenbei noch sein Einverständnis zum Erhalt eines Newsletters oder anderer Werbung des Datenverarbeiters abgeben. Diese Auskreuz- oder Ausstreichungslösung hat für Datenverarbeiter den Vorteil, dass es hier für die Annahme einer Einverständniserklärung gerade keiner aktiven, bewussten Handlung seitens des Betroffenen bedarf, um das Einverständnis einzuholen.201 Häufig überlesen Verbraucher den Bedeutungsgehalt der Erklärung; Untersuchungen zum Verbraucherverhalten haben jedenfalls gezeigt, dass sowohl bei einer Ankreuzlösung (opt-in) als auch bei der Auskreuzlösung (Opt-out) etwa 20 Prozent der Verbraucher ein Kreuz setzen, also den Erklärungsinhalt nicht bewusst wahrnehmen.202 Rein statistisch neigt auch eine geringe Anzahl von Verbrauchern dazu, in einem vorgefertigten Formular selbst Änderungen vorzunehmen.203 und plazieren, in: Knyrim/Leitner/Perner/Riss (Hrsg.), Aktuelles AGB-Recht, 2008, S. 148 f.; Jahnel, Datenschutzrecht, Wien 2010, S. 174; Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 154; für Deutschland ergibt sich das bereits aus dem Umkehrschluss aus § 4a Abs. 1 S. 4 BDSG, wonach die Einwilligung, wenn sie zusammen mit anderen Erklärungen abgegeben wird, einer besonderen Hervorhebung bedarf. 197 Vgl. hierzu Kapitel 5. 198 Van Raay/Meyer-van Raay, VuR 2009, 103 (103); Hanloser, CR 2008, 713 (717); Buchner, DuD 2010, 39 (43); Ernst, NJW 2013, 2637 (2638). 199 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 115. 200 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 115. 201 Buchner, DuD 2010, 39 (42). 202 So berichtet: Petri, RDV 2007, 153 (156), leider ohne Angabe der ursprünglichen Quelle. 203 OLG Köln, NJOZ 2008, 2839 (2846) zum Antragsformular für das Kundenbindungsund Rabattsystem Happy Digits.
66
Kapitel 2: Das datenschutzrechtliche Einverständnis
a. Die Payback-Entscheidung des Bundesgerichtshofs Im deutschen Recht war lange Zeit umstritten, ob durch Opt-out-Gestaltungen eine wirksame Einwilligung des Betroffenen eingeholt werden kann. Der Bundesgerichtshof hat dies in seiner Payback-Entscheidung204 für die Einwilligung nach § 4a BDSG bejaht. In diesem Fall hatte die Verbraucherzentrale Bundesverband von dem Betreiber des Kundenbindungs- und Rabattsystems Payback die Unterlassung der Verwendung unter anderem folgender Klausel verlangt: „Mit meiner Unterschrift erkläre ich mich einverstanden, dass die von mir oben angegebenen Daten sowie die Rabattdaten (Waren/Dienstleistungen, Preis, Rabattbetrag, Ort und Datum des Vorgangs) für an mich gerichtete Werbung (z. B. Informationen über Sonderangebote, Rabattaktionen) per Post und mittels gegebenenfalls von mir beantragter Services (SMS oder E-Mail-Newsletter) sowie zu Zwecken der Marktforschung ausschließlich von der L-GmbH und den Partnerunternehmen gemäß Nr. 2 der beiliegenden Hinweise zum Datenschutz gespeichert und genutzt werden. □ Hier ankreuzen, falls die Einwilligung nicht erteilt wird.“205
Nach Auffassung des Bundesgerichtshofs ist es für die Wirksamkeit der datenschutzrechtlichen Einwilligung nach § 4a BDSG nicht erforderlich, dass der Betroffene diese aktiv bzw. positiv erkläre.206 Entscheidend sei allein, ob das Hervorhebungsgebot des § 4a Abs. 1 S. 4 BDSG gewahrt ist, ob also die Einwilligungsklausel besonders hervorgehoben ist, wenn sie zusammen mit anderen Erklärungen erteilt wird.207 Dagegen bedürfe es aber einer Opt-in-Lösung, d. h. einer gesonderten, positiven Erklärung des Betroffenen bei einer Einwilligung in die Versendung von Werbung über E-Mail oder SMS nach § 7 Abs. 2 Nr. 3 D-UWG.208 Der Bundesgerichtshof begründet diese Differenzierung unter anderem mit der richtlinienkonformen Auslegung des Begriffs der Einwilligung in § 7 Abs. 2 Nr. 3 D-UWG unter Heranziehung des Erwägungsgrunds 17 der Datenschutzrichtlinie für elektronische Kommunikation – auf der § 7 Abs. 2 Nr. 3 D-UWG beruht –, wonach die Einwilligung in jeder geeigneten Weise gegeben werden kann, wodurch der Wunsch des Nutzers in einer „spezifischen Angabe“ zum Ausdruck kommt. Diese Formulierung mache deutlich – so der BGHZ, 177, 253 = NJW 2008, 3055 ff. = CR 2008, 720 ff. – Payback. BGHZ, 177, 253 (253) = NJW 2008, 3055 (3055). 206 BGH, NJW 2008, 3055 (3056). 207 BGH, NJW 2008, 3055 (3056). 208 BGH, NJW 2008, 2055 (3057 f.), der für Streitigkeiten aus dem UWG zuständige I. Zivilsenat habe auf Anfrage erklärt, dass den Voraussetzungen des § 7 Abs. 2 Nr. 3 UWG auch nach seiner Auffassung nur durch eine ausdrückliche Erklärung Rechnung getragen werden könne und eine „Opt-out“-Klausel der hier zu beurteilenden Art von der gesetzlichen Regelung abweiche. 204 205
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
67
BGH –, dass eine gesonderte positive Einwilligungserklärung des Betroffenen im Rahmen des § 7 Abs. 2 Nr. 3 D-UWG erforderlich sei. Diese Entscheidung wurde von der Literatur teilweise stark kritisiert.209 Im Schrifttum wird seitdem die Frage aufgeworfen, inwieweit der Einwilligungsbegriff im Datenschutz- und im Wettbewerbsrecht zu konvergieren oder zu vereinheitlichen sei.210 Außerdem spricht sich der überwiegende Teil der Literatur auch für die Einwilligung nach § 4a BDSG dafür aus, zu einer zwingenden Optin-Lösung überzugehen.211 Der Bundesgerichtshof hat jedoch seine Rechtsprechung in der Happy-Digits- Entscheidung212 nochmals bekräftigt. In diesem Fall hatte er über die Recht mäßigkeit folgender Klausel zu entscheiden: „Ich bin damit einverstanden, dass meine bei Happy Digits erhobenen persönlichen Daten (Name, Anschrift, Geburtsdatum) und meine Nutzungsdaten (Anzahl gesammelte Digits und deren Verwendung; Art der gekauften Waren und Dienstleistungen; freiwillige Angaben) von der C. GmbH […], als Betreiberin des Happy Digits Programms und ihren Partnerunternehmen zu Marktforschungs- und schriftlichen Beratungs- und Informationszwecken (Werbung) über Produkte und Dienstleistungen der jeweiligen Partnerunternehmen gespeichert, verarbeitet und genutzt werden. Näheres hierzu in der Datenschutzerklärung als Teil der Teilnahmebedingungen, die Sie mit Ihrer Karte erhalten und die auch in allen K. Filialen und bei allen anderen Partnern eingesehen werden können. Sind Sie nicht einverstanden, streichen Sie die Klausel.“213
In seiner Urteilsbegründung stellt der Gerichtshof zunächst fest, dass es sich bei der betreffenden Formulierung um eine Opt-out-Erklärung handele, weil sie erfordere, dass der Verbraucher die bereits vorformulierte Einwilligung wieder streiche.214 Es sei aber nicht erkennbar, dass dies eine ins Gewicht fallende Hemmschwelle darstelle, die den Verbraucher davon abhalten könne, von seiner Entscheidungsmöglichkeit Gebrauch zu machen.215 Er betont außerdem noch209 Van Raay/Meyer-van Raay, VuR 2009, 103 (108); Brisch/Laue, Anm. zum Urteil des BGH, v. 16.07.2008, Az.: VIII ZR 348/06, CR 2008, 724 (725); Hanloser, CR 2008, 713 (717); Buchner, DuD 2010, 39 (43). 210 Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 128; van Raay/Meyer-van Raay, VuR 2009, 103 (108); Schmidt, DuD 2009, 107 (109). 211 Roßnagel, Selbst- oder Fremdbestimmung – Die Zukunft des Datenschutzes, in: Roßnagel/Sommerlatte/Winand, Digitale Visionen, 2008, S. 149; Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 125; Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 129; Iraschko-Luscher, DuD 2006, 706 (710); Wagner, DuD 2010, 30 (32). 212 BGH, MMR 2010, 138. 213 BGH, MMR 2010, 138 (138). 214 BGH, MMR 2010, 138 (139). 215 BGH, MMR 2010, 138 (139).
68
Kapitel 2: Das datenschutzrechtliche Einverständnis
mals, dass die aktive Erklärung der Einwilligung in der Weise, dass der Verbraucher eine gesonderte Einwilligungserklärung unterzeichnen oder ein für die Erteilung der Einwilligung vorzusehendes Kästchen ankreuzen müsse, nicht erforderlich sei.216 Damit lässt sich für das deutsche Recht festhalten, dass der Bundesgerichtshof im Rahmen des § 4a BDSG eine Einwilligung in Form einer Opt-out-Erklärung genügen lässt, während er für die Einwilligung nach § 7 Abs. 2 Nr. 3 D-UWG eine Opt-in-Erklärung, d. h. in Übereinstimmung der Datenschutzrichtlinie für elektronische Kommunikation eine gesonderte positive Einwilligungserklärung des Betroffenen verlangt. Der Bundesgerichtshof legt also auch im Lauterkeitsrecht die vor allem durch die datenschutzrechtliche Literatur geprägten Begrifflichkeiten zu Grunde. Dass diese Terminologie nicht immer ganz glücklich gewählt ist, zeigt nicht nur der Blick in die österreichische und schweizer Rechtsordnung, sondern auch die Regelung des § 7 Abs. 3 D-UWG. Dieser macht eine Ausnahme vom Erfordernis der vorherigen Einwilligung des Adressaten in die Zusendung elektronischer Post, wie sie in § 7 Abs. 2 Nr. 3 D-UWG grundsätzlich vorgesehen ist. Im Rahmen bestehender Kundenbeziehungen soll es dem Unternehmer möglich sein, für den Absatz ähnlicher Waren und Dienstleistungen per E-Mail zu werben, ohne die Einwilligung des Kunden eingeholt zu haben, jedoch nur so lange, bis dieser die weitere Nutzung untersagt.217 Diese Ausnahmeregelung wird teilweise in der lauterkeitsrechtlichen Literatur218 auch als Opt-out-Modell bezeichnet, obwohl hier genau genommen keine Einwilligung des Betroffenen eingeholt wird. Die Nutzung der E-Mail-Adresse stellt solange keine unzumutbare Belästigung dar, solange der Betroffene nicht widerspricht. In dogmatischer Hinsicht handelt es sich bei Abs. 3 um den abschließend normierten Fall einer vermuteten (mutmaßlichen) Einwilligung.219 Während im Datenschutzrecht die Zulässigkeit des Opt-in- und Opt-out-Modells im Rahmen einer reinen Einverständnislösung diskutiert wird, geht es wohl in § 7 D-UWG um eine übergeordnete Frage: Nämlich der grundlegenden Unterscheidung zwischen Einverständnis- (Opt-in) oder Widerspruchslösung (Opt-out). Diese Differenzierung ist 216 BGH, MMR 2010, 138 (139), so auch bereits in der Payback-Entscheidung, vgl. BGH, NJW 2008, 3055 (3056). 217 Köhler, in: Köhler/Bornkamm (Hrsg.), UWG, 33. Aufl. 2015, § 7 Rn. 202. 218 Köhler, in: Köhler/Bornkamm (Hrsg.), UWG, 33. Aufl. 2015, § 7 Rn. 202; Weiler, MMR 2003, 223 (227) spricht in Bezug auf die unionsrechtlichen Vorgaben auch von einem Soft-Opt-In. 219 Schöler, in: Harte-Bavendamm/Henning-Bodewig (Hrsg.), UWG, 3. Aufl. 2013, § 7 Rn. 348; Ohly, in: Ohly/Sosnitza (Hrsg.), UWG, 6. Aufl. 2014, § 7 Rn. 72; Leistner/Pothmann, WRP 2003, 815 (828).
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
69
wohl dem Wandel des europäischen Rechtsrahmens im Bereich des Fernabsatzes und der elektronischen Kommunikation geschuldet220 und in gewisser Hinsicht auch inkonsequent, bedenkt man, dass es sich bei der Einwilligung nach § 7 Abs. 2 Nr. 3 D-UWG um eine Einwilligung im Sinne der Datenschutzrichtlinie und letztendlich damit um eine Einwilligung nach § 4a BDSG handeln müsste. b. Widerspruchs- oder Opt-Out-Obliegenheiten in Österreich In Österreich wird dieser Themenkomplex anhand der Frage der Zulässigkeit von sog. Widerspruchs- oder Opt-Out-Obliegenheiten diskutiert. So werden vor allem Sachverhalte bezeichnet, bei denen die Rechtsfrage ob eine Datenverwendung zulässig ist oder nicht, nicht durch das Abstellen auf eine Willenserklärung des Betroffenen gelöst wird, sondern dadurch ob ein Widerspruch des Betroffenen vorliegt.221 Es wird also nicht die Erklärung der Zustimmung, d. h. das aktive Verhalten, des Betroffenen abgewartet, sondern mit der Datenverwendung begonnen, außer der Betroffene erhebt Widerspruch.222 Bei Widerspruchs obliegenheiten muss der Betroffene aktiv werden, um den status-quo zu halten. Die Position des Auftraggebers erfährt eine stärkere Berücksichtigung, da die Gefahr der Handlungsunterlassung auf den Betroffenen übergeht.223 Die Entscheidungssituation des Betroffenen wird aber nach Auffassung von Reimer durch Widerspruchsobliegenheiten nicht notwendigerweise verschlechtert, da eine aktive Gestaltungsmöglichkeit mit einem Opt-in auch nicht gesichert ist. Als Beispiel führt er „Zustimmungsformulare“ an, die dem Betroffenen auch keinen Raum für individuelle Zustimmungserklärungen lassen.224 In Österreich dürfte es also auch im Datenschutzrecht um die grundsätzliche Unterscheidung zwischen Einverständnis- und Widerspruchslösung, quasi um einen Opt-inbzw. Opt-out-Begriff im „weiteren Sinne“ gehen, während in Deutschland über die Opt-in- oder Opt-Out-Gestaltung innerhalb der Einverständnislösung – also über einen Opt-in-Begriff im „engeren Sinne“ – diskutiert wird.225 Für die Einwilligung in die Zusendung von elektronischer Post hat der Oberste Gerichtshof mittlerweile entscheiden, dass im Rahmen des § 107 Abs. 2 TKG 220
Vgl. insgesamt zum Wandel des europäischen Rechtsrahmens im Bereich des Spammings: Weiler, MMR 2003, 223. 221 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 145 f. 222 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 145 f. 223 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 145 f. 224 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 145 f. 225 Zu den Opt-In-Begriffen im engeren und weiteren Sinne Hanloser, CR 2008, 713 (715).
70
Kapitel 2: Das datenschutzrechtliche Einverständnis
2003 eine ausdrückliche vorherige Einwilligung erforderlich ist.226 Eine besondere Begründung für seine Entscheidung führt er jedoch nicht an. Entsprechend der Vorgaben in Art. 13 EK-DSRL ist in § 107 Abs. 3 TKG 2003 auch die Ausnahme vom vorherigen Einwilligungserfordernis vorgesehen. c. Opt- in und Opt- Out-Modelle in der Schweiz Auch in der Schweiz scheint es in diesem Zusammenhang um die übergeordnete Frage Einverständnis- oder Widerspruchslösung und damit um eine Opt-in oder Opt-Out-Gestaltung im „weiteren Sinn“ zu gehen. Deutlich wird dies auch hier an der schweizer Regelung zum Versand von E-Mailwerbung in Art. 3 lit. o S-UWG. Hiernach handelt unlauter, „wer Massenwerbung ohne direkten Zusammenhang mit einem angeforderten Inhalt fernmeldetechnisch sendet oder solche Sendungen veranlasst und es dabei unterlässt, vorher die Einwilligung der Kunden einzuholen […]“. Der Bundesrat wollte den Kunden besser vor fernmeldetechnisch gesendeter Massenwerbung (Spamming) schützen, indem er sicherstellt, dass zuvor die Einwilligung des Kunden eingeholt wird.227 Die Regelung des Art. 3 lit. o Hs. 1 S-UWG wird in der Botschaft ausdrücklich als „Opt-in-Modell“ bezeichnet228, nach dem es nicht genügt, wenn der Werbende dem Werbeempfänger beim Werbeversand die Möglichkeit einräumt, künftig den Erhalt von Werbung ablehnen zu können.229 Halbsatz 2 sieht eine Ausnahme vor und erweitert die Werbemöglichkeit: Wer für den Abschluss eines Rechtsgeschäfts personenbezogene Daten wie die Adresse angegeben hat, dessen Daten kann auch für Massenwerbung genutzt werden, wenn er dies nicht abgelehnt hat, nachdem er auf die Ablehnungsmöglichkeit hingewiesen worden ist.230 Von Art. 3 lit. o S-UWG nicht erfasst wird nicht-automatisierte Werbung, also solche die einen individuellen menschlichen Aufwand erfordert.231 Diese richtet sich nach den Regelungen des Art. 11 lit. e i. V. m. Art. 88 Abs. 1 Verordnung über Fernmeldedienste (FDV), welche in der Literatur als Opt-out-Regelung bezeichnet wird.232 226
OGH, 7 Ob 168/09w. Botschaft zur Änderung des Fernmeldegesetzes (FMG) vom 12. November 2003, BGBl. 2003, 7951 (7966). 228 Botschaft zur Änderung des Fernmeldegesetzes (FMG) vom 12. November 2003, BGBl. 2003, 7951 (7966). 229 Anderhub, Zivilrechtliche Ansprüche gegen den Versand von elektronischer Massenwerbung (Spam), Zürich 2008, S. 66. 230 Oetiker, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 3 lit. o Rn. 20. 231 David/Jacobs, Schweizerisches Wettbewerbsrecht, 5. Aufl. 2012, S. 40. 232 David/Jacobs, Schweizerisches Wettbewerbsrecht, 5. Aufl. 2012, S. 40. 227
B. Formale Anforderungen an das datenschutzrechtliche Einverständnis
71
Damit gilt für die Massenwerbung an bestehenden Kunden ähnlich wie in Deutschland ein Opt-out-Prinzip im „weiteren Sinn“.233 Ob diese Überlegungen auf die Einwilligung im Datenschutzrecht übertragen werden können ist unklar. Im deutschen Recht wird in dieser Widerspruchslösung der gesetzlich geregelte Fall einer mutmaßlichen Einwilligung gesehen.234 Wie bereits dargelegt, wird in der schweizer Literatur davon ausgegangen, dass eine mutmaßliche oder stillschweigende Einwilligung im Rahmen des Art. 4 Abs. 5 DSG ausnahmsweise möglich ist.235 Rosenthal geht jedoch davon aus, dass es für die Annahme einer stillschweigenden Einwilligung nicht genügt, wenn ein Unternehmer einen E-Mail-Newsletter an beliebig fremde Personen versenden will, dies per E-Mail ankündigt und die Personen auffordert sich abzumelden, wenn sie keine Zustellung wünschen, und ansonsten Zustimmung angenommen wird.236
III. Ergebnis zu den formalen Anforderungen an das Einverständnis Bezüglich der Abgabe des Einverständnisses kann für alle drei Rechtsordnung festgehalten werden, dass die Frage der Höchstpersönlichkeit der Erklärung strittig ist, eine Stellvertretung aber von einigen Stimmen in der Literatur befürwortet wird. Vor allem für die Schweiz und für Österreich spricht der Umstand, dass auch juristische Personen unter den Anwendungsbereich der Datenschutzgesetze fallen, für die Annahme einer Stellvertretung. Einige Unterschiede – zumindest in der Regelungstechnik – lassen sich zwischen den einzelnen Rechtsordnungen insbesondere bei der Abgabe des Einverständnisses durch Minderjährige feststellen. Besonders hervorzuheben ist dabei die gesetzliche Regelung in der Schweiz, die urteilsfähigen Unmündigen explizit die Möglichkeit einräumt, höchstpersönliche Rechte wie das Persönlichkeitsrecht selbst wirksam auszuüben. Daher bedürfen urteilsfähige Minderjährige für die Abgabe eines wirksamen datenschutzrechtlichen Einverständnisses nicht der Zustimmung ihres gesetzlichen Vertreters. Im Ergebnis stimmt diese Lösung zwar weitgehend mit der deutschen Rechtspraxis – nämlich primär auf die Einsichtsfähigkeit des (minderjährigen) Betroffenen und nicht auf seine Geschäftsfähigkeit abzustellen – überein, dennoch zeigen sich hier deutlich die Defizite des BGB im persönlichkeitsrechtlichen Bereich. Eine solche eigene Geschäftsfähigkeit wie in der Schweiz kommt auch dem mündigen Minderjährigen in Österreich beispielsweise im Bereich medizini233 Arpagaus/Wickihalder, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 3 lit. o Rn. 18. 234 Vgl. hierzu Kapitel 2, B, II, 2, e. 235 Vgl. Kapitel 2, B, II, 2, e. 236 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 82.
72
Kapitel 2: Das datenschutzrechtliche Einverständnis
scher Behandlungen zu, vgl. § 173 Abs. 1 ABGB. Hier wird ebenfalls nicht auf das Erreichen einer starren Altersgrenze, sondern auf die Urteils- und Einsichtsfähigkeit des Minderjährigen abgestellt. Diese Lösung wird aber nicht auf das datenschutzrechtliche Einverständnis übertragen, so dass man im Ergebnis festhalten kann, dass in Österreich der Minderjährige – trotz möglicher Urteilsund Einsichtsfähigkeit – im Datenschutzrecht der Zustimmung seines gesetz lichen Vertreters bedarf, während in der Schweiz dem Minderjährigen de lege lata eine eigene Geschäftsfähigkeit im höchstpersönlichen Lebensbereichs zukommt. Sowohl in der Schweiz als auch in Österreich kann die Einverständniserklärung formlos abgegeben werden. Dagegen bedarf gemäß § 4a Abs. 1 S. 3 BDSG in Deutschland die Einwilligung eigentlich der Schriftform. Dieses Formerfordernis ist jedoch europarechtswidrig, da die vollharmonisierende Datenschutzrichtlinie dies nicht vorsieht und auch kein höheres Schutzniveau zulässt. Im Ergebnis bedeute dies, dass auch in Deutschland das Einverständnis mündlich oder auch in einfacher elektronischer Form abgegeben werden kann. Außerdem lässt sich festhalten, dass in allen drei Rechtsordnungen eine Erklärung durch schlüssiges Handeln sowie durch vorformulierte Geschäftsbedingungen grundsätzlich anerkannt ist. Lediglich bei der Frage, ob auch Schweigen als Einverständnis gewertet werden kann ergeben sich Unterschiede. Während dies in Deutschland und Österreich verneint wird, wollen einige Stimmen in der schweizer Literatur ausnahmsweise auch Schweigen einen Erklärungswert beimessen. Dies soll beispielsweise bei einer entsprechenden Abrede z. B. in den Allgemeinen Geschäftsbedingungen oder bei besonderen Verhältnissen der Fall sein. Abschließend zur Gestaltung der Einverständniserklärung lässt sich sagen, dass in Deutschland neben einer positiv vorformulierten, aktiv gegebenen Einverständniserklärung (Opt-in-Modell) im Rahmen des § 4a BDSG auch die negativ formulierte „Auskreuz- oder Ausstreichlösung“ (sog. Opt-out-Modell) zulässig ist. Die Begriffspaare sind nicht glücklich gewählt, da die Widerspruchslösung des § 7 Abs. 3 UWG auch als Opt-Out-Modell bezeichnet wird, aber eigentlich der übergeordneten Frage Einwilligungs- oder Widerspruchsmodell zuzuordnen ist. Dagegen wird in Österreich und der Schweiz nicht über die Opt-in/Opt-out-Problematik innerhalb der Einwilligungslösung diskutiert, sondern die Begriffspaare werden hier in einem weiteren Sinne, also zur Unterscheidung zwischen Einwilligungs- und Widerspruchslösung verwendet.
C. Inhaltliche Anforderungen an das Einverständnis
73
C. Inhaltliche Anforderungen an das Einverständnis Die Wirksamkeit des datenschutzrechtlichen Einverständnisses ist neben formalen auch an inhaltliche Voraussetzungen, namentlich die Autonomie der Erklärung (I) und die Erklärung in Kenntnis der Sachlage (II) gebunden.
I. Autonomie des Einverständnisses Wesentliches Merkmal des datenschutzrechtlichen Einverständnisses ist das der autonomen und freien Entscheidung des Betroffenen, von ihr hängt maßgeblich die materielle Zulässigkeit des Einverständnisses ab. Iraschko-Luschner bringt die Problematik auf den Punkt, wenn sie behauptet, dass die Frage, wann das Einverständnis autonom oder nicht autonom erfolge, letztlich die Frage nach den Grenzen des Einverständnisses selbst sei.237 Grundsätzlich steht es jedem einzelnen frei, seine Daten gegenüber anderen zu offenbaren, solange dieser Entschluss auf einer autonomen Entscheidung beruht. Wann eine autonome Entscheidung vorliegt ist dabei schwer zu beurteilen, insbesondere dann, wenn der Betroffene mit der datenverarbeitenden Stelle eine vertragliche Beziehung eingeht, die in engem Zusammenhang mit der Erteilung des Einverständnisses zur Datenverarbeitung und Nutzung steht. Im Folgenden sollen daher die Anforderungen, die an die Autonomie des Einverständnisses geknüpft sind (1) sowie seine Erteilung im Zusammenhang mit einer vertraglichen Beziehung (2) erörtert werden. 1. Handeln ohne Zwang als Ausgangspunkt Die Datenschutzrichtlinie definiert die Einwilligung nach Art. 2 lit. h DSRL als eine Willensbekundung, die „ohne Zwang“238 abgegeben wird. Sie verlangt einen Akt der Selbstbestimmung und nicht ein fremdgeleitetes Tun; die Einwilligung muss also ein Produkt einer freien Entscheidung sein.239 a. Die freie Entscheidung in Deutschland Der deutsche Gesetzgeber setzt dieses Erfordernis um, indem er die Wirksamkeit der Einwilligung nur dann bejaht, wenn sie auf der „freien Entscheidung“ des Betroffenen beruht.240 Das Erfordernis der Freiwilligkeit wurde zwar durch Iraschko-Luscher, DuD 2006, 706 (708). In der englischen Sprachfassung wird dieses Merkmal positiv formuliert: „freely given indication“. 239 Dammann/Simitis, EG-Datenschutzrichtlinie, Baden-Baden 1997, Art. 2 Rn. 23. 240 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 117; Begründung des Ent237
238
74
Kapitel 2: Das datenschutzrechtliche Einverständnis
die Umsetzung der Datenschutzrichtlinie explizit im BDSG verankert, war aber seit jeher als Wirksamkeitsvoraussetzung der Einwilligung anerkannt.241 Allgemein zu bestimmen, wann eine freie Entscheidung des Betroffenen vorliegt, ist kaum möglich. Klar ist, dass die Einwilligung nicht unter Zwang oder der Androhung von Gewalt abgeben sein darf. Die Artikel 29-Datenschutzgruppe242 definiert die Freiwilligkeit als Möglichkeit des Betroffenen, eine echte Wahl zu treffen, d. h. im Rahmen der Einholung der Einwilligung nicht vor vollendete Tatsachen gestellt zu werden und eine tatsächliche Möglichkeit zur Verweigerung zu haben, ohne Nachteile zu erleiden.243 An der Möglichkeit eine echte und freie Wahl zu treffen kann es nach Auffassung des Bundesgerichtshofs etwa fehlen, „wenn die Einwilligung in einer Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung erteilt wird oder wenn der Betroffene durch übermäßige Anreize finanzieller oder sonstiger Natur zur Preisgabe seiner Daten verleitet wird.“244 b. Erteilung ohne Zwang in Österreich Österreich hat dagegen die Terminologie der Richtlinie übernommen und fordert ebenfalls eine Willenserklärung, die ohne Zwang abgegeben wurde, vgl. § 4 Z. 14 DSG 2000. Ohne Zwang bedeutet auch hier in erster Linie, dass die Zustimmung nicht unter physischem oder psychischen Zwang oder gar unter Drohung bzw. Anwendung von Gewalt abgeben werden darf.245 Reimer vertritt die Ansicht, dass zwischen Freiwilligkeit und Zwangsfreiheit unterschieden werden müsse und die gewählte Formulierung in § 4 Z. 14 DSG 2000 sich lediglich auf die Freiheit von Zwang und nicht auf Freiwilligkeit beziehe.246 Während beim Merkmal der Freiwilligkeit auf die Innenansicht des Betroffenen abgestellt werde, beziehe sich das Merkmal der Zwangsfreiheit immer auf eine Außenansicht.247 Außerwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze, BT-Dr 14/4329, S. 34. 241 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 79; Schmidt, JZ 1974, 241 (247); zur älteren Rechtsprechung zur Wirksamkeit der Einwilligung vgl. Heidemann-Peuser, DuD 2002, 389 (392). 242 Die Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten (Artikel 29-Datenschutzgruppe) ist ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes und wurde aufgrund Artikel 29 der Richt linie 95/46/EG (Datenschutzrichtlinie) vom 24. Oktober 1995 eingesetzt. 243 Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 52; Artikel 29- Datenschutzgruppe, Arbeitspapier Nr. 114 vom 25.11.2005, S. 13. 244 BGHZ 177, 253 = NJW 2008, 3055 (3056) – Payback. 245 Jahnel, Datenschutzrecht, Wien 2010, S. 171. 246 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 131. 247 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 133.
C. Inhaltliche Anforderungen an das Einverständnis
75
halb des Betroffenen gelegene Motive seien aber zulässig und stellten erst Zwang dar, wenn die Einflussnahme eine bestimmte Schwelle überschreite.248 Letztendlich sei die Frage nach der Zwangsfreiheit einer abgegebenen Willenserklärung auch immer eine Frage danach, welche Nachteile die Rechtsordnung noch als erträglich erachtet.249 Jahnel, der die Willensbekundung ohne Zwang als Produkt der freien Entscheidung ansieht, schließt die Freiwilligkeit bei Bestehen eines Abhängigkeitsverhältnisses aus, will aber sonst die Anforderungen an die Entscheidungsfreiheit nicht überspannen, da seines Erachtens ansonsten eine Zustimmung in vielen Fällen von Vorneherein nicht in Betracht käme.250 c. Freiwilligkeit in der Schweiz In der Schweiz ist die Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt, vgl. Art. 4 Abs. 5 DSG. Ungültig ist auch hier die durch Täuschung, Drohung oder Zwang zustande gekommene Einwilligung.251 Der schweizerische Bundesrat geht in seiner Botschaft zur Änderung des DSG davon aus, dass die betroffene Person über mögliche negative Folgen oder Nachteile informiert sein muss, die sich aus der Verweigerung ihrer Zustimmung ergeben.252 Die alleinige Tatsache, dass eine Verweigerung einen Nachteil für den Betroffenen nach sich zieht, könne die Gültigkeit der Einwilligung grundsätzlich nicht beeinträchtigen, dies sei nur der Fall, wenn der Nachteil keinen Bezug zum Zweck der Bearbeitung hat oder diesem gegenüber unverhältnis mäßig ist.253 Unverhältnismäßig bedeute in diesem Zusammenhang in einem unangemessenen Verhältnis zum Zweck der Datenbearbeitung stehend und nicht im Sinne des Art. 4 Abs. 2 DSG.254 In der schweizerischen Literatur wird teilweise vertreten, dass eine Einwilligung nur dann freiwillig sein kann, wenn dem Betroffenen eine mit nicht unzumutbaren Nachteilen behaftete Handlungsalternative zur Verfügung steht.255 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 134. Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 134. 250 Jahnel, Datenschutzrecht, Wien 2010, S. 172; auch als „freie“ Erklärung bezeichnen die Zustimmung Dohr/Pollirer/Weiss/Knyrim, Kommentar zum Datenschutzrecht, 17. Ergänzungslieferung 2014, § 4 S. 78. 251 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 6. 252 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127). 253 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127). 254 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 95. 255 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 6. 248 249
76
Kapitel 2: Das datenschutzrechtliche Einverständnis
Die Eidgenössische Datenschutzkommission 256 qualifizierte eine Einwilligung in regelmäßige Drogentests von Lehrstellenbewerbern bei dem schweizer Unternehmen Roche als unfreiwillig und damit ungültig. In einem von den Bewerbern auszufüllenden Gesundheitsfragebogen wies Roche darauf hin, dass, wer sich um eine Lehrstelle bewerbe, Tests auf gängige weiche und harte Drogen zu verschiedenen Zeitpunkten akzeptiere. Ebenso wurde auf die Konsequenzen positiver Tests – auf harte und weiche Drogen – hingewiesen.257 Die Kommission entschied, dass die Auszubildenden sich sehr wohl darüber bewusst seien, dass ein Ablehnen eines solchen Tests als Verstoß gegen die vertraglich getroffene Vereinbarung angesehen und wohl auch entsprechende Konsequenzen nach sich ziehen würde.258 „Die jeweils abzugebende Einwilligung ist somit nicht als wirklich freiwillig zu betrachten und genügt deshalb nicht als Rechtfertigungsgrund für die Durchführung der Tests und die damit verbundenen Datenerhebungen sowie die daraus resultierende Verletzung der Persönlichkeit.“259 2. Erteilung des Einverständnisses im Zusammenhang mit einer vertraglichen Beziehung Wie bereits angedeutet, versuchen viele private, datenverarbeitende Stellen an personenbezogene Daten zu gelangen, indem sie den Vertragsschluss mit der Erteilung des Einverständnisses verbinden. So wollen beispielweise Banken vor dem Vertragsschluss Informationen zur Bonität ihrer Kunden einholen und Betreiber von Kundenbindungs- und Rabattsystemen sowie von sozialen Netzwerken die Mitgliedschaft mit der Erlaubnis zur Verarbeitung und Nutzung beispielsweise zu Werbezwecken oder gar zur Übermittlung von personenbezogenen Daten an Dritte koppeln.260 Dies ist vor allem dann problematisch, wenn die Betroffenen nur dann in Genuss der Leistung kommen, wenn sie ihr Einverständnis in die Datenverarbeitung und Nutzung erteilen. a. Das deutsche Koppelungsverbot Das BDSG versucht bereits mit seinen formalen Anforderungen an die Einwilligung und der Informationspflicht der verantwortlichen Stelle261, den Betroffenen ausreichenden Handlungsspielraum für die Erteilung oder Verweigerung 256
EDSK, Urteil vom 29.08.2003, VPB 68.68. EDSK, Urteil vom 29.08.2003, VPB 68.68, E. 3b cc. 258 EDSK, Urteil vom 29.08.2003, VPB 68.68, E. 3b cc. 259 EDSK, Urteil vom 29.08.2003, VPB 68.68, E. 3b cc. 260 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 80 f. 261 Vgl. hierzu unten Kapitel 2, C, II. 257
C. Inhaltliche Anforderungen an das Einverständnis
77
der Einwilligung einzuräumen.262 Um eine freie Entscheidung des Betroffenen auch in den Fällen der Verknüpfung der Einwilligung mit einem privatrechtlichen Vertrag zu gewährleisten, hat der Gesetzgeber zusätzlich ein sog. Koppelungsverbot im BDSG und in verschiedenen bereichsspezifischen Gesetzen verankert. So darf beispielsweise im Bereich des Telekommunikationsrechts, vgl. § 95 Abs. 5 TKG263 und der Werbung bzw. des Adresshandels, vgl. § 28 Abs. 3b S. 1 BDSG264, der Abschluss des Vertrages nicht von der Einwilligung abhängig gemacht werden, wenn dem Betroffenen ein anderer Zugang zu einer gleichwertigen vertraglichen Leistung ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Damit hat sich der Gesetzgeber an die bereichsspezifischen Regelungen des § 12 Abs. 3 TMG a. F. sowie an § 95 Abs. 5 TKG a. F. angelehnt, diese jedoch um die Merkmale „ohne Einwilligung“ und „gleichwertigen Leistung“ ergänzt.265 Entscheidend ist nunmehr, ob sich auf dem Markt ein alternativer Zugang zur gewünschten Leistung finden lässt und ob dieser alternative Zugang „ohne die Einwilligung“ möglich ist.266 Dies wäre dann nicht der Fall, wenn die Leistung insgesamt auf dem Markt nicht mehr verfügbar, oder jedenfalls nicht ohne die Erteilung der Einwilligung zugänglich ist.267 Eine unzulässige Koppelung soll also bereits dann vorliegen, wenn zwar die einzelnen marktbeteiligten Unternehmen für sich genommen keine marktbeherrschende Stellung besitzen, der Markt aber so ausgestaltet ist, dass der Betroffene den Zugang zu einer gleich-
Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, § 4a Rn. 63. § 95 Abs. 5 TKG lautet: „Die Erbringung von Telekommunikationsdiensten darf nicht von einer Einwilligung des Teilnehmers in eine Verwendung seiner Daten für andere Zwecke abhängig gemacht werden, wenn dem Teilnehmer ein anderer Zugang zu diesen Telekommunikationsdiensten ohne die Einwilligung nicht oder in nicht zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam.“ 264 § 28 Abs. 3b S. 1 und BDSG lauten: „Die verantwortliche Stelle darf den Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach Absatz 3 Satz 1 abhängig machen, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Eine unter solchen Umständen erteilte Einwilligung ist unwirksam.“ 265 In der alten Fassung wurde von der Rechtsprechung auf eine marktbeherrschende Stellung der verarbeitenden Stelle abgestellt, vgl. OLG Brandenburg, 7 U 52/05 (nicht rechtskräftig) = MMR 2006, 405 (407). In diesem Fall wurde bei einem Marktanteil von 73 % noch keine Monopolstellung angenommen. Da sich in der Privatwirtschaft nur selten Unternehmen mit einem höheren Marktanteil finden, war eine Koppelung fast immer zulässig und die normierten Koppelungsverbote liefen ins Leere. Ausführlich auch zur alten Rechtslage: Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 82 ff. 266 Eckhardt, CR 2009, 337 (341). 267 Eckhardt, CR 2009, 337 (341). 262
263
78
Kapitel 2: Das datenschutzrechtliche Einverständnis
wertigen vertraglichen Leistung nur gegen Einwilligung erhalten kann.268 Bestehen also alle Anbieter einer bestimmten Leistung auf eine Einwilligung ihrer Kunden, würde eine unzulässige Koppelung vorliegen, denn eine gleichwertige Leistung wäre ohne Einwilligung nicht zu erlangen. Gleichwertig bedeutet in diesem Zusammenhang nicht identisch, es genügt, wenn die Leistung in ihrem Kern gleich ist.269 Dies erscheint vor allem bei Anbietern von Social Media Diensten problematisch, da sich zwar datenschutzfreundliche Alternativen 270 zu Anbietern wie Facebook und Google+ finden, aber der Nutzen für den einzelnen Betroffenen erheblich eingeschränkt ist, wenn sich alle „Bekannten und Freunde“ in anderen Netzwerken aufhalten. Also trotz einer bestehenden Substituierbarkeit können Leistungen oder Dienste des dominierenden Anbieters Besonderheiten aufweisen, die sie von anderen Anbietern auf dem Markt unterscheiden, so dass es unzumutbar erscheint, den Betroffenen auf einen anderen Anbieter zu verweisen.271 Dazu kommt, dass bei einem Vertrag „Daten gegen Leistung“ die Koppelung gerade das entscheidende Moment darstellt.272 Ein Verstoß gegen das Koppelungsverbot führt jedoch zur Unwirksamkeit der Einwilligung mit ex tunc Wirkung, vgl. § 28 Abs. 3b S. 2 BDSG und § 95 Abs. 5 S. 2 TKG, und stellt außerdem eine Ordnungswidrigkeit nach § 43 Abs. 3 S. 1 BDSG dar. Wie sich dieser Konflikt gerade für Verträge solcher Art auflösen lässt ist weitgehend ungeklärt und soll später nochmal beleuchtet werden.273 Strittig ist, ob sich aus § 4a BDSG ein weitgehendes, allgemeines Koppelungsverbot ableiten lässt. Dies wird teilweise mit Verweis auf das Merkmal der „freien Entscheidung“ bejaht.274 Auch der Bundesrat hatte im Gesetzgebungsverfahren ein umfassendes Koppelungsverbot gefordert.275 Das Verbot, den Abschluss eines Vertrags von der Einwilligung des Betroffenen abhängig zu machen, solle ohne Einschränkung auf alle Unternehmen ausgedehnt werden.276 Auf diese Weise würde die Freiwilligkeit der Einwilligung nach § 28 Abs. 3 S. 1 BDSG über § 4a Abs. 1 S. 1 BDSG hinaus abgesichert, indem jeder Versuch, die gesetzlich nicht legitimierte Datenverarbeitung mit der Drohung, den Vertrag Grentzenberg/Schreibauer/Schuppert, K&R 2009, 368 (371). Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 86; Eckhardt, DuD 2009, 587 (592). 270 Beispielsweise verknüpft das Netzwerk Diaspora seine Leistung nicht mit der Erteilung der datenschutzrechtlichen Einwilligung. 271 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 120. 272 Vgl. hierzu Kapitel 4, B, V. 273 Vgl. hierzu Kapitel 3, B, IV, 1. 274 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, § 4a Rn. 63. 275 BR-Drs. 4/09, S. 13 ff. 276 BR-Drs. 4/09, S. 14. 268 269
C. Inhaltliche Anforderungen an das Einverständnis
79
anderenfalls nicht abzuschließen zu erzwingen, zur Unwirksamkeit der Einwilligung führe.277 Die Bundesregierung hat dem entgegengehalten, dass ein solches Koppelungsverbot die Vertragsfreiheit zu sehr einschränke.278 Von den Gegnern eines allgemeinen Koppelungsverbots wird außerdem ins Feld geführt, dass der Gesetzgeber einen Spezialfall ausdrücklich geregelt habe und damit systematisch darauf geschlossen werden könne, dass das Verbot an einer anderen Stelle des Gesetzes nicht gelten solle.279 b. Verbotene Koppelungen in Österreich Der Begriff des Koppelungsverbots ist in der österreichischen Rechtsordnung nicht verbreitet, er stammt ursprünglich aus der deutschen Literatur. Dennoch sind einige datenschutzrechtliche Koppelungsverbote auch in österreichischen Gesetzen zu finden. So regelt § 31a Allgemeines Sozialversicherungsgesetz (ASVG) beispielsweise die Grundlagen des elektronischen Verwaltungssystems (ELSY), wonach gem. Abs. 4a „die Verwendung von Bestandteilen des ELSY durch Speichern und Auslesen von Daten der e-card zu Zwecken nach Abs. 4 Z. 3 und 4 […] jeweils nur auf ausdrückliches Verlangen des Karteninhabers/der Karteninhaberin erfolgen“ darf. „Es ist verboten, einen Anspruch des Karteninhabers/der Karteninhaberin von der Verwendung von Bestandteilen des ELSY zu Zwecken nach Abs. 4 Z. 3 und 4 abhängig zu machen oder inhaltlich zu beeinflussen.“280 Das ASVG enthält an dieser Stelle ein Verbot der Koppelung von Ansprüchen an das Auslesen lassen der e-card. Ein weiteres Koppelungsverbot ist in § 96 Abs. 2 Telekommunikationsgesetz 2003 (TKG 2003) normiert, wonach die Bereitstellung von Kommunikationsdiensten nicht von der Zustimmung zur Verwendung von Benutzerdaten für Vermarktungszwecke abhängig gemacht werden darf.281 „Die Übermittlung von im Abs. 1 genannten Daten […] darf nur erfolgen, soweit das für die Erbringung jenes Kommunikationsdienstes, für den diese Daten ermittelt und verarbeitet worden sind, durch den Betreiber erforderlich ist. Die Verwendung der Daten zum Zweck der Vermarktung von Kommunikationsdiensten oder der Bereitstellung von Diensten mit Zusatznutzen sowie sonstige Übermittlungen dürfen nur auf Grund einer jederzeit widerrufbaren Zustimmung der Betroffenen erfolgen. Diese Verwendung ist auf das erforderliche Maß und den zur Vermarktung erforderlichen Zeitraum zu beschränken. Die Anbieter dürfen die 277
BR-Drs. 4/09, S. 14. BT-Drs. 16/12011, S. 33. 279 Pauly/Ritzer, WM 2010, 8 (14). 280 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 164. 281 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 164. 278
80
Kapitel 2: Das datenschutzrechtliche Einverständnis
Bereitstellung ihrer Dienste nicht von einer solchen Zustimmung abhängig machen“. Weitere spezielle Koppelungsverbote finden sich noch in § 29 Abs. 4 E-Government-Gesetz oder im Gesundheitsbereich, vgl. § 15 Patientenverfügungs-Gesetz oder § 39 Abs. 1 Arzneimittelgesetz.282 Die Existenz eines umfassenden, allgemeinen Koppelungsverbots wird im Gegensatz zu Deutschland in der österreichischen Literatur nur sehr wenig thematisiert. Gegen die Annahme eines solchen (allgemeinen) Koppelungsverbots spricht nach Ansicht von Reimer vor allem die Einschränkung der Privatautonomie des Auftraggebers.283 Durch ein generelles Koppelungsverbot würde die Vertragsfreiheit zu sehr eingeschränkt werden, weil der datenschutzrechtliche Auftraggeber gewisse Bedingungen in seinem Vertrag nicht stellen dürfte.284 Es würde daher faktisch ein Kontrahierungszwang normiert, der eigentlich nur als Ausnahme vom Prinzip der Abschlussfreiheit nur in den vom Gesetz geregelten Fällen besteht.285 Dagegen hält die Datenschutzkommission in einer Entscheidung286 die Verbindung des Vertragsschlusses mit der datenschutzrechtlichen Zustimmung für unvereinbar mit dem Merkmal der Freiwilligkeit. In diesem Fall holte ein österreichisches Unternehmen in seinen Allgemeinen Geschäfts bedingungen für ein Produkt, veröffentlicht auf deren Website, Zustimmungen von den Kunden für die Verwendung ihrer Daten für Gewinnspiele und Spendenaktionen ein. Der Beschwerdeführer sah sich dadurch in seinem Recht auf Geheimhaltung verletzt, dass er durch die Einbindung dieser Zustimmungserklärung in die AGB den dort genannten Datenverwendungen zustimmen muss. Eine von den AGB getrennte Annahme dieser Zustimmungserklärung im Internet war nicht möglich, da zum Abschluss der Bestellung folgende Klausel durch eine Tickbox angenommen werden musste: „Ich bestätige hiermit, den Inhalt der AGB und insbesondere die in deren Punkt 6 enthaltene Zustimmung zur Verarbeitung und Übermittlung meiner Daten zur Kenntnis genommen zu haben, und erkläre mich damit einverstanden.“287
Der Abschluss des Vertrages ohne Abgabe der Zustimmungserklärung war nicht möglich. Im Kontroll- und Ombudsmannverfahren hatte die Datenschutzkommission daher darüber zu befinden, ob sich das belangte österreichische Unternehmen als Auftraggeber für die Zulässigkeit der in Klausel 6 der AGB genannten Datenverwendungen auf eine ausdrückliche datenschutzrechtliche Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 165. Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 164. 284 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 164. 285 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 164. 286 DSK vom 13.07.2012, GZ K212.766/0010-DSK/201 = ZIR 2013, 16 ff. mit Anmerkungen von Thiele. 287 DSK vom 13.07.2012, GZ K212.766/0010-DSK/201. 282 283
C. Inhaltliche Anforderungen an das Einverständnis
81
Zustimmung i. S. d. § 4 Z. 14 DSG 2000, § 7 Abs. 1 i. V. m. § 8 Abs. 1 Z. 2 DSG 2000 stützen konnte. Dies wurde von der Kommission verneint. Im konkreten Fall wäre es für den Kunden nicht möglich gewesen, den angestrebten Vertrag abzuschließen, ohne gleichzeitig die enthaltene Zustimmungserklärung nicht abzugeben.288 Dieser Umstand sei mit dem Erfordernis der Freiwilligkeit i. S. d. § 4 Z. 14 DSG 2000 und § 8 Abs. 1 Z. 2 DSG 2000 unvereinbar.289 Dass dem Kunden die Möglichkeit eingeräumt wurde, die von ihm zunächst abgegebene Zustimmungserklärung jederzeit zu widerrufen, könne an der Unwirksamkeit nichts ändern, da die Erklärung vorher freiwillig abgegeben worden sein müsse.290 Die gewählte Gestaltung der AGB führe daher zu dem Ergebnis, dass auch jene Kunden, die nie bereit wären, eine derartige Zustimmung zu erteilen, aber dennoch den Vertrag abschließen wollten, eine entsprechende Zustimmungserklärung zunächst abgeben müssten, um sie erst in weiterer Folge widerrufen zu können. Dieses Ergebnis wäre mit der – streng zu beurteilenden – Freiwilligkeit datenschutzrechtlicher Zustimmungserklärungen nicht zu vereinbaren.291 c. Abhängigkeitsverhältnisse in der Schweiz Auch die schweizer Rechtsordnung kennt den Begriff des Koppelungsverbotes nicht. Dennoch wird die Problematik eines Abhängigkeitsverhältnisses des Betroffenen von der datenverarbeitenden Stelle bzw. das Machtgefälle beim Abschluss von Verträgen in der Literatur diskutiert.292 Genannt werden in erster Linie die Einschränkung der Entscheidungsfreiheit durch faktische oder rechtliche Abhängigkeiten, wie beispielsweise die des Arbeitnehmers vom Arbeit geber im Rahmen eines Arbeitsverhältnisses,293 aber auch die Unterlegenheit des Kunden gegenüber dem Unternehmer.294 Kunden seien oft gezwungen, Vorgaben zu akzeptieren, die ihnen vom Vertragspartner gemacht werden. Diese Vorgaben können auch die Abgabe einer Einwilligung in eine Persönlichkeits288
DSK vom 13.07.2012, GZ K212.766/0010-DSK/201. DSK vom 13.07.2012, GZ K212.766/0010-DSK/201. 290 DSK vom 13.07.2012, GZ K212.766/0010-DSK/201. 291 DSK vom 13.07.2012, GZ K212.766/0010-DSK/201. 292 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 260; Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 375. 293 Im Arbeitsrecht wurde daher bzgl. der Einwilligung in die Datenbearbeitung eine Einwilligungsschranke gesetzlich normiert. Gem. Art. 328b OR darf der Arbeitgeber Personendaten über den Arbeitnehmer nur bearbeiten, soweit sie einen Bezug zur Durchführung des Arbeitsvertrages aufweisen. Eine darüber hinausgehende Einwilligung ist ungültig. Vgl. dazu ausführlich Rehbinder, Schweizerisches Arbeitsrecht, 15. Aufl. 2002, S. 115 ff. 294 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 259 f. 289
82
Kapitel 2: Das datenschutzrechtliche Einverständnis
rechtsverletzung umfassen, so beispielsweise, wenn der Unternehmer den Vertragsabschluss an die Abgabe einer Einwilligung in die Datenverarbeitung knüpft.295 Schmid vertritt die Auffassung, dass die regelrechte Drohung, einen Vertrag nicht abzuschließen, falls der Betroffene seine Einwilligung verweigert, als „besonders aggressive Verkaufsmethode“ gem. Art. 3 lit. h S-UWG unlauter sein kann.296 In jedem Fall ungültig wäre eine solche Einwilligung mangels Freiwilligkeit dann, wenn es um einen persönlich oder wirtschaftlich existenziell wichtigen Vertrag gehe.297 Als Beispiel führt Schmid einen Behandlungsvertrag oder einen wichtigen Versicherungsvertrag an.298 Ebenso müsse die Freiwilligkeit verneint werden, wenn der Betroffene keine Möglichkeit hat auf einen anderen Vertragspartner auszuweichen.299 Dagegen geht der Bundesrat davon aus, dass die alleinige Tatsache, eine Verweigerung der Einwilligung könne einen Nachteil für den Betroffenen nach sich ziehen, die Gültigkeit der Einwilligung nicht zu beeinträchtigen vermag.300 So gebe eine Person, die einem Kreditinstitut das Einverständnis zur Überprüfung ihrer Kreditwürdigkeit erteile, um eine Kreditkarte zu erhalten, ihre Einwilligung freiwillig, obwohl sie wisse, dass sie ohne ihre Einwilligung keine Karte erhalten hätte.301 Freiwillig handle auch eine Person, die an einem Preisausschreiben teilnimmt und dabei in die Nutzung ihrer Daten zu Werbezwecken einwilligt, weil sie ansonsten nicht teilnehmen könnte.302 Ebenso freiwillig sei die Entscheidung eines Bankkunden, der vor die Wahl gestellt werde, seiner Bank die Übermittlung seiner Personendaten im Zusammenhang mit einer Auslagerung von Geschäftsbereichen ins Ausland zu erlauben oder aber die Bankbeziehungen innerhalb einer bestimmten Frist abzubrechen.303 295 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 261. 296 Schmid, KMU und Datenschutz, in: Girsberger/Schmid, Rechtsfragen rund um die KMU, Zürich 2003, S. 164 f. 297 Schmid, KMU und Datenschutz, in: Girsberger/Schmid, Rechtsfragen rund um die KMU, Zürich 2003, S. 164 f. 298 Schmid, KMU und Datenschutz, in: Girsberger/Schmid, Rechtsfragen rund um die KMU, Zürich 2003, S. 164 f. 299 Schmid, KMU und Datenschutz, in: Girsberger/Schmid, Rechtsfragen rund um die KMU, Zürich 2003, S. 164 f. 300 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127), zustimmend Baeriswyl, Datenschutzgesetz, Bern 2015, Art. 4 Rn. 66. 301 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127); Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 97. 302 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 97. 303 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 97.
C. Inhaltliche Anforderungen an das Einverständnis
83
d. Das neue Koppelungsverbot in Art. 7 Abs. 4 DS-GVO Sozusagen in „letzter Minute“ wurde das Koppelungsverbot in die Endfassung der Datenschutzgrundverordnung aufgenommen. Eine entsprechende Regelung in der Datenschutzrichtlinie gibt es nicht. Art. 7 Abs. 4 DS-GVO sieht vor, dass bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, dem Umstand, ob unter anderem die Erfüllung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig gemacht wird, die für die Erfüllung des Vertrages nicht erforderlich ist, in größtmöglichen Umfang Rechnung getragen werden muss. Was unter der Formulierung „in größtmöglichen Umfang Rechnung getragen“ genau zu verstehen ist, bleibt jedoch unklar. Etwas stärker präzisiert wird die Regelung durch den Erwägungsgrund Nr. 43 der Datenschutzgrundverordnung. Die Einwilligung sei insbesondere dann nicht freiwillig erteilt – und damit keine gültige Rechtsgrundlage – wenn ein Ungleichgewicht zwischen dem von der Datenverarbeitung Betroffenem und der verarbeitenden Stelle bestehe. Zudem soll sie auch dann als nicht freiwillig angesehen werden, wenn in verschiedene Zwecke der Datenverarbeitung nicht einzeln eingewilligt werden könne, obwohl dies im Einzelfall angebracht wäre. Schließlich solle dies auch dann der Fall sein, wenn die Durchführung eines Vertrages davon abhängig gemacht werde, obwohl die Datenverarbeitung für diese Durchführung nicht erforderlich sei.304 Für letztere Formulierung stellt sich insbesondere die Frage, wie dies im Verhältnis zu Art. 6 Abs. 1 lit. b DS-GVO zu verstehen ist. Danach dürfen Daten auch ohne eine Einwilligung verarbeitet werden, wenn die Daten für die Durchführung eines Vertrages erforderlich sind.305 Nicht auszuschließen ist außerdem, dass Unternehmen künftig versuchen werden, vermehrt auf andere Rechtsgrundlagen, wie beispielsweise das berechtigte Interesse in Art. 6 Abs. 1 lit. f DS-GVO, zurückzugreifen.
II. Erklärung in Kenntnis der Sachlage Die Richtlinie sieht in Art. 2 lit. h DSRL vor, dass der Betroffene in Kenntnis der Sachlage seine Einwilligung erteilen muss. Nur ein Betroffener, der über alle entscheidungsrelevanten Informationen verfügt, kann Risiken und Vorteile der Einwilligung abwägen und entscheiden.306 Ergänzend zu dieser Informa 304 Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Daten verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 27.04.2016, EG Nr. 43. 305 Vgl. dazu noch Kapitel 3, A, II. 306 Ehmann/Helfrich, EG Datenschutzrichtlinie 1999, Art. 2 Rn. 69; Kühling, in: Wolff/ Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 43.
84
Kapitel 2: Das datenschutzrechtliche Einverständnis
tionspflicht enthält Art. 2 lit. h DSRL ein Bestimmtheitsgebot für die Einwilligung. Die Richtlinie sieht keine abstrakt-generelle Einwilligung vor; sie kann nur für den konkreten Fall abgegeben werden.307 Dies sei nur dann der Fall, wenn sie sich auf eine konkrete Verarbeitung bezieht, ein Verantwortlicher benannt und die Zwecke der Verarbeitung bestimmt sind.308 Das Bundesdatenschutzgesetz sieht daher in § 4a Abs. 1 S. 2 BDSG vor, dass die verantwortliche Stelle den Betroffenen rechtzeitig und umfassend über den Zweck der Erhebung, Verarbeitung oder Nutzung seiner Daten, sowie über die Folge der Verweigerung der Einwilligung zu unterrichten hat. Um dem Betroffenen eine echte Wahrnehmung seines Rechts auf informationelle Selbstbestimmung zu ermöglichen, muss diese Informationspflicht alle entscheidungsrele vanten Angaben umfassen.309 Hierzu zählen vor allem die korrekte Angabe des Namens und der Anschrift der datenverarbeitenden Stelle, eine geplante Übermittlung der Daten an Dritte, den Umfang der Speicherung und den konkreten Zweck der spezifischen Verarbeitung.310 Außerdem geht das BDSG in Übereinstimmung mit der Datenschutzrichtlinie davon aus, dass der Betroffene nur dann in der Lage ist die Bedeutung und den Inhalt der Einwilligung zu verstehen, wenn die Erklärung hinreichend konkret abgefasst ist. Pauschal gehaltene Einwilligungserklärungen und Blankoeinwilligungen sind unwirksam.311 In der Rechtsprechung wurden Formulierungen wie „Übermittlung personenbezogener Daten an verbundene und befreundete Unternehmen sowie geeignete Partner“312 oder die „Weitergabe der Daten des Kreditnehmers über die Abwicklung des Kredits“313 für zu unbestimmt und damit die Einwilligung für unwirksam erklärt.314 Das erforderliche Maß an Bestimmtheit lässt sich nur im Zusammenhang mit der konkreten Verwendungssituation ausmachen.315 Die Anforderungen sind umso höher, je mehr die Persönlichkeitsrechte des Betroffenen berührt werden.316 Ehmann/Helfrich, EG Datenschutzrichtlinie 1999, Art. 2 Rn. 71. Ehmann/Helfrich, EG Datenschutzrichtlinie 1999, Art. 2 Rn. 71. 309 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 696. 310 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 696; Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung (Stand: April 2013), § 4a Rn. 81. 311 Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 44 m. w. N. 312 OLG Hamburg, NJW-RR 2009, 1705 (1707). 313 BGHZ 95, 362 (367 f.) – Schufa-Entscheidung. 314 Näher hierzu vgl. Kapitel 5, B, II. 315 Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 45. 316 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 697. 307
308
C. Inhaltliche Anforderungen an das Einverständnis
85
In Österreich hat sich der Gesetzgeber wieder genau am Wortlaut der Richtlinie orientiert. Der Betroffene muss gem. § 4 Z. 14 DSG 2000 in Kenntnis der Sachlage für den konkreten Fall zustimmen. Der Betroffene soll die Möglichkeit haben, Gefahren und Vorteile der Verarbeitung ihn betreffender Daten zu beurteilen.317 Außerdem müssen Zustimmungserklärungen ausreichend bestimmt sein, um Rechtsgrundlage für zulässige Datenverwendungen sein zu können.318 Wesentlich ist der Bezug der Zustimmung auf einen konkreten Verwendungsfall.319 Dem Betroffenen müssen Zweck, Auftraggeber und Umfang der Datenverwendung klar sein.320 Auch zukünftige Verwendungen müssen konkretisierbar sein.321 Eine unrichtige oder unvollständige Information des Betroffenen durch den Auftraggeber macht die Einwilligung unwirksam.322 Wie genau Zustimmungserklärungen formuliert sein müssen, hat der Oberste Gerichtshof in seiner Rechtsprechung herausgearbeitet. In seinem Urteil Friends of Merkur323 hat der Oberste Gerichtshof, folgende Zustimmungserklärung aufgrund der mangelnden Angabe der konkreten Übermittlungsempfänger als zu unbestimmt abgelehnt: „Ich bin ausdrücklich damit einverstanden, daß man meine oben genannten persönlichen Daten EDV-unterstützt bearbeitet und zum Zwecke der Konsumenteninformation, sowie allfälliger Werbemaßnahmen an andere Unternehmen des B*****-Konzerns weitergegeben werden“.324
In einer weiteren Entscheidung325 hat der OGH diese Rechtsprechung auch bestätigt.326 Er führt aus, dass „eine wirksame Zustimmung nur dann vorliegen kann, wenn der Betroffene weiß, welche seiner Daten zu welchem Zweck verwendet werden sollen. Es müsse sowohl die genaue Bezeichnung der Einrichtung, die die Daten verwenden soll, wie auch deren Aufgaben bekannt sein; der Kunde dürfe nicht über die Aufgaben dieser Einrichtung und damit darüber im Unklaren gelassen werden, von wem und zu welchem Zweck auf die Daten zurückgegriffen werde“.327 Seidl, Data-Mining und Datenschutz, Wien 2003, S. 40. Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 150. 319 Seidl, Data-Mining und Datenschutz, Wien 2003, S. 17. 320 Seidl, Data-Mining und Datenschutz, Wien 2003, S. 17. 321 Duschanek/Rosenmayr-Klemenz, Datenschutzgesetz 2000 (2000), § 4 Rn. 10.6. 322 Seidl, Data-Mining und Datenschutz, Wien 2003, S. 17. 323 OGH, 7 Ob 170/98w – Friends of Merkur. 324 Diese Klausel widerspreche – so der OGH – vor allem § 6 Abs. 3 KSchG, weil nicht bestimmbar sei, welche Unternehmen derzeit und künftig dem B*****-Konzern (allenfalls auch im Ausland) zugehörig sind bzw. sein werden. 325 OGH, 6 Ob 275/05t. 326 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 150 f. 327 OGH, 6 Ob 275/05t. 317
318
86
Kapitel 2: Das datenschutzrechtliche Einverständnis
Auch im schweizer Recht hat die Einwilligung nach h. M. nach einer umfassenden und rechtzeitigen Information zu erfolgen.328 Sie soll den Umfang, die Form und den Zweck der Datenverarbeitung, die mögliche Verknüpfungen mit anderen Datenbeständen, die Dauer der Aufbewahrung sowie die potenziellen Empfänger der Daten enthalten, damit der Betroffene die Konsequenzen der Erteilung abschätzen kann.329 Damit die Einwilligung gültig ist, muss der Betroffene zumindest in groben Zügen wissen, welche Art von Daten von wem oder welcher Art von Bearbeitern in welchem Umfang zu welchem Zweck bearbeitet werden.330 Gemäß der Botschaft muss der Betroffene über mögliche negative Folgen informiert werden, die sich aus der Verweigerung der Einwilligung ergeben können.331 Rosenthal dagegen vertritt die Auffassung, dass sich eine entsprechende Aufklärungspflicht nur aus einem Vertrag oder einem besonderen Vertrauensverhältnis ergeben kann, jedoch mit der Wirksamkeit der datenschutzrechtlichen Einwilligung nichts zu tun habe.332
III. Ergebnis zu den inhaltlichen Anforderungen an das Einverständnis Während Österreich mit dem Erfordernis der Zwangsfreiheit die Terminologie der Datenschutzrichtlinie übernommen hat, fordern die deutsche und schweizer Rechtsordnung eine freie bzw. freiwillige Entscheidung des Betroffenen. Reimer hat bereits für die österreichische Rechtsordnung die These aufgestellt, dass zwischen der Freiheit von Zwang und Freiwilligkeit unterschieden werden müsse. Diese Frage stellt sich nun in doppelter Hinsicht, zum einen im Rahmen des Vergleichs mit der deutschen und schweizer Rechtsordnung, zum anderen bei der Frage der Vereinbarkeit mit europäischem Recht. Rein sprachlich betrachtet, scheint die freie Entscheidung bzw. Freiwilligkeit ein höheres Maß an Autonomie vorauszusetzen als die Zwangsfreiheit. Insgesamt lässt sich aber nicht feststellen, dass das deutsche Bundesdatenschutzgesetz und das schweizer DSG ein höheres Schutzniveau gewährleisten als das österreichische DSG 2000 oder wie es die Richtlinie vorsieht. In allen drei Rechtsordnungen sind in erster Linie Einverständniserklärungen unwirksam, die unter physischem oder psy328 EDSK, Urteil vom 29.08.2003, VPB 68.68, E. 3b cc; Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 91; Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 4; Berger Kurzen, E-Health und Datenschutz, Genf 2004, S. 60. 329 Baeriswyl, Datenschutzgesetz, Bern 2015, Art. 4 Rn. 60; Berger Kurzen, E-Health und Datenschutz, Genf 2004, S. 61. 330 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 4. 331 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127). 332 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 96.
C. Inhaltliche Anforderungen an das Einverständnis
87
chischen Zwang, Drohung bzw. Anwendung von Gewalt abgeben werden. Des Weiteren geht es sowohl in Deutschland als auch in Österreich darum, dem Betroffenen die Möglichkeit zur Verweigerung des Einverständnisses zu gewähren, ohne dass dieser (unzumutbare) Nachteile erleidet. Regelungsunterschiede ergeben sich jedoch – unabhängig von der Terminologie – bei Einverständniserklärungen, die in Zusammenhang mit einem Vertrag abgegeben werden. Während in Deutschland und Österreich verschiedene Koppelungsverbote normiert sind, kennt die Schweiz solche Verbote nicht. Dennoch wird die Problematik eines Abhängigkeitsverhältnisses des Betroffenen von der datenverarbeitenden Stelle bzw. das Machtgefälle beim Abschluss von Verträgen in der schweizer Literatur diskutiert. Die Einwilligung sei mangels Freiwilligkeit dann ungültig, wenn es um einen persönlich oder wirtschaftlich wichtigen Vertrag gehe oder der Betroffene keine Möglichkeit habe auf einen anderen Vertragspartner auszuweichen. Teilweise wird die Drohung, einen Vertrag nicht abzuschließen, falls der Betroffene seine Einwilligung verweigert auch als unlauter eingestuft. Sowohl Deutschland als Österreich regeln das Verbot der Koppelung des Abschlusses von Verträgen im Telekommunikationsbereich mit der Erteilung des datenschutzrechtlichen Einverständnisses. Das deutsche Bundesdatenschutzgesetz verfügt mit § 28 Abs. 3b BDSG jedoch noch über ein weiteres normiertes datenschutzrechtliches Koppelungsverbot im Bereich der Werbung und des Adresshandels. Die Existenz eines – über die normierten Fälle hinausgehenden – allgemeinen Koppelungsverbots wird sowohl von der deutschen als auch von der österreichischen Literatur mehrheitlich abgelehnt. Die österreichische Datenschutzkommission hatte aber in einer Entscheidung bereits einmal entschieden, dass es an der Freiwilligkeit fehle, wenn der Abschluss des Vertrages ohne Abgabe der Zustimmungserklärung nicht möglich war. In der Praxis dürfte es regelmäßig schwierig abzugrenzen sein, ob das datenschutzrechtliche Einverständnis tatsächlich auf einer autonomen Entscheidung basiert oder ob gewisse äußere Einflüsse die Freiwilligkeit beeinträchtigt haben.333 Es ist nicht möglich eine abstrakte oder generelle Grenze zu ziehen, es muss vielmehr immer der Einzelfall betrachtet werden. In allen drei Rechtsordnungen muss die Einwilligung nach vorheriger Information des Betroffenen in Kenntnis der Sachlage erfolgen. Er ist über den genauen Zweck des Datenumgangs sowie über die Folge der Verweigerung des Einverständnisses zu unterrichten. Pauschal oder blanko abgegebene Erklärungen werden nicht anerkannt. 333 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 260.
88
Kapitel 2: Das datenschutzrechtliche Einverständnis
D. Einverständnis bei besonderen Kategorien von Daten Aufgrund des besonderen Risikos der Benachteiligung und Diskriminierung des Betroffenen, das bestimmten Daten anlastet, sieht die Datenschutzrichtlinie vor, dass bestimmte Daten nur unter erschwerten Bedingungen zugänglich sein sollen. Nach Art. 8 Abs. 1 DSRL sind dies Daten, aus denen rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie Daten über die Gesundheit oder das Sexualleben des Betroffenen (sog. besondere Kategorien personenbezogener Daten). Eine Verarbeitung soll gem. Art. 8 Abs. 2 lit. a DSRL ausnahmsweise möglich sein, wenn die betroffene Person ausdrücklich eingewilligt hat. Der deutsche Gesetzgeber setzt dieses Erfordernis in § 4a Abs. 3 BDSG um, indem er anordnet, dass soweit besondere Arten personenbezogener Daten334 erhoben, verarbeitet oder genutzt werden, sich die Einwilligung – über die Voraussetzungen der Abs. 1 und 2 hinaus – ausdrücklich auf diese Daten beziehen müssen. Die angeordnete Ausdrücklichkeit schließt eine konkludente Einwilligung aus.335 Außerdem sind auch erhöhte Anforderungen an den Inhalt und die Information des Betroffenen zu stellen.336 Die Erklärung muss einen erhöhten Grad an Genauigkeit aufweisen.337 In Präzision der bereits erläuterten inhaltlichen Wirksamkeitsvoraussetzungen sind die zu verwendeten Daten genau zu benennen und der konkrete Verwendungszusammenhang aufzuzeigen, d. h. der Betroffenen muss ganz genau erkennen können, welche Daten für welchen genau umschriebenen Verwendungszweck in welchem Kontext erhoben, verarbeitet und genutzt werden.338 In Österreich dürfen gem. § 7 Abs. 1 DSG 2000 Daten nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen. Solche Geheimhaltungsinteressen werden bei der Verwendung 334 Besondere Arten personenbezogener Daten sind gem. § 3 Nr. 9 BDSG Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder das Sexualleben. 335 Simitis, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4a Rn. 94. 336 Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 55. 337 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 699. 338 Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 56.
E. Beseitigung des Einverständnisses
89
sensibler Daten339 insbesondere dann nicht verletzt, wenn der Betroffene seine Zustimmung zur Verwendung der Daten ausdrücklich erteilt hat, vgl. § 9 Z. 6 DSG 2000. Konkludentes und schlüssiges Verhalten scheiden daher aus.340 Soll die Zustimmung in Zusammenhang mit einem Vertrag erteilt werden, so ist außerdem erforderlich, dass die Zustimmung durch eine gesonderte Unterzeichnung einer entsprechenden Passage im Vertrag erteilt wird, über die entsprechend aufzuklären ist.341 Auch in der Schweiz muss die Einwilligung zur Bearbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen ausdrücklich erfolgen, vgl. Art. 4 Abs. 5 S. 2 DSG. Ausdrücklich ist eine Einwilligung dann, wenn sie sich ausdrücklich auf die Bearbeitung dieser Daten bezieht.342 Rosenthal vertritt die Auffassung, dass sich das Erfordernis der Ausdrücklichkeit allein auf den Inhalt der Erklärung und nicht ihre Form bezieht.343 Die Einwilligungserklärung kann demnach unter Umständen auch konkludent oder stillschweigend erfolgen.344 Etwas ungenau ist hierzu die Botschaft, nach der die Einwilligung nicht an eine bestimmte Form gebunden ist und auch konkludent erfolgen kann, sofern es nicht um die Bearbeitung von besonders schützenswerten Daten oder Persönlichkeitsprofilen geht.345
E. Beseitigung des Einverständnisses Die Möglichkeit, ein zuvor erteiltes datenschutzrechtliches Einverständnis im Nachhinein zu beseitigen, ist für die Rechtsposition des Betroffenen von zentraler Bedeutung, nicht zuletzt, weil sich die Persönlichkeit eines jeden Individuums stetig weiterentwickelt und eine Meinungsänderung dazu führen kann, dass der Betroffene von seinem zuvor erklärten Einverständnis abrücken möchte.346 Abzugrenzen sind die Gestaltungsrechte zur Beseitigung des Einverständ339 Übereinstimmend mit Art. 8 Abs. 1 DSRL sind gem. § 4 Z. 2 DSG 2000 sensible Daten (besonders schutzwürdige Daten) solche natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben. 340 Unger, Grundzüge des Datenschutzrechts, Wien 2012, S. 27. 341 Unger, Grundzüge des Datenschutzrechts, Wien 2012, S. 27. 342 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 83. 343 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 83. 344 BGE 98 IV 217 zur stillschweigenden Einwilligung in die Aufhebung des Arztgeheim nisses. 345 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127). 346 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 132 f.
90
Kapitel 2: Das datenschutzrechtliche Einverständnis
nisses vom Widerspruch, vgl. Art. 14 DSRL oder der Verweigerung. Im Folgenden sollen jedoch nur die Beseitigung des Einverständnisses mit Wirkung für die Vergangenheit (1) und die Zukunft (2) näher beleuchtet werden.
I. Beseitigung mit Wirkung für die Vergangenheit Die Beseitigung des datenschutzrechtlichen Einverständnisses mit Wirkung für die Vergangenheit ist in allen drei Rechtsordnungen nur durch Anfechtung der Erklärung möglich. Von praktischer Relevanz ist vor allem die Anfechtung wegen Irrtums, da es im Falle einer vorsätzlichen Täuschung oder Drohung bereits an einem autonomen Einverständnis fehlen würde.347 Da in der Schweiz die h. L. die Einwilligung als Rechtsgeschäft einordnet,348 hält sie auch eine Anfechtung wegen Willensmängeln für möglich. Die für Verträge aufgestellten Regeln des Obligationenrechts sind analog auf die Anfechtung einer Einwilligung anwendbar.349 Auch in Österreich wird die Zustimmung als Willenserklärung eingestuft, womit eine Anfechtung nach § 871 ABGB in Betracht kommt.350 In Deutschland halten diejenigen, die die Einwilligung als Rechtsgeschäft oder geschäftsähnliche Handlung einordnen eine Anfechtung gem. §§ 116 ff. BGB für möglich.351 Im Falle einer wirksamen Anfechtung wird das Einverständnis ex tunc beseitigt, d. h. es wird als von Anfang an unwirksam angesehen. Der auf dieser unwirksamen Einverständniserklärung beruhende Datenumgang erfolgte damit rechtswidrig.
II. Beseitigung mit Wirkung für die Zukunft Das Instrument des Widerrufs hat in den vergangenen Jahren immer mehr an Bedeutung gewonnen, da der Betroffene nur noch selten mit singulären Ein griffen in seine Persönlichkeitsrechten konfrontiert wird, sondern oft sein Einverständnis in komplexe und unüberschaubare Datenverarbeitungsprozesse erteilt.352 Obwohl die Datenschutzrichtlinie353 hierzu keine Regelung enthält, wird in der europarechtlichen Literatur davon ausgegangen, dass eine zuvor erteilte 347
Vgl. hierzu Kapitel 2, C, I, 1. Vgl. vorne Kapitel 2, A, II. 349 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 104. 350 Vgl. hierzu Kapitel 2, A, II. 351 Vgl. hierzu Kapitel 2, A, II. 352 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 133; Gundermann, VuR 2011, 74 (74). 353 Im Gegensatz zur Datenschutzgrundverordnung, die in Art. 7 Abs. 3 DS-GVO den jederzeitigen Widerruf der betroffenen Person vorsieht. 348
E. Beseitigung des Einverständnisses
91
Einwilligung jedenfalls mit der Wirkung für die Zukunft widerrufen werden kann.354 Die Datenschutzgrundverordnung sieht in Art. 7 Abs. 3 DS-GVO die jederzeitige Widerrufbarkeit ausdrücklich vor. Das Bundesdatenschutzgesetz enthält – im Gegensatz zu den meisten Landesdatenschutzgesetzen355 – keine allgemeine Regelung zur Möglichkeit eines Widerrufs der Einwilligung. Lediglich in den bereichsspezifischen Datenschutzregelungen, wie § 13 Abs. 2 Nr. 4 TMG oder § 28 Abs. 3a S. 1 BDSG ist der Widerruf explizit normiert. Jedoch wird nach einhelliger Auffassung mit diesen Vorschriften zur jederzeitigen Widerrufbarkeit ein allgemeiner Grundsatz formuliert, der auch und gerade für § 4a Abs. 1 BDSG gilt.356 Strittig ist wie der Widerruf zu erfolgen hat. Teilweise wird eine höchstpersönliche Widerrufs erklärung gefordert357, manche verlangen zusätzlich eine Erklärung in schrift licher oder elektronischer Form.358 Andere halten aufgrund des unterschiedlichen Schutzbedürfnisses bei Einwilligung und Widerruf ein Formerfordernis für überflüssig.359 Jedenfalls ist er der verantwortlichen Stelle gegenüber zu erklären, die auch Adressat der Einwilligungserklärung war.360 Die Folgen des Widerrufes gehen nicht ausdrücklich aus dem Gesetz hervor. Er bewirkt die Unzulässigkeit der Datenverarbeitung für die Zukunft.361 Das heißt die vor dem Widerruf erfolgte Verarbeitung vonseiten der verantwortlichen Stelle bleibt zulässig.362 Hier liegt auch der signifikante Unterschied zur Anfechtung, die die Einwilligung rückwirkend beseitigt, vgl. § 142 Abs. 1 BGB. 354 Ehmann/Helfrich, EG Datenschutzrichtlinie 1999, Art. 2 Rn. 72; vgl. auch die amtliche Begründung der Kommission im geänderten Richtlinienentwurf vom 15.10.1992, wonach der Widerruf der Einwilligung jederzeit zulässig ist. 355 Vgl. beispielsweise § 4 Abs. 1 S. 2 und 5 DSGNW. 356 Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 173; Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung (Stand: April 2013), § 4a Rn. 24; Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 57; Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 81; Simitis, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4a Rn. 94 m. w. N. 357 Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 36. 358 Simitis, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 7. Aufl. 2011, § 4a Rn. 96. 359 Polenz, in: Kilian/Heussen (Hrsg.), Computerrechts-Handbuch, 32. Ergänzungslieferung 2013, Teil 13, Rn. 58; Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 58. 360 Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 58. 361 OLG Düsseldorf, ZIP 1985, 1319; KG Berlin, CR 1995, 80; Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung (Stand: April 2013), § 4a Rn. 24. 362 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 138.
92
Kapitel 2: Das datenschutzrechtliche Einverständnis
Die datenverarbeitende Stelle hat nach erfolgtem Widerruf die weitere Datenverarbeitung und Übermittlung an Dritte zu unterlassen, sie ist nicht mehr zum Umgang mit den Daten berechtigt. Die Nichtberechtigung hat zur Folge, dass die gespeicherten Daten nach §§ 20 Abs. 2 Nr. 1, 35 Abs. 2 Nr. 1 BDSG zu löschen sind.363 Wurden die Daten bereits an Dritte übermittelt so hat die verarbeitende Stelle gem. § 36 Abs. 7 BDSG den oder die Empfänger über den Widerruf zu informieren, soweit dies keinen unverhältnismäßigen Aufwand darstellt. Wann ein solcher vorliegt, ist durch eine umfassende Abwägung zwischen den Interessen des Betroffenen und der verarbeitenden Stelle zu entscheiden.364 Hier spielt sicher auch eine Rolle, ob die Übermittlung vor Widerruf zulässigerweise erfolgte.365 Ferner sollte die datenübermittelnde Stelle den Betroffenen nach erfolgtem Widerruf informieren, an wen sie seine Daten weitergegeben hat.366 Die Einwilligung ist grundsätzlich bedingungslos und jederzeit widerrufbar und kann aufgrund ihres grundrechtsrelevanten Charakters nicht durch Verzicht ausgeschlossen werden.367 Ob dies auch für den Widerruf der Einwilligung im Rahmen eines gegenseitigen Vertrages gilt, soll später noch ausführlich beleuchtet werden.368 In Österreich wird nach § 8 Abs. 1 Z. 2 DSG 2000 die Verletzung von schutzwürdigen Geheimhaltungsinteressen durch die Zustimmung des Betroffenen zur Verwendung seiner Daten ausgeschlossen, wobei der jederzeitige Widerruf möglich sein muss.369 Das Erfordernis der jederzeitigen Widerrufbarkeit hat erst mit den Änderungen des DSG 2000 den Weg in das österreichische Datenschutzrecht gefunden.370 Zuvor hatten zwar die §§ 7 und 18 DSG 1978 auf die schriftliche Widerrufbarkeit der Zustimmung hingewiesen, nicht geregelt war jedoch, dass dieser Widerruf jederzeit erfolgen könne.371
Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 139. Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 140. 365 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 234 f., der eine Benachrichtigungspflicht der verarbeitenden Stelle in der Regel für unverhältnismäßig hält. 366 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 140. 367 A. A. Kühling, in: Wolff/Brink (Hrsg.), Datenschutzrecht in Bund und Ländern, München 2013, § 4a Rn. 59; Iraschko-Luscher, DuD 2006, 706 (709), die den Widerruf nach Beginn der Datenverarbeitung an die Frage der Zumutbarkeit der Datenverarbeitung für den Betroffenen knüpfen will. 368 Vgl. hierzu unten Kapitel 3, B, I, 2. 369 Grabenwarter, ÖJZ 2000, 861 (867). 370 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 173. 371 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 173. 363
364
E. Beseitigung des Einverständnisses
93
Auch die österreichische Rechtsordnung sieht den Widerruf nur mit Wirkung für die Zukunft vor.372 Reimer vertritt die Ansicht, dass grundsätzlich keine wie auch immer gearteten Ansprüche des Auftraggebers aus dem Widerruf abgeleitet oder Konsequenzen mit dem Widerruf verbunden werden dürfen, da das Recht über die Verwendung seiner Daten zu entscheiden alleine dem Betroffenen zusteht.373 Daher seien alle Beschränkungen, die einen Widerruf regel mäßig verhindern unzulässig.374 Der Widerruf ist außerdem bedingungslos, weil er nicht begründet werden muss.375 Der Auftraggeber hat grundsätzlich kein Recht zur Verwendung der Daten und leitet dieses alleine aus der gegebenen Zustimmung ab.376 Ebenso ist in der Schweiz die Einwilligung jederzeit mit Wirkung für die Zukunft widerruflich.377 Dieser Grundsatz leitet sich bereits aus Art. 27 Abs. 2 ZGB ab, der eine übermäßige Selbstbindung für die Zukunft verhindern will.378 Grundsätzlich kann sich niemand gültig verpflichten, künftige Eingriffe in die Persönlichkeit zu dulden.379 Würde dieser Grundsatz nun ausnahmslos auf die Einwilligung angewendet werden, könnte eine wirksame Einwilligung nur erteilt werden, wenn sie unmittelbar vor dem Eingriff in das Persönlichkeitsrecht erteilt werden würde.380 Durch die Anerkennung eines generellen Widerrufrechts lässt sich diese Unvereinbarkeit mit Art. 27 Abs. 2 ZGB beseitigen.381 Zudem ergibt sich das Widerrufsrecht bereits aus dem Recht auf informationelle Selbstbestimmung.382 Da der Widerruf den „actus contrarius“ der Einwilligung 372 Jahnel, Datenschutzrecht, Wien 2010, S. 207; Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 106. 373 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 173. 374 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 173. 375 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 176. 376 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 176. 377 Baeriswyl, Datenschutzgesetz, Bern 2015, Art. 4 Rn. 57; Rampini, in: MaurerLambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 14; Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 104; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 183; Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 110. 378 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 14. 379 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 184; Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 108 f. 380 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 184. 381 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 184. 382 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 185.
94
Kapitel 2: Das datenschutzrechtliche Einverständnis
darstellt, gelten für ihn grundsätzlich auch die gleichen Anforderungen wie an die Einwilligung.383 Der Betroffene muss urteilsfähig sein, und den Widerruf ausdrücklich oder konkludent erklären. Außerdem ist der Widerruf eine empfangsbedürftige Willenserklärung, d. h. ihre Wirkung entfaltet sich erst mit ihrem Zugang, also wenn sie in den Machtbereich des Empfängers gelangt und unter normalen Umständen mit ihrer Kenntnisnahme zu rechnen ist.384 Auch hier gelten die allgemeinen Regeln des Obligationenrechts.385 Das Recht auf Widerruf besteht auch dann, wenn dies im Widerspruch zu einer vertraglichen Verpflichtung steht.386 Der Einwilligende kann nicht vorgängig auf das Widerrufsrecht verzichten.387 Durch den gültigen Widerruf verliert die Einwilligung wie auch in Deutschland und Österreich ihre rechtfertigende Wirkung für die Zukunft. Besonders problematisch ist der Widerruf eines im Zusammenhang mit einem schuldrechtlichen Vertrag erteilten Einverständnisses. Ob in einem solchen Fall das Widerrufsrecht eingeschränkt werden kann oder die ständige Widerrufbarkeit die Geltendmachung beispielsweise von Schadensersatzansprüchen wegen Widerrufs – etwa zur Unzeit – verbietet, wird in allen drei Rechtsordnungen – wenn überhaupt – nur in Ansätzen diskutiert.388
383 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 188. 384 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 110; a. A. Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 188. 385 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 110. 386 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 106, hierzu später noch ausführlich Kapitel 3, B, I, 2. 387 Vgl. die Ausführungen zu Art. 27 Abs. 2 ZGB. 388 Vgl. dazu unten Kapitel 3, C.
Kapitel 3
Personenbezogene Daten als Leistung im Vertrag Nachdem die Voraussetzungen des datenschutzrechtlichen Einverständnisses in den jeweiligen Rechtsordnungen beleuchtet wurde, soll nun das Vertragsverhältnis, in dessen Rahmen personenbezogene Daten zum Gegenstand der Leistung gemacht werden näher untersucht werden. Tatsächlich erweckt das Geschäftsmodell „Daten gegen Leistung“ für den Kunden den Eindruck, dass hiermit keine (vertraglichen) Verpflichtungen verbunden sind. Die Anmeldung bei Facebook oder die Nutzung der Google-Dienste ist aber nicht wirklich kostenlos, sie haben sehr wohl ihren Preis, wenn auch nicht in Geld, sondern statt dessen in Form einer Preisgabe persönlicher Informationen.1 Durch das datenschutzrechtliche Einverständnis macht sich der Einzelne den wirtschaftlichen Wert seiner personenbezogenen Daten – mehr oder weniger bewusst – zunutze, er gibt sein Einverständnis in eine Verarbeitung seiner personenbezogenen Daten, um dafür im Gegenzug von der datenverarbeitenden Stelle eine Leistung in Form von Dienstleistungen, Rabatten, Bonusmeilen, Punkten, Werbegeschenken oder gar Geld zu erhalten.2 Bisher hat sich die Literatur in Deutschland, Österreich und der Schweiz – wenn überhaupt – vorwiegend mit den datenschutzrechtlichen Problemen dieser Geschäftsmodelle befasst. Die schuldrechtliche Seite wurde nur wenig oder gar nicht beleuchtet.3 In diesem Kapitel sollen daher vor allem die grundlegenden schuldrechtlichen Fragestellungen, die in den zu untersuchenden Rechtsordnungen mit diesen Geschäftsmodellen verbunden sind, ausführlich erörtert werden. Zunächst soll der Frage nachgegangen werden, ob personenbezogene Daten Gegenstand eines Vertrages sein können (A) und ob sich der Betroffene zur Leistung von personenbezogenen Daten wirksam verpflichten kann (B) bevor im darauffol-
Buchner, DuD 2010, 40 (40). Buchner, DuD 2010, 40 (40). 3 Vgl. hierzu auch Langhanke/Schmidt-Kessel, EuCML 2015, 218 ff.; Schmidt-Kessel/ Grimm, ZfPW 2017, 84 ff.; de Franceschi, Digitale Inhalte gegen personenbezogene Daten: Unentgeltlichkeit oder Gegenleistung?, in: Schmidt-Kessel/Kramme (Hrsg.), Geschäftsmodelle in der digitalen Welt, Schriften zu Verbraucherrecht und Verbraucherwissenschaften, Band 11, 2017, S. 113 ff. 1 2
96
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
genden Kapitel dann auf das Verhältnis zwischen der vertraglichen Verpflichtung und dem datenschutzrechtlichen Einverständnis eingegangen werden soll.
A. Personenbezogene Daten im Vertrag Als Schuldverhältnis bezeichnet man im deutschen Recht ein schuldrechtliches Rechtsverhältnis, aus dem regelmäßig eine ganze Reihe einzelner Forderungsrechte bzw. korrespondierender Pflichten und Gestaltungsrechte abgeleitet werden können.4 Es entsteht entweder durch Rechtsgeschäft – insbesondere durch einen Vertrag – oder kraft Gesetzes.5 Die Bestimmung eines konkreten Schuldverhältnisses erfolgt durch die Festlegung von Gläubiger und Schuldner, sowie durch Erfassung des Inhalts der Schuld, der seinerseits durch den Gegenstand der geschuldeten Leistung sowie durch Ort, Zeit und Dauer ihrer Erbringung beschrieben wird.6 In Österreich tituliert das ABGB die Schuldrechte als „persönliche Sachenrechte“ und definiert diese in § 859 ABGB als Rechte, „vermöge welcher eine Person einer anderen zu einer Leistung verbunden ist“.7 Diese Bezeichnung beruht auf der Einteilung der österreichischen zivilrechtlichen Regelungsmaterie nach dem Institutionensystem, das sämtliche Vermögensrechte als Sachenrechte zusammenfasst und sie den Personenrechten gegenüberstellt, vgl. § 14 ABGB.8 Die Unterscheidung zwischen persönlichen und dinglichen Sachenrechten – oder nach Schuld- und Sachenrechten im Sinne der deutschen Terminologie – findet sich in § 307 ABGB.9 Während dingliche Sachenrechte – also „Rechte über eine Sache“ – ohne Rücksicht auf eine gewisse Person existieren, bestehen persönliche Sachenrechte – also „Rechte zu einer Sache“ – nur gegen bestimmte Personen. Das Recht zu einer Sache wirkt wie im deutschen Recht nur im Verhältnis zu einer bestimmten Person (sog. Relativität der Schuldverhältnisse); das Forderungsrecht richtet sich also nur gegen den Schuldner, während die Leistung umgekehrt auch nur an den Gläubiger erbracht werden kann.10 Die persönlichen Sachenrechte entstehen gem. § 859 ABGB entweder unmittel4 Ernst, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, Einleitung vor § 241 Rn. 10; Schlechtriem/Schmidt-Kessel, Schuldrecht AT, 6. Aufl. 2005, S. 2. 5 Schlechtriem/Schmidt-Kessel, Schuldrecht AT, 6. Aufl. 2005, S. 3. 6 Ernst, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, Einleitung vor § 241 Rn. 11. 7 Dullinger, Bürgerliches Recht II, Schuldrecht Allgemeiner Teil, 3. Aufl. 2008, S. 1. 8 Dullinger, Bürgerliches Recht II, Schuldrecht Allgemeiner Teil, 3. Aufl. 2008, S. 1. 9 Dullinger, Bürgerliches Recht II, Schuldrecht Allgemeiner Teil, 3. Aufl. 2008, S. 1. 10 Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 1; Dullinger, Bürgerliches Recht II, Schuldrecht Allgemeiner Teil, 3. Aufl. 2008, S. 2.
A. Personenbezogene Daten im Vertrag
97
bar durch ein Gesetz, ein Rechtsgeschäft oder eine erlittene Beschädigung, bei letzterem dürfte es sich aber um einen besonderen Fall eines gesetzlichen Schuldverhältnisses handeln. Das schweizer Obligationenrecht definiert nicht was unter der Obligation zu verstehen ist. Als Obligation oder Schuldverhältnis im engeren Sinn wird allgemein die Rechtsbeziehung zwischen zwei oder mehreren Personen bezeichnet, wonach die eine zu einer Leistung verpflichtet und die andere daraus berechtigt ist.11 Alle am Rechtsverhältnis nicht beteiligten Personen können grundsätzlich keine Rechte daraus ableiten. Die Obligation ist daher – wie auch in Deutschland und Österreich – ein relatives Recht.12 Das Gesetz gebraucht den Ausdruck der Obligation – obwohl es sich Obligationenrecht nennt – nur in einigen Überschriften. In den einzelnen Artikeln verwendet das Obligationenrecht hingegen verschiedene andere Ausdrücke, welche die Rechtsbeziehung „Obligation“ entweder aus der Sicht des Gläubigers oder aus der des Schuldners umschreibt.13
I. Personenbezogene Daten als Leistungsgegenstand Das BGB kennt keinen einheitlichen Leistungsbegriff.14 Was genau unter dem Begriff der Leistung zu verstehen ist, wird in §§ 241, 362 BGB nicht weiter erläutert; abgesehen von der Klarstellung in § 241 Abs. 1 S. 2 BGB, dass die Leistung auch in einem Unterlassen bestehen kann.15 Die geschuldete Leistung kann in einem bestimmten Verhalten (Leistungshandlung) oder auch in der Herbeiführung eines Erfolges (Leistungserfolg) liegen.16 Was genau geschuldet wird, ist durch Auslegung dem jeweiligen Schuldverhältnis zu entnehmen.17 Grundsätzlich kann der Leistungsinhalt auf jedes schutzwürdige Interesse gerichtet sein.18 Es kommt jedes bestimmte oder wenigstens bestimmbare positive oder negative, 11 Guhl/Merk/Koller, in: Guhl (Hrsg.), Das Schweizerische Obligationenrecht, 8. Aufl. 1991, S. 9; Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 21. 12 Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 21. 13 Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 14. 14 Mansel, in: Jauernig, Kommentar zum BGB, 15. Aufl. 2014, § 241 Rn. 7. 15 Bachmann, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 241 Rn. 17. 16 Bachmann, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 241 Rn. 18; Mansel, in: Jauernig, Kommentar zum BGB, 15. Aufl. 2014, § 241 Rn. 7; auf die verschiedenen Erfüllungstheorien soll hier nicht weiter eingegangen werden, da diese für die vorliegenden Vertragsverhältnisse nicht relevant sind und sich nur im Bereicherungsrecht und bei der Leistung an Minderjährige besonders auswirken, vgl. hierzu Schlechtriem/Schmidt-Kessel, Schuldrecht AT, 6. Aufl. 2005, S. 178 f. 17 Schmidt-Kessel, in: Prütting/Wegen/Weinreich (Hrsg.), Kommentar zum BGB, 9. Aufl. 2014, § 241 Rn. 14. 18 Schlechtriem/Schmidt-Kessel, Schuldrecht AT, 6. Aufl. 2005, S. 88.
98
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
tatsächliche oder rechtsgeschäftliche Verhalten des Schuldners, wie beispielsweise die Zahlung von Geld, die Überlassung von Sachen und Rechten oder die Abgabe einer Willenserklärung in Betracht.19 Der Leistungsbegriff wird also denkbar weit verstanden, weshalb es auch unproblematisch erscheint personenbezogene Daten zum Gegenstand der Leistung zu machen.20 Auch in Österreich kann die vom Schuldner zu erbringende Leistung in einem Unterlassen bestehen; § 861 ABGB fügt aber dem noch etwas tun, gestatten oder etwas geben hinzu. Demnach scheint der österreichische Leistungsbegriff weiter gefasst zu sein. Leistung ist das vom Schuldner nach dem Schuldverhältnis zu setzende Verhalten, das der Befriedigung von Interessen des Gläubigers dient.21 Auch im österreichischen Recht kann man darunter die Leistungshandlung, also das vom Schuldner zu setzende Verhalten, oder den Leistungserfolg, also den vom Gläubiger gewünschten Erfolg, verstehen.22 Damit decken sich beide Leistungsbegriffe in Deutschland und Österreich. Die Leistung muss gem. § 869 ABGB bestimmt oder zumindest bestimmbar sein.23 Der Leistungsinhalt wird auch hier von den Parteien festgelegt. Fehlt eine ausdrückliche Vereinbarung, so muss der Vertragsinhalt mit Hilfe des dispositiven Rechts und mittels Auslegung bestimmt werden. In der Schweiz besteht die Obligation wie bereits dargelegt aus der einzelnen Forderung und der entsprechenden Schuld. Gegenstand der Forderung bildet die Leistung des Schuldners. Diese kann auch in der Schweiz in einem Tun, einem Unterlassen oder Duden bestehen.24 Die Leistung, die in einem Tun besteht, ist entweder eine Sachleistung oder eine Dienstleistung, die negative Leistung hingegen beinhaltet die Verpflichtung des Schuldners zum Nichtstun.25 Bei der Sachleistung wird im Gegensatz zur Dienstleistung nicht nur das Tätigwerden geschuldet, sondern vielmehr dessen Erfolg.26 Es ist nicht nötig, dass die Leistung auch einen Geldwert besitzt, es genügt, dass der Gläubiger ein Interesse an
19 Mansel, in: Jauernig, Kommentar zum BGB, 15. Aufl. 2014, § 241 Rn. 7; Schlechtriem/ Schmidt-Kessel, Schuldrecht AT, 6. Aufl. 2005, S. 88. 20 So angenommen von: Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 231 ff.; Buchner, DuD 2010, 39; Bräutigam, MMR 2012, 635; Schafft/Ruoff, CR 2006, 499; Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 173 ff.; Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 41. 21 Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 25. 22 Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 25. 23 Dittrich/Tades, Das Allgemeine Bürgerliche Gesetzbuch, 36. Aufl. 2003, § 869 Rn. E 8b. 24 Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 24. 25 Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 16. 26 Bucher, in: Honsell/Vogt/Wiegang (Hrsg.), Basler Kommentar zum Obligationenrecht I, 5. Aufl. 2011, vor Artt. 1–40 OR Rn. 32.
A. Personenbezogene Daten im Vertrag
99
der Leistung hat.27 Innerhalb der Schranken der Rechtsordnung kann die Leistung jeden beliebigen Inhalts aufweisen, vgl. Art. 19 OR. In allen drei Rechtsordnungen ist der Leistungsbegriff also entsprechend weit gefasst. Personenbezogene Daten – und zwar bereits erhobene wie noch in der Zukunft zu erhebende Daten – können damit sowohl in Deutschland als auch in Österreich und der Schweiz Leistungsgegenstand in einem schuldrechtlichen Vertrag sein. Beispiele finden sich in der Praxis zu Hauf. Da wäre einmal der „Prämienvertrag“ bei Anbietern wie Payback, der den Kunden zum Erhalt von Bonuspunkten und deren Eintausch in Prämien berechtigt und ihn gleichzeitig zur Preisgabe bestimmter Daten verpflichten will28, soziale Netzwerke wie Facebook, My-Space und Co., die ihre IT-Dienstleistung nur Mitgliedern zur Verfügung stellen, deren personenbezogene Daten sie zu Werbezwecken verwenden dürfen oder Unternehmen wie Google, die ihre vermeintlich kostenlose Dienste wie die Suchmaschine, E-Mail-Accounts, Google Alerts etc. ausschließ lich gegen die Protokollierung und Auswertung des Onlineverhaltens der Nutzer anbieten.29
II. Datenschutzrechtliche Einordnung in Deutschland, Österreich und der Schweiz In allen drei Rechtsordnungen können also personenbezogene Daten Leistungsgegenstand sein. Ob die Leistung bei den hier betrachten Schuldverhältnissen tatsächlich in einem positiven Tun bzw. in der aktiven Vornahme einer Leistungshandlung – nämlich in der Erteilung des datenschutzrechtlichen Einverständnisses – zu sehen ist oder es sich mehr um ein Unterlassen bzw. Dulden handelt – da gesetzliche Erlaubnistatbestände eingreifen – hängt von der datenschutzrechtlichen Einordung eines solchen Schuldverhältnisses mit dem Inhalt „Daten als Leistung“ ab. Die Datenschutzrichtlinie sieht in Art. 7 lit. b DSRL vor, dass die Verarbeitung von personenbezogenen Daten erfolgen darf, wenn die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen erforderlich ist. Eine entsprechende Regelung findet sich auch in Art. 6 Abs. 1 lit. b DS-GVO. 27 Guhl/Merk/Koller, in: Guhl (Hrsg.), Das Schweizerische Obligationenrecht, 8. Aufl. 1991, S. 11. 28 Vgl. dazu ausführlich Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 44 ff. 29 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 41 f.
100
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
1. Datenschutzrechtliche Verortung in § 28 Abs. 1 BDSG? Entsprechend den Vorgaben der Datenschutzrichtlinie macht § 4 BDSG die Zulässigkeit der Datenverarbeitung davon abhängig, ob das Bundesdatenschutz gesetz oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene ein gewilligt hat. Kann die datenverarbeitende Stelle also auf eine gesetzliche Erlaubnis zum Umgang mit den entsprechenden personenbezogenen Daten zurückgreifen, bedarf es keiner Einwilligung des Betroffenen mehr. Im Bereich der Datenverarbeitung durch Private, stellt § 28 BDSG – neben § 29 BDSG – die zentrale Erlaubnisnorm des deutschen Datenschutzrechts dar. Sie kommt immer dann zur Anwendung, wenn personenbezogene Daten für eigene Geschäftszwecke verarbeitet werden sollen. Nach § 28 Abs. 1 S. 1 Nr. 1 BDSG ist das Erheben, Speichern, Verändern, Übermitteln oder Nutzen von personenbezogenen Daten als Mittel zur Erfüllung eigener Geschäftszwecke immer dann zulässig, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Jedoch kann diese Vorschrift – trotz des scheinbar einschlägigen Wortlauts – nicht als Erlaubnisnorm für das Schuldverhältnis mit dem Inhalt „Daten als Leistung“30 fruchtbar gemacht werden.31 Diese Vorschrift erfasst nur diejenigen Fälle, in denen die Datenverarbeitung nicht als Selbstzweck ausgeübt wird, sondern als Hilfsmittel zur Optimierung der Erfüllung der Geschäftszwecke oder Ziele des Anwenders, die nicht in der Speicherung, Weitergabe oder der sonstigen Verarbeitung von personenbezogenen Daten bestehen.32 Der Gesetzgeber hatte Kundendaten im Sinn, die etwa im Rahmen von Kauf-, Miet-, oder Kreditverträgen anfallen und die zur Durchführung dieser Verträge auch gespeichert und genutzt werden.33 Erfordert beispielsweise die Lieferung von Waren im Rahmen eines Kaufvertrages eine Verarbeitung von personenbezogenen Daten, dann wird diese von der rechtsgeschäftlichen Willenserklärung umfasst.34 Erfolgt die Verarbeitung für „fremde“ Zwecke, bei der sich die Daten in eine Ware zum Zweck der Übermittlung verwandeln, ist § 29 BDSG anzuwenden. Ausschlagenggebend ist also, ob die Datenerhebung und Speicherung be30
Manche sprechen auch von einem Datenüberlassungsvertrag. A. A. Bräutigam, MMR 2012, 635 (640). 32 So bereits die amtliche Begründung zum Regierungsentwurf des BDSG 1977 zum damaligen § 22 Abs. 1 BDSG, BT-Drs. 7/1027, S. 27; Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 28 Rn. 31; Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung (Stand: April 2010), § 28 Rn. 14; Gola/Schomerus, BDSG Kommentar, 11. Aufl. 2012, § 28 Rn. 4. 33 BT-Drs. 7/1027, S. 27; Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, § 28 Rn. 22. 34 Menzel, DuD 2008, 400 (404). 31
A. Personenbezogene Daten im Vertrag
101
reits für sich selbst genommen das geschäftliche Interesse bildet oder ob sie lediglich als Hilfsmittel zur Erreichung des eigentlichen dahinterstehenden Geschäftszwecks dient.35 Die Abgrenzung beider Erlaubnisnormen kann im Einzelfall sehr schwierig sein; denkbar ist beispielsweise auch, dass eine verantwortliche Stelle, die personenbezogene Daten als Mittel zur Erfüllung eigener Geschäftszwecke nach § 28 Abs. 1 BDSG in zulässiger Weise verarbeitet daneben auch eine Datenverarbeitung ausführt, deren Zulässigkeit sich aus § 29 BDSG oder einer anderen Erlaubnisnorm ergibt.36 Bei einem Schuldverhältnis mit dem Inhalt „Daten als Leistung“ werden personenbezogene Daten regelmäßig nicht für die Erfüllung eigener Geschäfts zwecke erhoben, gespeichert und genutzt; vielmehr steht eine geschäftsmäßige Erhebung zum Zwecke der Werbung im Vordergrund. Betreiber von Kundenbindungs- und Rabattsystemen wie beispielsweise Payback erheben personenbezogene Daten und analysieren das Konsumverhalten ihrer Kunden, um sich und ihren Werbepartnern das Zusenden oder Schalten von passgenauer Werbung zu ermöglichen. Soziale Netzwerke wie Facebook erheben und speichern Daten, um Werbeanzeigen und andere kommerzielle bzw. gesponserte Inhalte für Nutzer zur Verfügung zu stellen.37 Auch bei einer Datenüberlassung gegen Geld erscheint es unrealistisch, dass der „Erwerber“ die Daten nicht für Werbung oder zu anderen kommerziellen Zwecken nutzen möchte. Bei all diesen Beispielen stellt sich die Datenerhebung und Speicherung regelmäßig nicht als Hilfsmittel zur Optimierung der Erfüllung eigener Geschäftszwecke im Sinne des § 28 Abs. 1 BDSG dar, so dass § 28 BDSG als Erlaubnisnorm ausscheidet.38 Die datenschutzrechtliche Zulässigkeit dieser Geschäftsmodelle wäre also in § 29 BDSG zu verorten, vorausgesetzt der Zweck der Datenerhebung und Speicherung läge in der Übermittlung.39 Ist dies nicht der Fall, dann ist die Einwilligung des Betroffenen sowohl für die Verarbeitung der sog. Stamm- oder Bestandsdaten40, als auch für die Erhebung, Speicherung und Nutzung aller weiteren erhobenen oder zukünftig noch zu erhebenden Daten einzuholen.41 35 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 139; Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 29 Rn. 12. 36 Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 28 Rn. 34. 37 Vgl. beispielsweise Nr. 9 der Nutzungsbedingungen von Facebook: https://www.facebook.com/legal/terms?locale=de_DE (Abgerufen: 06.03.2015). 38 So für soziale Netzwerke und Bewertungsportale auch Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 28 Rn. 36; vgl. auch BGHZ 181, 328 = NJW 2009, 2888 (2891). 39 A.A, Bräutigam, MMR 2012, 635 (640). 40 Hierbei handelt es sich in der Regel um den vollständigen Namen, die Anschrift und in einigen Fällen auch um weitere Angaben wie das Geburtsdatum, die Telefonnummer und die E-Mail-Adresse. 41 Im Online-Bereich dürfte dies nur auf die Erhebung und Verwendung von Programm-
102
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
So sah auch der Bundesgerichtshof in seiner Spick-Mich-Entscheidung42 den Anwendungsbereich des § 29 BDSG und nicht des § 28 BDSG eröffnet. In diesem Fall ging es um die Zulässigkeit der Speicherung und Veröffentlichung von personenbezogenen Daten und Bewertungen von Lehrern auf der Internetplattform www.spickmich.de. Der Bundesgerichtshof war der Auffassung, dass die Betreiber mit der Erhebung der Daten keinen eigenen Geschäftszweck, wie dies § 28 BDSG voraussetzt, verfolgen, sondern die Daten geschäftsmäßig i. S. d. § 29 BDSG zur Übermittlung an Dritte erheben.43 Dass zur Finanzierung der Website auch Werbeanzeigen verbreitet werden, sei zwar nicht Zweck der Datenerhebung; eine geschäftsmäßige Erhebung i. S. d. § 29 BDSG läge aber dennoch vor, da die Tätigkeit auf Wiederholung gerichtet und auf eine gewisse Dauer angelegt sei.44 Demnach verortet anscheinend auch der Bundesgerichtshof Geschäftsmodelle, die darauf gerichtet sind Informationen über andere zu sammeln und zu vermarkten in § 29 BDSG. In der Literatur wird dagegen teilweise die Erhebung von sog. Stamm- oder Bestandsdaten beispielsweise zum Zweck der Abwicklung eines Bonusprogramms nach § 28 Abs. 1 S. 1 Nr. 1 BDSG beurteilt, solange ein unmittelbarer sachlicher Zusammenhang zwischen der beabsichtigten Verwendung und dem konkreten Vertragszweck vorliegt.45 Sollen diese jedoch zu Werbezwecken oder im Rahmen des Adresshandles weitergegeben werden, wäre auch in diesem Fall nach § 28 Abs. 3 BDSG die Einwilligung des Betroffenen einzuholen.46 Noch weiter geht Bräutigam, der den Anwendungsbereich von § 28 Abs. 1 S. 1 Nr. 1 BDSG auch auf Schuldverhältnisse mit dem Inhalt „Daten gegen Leistung“ ausdehnen will.47 Für ihn sei kein Hinderungsgrund zu erkennen, warum § 28 Abs. 1 S. 1 Nr. 1 BDSG nicht auch auf den „Datenüberlassungsvertrag“48 angewendet werden könne49, denn in diesem Modell erfolge die Datenverarbeitung zu Werbezwecken nicht losgelöst vom eigentlichen Vertragsverhältnis.50 Die Frage wäre also nicht, welche Daten bei der Anmeldung zu entsprechenden oder Nutzungsdaten, nicht aber auf die Stamm- und Bestandsdaten zutreffen, vgl. § 14 Abs. 1 TMG. 42 BGHZ 181, 328 = NJW 2009, 2888 (2891). 43 BGH, NJW 2009, 2888 (2891). 44 BGH, NJW 2009, 2888 (2891). 45 Holznagel/Bonnekoh, MMR 2006, 17 (20). 46 Schafft/Ruoff, CR 2006, 499 (504) hält diese Lösung daher nur für eingeschränkt brauchbar. 47 Bräutigam, MMR 2012, 635 (640). 48 In seinem Beitrag bezieht er sich dabei auf den Austauschvertag „IT-Nutzung gegen Daten“ bei sozialen Netzwerken. 49 So auch bereits angedeutet bei Weichert, NJW 2001, 1463 (1468). 50 Bräutigam, MMR 2012, 635 (640).
A. Personenbezogene Daten im Vertrag
103
Bonusprogrammen oder Online-Diensten zur Einrichtung eines Kontos oder Accounts mitgeteilt werden müssen, sondern welche Daten erforderlich seien, um das Schuldverhältnis mit dem Inhalt „Daten als Leistung“ zu erfüllen.51 Dieser Auffassung kann jedoch nicht gefolgt werden. Unterwirft man die Begründung und Durchführung des Schuldverhältnisses mit dem Inhalt „Daten als Leistung“ vollständig der Erlaubnisnorm des § 28 BDSG, ist eine Einwilligung des Betroffenen nicht nur obsolet, sondern eine Beendigung der Datenerhebung, Speicherung und Nutzung durch den Betroffenen auch nur in den gesetzlich geregelten Fällen – wie beispielsweise durch Anfechtung gem. §§ 119 ff. BGB, durch Rücktritt gem. §§ 323 ff. BGB respektive durch Kündigung gem. § 314 BGB – unter bestimmten Voraussetzungen möglich. Lediglich die Einwilligung ist frei widerrufbar und ermöglicht dem Betroffenen die jederzeitige Disposi tion über seine Daten, welche durch das Informationelle Selbstbestimmungsrecht auch geschützt wird. Eine datenschutzrechtliche Verortung des Schuldverhältnisses mit dem Inhalt „Daten als Leistung“ in § 28 Abs. 1 S. 1 Nr. 1 BDSG kommt deshalb nicht in Betracht. Diese Lösung erscheint zwar auf den ersten Blick sehr restriktiv, würde aber auch die bei den datenverarbeitenden Stellen vorherrschende Ungewissheit über die Reichweite der gesetzlichen Erlaubnistatbestände beseitigen.52 Denn welche Daten tatsächlich für die Durchführung eines Schuldverhältnisses erforderlich sind und wie weit der jeweilige Vertragszweck im Einzelfall tatsächlich reicht, ist oft schwer zu beantworten. Aufgrund dieser Rechtsunsicherheit holen viele Anbieter von ihren Kunden vorsorglich eine Einwilligung ein, was in der Literatur wiederum zu der Frage geführt hat, ob sich der Datenverarbeiter im Falle der Unwirksamkeit oder des Widerrufs der Einwilligung dann noch auf die gesetzlichen Erlaubnistatbestände berufen könne.53 Es sind zwar keine zwingenden Gründe ersichtlich, warum dies nicht möglich sein sollte, dennoch erweckt die Einholung einer Einwilligung beim Betroffenen den Eindruck einer gewissen Freiwilligkeit, die so tatsächlich nicht gegeben ist, was wiederum zu vertrauensstörenden Irritationen beim Betroffenen führen könnte.54 Die Regelung des § 28 BDSG lässt also hinsichtlich seines Anwendungsbereichs und der Reichweite der Erlaubnistatbestände einige Fragen offen. Hinzu Bräutigam, MMR 2012, 635 (640). Buchner, DuD 2010, 39 (40) stellt die Einwilligung neben dem undurchschaubaren Durch- und Nebeneinander an Regelungen im geltenden Datenschutzrecht die einzige verlässliche Legitimationsgrundlage für die Datenverarbeitung dar. 53 Zur Überschneidung von Einwilligung und gesetzlicher Erlaubnis ausführlich Schafft/ Ruoff, CR 2006, 499 (502); Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 253 ff. 54 So auch Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 28 Rn. 20. 51
52 Für
104
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
kommt, dass im Bereich der Telemedien – zu denen die meisten Geschäftsmodelle in diesem Bereich zählen dürften – vor allem die bereichsspezifischen Vorschriften des Telemedienrechts – insbesondere § 14 Abs. 1 TMG zu beachten sind.55 Die Erhebung und Verwendung von Bestands- und Nutzungsdaten ist durch §§ 14, 15 TMG grundsätzlich abschließend geregelt. Ein Rückgriff auf andere Rechtsvorschriften als §§ 14, 15 TMG kommt gem. § 12 Abs. 1 TMG nur in Betracht, wenn diese konkret auf Telemedien Bezug nehmen.56 Insbesondere scheidet wohl die Anwendung des § 28 BDSG in diesem Bereich aus.57 Verträge mit dem Inhalt „Daten als Leistung“ lassen sich – wie eben aufgezeigt – nicht unter den Anwendungsbereich des § 28 Abs. 1 S. 1 Nr. 1 BDSG subsumieren. Da keine gesetzlichen Erlaubnistatbestände eingreifen, ist die Erteilung der datenschutzrechtlichen Einwilligung nach § 4a BDSG erforderlich, so dass die Leistungshandlung in der Abgabe der entsprechenden Willenserklärung zu sehen ist.58 Dagegen lässt sich im Übrigen die Geschäftspraxis von Unternehmen, ihren Kunden besondere Rabatte und Werbegeschenke im Rahmen eines internen Kundenbindungssystems im „Tausch“ gegen die Erteilung der Einwilligung in den Erhalt eines Newsletters oder anderen Werbemaßnahmen klar in den Anwendungsbereich des § 28 Abs. 1 und Abs. 3 BDSG einordnen.59 Solange die Betroffenen frei in ihrer Entscheidung bleiben und der Abschluss eines Rechtsgeschäfts nicht von der Einwilligung abhängig gemacht wird, steht dieser Geschäftspraxis auch nicht das Koppelungsverbot des § 28 Abs. 3b BDSG entgegen.60 2. Datenschutzrechtliche Verortung in § 7 Abs. 1 DSG 2000? Personenbezogene Daten dürfen in Österreich gem. § 7 Abs. 1 DSG 2000 nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auf55
Nach § 14 Abs. 1 TMG darf der Dienstanbieter personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen ihm und dem Nutzer über die Nutzung von Telemedien erforderlich sind (Bestandsdaten). 56 Zscherpe, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 14 TMG Rn. 2. 57 Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 12 TMG Rn. 7; OLG München, CR 2006, 739 (743); KG Berlin, CR 2007, 261 (261); Linke, MMR 2005, 453 (458); Schaar, Datenschutz im Internet, München 2002, Rn. 372; BT-Drs. 14/6098, S. 29. 58 Vgl. dazu auch Kapitel 3, B, II. 59 So auch im Ergebnis dargestellt im Gutachten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), Kundenbindungssysteme und Datenschutz, 2003, S. 69 ff. 60 Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 28 Rn. 161.
A. Personenbezogene Daten im Vertrag
105
traggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen. Schutzwürdige Geheimhaltungsinteressen sind bei Verwendung nicht-sensibler Daten nach § 8 Abs. 1 Z. 1–4 DSG 2000 dann nicht verletzt, wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht, der Betroffene der Verwendung seiner Daten zugestimmt hat, oder überwiegende berechtigte Interessen des Auftrag gebers oder eines Dritten die Verwendung erfordern. Letztere liegen vor allem dann vor, wenn personenbezogene Daten zur Erfüllung einer vertraglichen Verpflichtung zwischen Auftraggeber und Betroffenem verwendet werden sollen, vgl. § 8 Abs. 3 Z. 4 DSG 2000. Die Datenverwendung muss also zur Erfüllung einer vertraglichen Verpflichtung erforderlich sein, ein bloßes Nützlichsein genügt in diesem Zusammenhang nicht.61 Drobesch und Grosinger gehen davon aus, dass die Datenverwendung sowohl zur Erfüllung von Haupt- als auch von Nebenleistungspflichten erforderlich sein kann.62 Der Wortlaut deutet jedoch darauf hin, dass hier eine andere Hauptleistung als die Leistung von Daten gemeint ist. Reimer vertritt die Auffassung, dass diese Bestimmung nur die so genannten unselbständigen Nebenleistungspflichten, die der Vorbereitung und reibungslosen Abwicklung der für den Vertragstyp charakteristischen Hauptleistung dienen, umfasst.63 Zwar könnten vom Wortlaut auch Hauptleistungspflichten erfasst sein, jedoch seien Datenverwendungen, die Gegenstand der Hauptleistungspflichten sind, dem Eingriffstatbestand der Zustimmung zuzuordnen, da es sich um freiwillige Dispositionen des Betroffenen handle.64 § 1 Abs. 2 DSG 2000 gestattet einen Eingriff in das Grundrecht auf Datenschutz – neben den Eingriffstatbeständen der Zustimmung und den lebenswichtigen Interessen des Betroffenen – aufgrund von überwiegenden berechtigten Interessen Dritter. Datenverwendungen die Hauptleistungspflichten darstellen – wie bei einem Vertrag mit dem Inhalt „Daten als Leistung“ – können sich nicht auf die ihnen zu Grunde liegende Vereinbarung als überwiegendes berechtigtes Interesse i. S. d. § 1 Abs. 2 DSG 2000 stützen, da dieses Interesse erst mit der Vereinbarung – also dem Vertrag – geschaffen wird.65 Da es vor Vertragsschluss nicht besteht, kann es folglich auch kein überwiegendes berechtigtes Interesse sein, auf das die Vereinbarung gestützt werden könnte.66 Drobesch/Grosinger, Datenschutzgesetz, Wien 2000, § 8 S. 139. Drobesch/Grosinger, Datenschutzgesetz, Wien 2000, § 8 S. 139. 63 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 159. 64 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 159. 65 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 160. 66 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 160. 61
62
106
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
Die österreichische Datenschutzverwaltung hat sich – soweit ersichtlich – bisher auch nur zu Fällen der Erforderlichkeit der Verwendung von Daten zur Sicherung und Durchführung der eigentlichen Hauptleistung geäußert. So hat die Datenschutzkommission bzgl. einer Beschwerde über die Verwendung von sog. „Impfdaten“ eine Datenverwendung auf § 8 Abs. 3 Z. 4 DSG 2000 gestützt.67 In diesem Fall war der Beschwerdeführer Inhaber einer Praxis für Kinderheilkunde in Niederösterreich, und führte als Arzt auch gesundheitsbehördlich empfohlene Schutzimpfungen an seinen Patienten durch. Diese Impfungen wurden aus gesundheitspolitischen Erwägungen auf Rechnung der öffentlichen Hand durchgeführt. Die Bereitstellung der dafür notwendigen Haushaltsmittel sowie die Aufteilung der Kosten erfolgte im Rahmen der Privatwirtschaftsverwaltung des Bundes und der Länder auf Grundlage einer als „Impfkonzept 1999“ bezeichneten vertraglichen Vereinbarung aus dem Jahr 1999. Nach der Impfung dokumentierte der Arzt bestimmte personenbezogene Daten seiner Patienten, einschließlich seiner eigenen, auf einer von der Gesundheitsbehörde aufgelegten amtlichen Impfliste. Diese Impflisten wurden in regelmäßigen Abständen der zuständigen Bezirksverwaltungs- und Gesundheitsbehörde übersendet. Dort erfolgte die Erfassung und Speicherung der Daten in der Datenanwendung „Impfdokumentation“ zum Zwecke der Abrechnung und zum Nachweis der Verwendung öffentlicher Mittel. Der Beschwerdeführer wandte sich an die Datenschutzkommission und rügte die nicht erfolgte Reaktion der Landesregierung Niederösterreich (Beschwerdegegner) auf seinen Löschungsantrag und ersuchte darum, gegen den Beschwerdegegner vorzugehen. Er bestritt, dass die für Zwecke der Dokumentation von Impfungen vom Beschwerdegegner durchgeführte Datenanwendung „Impfdokumentation“ über eine ausreichende Rechtsgrundlage verfügt, daher sei die Verwendung personenbezogener Daten für diesen Zweck rechtswidrig. Die Datenschutzkommission bejahte ein überwiegendes berechtigtes Interesse des Beschwerdegegners an der Datenverwendung und stützte ihre Rechtmäßigkeit auf § 8 Abs. 3 Z. 4 DSG 2000, da hier ein mehrseitiger Vertrag über die Finanzierung von Schutzimpfungen an Kindern und Jugendlichen vorliege. Da der Impfarzt einen Anspruch auf sein Honorar für die Durchführung von Impfungen habe, seien jene Daten, die zur Abrechnung notwendig sind, von § 8 Abs. 3 Z. 4 DSG 2000 gedeckt.68 Zur datenschutzrechtlichen Einordnung von Verträgen, in denen die Datenverwendung die Hauptleistung darstellt hat sich bisher weder die Rechtsprechung noch die Datenschutzverwaltung befasst. Nach dem hier gesagten spricht einiges dagegen, Verträge mit dem Inhalt „Daten als Leistung“ datenschutzrechtlich in § 8 67
68
DSK, 25.06.2004, K120.877/0017-DSK/2004. DSK, 25.06.2004, K120.877/0017-DSK/2004.
A. Personenbezogene Daten im Vertrag
107
Abs. 3 Z. 4 DSG 2000 zu verorten. Der Auftraggeber kann also nicht auf einen gesetzlichen Erlaubnistatbestand zurückgreifen. Der Betroffene muss demnach zur Erfüllung seiner Pflichten aus dem Schuldverhältnis auch in Österreich seine Zustimmung zur Verwendung der Daten gem. § 4 Z. 14 DSG 2000 erteilen. 3. Datenschutzrechtliche Verortung in Art. 13 Abs. 2 lit. a DSG? Im Gegensatz zu Deutschland und Österreich statuiert das schweizer Datenschutzrecht kein Verbot mit Erlaubnisvorbehalt, sondern geht davon aus, dass personenbezogene Daten grundsätzlich bearbeitet werden dürfen, Private jedoch eines Rechtsfertigungsgrundes gem. Artt. 12, 13 DSG bedürfen.69 Wer Personendaten im privaten Bereich bearbeitet, darf dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen, vgl. Art. 12 Abs. 1 DSG. Nach Art. 13 Abs. 1 DSG ist eine Verletzung der Persönlichkeit widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Ein überwiegendes Interesse kommt gem. Art. 13 Abs. 2 lit. a DSG dann in Betracht, wenn die verantwortliche Stelle Personendaten über ihren Vertragspartner in unmittelbarem Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages bearbeitet. Dazu ist vorab anzumerken, dass die in Art. 13 Abs. 2 lit. a-f DSG genannten Tatbestände keine absoluten Rechtsfertigungsgründe darstellen, sie enthalten vielmehr Beurteilungselemente für die vorzunehmende Interessenabwägung.70 D. h. auch bei Vorliegen dieser Tatbestände ist die Datenbearbeitung nicht per se gerechtfertigt.71 Grundsätzlich erkennt die Regelung des Art. 13 Abs. 2 lit. a DSG die Interessen der datenverarbeitenden Stelle an, bestimmte personenbezogene Daten in Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages zu bearbeiten. Sinn und Zweck der Regelung ist es, die Risiken eines Vertragsschlusses durch die Bearbeitung sachdienlicher Daten über den Vertragspartner für die datenverarbeitende Stelle zu reduzieren.72 Als Beispiele werden in der Literatur die Einholung von Auskünften über potenzielle Käufer, mögliche Mieter73 oder 69 Epiney/Hofstötter/Meier/Theuerkauf, Schweizerisches Datenschutzrecht vor europaund völkerrechtlichen Herausforderungen, S. 280. 70 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 26. 71 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 26. 72 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 29 m. w. N. 73 EDSK vom 21.11.1996, VPB 62.42B betreffend die Gegenüberstellung des Interesses des Vermieters an den von ihm gewünschten Daten und des Interesses des Mitbewerbers an
108
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
Arbeitnehmer genannt.74 Nicht Gegenstand von Buchstabe a ist dagegen die Datenbearbeitung, die für die ordentliche Vertragserfüllung selbst erforderlich ist.75 Damit unterscheidet sich diese Regelung im schweizer Recht grundlegend von derjenigen der anderen Rechtsordnungen. Während in Deutschland und Österreich von den entsprechenden Regelungen der Datenumgang zur Erfüllung einer (anderen) vertraglichen Verpflichtung erfasst ist, geht es bei der schweizer Regelung darum, Vertragsrisiken zu minimieren, die mit einem Vertragsschluss einhergehen. Der Vertrag mit dem Inhalt „Daten als Leistung“ kann datenschutzrechtlich damit nicht in Art. 13 Abs. 2 lit. a DSG verortet werden. 4. Ergebnis zur datenschutzrechtlichen Einordnung In allen drei Rechtsordnungen kann der Vertag mit dem Inhalt „Daten als Leistung“ demnach nicht unter die gesetzlichen Erlaubnistatbestände gefasst werden, die den Datenumgang in Zusammenhang mit einem Vertrag erlauben. In der Schweiz ist schon gar nicht der Datenumgang zur Vertragserfüllung selbst vom Rechtsfertigungsgrund des Art. 13 Abs. 2 lit. a DSG erfasst. In Deutschland und Österreich ist dies zwar bei den jeweiligen Regelungen der Fall, aber beide Male ist nicht die Erfüllung des Vertrags „Daten als Leistung“ gemeint, sondern der Datenumgang zur Sicherung und Durchführung einer anderen vertraglichen Leistung aus einem anderen Vertrag, wie beispielsweise einem Kauf- oder Mietvertrag. Mangels gesetzlicher Erlaubnis bzw. Rechtfertigung kommt damit kein Unterlassen oder Dulden als geschuldete Leistung in Betracht. Es ist vielmehr die positive Vornahme einer Leistungshandlung durch Abgabe einer Willenserklärung in Form des datenschutzrechtlichen Einverständnisses erforderlich.
B. Datenüberlassung als Leistungspflicht I. Möglichkeit einer Verpflichtung zur Leistung von Daten Besteht ein Schuldverhältnis bzw. eine Obligation, dann ist der Gläubiger berechtigt, die dem Inhalt dieses Verhältnisses gemäße Leistung zu fordern. In allen drei Rechtsordnungen wird zwischen verschiedenen Arten von Leistungsder Wahrung seiner Privatsphäre im Rahmen der Prüfung, ob eine Datenerhebung widerrechtlich im Sinne von Art. 12 DSG ist und ob ein Rechtfertigungsgrund im Sinne von Art. 13 Abs. 2 lit. a DSG vorliegt. 74 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 31. 75 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 33.
B. Datenüberlassung als Leistungspflicht
109
pflichten unterschieden.76 Als Hauptleistungspflichten werden sowohl in Deutschland als auch in Österreich und der Schweiz die Pflichten bezeichnet, die dem Schuldverhältnis das charakteristische Gepräge geben und die bei vertraglichen Verbindlichkeiten von den Parteien als essentialia negotii im Vertrag festzulegen sind.77 Daneben bestehen noch bestimmte Neben(leistungs)pflichten, die nicht das Schuldverhältnis charakterisieren, sondern seiner Vorbereitung, Durchführung und Sicherung dienen.78 In Österreich werden außerdem noch selbständige (äquivalente) und unselbständige (inäquivalente) Neben(leistungs)pflichten unterschieden. Den selbstständigen Neben(leistungs)pflichten steht nach dem Parteiwillen ein entsprechender Teil der Gegenleistung gegenüber, die unselbständigen bezwecken vor allem die Vorbereitung und reibungslose Abwicklung der Hauptleistung.79 Grundsätzlich legen die Parteien das Leistungsprogramm selbst fest. Wie bereits dargelegt können personenbezogene Daten Leistungsgegenstand des Schuldverhältnisses sein. Dies sagt aber noch nichts darüber aus, ob es auch eine entsprechende Pflicht des Schuldners zur Leistung geben kann.80 Bei einem Schuldverhältnis mit dem Inhalt „Daten als Leistung“ wäre dann die Überlassung bzw. Erlaubnis zur Erhebung und Speicherung von bestimmten personenbezogenen Daten und die Einräumung einer bestimmten durch die Parteien vereinbarten Nutzungsbe fugnis geschuldet. Diese Verpflichtung könnte nur durch die Erteilung eines entsprechenden datenschutzrechtlichen Einverständnisses gem. § 4a BDSG, § 4 Deutschland: Krebs, in: Dauner-Lieb/Langen (Hrsg.), Nomos Kommentar zum BGB, Band 2/1, 2. Aufl. 2012, § 241 Rn. 17; für die Schweiz: Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 24 ff. 77 Für Deutschland: Bachmann, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 241 Rn. 29; für Österreich: Dullinger, Bürgerliches Recht II, Schuldrecht Allgemeiner Teil, 3. Aufl. 2008, S. 4; für die Schweiz: Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 25; Guhl/Merk/Koller, in: Guhl (Hrsg.), Das Schweizerische Obligationenrecht, 8. Aufl. 1991, S. 13. 78 Für Deutschland: Krebs, in: Dauner-Lieb/Langen (Hrsg.), Nomos Kommentar zum BGB, Band 2/1, 2. Aufl. 2012, § 241 Rn. 17; für Österreich Bollenberger, in: Koziol/Bydlinski/ Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 859 Rn. 5 zumindest für die unselbständigen Nebenleistungspflichten; für die Schweiz: Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 25. 79 Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 859 Rn. 5; Dullinger, Bürgerliches Recht II, Schuldrecht Allgemeiner Teil, 3. Aufl. 2008, S. 5. 80 Dies wird ohne weitere Auseinandersetzung angenommen von: Bräutigam, MMR 2012, 635; Schafft/Ruoff, CR 2006, 499; Haag, Direktmarketing mit Kundendaten aus Bonus programmen, Wiesbaden 2010, S. 173 ff.; Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 41. 76 Für
110
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
Z. 14 DSG 2000 oder Art. 4 Abs. 5 DSG erfüllt werden, ein gesetzlicher Erlaubnistatbestand bzw. Rechtfertigungsgrund kommt wie schon gesehen nicht in Betracht.81 Ob von den Parteien eine entsprechende Verpflichtung des Betroffenen gewollt ist, ist durch Auslegung zu ermitteln. Die datenverarbeitende Stelle wird in der Regel wohl von einer Verpflichtung ausgehen. So sind beispielsweise die Nutzungsbedingungen von Facebook mit dem Titel „Erklärung der Rechte und Pflichten“ überschrieben. In der Nr. 4 der Nutzungsbedingungen heißt es weiter: „Nachfolgend werden einige Verpflichtungen aufgeführt, die du uns gegenüber bezüglich der Registrierung und der Wahrung der Sicherheit deines Kontos eingehst […].“82
Facebook geht also von einem Vertrag aus, der für den Betroffenen bestimmte Pflichten begründet, unter anderem beispielsweise die Angabe von wahren Daten. Die Annahme einer Leistungspflicht erscheint jedoch aufgrund der persönlichkeitsrechtlichen Relevanz des datenschutzrechtlichen Einverständnisses und der Möglichkeit des jederzeitigen Widerrufs zumindest diskussionswürdig. 1. Einschränkung der Vertragsfreiheit Das Schuld- bzw. Obligationenrecht wird beherrscht vom Grundsatz der Vertragsfreiheit. Sie umfasst neben der Abschlussfreiheit grundsätzlich auch die Freiheit zur inhaltlichen Gestaltung des Vertrages durch die Vertragspartner.83 Die Inhaltsfreiheit gestattet den Vertragsparteien grundsätzlich völlige Freiheit hinsichtlich der inhaltlichen Ausgestaltung ihrer Verträge. Sie wird jedoch – in der Regel zum Schutz einer der Vertragsparteien – durch verschiedene nationale Vorschriften eingeschränkt. a. Verstoß gegen ein gesetzliches Verbot oder zwingendes Recht In Deutschland und Österreich wird die Inhaltsfreiheit von Verträgen vor allem durch die § 134 BGB bzw. § 879 ABGB begrenzt. So wäre im deutschen Recht eine Verpflichtung zur Erteilung der datenschutzrechtlichen Einwilligung nach § 134 BGB unwirksam, wenn sie den Zugriff auf bestimmte personenbezogene Daten ermöglichen will, die Außenstehenden nach zwingendem Recht ver-
81
Eine Legitimation durch § 28 Abs. 1 S. 1 Nr. 1 BDSG, § 7 Abs. 1 DSG 2000 oder Art. 13 Abs. 2 lit. a DSG kommt nach hier vertretenen Ansicht nicht in Betracht, vgl. hierzu vorne Kapitel 3, A, II, 1. 82 https://www.facebook.com/legal/terms?locale=de_DE (Abgerufen: 17.06.2015). 83 Für Deutschland: Larenz, Schuldrecht Allgemeiner Teil Band 1, 13. Aufl. 1982, S. 50; für Österreich: Koziol/Welser, Bürgerliches Recht Band I, 13. Aufl. 2006, S. 95.
B. Datenüberlassung als Leistungspflicht
111
schlossen bleiben sollen.84 Dies wäre beispielsweise der Fall, wenn durch die Einwilligung ein gegen die Menschenwürde verstoßender Zustand geschaffen werden würde.85 Außerdem wird in der datenschutzrechtlichen Literatur teilweise die Meinung vertreten, das Datenschutzrecht solle vor allem dazu dienen, Datenverarbeitung zu verhindern.86 Die Einwilligung sollte ursprünglich helfen, die Verwendung personenbezogener Daten einzuschränken und zu kontrollieren.87 Einwilligungsklauseln, die sich nicht mehr an diese ursprünglichen gesetzlichen Vorgaben anlehnen, seien mit den wesentlichen Grundgedanken des Datenschutzrechts nicht vereinbar und deswegen unwirksam.88 Auch in Österreich sind nach § 879 Abs. 1 ABGB Vereinbarungen, die gegen ein gesetzliches Verbot verstoßen nichtig. Die Formulierung erweckt hier den Anschein, dass jedes Geschäft, das zu einer Norm der Rechtsordnung in Widerspruch steht nichtig sein soll, was jedoch nicht der Fall ist.89 Sieht das entsprechende gesetzliche Verbot nicht explizit vor, dass das ihm widersprechende Geschäft nichtig sein soll, dann ist durch Auslegung zu ermitteln, ob der Verbotszweck die Ungültigkeit verlangt.90 Dies wird in der Regel für den Verstoß gegen die sog. Inhaltsgebote angenommen, während Verstöße gegen die vorgesehene Art und Weise des Abschlusses nicht von der Nichtigkeitsfolge erfasst sein sollen.91 Ein gesetzliches Verbot bzgl. des Abschlusses von Verträgen mit dem Inhalt „Daten als Leistung“ existiert jedoch auch in Österreich nicht. Im Gegenteil hat bereits der Verfassungsgerichtshof festgestellt, dass Eingriffe in das Grundrecht auf Datenschutz zulässig sind, wenn sie aus einer gültigen, vertraglichen Vereinbarung abgeleitet werden können.92 In der Schweiz sind die Grenzen der Vertragsfreiheit in den Artt. 19, 20 OR normiert. Nach Art. 19 Abs. 1 OR kann der Inhalt des Vertrages innerhalb der Schranken des Gesetzes grundsätzlich beliebig festgestellt werden. Die genannten allgemeinen Schranken werden u. a. durch Art. 19 Abs. 2 OR, Art. 20 Abs. 1
84 Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 29. 85 Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 29; Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung (Stand: April 2013), § 4a Rn. 13. 86 Simitis, Datenschutz – eine notwenige Utopie, in: Summa, Festschrift für Dieter Simon zum 70. Geburtstag, S. 519; ders., NJW 1998, 2473. 87 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, § 4a Rn. 4. 88 Schwintowski, VuR 2004, 242 (245). 89 Koziol/Welser, Bürgerliches Recht Band I, 13. Aufl. 2006, S. 175. 90 Koziol/Welser, Bürgerliches Recht Band I, 13. Aufl. 2006, S. 175. 91 Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 175. 92 VfGH, VfSlg 15.473/1999.
112
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
OR konkretisiert.93 Die Vertragsfreiheit endet nach Art. 19 Abs. 2 OR dort, wo von unabänderlichen Vorschriften – also zwingendem Recht – abgewichen wird oder ein Verstoß gegen die öffentliche Ordnung, gegen die guten Sitten oder gegen das Recht der Persönlichkeit vorliegt. Außerdem ist ein Vertrag nach Art. 20 Abs. 1 OR nichtig, der einen unmöglichen oder widerrechtlichen Inhalt hat oder gegen die guten Sitten verstößt. Die genannten Kontrollkriterien in den beiden Normen sind zum Teil deckungsgleich, was wohl mit der Entstehungs geschichte des OR zusammenhängt.94 Aufgrund des inneren Zusammenhangs der beiden Bestimmungen ergibt sich, dass Art. 19 Abs. 2 OR und Art. 20 OR im Verhältnis von Tatbestand und Rechtsfolge zu sehen sind, so dass auch Verstöße gegen die Kontrollkriterien von Art. 19 OR den Rechtsfolgen von Art. 20 OR unterliegen.95 Ein Vertrag ist also widerrechtlich i. S. d. Artt. 19 Abs. 2, 20 Abs. 1 OR, wenn sein Inhalt einer zwingenden objektiven Norm des geschriebenen oder ungeschriebenen eidgenössischen oder kantonalen Rechts widerspricht.96 Der Begriff des Vertragsinhalts wird hier weit verstanden, zum Inhalt gehören neben dem Vertragsgegenstand auch der Vertragszweck und der Abschluss selbst.97 Grundsätzlich hält auch der schweizer Gesetzgeber eine Disposition des Betroffenen über die eigenen personenbezogenen Daten für möglich, da auch er die Einwilligung in die Datenbearbeitung innerhalb bestimmter Voraussetzungen zulässt.98 b. Verstoß gegen die guten Sitten Neben der Gesetzeswidrigkeit spielt bei Eingriffen in Persönlichkeitsrechte auch immer der Maßstab der guten Sitten eine besondere Rolle. In Deutschland ist daher die Regelung des § 138 BGB, bei Rechtsgeschäften mit Grundrechtsbezug zu beachten. Die Grundrechte bilden ein wichtiges Element der Konkretisierung der guten Sitten.99 Schon das Reichsgericht hatte ausgesprochen, dass ein Rechts93 Huguenin, in: Honsell/Vogt/Wiegang (Hrsg.), Basler Kommentar zum Obligationenrecht I, 5. Aufl. 2011, Art. 19/20 Rn. 12. 94 Kut, in: Furrer/Schnyder (Hrsg.), Handkommentar zum Schweizer Privatrecht, 2. Aufl. 2012, Art. 19/20 OR Rn. 7. 95 Kut, in: Furrer/Schnyder (Hrsg.), Handkommentar zum Schweizer Privatrecht, 2. Aufl. 2012, Art. 19/20 OR Rn. 7. 96 Zeder, Haftungsbefreiung durch Einwilligung des Geschädigten im Bereich des Sport, Zürich 1999, S. 44; BGE 134 III 438. 97 Huguenin, in: Honsell/Vogt/Wiegang (Hrsg.), Basler Kommentar zum Obligationenrecht I, 5. Aufl. 2011, Art. 19/20 Rn. 17. 98 Vgl. Artt. 4 Abs. 5, 12 DSG. 99 Armbrüster, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 138 Rn. 20.
B. Datenüberlassung als Leistungspflicht
113
geschäft, das in ein Grundrecht eingreift, gegen die guten Sitten verstößt.100 Die mittelbare Drittwirkung macht es erforderlich den Grundrechten auch im Rahmen der Auslegung von § 138 BGB Geltung zu verschaffen.101 Bestimmt Rechtsgeschäfte können daher nichtig sein, wenn die Rechtsordnung eine Kommerzialisierung in diesem Lebensbereich missbilligt.102 Eine Datenverarbeitung durch andere als den Betroffenen stellt immer einen Eingriff in dessen verfassungsrechtlich geschütztes Recht auf informationelle Selbstbestimmung dar. Die Rechtsordnung lässt aber grundsätzlich Dispositionen des Betroffenen sogar über besondere Arten personenbezogener Daten zu und erlaubt grundsätzlich Rechtsgeschäfte, die die Verarbeitung von personenbezogene Daten erfordern, vgl. § 4a BDSG, § 28 Abs. 1 und 3 BDSG. Von einer Missbilligung der Rechtsordnung kann also grundsätzlich nicht ausgegangen werden. Doch auch wenn das Rechtsgeschäft in seiner Gesamtheit gebilligt wird, existieren in Deutschland auch Verträge, in denen zumindest die Annahme einer Leistungspflicht oder ihre Durchsetzung nicht gewünscht wird.103 So wird beispielsweise beim Prostitutionsvertrag ein Anspruch des Kunden auf Vornahme von sexuellen Handlungen verneint.104 Es besteht keine Leistungspflicht der Prostituierten, eine solche wäre mit dem Allgemeinen Persönlichkeitsrecht in seiner Ausprägung als Recht auf sexuelle Selbstbestimmung nicht vereinbar.105 Wird jedoch freiwillig geleistet, so besteht gem. § 1 S. 1 Prostitutionsgesetz (ProstG) eine rechtswirksame Forderung auf Zahlung des vereinbarten Entgelts. Die Literatur geht hier im Anschluss an die Gesetzesbegründung106 überwiegend von einem einseitig verpflichtenden Vertrag aus.107 Ebenso werden in Österreich Verträge, die gegen die guten Sitten verstoßen als nichtig angesehen. Dadurch wird verhindert, dass Vereinbarungen rechtlich bindend werden, die mit der Werteordnung der Gemeinschaft in untragbarem Widerspruch stehen.108 Unter den guten Sitten sind nach ständiger Rechtsprechung des Obersten Gerichtshof der Inbegriff jener Rechtsnormen zu verstehen, die im GeRGZ 128, 92 (95). Armbrüster, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 138 Rn. 20. 102 Armbrüster, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 138 Rn. 127. 103 Grüneberg/Sutschet, in: Bamberger/Roth, Kommentar zum BGB, Band 1, 2. Aufl. 2007, § 241 Rn. 24. 104 Armbrüster, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 1 ProstG Rn. 7. 105 Armbrüster, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 1 ProstG Rn. 7. 106 BT-Drs. 14/5958, S. 4. 107 Bamberger/Roth, Kommentar zum BGB, Band 1, 2. Aufl. 2007, Anhang zu § 138 Rn. 4; Armbrüster, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 1 ProstG Rn. 7; Rautenberg, NJW 2002, 650, 651; a. A. Ellenberger, in: Palandt (Hrsg.), Kommentar BGB, Anh. § 138, § 1 ProstG Rn. 2; Schulze, Die Naturalobligation, Tübingen 2008, S. 548 ff. 108 Koziol/Welser, Bürgerliches Recht Band I, 13. Aufl. 2006, S. 179. 100 101
114
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
setz nicht ausdrücklich ausgesprochen sind, die sich aber aus der richtigen Betrachtung der rechtlichen Interessen ergeben.109 Sittenwidrig sind vor allem Verträge, wenn eine Interessenabwägung eine grobe Verletzung rechtlich geschützter Interessen ergibt oder wenn bei Interessenkollisionen ein grobes Missverhältnis zwischen den verletzten und den geförderten Interessen vorliegt.110 Wie auch die deutsche Regelung lässt auch die Vorschrift des § 879 ABGB der Rechtsanwendung weiten Raum zur Konkretisierung. So gelten in Österreich beispielsweise Verträge, die den Vertragspartner eine übermäßig lange Dauer binden oder die eine bestimmte Handlung mit einem Entgelt verknüpfen als sittenwidrig.111 Noch bis vor kurzem wurde die Vornahme von sexuellen Handlungen gegen Entgelt als sittenwidrig eingestuft112 , die Rechtsprechung des OGH hat jedoch in diesem Bereich eine gewisse Liberalisierung erfahren. In einer jüngeren Entscheidung urteilte der Gerichtshof, dass die Vereinbarung zwischen einer Prostituierten und ihrem Kunden nicht generell sittenwidrig i. S. d. § 879 Abs. 1 ABGB sei, ein klagbarer Anspruch auf Vornahme oder Duldung einer sexuellen Handlung jedoch nicht bestehe.113 Diese Rechtsprechung entspricht nun der geltenden Rechtslage in Deutschland nach § 1 S. 1 ProstG. Als sittenwidrig i. S. v. Artt. 19, 20 OR gelten in der Schweiz nach einer extensiven Auslegung Verträge, die gegen die herrschende Moral, d. h. gegen das allgemeine Anstandsgefühl oder gegen die der Gesamtrechtsordnung immanenten ethischen Prinzipien und Wertmaßstäbe verstoßen.114 Ob ein Vertrag gegen die guten Sitten verstößt ist nach seinem Inhalt zu beurteilen.115 So wird in der Schweiz beispielsweise der Prostitutionsvertrag weiterhin vom Bundesgericht als sittenwidrig betrachtet116, es kann weder die Vornahme von sexuellen Handlungen noch die Zahlung des Entgelts verlangt werden. Innerhalb der Lehre wird dies mittlerweile überwiegend anders beurteilt.117
109
OGH, 4Ob138/79; OGH, 5Ob544/81; OGH, 3Ob516/89; OGH, 8Ob558/91. Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 879 Rn. 5; OGH, 1 Ob 145/08t. 111 Koziol/Welser, Bürgerliches Recht Band I, 13. Aufl. 2006, S. 180 f. 112 OGH, 3 Ob 516/89. 113 OGH, 3Ob45/12g, E. 4.6.7. 114 Huguenin, in: Honsell/Vogt/Wiegang (Hrsg.), Basler Kommentar zum Obligationenrecht I, 5. Aufl. 2011, Art. 19/20 Rn. 32. 115 BGE 119 II 384. 116 BGE 111 II 301; BGE 91 IV 69. 117 Huguenin, in: Honsell/Vogt/Wiegang (Hrsg.), Basler Kommentar zum Obligationenrecht I, 5. Aufl. 2011, Art. 19/20 Rn. 38. 110
B. Datenüberlassung als Leistungspflicht
115
c. Verletzung des Rechts der Persönlichkeit In der Schweiz wird die Vertragsfreiheit außerdem noch durch das Kontroll kriterium der Persönlichkeitsrechtsverletzung in Art. 19 Abs. 2 OR begrenzt. Dieses wird durch die Regelung des Art. 27 Abs. 2 ZGB konkretisiert.118 Hiernach kann sich niemand seiner Freiheit entäußern oder sich in ihrem Gebrauch übermäßig beschränken. Art. 27 Abs. 2 ZGB soll damit vor allem die zukunftsgerichtete Entscheidungsfreiheit des Einzelnen schützen.119 Es geht also um die Schranken der Selbstbindung bzw. der Entäußerung von Persönlichkeitsrechten.120 Um die übermäßige Art der Freiheitsbeschränkung zu umschreiben, verweist Art. 27 Abs. 2 ZGB auf das Recht und die Sittlichkeit.121 Der Begriff des Rechts bezieht sich dabei auf die Rechtsordnung insgesamt während der Ausdruck der Sittlichkeit auf die eben beschriebenen anerkannten moralischen Grundsätze verweist.122 Unzulässig sind übermäßige zukünftige Verpflichtungen und solche die den höchstpersönlichen Kernbereich des Einzelnen betreffen.123 Nach der jüngsten Rechtsprechung des Bundesgerichts ist bezüglich der Rechtsfolgen im Rahmen eines Verstoßes gegen Art. 27 Abs. 2 ZGB zu differenzieren.124 Die Rechtsfolge der Nichtigkeit i. S. d. Art. 20 OR betrifft nur die rechtsgeschäftlichen Persönlichkeitsrechtsverletzungen, wo die Bindung den höchstpersönlichen Kernbereich der Persönlichkeit erfasst, während wenn nur ein Verstoß gegen das Übermaß der Bindung vorliegt, die Nichtigkeitsfolge grundsätzlich als unangemessen angesehen wird.125 Es stellt sich also zunächst die Frage ob in den betroffenen Persönlichkeits bereichen überhaupt von einer Disponibilität ausgegangen werden kann.126 Im Kernbereich der Persönlichkeit, beispielsweise bei der körperlichen BeweHuguenin, in: Honsell/Vogt/Wiegang (Hrsg.), Basler Kommentar zum Obligationenrecht I, 5. Aufl. 2011, Art. 19/20 Rn. 12. 119 Aebi-Müller, in: Breitschmid/Rumo-Jungo (Hrsg.), Handkommentar zum Schweizer Privatrecht, 2. Aufl. 2012, Art. 27 ZGB Rn. 6. 120 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 281. 121 Bucher, Natürliche Personen und Persönlichkeitsschutz, Genf 2008, S. 94. 122 Bucher, Natürliche Personen und Persönlichkeitsschutz, Genf 2008, S. 94. 123 Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 108; Huguenin, in: Honsell/Vogt/Geiser (Hrsg.), Basler Kommentar zum Zivilgesetzbuch I, 4. Aufl. 2010, Art. 27 Rn. 9. 124 BGE 129 III 209 (213 f.). 125 Hausheer/Aebi-Müller, Das Personenrecht des Schweizerischen Zivilgesetzbuches, 2. Aufl. 2008, S. 159 f.; Brückner, Das Personenrecht des ZGB, Zürich 2000, S. 235 ff.; BGE 129 III 97. 126 Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 109. 118
116
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
gungsfreiheit, der physischen und psychischen Integrität, der Intimsphäre aber auch bei gewissen Ausdrucksformen der Vereinsfreiheit besteht ein absoluter Bindungsausschluss, weshalb eine gültige vertragliche Vereinbarung ausgeschlossen sein soll.127 Teilweise wird in der Lehre vertreten, dass im Bereich der Persönlichkeitsrechte überhaupt keine rechtsgeschäftliche Verpflichtung zulässig sei.128 Der überwiegende Teil im Schrifttum sieht aber in der Zulässigkeit einer maßvollen Selbstbindung auch einen Bestandteil des Selbstbestimmungsrechts.129 Ob eine bereits unzulässige Verpflichtung oder eine übermäßige Bindung vorliegt ist im Einzelfall und anhand aller Sachumstände zu beurteilen.130 So wird beispielsweise bei Lizenzverträgen131 eine unzulässige Persönlichkeitsrechtsbeschränkung angenommen, die eine Vergabe von Unterlizenzen oder eine zu lange Vertragslaufzeit vorsehen.132 Gelangt man zu dem Ergebnis, dass eine übermäßige Selbstbindung vorliegt, kommt je nach Art des Vertrages und dem Willen der Parteien eine Reduktion der übermäßigen Dauer auf ein tragbares Maß133 oder die Einräumung eines Rechts zur Auflösung des Vertrages aus wichtigem Grund134 in Betracht. 2. Möglichkeit des jederzeitigen Widerrufs a. Ansätze zur Beschränkung des Widerrufsrechts in Deutschland In Deutschland ist die einseitige Einwilligung – wie bereits dargestellt – jederzeit widerrufbar.135 Widerruft der Betroffene, hat die datenverarbeitende Stelle die weitere Datenverarbeitung, Nutzung und Übermittlung an Dritte zu unterlassen und ist nicht mehr zum Umgang mit den Daten berechtigt. Aber gerade diese Rechtsfolge geht an der Interessenlage der datenverarbeitenden Stelle – vor allem wenn sie eine Gegenleistung für die Überlassung der Daten erbringt 127 BGE 5A_827/2009 E. 5.4; Hausheer/Aebi-Müller, Das Personenrecht des Schweizerischen Zivilgesetzbuches, 2. Aufl. 2008, S. 150. 128 Jäggi, ZSR 1960, 135a (207a). 129 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 282; Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 109 f.; Weber, Persönlichkeit als Immaterialgut?, in: Honsell/Zäch/Hasenböhler/Harrer/Rhinow (Hrsg.), Privatrecht und Methode, Festschrift für Kramer, Basel 2004, S. 423. 130 Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 109. 131 Vgl. hierzu später noch Kapitel 4, C, I. 132 Weber, Persönlichkeit als Immaterialgut?, in: Honsell/Zäch/Hasenböhler/Harrer/Rhinow (Hrsg.), Privatrecht und Methode, Festschrift für Kramer, Basel 2004, S. 423 f. 133 BGE 114 II 159 E. 2. 134 BGE 84 II 266 E. 5. 135 Vgl. hierzu vorne Kapitel 2, E, II.
B. Datenüberlassung als Leistungspflicht
117
– vorbei. Sie wäre gerne davor geschützt, dass ihr die Verarbeitungs- und Nutzungserlaubnis durch den Betroffenen wieder entzogen werden kann.136 Aus diesem Grund plädiert die Mehrheit in der Literatur dafür, die Widerruflichkeit einer Einwilligung, welche im Rahmen eines Vertrages erteilt wurde, zu beschränken.137 Ist die Einwilligung Teil eines rechtsgeschäftlichen Verhältnisses, müsse auch die Frage ihrer Widerruflichkeit dieser rechtsgeschäftlichen Einbindung Rechnung tragen.138 Überwiegend wird die Meinung vertreten, dass der Widerruf in diesem Fall nur noch unter bestimmten Voraussetzungen möglich sei, nämlich dann, wenn nach den Grundsätzen von Treu und Glauben dem Betroffenen die Fortsetzung der Datenverarbeitung nicht mehr zugemutet werden könne.139 Dies sei insbesondere dann der Fall, wenn sich die für die Einwilligung maßgeblichen Umstände wesentlich geändert haben oder diese nachträglich weggefallen sind.140 Andere wiederum gewähren dem Betroffenen nur dann das Recht zum jederzeitigen Widerruf, wenn er auch das Vertragsverhältnis mit der datenverarbeitenden Stelle jederzeit auflösen könnte.141 Ein Ausschluss des Widerrufs komme dagegen nur dann in Betracht, wenn zwischen den Beteiligten ein Vertragsverhältnis mit fest bestimmter Laufzeit bestehe.142 Die jederzeitige Widerrufbarkeit führe sonst zu einem zusätzlichen Vertragsauflösungsrecht, welches mit der zivilrechtlichen Systematik nicht vereinbar wäre.143 Vereinzelt wird sogar der Verzicht auf den Widerruf als Teil der Leistungspflicht in einem solchen Vertrag angesehen.144 Bräutigam, MMR 2012, 635 (636). Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung (Stand: April 2013), § 4a Rn. 24; Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 702 befürworten eine Einschränkung nach Treu und Glauben; Gola/Schomerus, BDSG Kommentar, 11. Aufl. 2012, § 4a Rn. 18a, tritt für einen Widerruf nur unter bestimmten Voraussetzungen ein; Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Baden-Baden, § 4a Rn. 98 ff., macht die jederzeitige Widerrufbarkeit vom Beginn der Datenverarbeitung abhängig; Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 38, hält eine Widerruf für möglich, wenn eine nicht von der Einwilligung gedeckte Datenverarbeitung stattfindet; a. A. Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 184 f. 138 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 270. 139 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 702; Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung (Stand: April 2013), § 4a Rn. 24; Däubler, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), Bundesdatenschutzgesetz, 4. Aufl. 2014, § 4a Rn. 38. 140 Bergmann/Möhrle/Herb, Datenschutzrecht, Loseblattsammlung (Stand: April 2013), § 4a Rn. 24. 141 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 270. 142 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 270. 143 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 270. 144 Weichert, NJW 2001, 1463 (1467). 136 137
118
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
Eine Beschränkung des Widerrufsrechts oder gar eine Pflicht zum Verzicht ist jedoch vor dem Hintergrund der persönlichkeitsrechtlichen Relevanz der Einwilligung kritisch zu sehen.145 Das Informationelle Selbstbestimmungsrecht als Ausprägung des Allgemeinen Persönlichkeitsrechts ist auch Bestandteil einer überindividuellen, objektiven Werteordnung, an die auch der Rechtsinhaber gebunden ist. Das Widerrufsrecht ist daher unverzichtbar.146 In persönlichkeitsrechtlichen Schrifttum zum Recht am eigenen Bild wird das Vertrauen des Einwilligungsempfängers in den Fortbestand der Einwilligung nach § 22 des Gesetzes betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KUG) für schutzwürdig gehalten, wenn eine vertragliche Verpflichtung zur Gestattung eingegangen wurde.147 Hier reicht das Spektrum der Ansichten von der grundsätzlichen Widerruflichkeit und einer Bindung nach Treu und Glauben als Ausnahme über die grundsätzliche Unwiderrufbarkeit und einem Widerrufsrecht analog § 42 Abs. 1 Urhebergesetz (UrhG) als Ausnahme bis hin zur völligen Unwiderruflichkeit.148 Da das Recht am eigenen Bild eine Verkörperung der Persönlichkeit in einem selbständigen materiellen Substrat zum Gegenstand hat, ist eine gewisse rechtsgeschäftliche Bindung auch vertretbar.149 Bei den hier behandelten Schuldverhältnissen mit dem Inhalt „Daten als Leistung“ handelt es sich regelmäßig um Dauerschuldverhältnisse.150 Neben den gegebenenfalls am Anfang angegebenen Stammbzw. Bestandsdaten werden im Laufe der Zeit eine schier unüberschaubare Menge an weiteren personenbezogenen Daten erhoben, verarbeitet und genutzt. So wird beispielsweise das Kaufverhalten des Bonuskarteninhabers dokumentiert oder die Interaktion mit anderen Nutzern und Webseiten über die gesamte Vertragsdauer auswertet. Hier besteht die Gefahr, dass sowohl die datenverarbeitende Stelle als auch Dritte unwiderrufliche Befugnisse über personenbezogene Daten des Betroffenen erlangen und nachfolgend in solcher Weise in sein Informationelles Selbstbestimmungsrecht eingreifen, die für ihn so nicht vorhersehbar war und auch nicht sein konnte.151 Aus diesem Grund ist im Datenschutzrecht ein höheres Schutzniveau erforderlich. 145 Ablehnend bzgl. des Verzichts Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 702; Schaffland/Wiltfang, BDSG Loseblattsammlung (Stand: 2014), § 4a Rn. 27. 146 Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 151. 147 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 347. 148 So berichtet Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 347. 149 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 432. 150 Vgl. hierzu später noch Kapitel 3, B, III. 151 So für die Schweiz Büchler, AcP 2006, 301 (325).
B. Datenüberlassung als Leistungspflicht
119
Während es vertretbar erscheint, den Widerruf der Einwilligung nach § 22 KUG, die zur Erfüllung der vertraglichen Verpflichtung erteilt wird, auf bestimmte Ausnahmen zu beschränken, so trifft dies nicht auf die datenschutzrechtliche Einwilligung zu. Das Widerrufsrecht gewährleistet, dass der Einzelne nicht unwiederbringlich seines Rechts auf informationelle Selbstbestimmung beraubt wird.152 Die Einwilligung soll den Betroffenen ja gerade in die Lage versetzen, selbst über den Umgang mit seinen Daten zu entscheiden. Im Übrigen sehen das Gesetz in § 28 Abs. 3a S. 1 BDSG und § 13 Abs. 2 Nr. 4 TMG bei der einfach elektronischen Einwilligung – die mittlerweile den Regelfall darstellen sollte – sowie die Datenschutzgrundverordnung in Art. 7 Abs. 3 DS-GVO die Möglichkeit des jederzeitigen Widerrufs ausdrücklich vor. Die datenschutzrechtliche Einwilligung ist daher grundsätzlich jederzeit und ohne Angabe von Gründen widerrufbar153 und wird nicht durch die Erteilung im Rahmen eines Vertrages beschränkt. Dieser Umstand hindert dennoch nicht die Annahme einer Leistungspflicht. Der bedingungslose und von der Willkür des Kunden abhängende Widerruf einer zuvor mit Rechtsbindungswillen erteilten Willenserklärung ist der deutschen Rechtsordnung nicht fremd.154 Außerdem existieren auch einige Rechte zur fristlosen Kündigung – wie beispielsweise § 627 BGB – die der Annahme einer Leistungspflicht ebenfalls nicht entgegenstehen. b. Widerruf und vertragliche Bindung in Österreich Anders als im deutschen Bundesdatenschutzgesetz, sieht das österreichische Datenschutzgesetz für die Zulässigkeit der Verwendung von personenbezogenen nicht-sensiblen Daten in den §§ 7 Abs. 1, 8 Abs. 1 Z. 2 DSG 2000 – respektive in § 7 Abs. 1, 9 Z. 6 DSG 2000 für sensible Daten – explizit die Möglichkeit des jederzeitigen Widerrufs vor. Diese stellt für den Auftraggeber eine erhebliche Einschränkung dar, da er sich nicht darauf verlassen kann auch in Zukunft noch eine Rechtsgrundlage für die Datenverarbeitung zu haben.155 Aufgrund der zwingenden Bestimmung des § 4 Z. 14 DSG 2000 wird – im Gegensatz zu einzelnen Stimmen in Deutschland156 – ein Verzicht auf die jederzeitige Widerrufbarkeit auch im Zusammenhang mit vertraglichen Vereinbarungen für nicht möglich gehalten.157 Ebenso wird eine Beschränkung der Ausübung des WiderTaeger, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, § 4a Rn. 81. So im Ergebnis auch Schnabel, ZUM 2008, 657 (659). 154 Vgl. beispielsweise die Vorschriften zum Widerrufsrecht bei Verbraucherverträgen, §§ 355 ff. BGB. 155 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 172 f. 156 Vgl. Kapitel 3, B, I, 2, a. 157 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 174. 152 153
120
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
rufrechts in diesem Kontext verneint.158 Da das Recht über die Verwendung seiner Daten zu entscheiden alleine dem Betroffenen zusteht, geht Reimer davon aus, dass alle Beschränkungen, die einen Widerruf verhindern oder vereiteln würden unzulässig sind.159 Er führt zu Recht an, dass Dauerschuldverhältnisse jederzeit aus wichtigem Grund kündbar seien und eine explizite Erwähnung der jederzeitigen Widerrufbarkeit sinnlos wäre, würde sie nicht über diese Grundaussage zu Dauerschuldverhältnissen hinausgehen.160 Augenscheinlich geht auch der Gesetzgeber von einer jederzeitigen Widerrufbarkeit im Rahmen eines Vertragsverhältnisses aus. So kann den Materialen zu § 11a Versicherungsvertragsgesetz (VersVG) i. d. F. BGBl I 1999/150 folgende Aussage entnommen werden: „Der Rückgriff auf die Zustimmung des Betroffenen als Rechtsgrundlage der Verwendung sensibler Daten ist nicht in jedem Falle tauglich, weil eine datenschutzrechtlich gültige Zustimmung jederzeit widerrufbar ist. Da die gesellschaftspolitische Notwendigkeit, durch Ver sicherungsvertrag private Vorsorge treffen zu können, aber außer Streit steht, kann Art. 8 Abs. 4 Richtlinie 95/46/EG wohl als Rechtsgrundlage herangezogen werden.“161 Der Verfassungsdienst des Bundeskanzleramts führt in einem Rundschreiben an alle Bundesministerien und Sektionen des Verfassungsdienstes aus, dass die jederzeitige Widerrufbarkeit auch verfassungsrechtlich geboten ist.162 Die Zustimmung nach § 4 Z. 14 DSG 2000 kann also nie eine endgültige, sondern nur eine vorübergehende Befugnis über die Verarbeitung von personenbezogene Daten des Betroffenen verschaffen.163 Der Widerruf ist auch im Zusammenhang mit vertraglichen Vereinbarungen jederzeit möglich. Eine Beschränkung der Möglichkeit der Verpflichtung zur Leistung von personenbezogenen Daten kann daraus aber nicht abgeleitet werden. c. Dauerhafte Bindung und Widerruflichkeit in der Schweiz Auch das schweizer Datenschutzgesetz regelt nicht die Möglichkeit des Widerrufs, weder in Art. 4 Abs. 5 DSG noch in Artt. 12 f. DSG. Wie bereits dargelegt konkretisieren jedoch die Vorschriften des DSG lediglich die Vorschriften zu 158 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 176, er räumt aber ein, dass die jederzeitige Widerrufbarkeit nicht zur völligen Unverbindlichkeit der Zustimmungserklärungen führen könne und das allgemeine Prinzip „pacta sunt servanda“ nicht komplett beseitige. Er befürwortet daher die Anwendung der Regeln über die Auflösung von Dauerschuldverhältnissen, was später noch näher zu beleuchten sein wird. 159 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 176. 160 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 175. 161 ErläutAB 2029 BlgNR 20. GP 1, S. 1. 162 Vgl. Rundschreiben, BKA-VD 14.5.2008, BKA-810.016/0001-V/3/2007, S. 3. 163 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 172 ff.
B. Datenüberlassung als Leistungspflicht
121
Persönlichkeitsrechten in Artt. 27, 28 ZGB, so dass auf diese Regelungen zurückgegriffen werden kann.164 Im schweizer Schrifttum besteht Einigkeit darüber, dass eine Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB vom Einwilligenden widerrufen werden kann.165 Die Lehre beruft sich dabei auf Art. 27 Abs. 2 ZGB, der die Entscheidungsfreiheit des Einzelnen gewährleisten und ihn vor einer übermäßigen zukünftigen Selbstbindung schützen soll.166 Grundsätzlich kann sich niemand gültig verpflichten, zukünftige Eingriffe in die Persönlichkeit zu dulden, jedoch muss eine Einwilligung in Hinblick auf bestimmte künftige Eingriffe möglich sein.167 Durch die Anerkennung des jederzeitigen und freien Widerrufs lässt sich die Unvereinbarkeit der Einwilligung mit Art. 27 Abs. 2 ZGB korrigieren und verhindert eine dauernde Verpflichtung für die Zukunft.168 Nach der überwiegenden Auffassung in der Lehre sind im Bereich der Persönlichkeitsrechte keine unwiderruflichen rechtsgeschäftlichen Verpflichtungen zulässig.169 Dies wird teilweise sogar für die im Rahmen eines Lizenzvertrages170 erteilte Einwilligung zur Verwertung eines Bildes angenommen.171 164
Vgl. hierzu vorne Kapitel 1, G, II. Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 183 m. w. N.; Geiser, Die Persönlichkeitsverletzung insbesondere durch Kunstwerke, Basel 1990, S. 133; Hausheer/Aebi-Müller, Das Personenrecht des Schweizer Zivilgesetzbuches, 3. Aufl. 2012, S. 169; Zeder, Haftungsbefreiung durch Einwilligung des Geschädigten im Bereich des Sport, Zürich 1999, S. 42; Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 104; Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 14; Bächli, Das Recht am eigenen Bild, Basel 2002, S. 129. 166 Aebi-Müller, in: Breitschmid/Rumo-Jungo (Hrsg.), Handkommentar zum Schweizer Privatrecht, 2. Aufl. 2012, Art. 27 ZGB Rn. 6. 167 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 184. 168 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 184. 169 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 186 f.; Zeder, Haftungsbefreiung durch Einwilligung des Geschädigten im Bereich des Sport, Zürich 1999, S. 42; Jäggi, ZSR 1960, 135a (207a); Bächli, Das Recht am eigenen Bild, Basel 2002, S. 172 ff.; a. A. Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 111; Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 187. 170 In der Schweiz werden obligatorische Dispositionen über Persönlichkeitsgüter als Lizenzverträge eingeordnet, vgl. hierzu unten Kapitel 4, C, I. 171 Bächli, Das Recht am eigenen Bild, Basel 2002, S. 172 ff.; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 187; Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 187. 165
122
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
Trotz der vertraglichen Bindung soll der Einwilligende auch hier jederzeit und frei die Einwilligung widerrufen können.172 Dies hat jedoch das Bundesgericht in seiner – soweit ersichtlich – ersten Entscheidung zum Widerrufsrecht bei Persönlichkeitsrechten anders beurteilt.173 In diesem Fall widerrief ein Model die Einwilligung in die Verwertung von Bildern und Filmen, die sie im Rahmen eines Lizenzvertrages mit einer Agentur abgeschlossen hatte. Die Parteien hatten ein jederzeitiges Rücktrittsrecht vereinbart, wobei sich die Klägerin verpflichtete, bei einem Rücktritt vor Ablauf von sechs Monaten eine Gebühr i. H. v. 390 Franken zu zahlen. Das Bundesgericht führte aus, dass angesichts der Bedeutung, welche die Vermarktung des eigenen Bildes, des Namens oder der Stimme in den letzten Jahrzehnten erreicht habe, es lebensfremd sei, weiterhin die Einwilligung zur Abtretung der Rechte am eigenen Bild als einer rechtlich bindenden Verpflichtung nicht zugängliches Geschäft anzusehen, das jederzeit und frei widerrufbar sein solle. Dies gelte grundsätzlich nicht nur für bekannte Persönlichkeiten, die ihren Namen oder ihr Bild mit Lizenzverträgen für kommerzielle Zwecke zur Verfügung stellen, sondern auch für diejenigen, die sich nur gelegentlich bzw. einmal im Leben öffentlich zur Schau stellen.174 Auch in der persönlichkeitsrechtlichen Literatur wird vereinzelt aus Gründen der Rechtssicherheit die Unwiderruflichkeit angenommen.175 Büchler führt dazu aus, dass es widersinnig sei, die vertragliche Bindung nicht auszuschließen aber dennoch die Widerrufbarkeit der Einwilligung anzunehmen.176 Speziell in der datenschutzrechtlichen Literatur wird vertreten, dass das Recht zum Widerruf auch dann bestehe, wenn dies im Widerspruch zu einer vertraglichen Vereinbarung zwischen der betroffenen Person und dem Datenbearbeiter steht.177 Dies leite sich aus dem allgemeinen Grundsätzen nach Art. 27 Abs. 2 ZGB ab.178 Das Verbot der übermäßigen Selbstbindung beschränke insoweit die Bächli, Das Recht am eigenen Bild, Basel 2002, S. 174. BGE 5A_827/2009. 174 BGE 5A_827/2009, 5.2.2. 175 Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 111; Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 187. 176 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 187. 177 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 106; Rampini, in: Maurer- Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 14. 178 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 14. 172 173
B. Datenüberlassung als Leistungspflicht
123
Möglichkeit der Einwilligung, dass es zur jederzeitigen Widerruflichkeit führe.179 Erfolgt der Widerruf zur Unzeit mache sich die betroffene Person allenfalls schadensersatzpflichtig.180 In der Schweiz ist also im Bereich des Datenschutzrechts auch von der jederzeitigen Widerrufbarkeit der Einwilligung auszugehen.
II. Erfüllung – Leistungshandlung oder Leistungserfolg? Das Schuldrecht beschreibt in Bezug auf den Begriff der Leistung sowohl bestimmte Verhaltenspflichten des Schuldners als auch die Verwirklichung von Gläubigerinteressen. Der Leistungsbegriff ist damit „ambivalent“181 oder genauer gesagt „doppeldeutig“182. So gibt es Vorschriften, die auf die persönliche Rechtspflicht des Schuldners und sein Verhalten abstellen, vgl. §§ 241 S. 2, 320 ff., 293 ff. BGB und solche, die den Leistungserfolg in den Mittelpunkt rücken, wie es bei § 362 BGB der Fall ist.183 Dieser trifft eine zentrale Aussage über die Leistung im deutschen Recht, nämlich, dass das Schuldverhältnis erlischt, wenn die geschuldete Leistung an den Gläubiger bewirkt wird. Auch in Österreich wird gem. § 1412 ABGB die Verbindlichkeit „vorzüglich durch die Zahlung, das ist, durch die Leistung dessen, was man zu leisten schuldig ist, aufgelöst.“ In der Schweiz wird die Erfüllung nicht legal definiert, es besteht jedoch Einigkeit, dass die Erfüllung voraussetzt, dass die geschuldete Leistung an den Gläubiger erbracht wird.184 Die Unterscheidung zwischen Leistungshandlung und -erfolg ist freilich nicht von Bedeutung, wenn beide zusammenfallen, was bei nicht erfolgs bestimmten Betätigungspflichten und vor allem Unterlassungspflichten der Fall ist.185 In allen anderen Fällen bleibt jedoch die Frage, ob schon bewirkt, also geleistet ist, wenn der Schuldner sich seiner Vertragspflicht entsprechend verhalten hat, oder ob zusätzlich auch der entsprechende Leistungserfolg, also die Befriedigung des Gläubigerinteresses eintreten muss.186 Vor allem in der älteren Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 93. Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 106; Rampini, in: Maurer- Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 14, darauf wird später noch genauer einzugehen sein, vgl. hierzu Kapitel 4, C, IV, 1. 181 So Kramer, in: Münchner Kommentar zum BGB, 4. Aufl. 2001, § 241 Rn. 7. 182 Dazu grundlegend Wieacker, Leistungshandlung und Leistungserfolg, in: Dietz/Hübner (Hrsg.), Festschrift für Hans Carl Nipperdey zum 70. Geburtstag, München 1965, S. 787. 183 Kramer, in: Münchner Kommentar zum BGB, 4. Aufl. 2001, § 241 Rn. 7. 184 Schwenzer, Schweizer Obligationenrecht, 5. Aufl. 2009, S. 495. 185 Kramer, in: Münchner Kommentar zum BGB, 4. Aufl. 2001, § 241 Rn. 7; Olzen, in: Staudinger (Hrsg.), Kommentar zum BGB (2005), Band 2, § 241 Rn. 136. 186 Wieacker, Leistungshandlung und Leistungserfolg, in: Dietz/Hübner (Hrsg.), Festschrift für Hans Carl Nipperdey zum 70. Geburtstag, München 1965, S. 787. 179
180
124
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
Literatur wird teilweise die Meinung vertreten, dass sich die Verpflichtung des Schuldners nicht auf den Leistungserfolg richte, sondern auf die Vornahme der den Erfolg herbeiführenden Leistungshandlung.187 Die Leistungspflicht ende, wenn der Schuldner alles zur Leistung seinerseits Erforderliche getan habe.188 Was zur Bewirkung der Leistung erforderlich sei, bemesse sich nach dem Schuldinhalt.189 Die überwiegende Meinung im Schrifttum hält jedoch den Leistungsbegriff für erfolgsbezogen.190 Vor allem der unpersönliche Wortlaut des § 362 BGB „an den Gläubiger bewirkt wird“ lasse keinen Zweifel, dass die Erfüllung nichts anderes meint, als die Verwirklichung des Gläubigerinteresses und zwar ohne Beziehung auf das Verhalten des Schuldner.191 Übertragen auf die hier untersuchten Schuldverhältnisse mit dem Inhalt „Daten als Leistung“ muss also erörtert werden, ob ein über die Leistungshandlung hinausgehender Erfolg geschuldet ist. Wie bereits dargelegt, verpflichtet sich der Schuldner der datenverarbeitenden Stelle bestimmte personenbezogene Daten zu überlassen, bzw. ihr die Erhebung und Speicherung derselben zu ermöglichen. Damit der Datengläubiger diese auch entsprechend dem Vertragszweck nutzen und verwenden kann, schuldet der Betroffene auch die Einräumung einer entsprechenden Nutzungs- oder Verwendungsbefugnis in Form des datenschutzrechtlichen Einverständnisses. Die Leistungshandlung liegt also in der Erteilung des datenschutzrechtlichen Einverständnisses bezogen auf die Erhebung, Speicherung und Verwendung von personenbezogenen Daten. Die Interessen des Gläubigers, die regelmäßig darin liegen, die erlangten Daten zu Werbe- oder sonstigen kommerziellen Zwecken zu verwenden, werden jedoch nur befriedigt, wenn dieses Einverständnis auch wirksam ist. Daher ist gerade in der Befugnis, Daten erheben, speichern und nutzen zu dürfen der über die Leistungshandlung hinausgehende Erfolg zu sehen. Das Schuldverhältnis mit dem Inhalt „Daten als 187 Für das deutsche Recht: Esser, Schuldrecht AT und BT, 2. Aufl. 1960, S. 94; für Österreich: Gschnitzer, in: Klang (Hrsg.), Kommentar zum ABGB, 2. Aufl. 1968, Band IV/1, S. 21. 188 Esser, Schuldrecht AT und BT, 2. Aufl. 1960, S. 94. 189 Esser, Schuldrecht AT und BT, 2. Aufl. 1960, S. 94. 190 Für Deutschland: Larenz, Schuldrecht Allgemeiner Teil Band 1, 13. Aufl. 1982, S. 293; Wieacker, Leistungshandlung und Leistungserfolg, in: Dietz/Hübner (Hrsg.), Festschrift für Hans Carl Nipperdey zum 70. Geburtstag, München 1965, S. 790 ff.; Gernhuber/Lange, Die Erfüllung und ihre Surrogate, 2. Aufl. 1994, S. 99; auch BGHZ 40, 326 (331); BGHZ 87, 156 (162); m. w. N. Kramer, in: Münchner Kommentar zum BGB, 4. Aufl. 2001, § 241 Rn. 7; für Österreich: Koziol, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 1412 Rn. 3; für die Schweiz: Schwenzer, Schweizer Obligationenrecht, 5. Aufl. 2009, S. 495; Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band II, 9. Aufl. 2008, Rn. 2006. 191 Wieacker, Leistungshandlung und Leistungserfolg, in: Dietz/Hübner (Hrsg.), Festschrift für Hans Carl Nipperdey zum 70. Geburtstag, München 1965, S. 790 f.
B. Datenüberlassung als Leistungspflicht
125
Leistung“ kann durch den Datenschuldner nur durch die Erteilung eines wirk samen datenschutzrechtlichen Einverständnisses gem. § 4a BDSG, § 4 Z. 14 DSG 2000 oder Art. 4 Abs. 5 DSG erfüllt werden. Ob der Datengläubiger seine konkreten kommerziellen Interessen dann auch tatsächlich verwirklichen kann ist dagegen unerheblich und vom Betroffenen auch nicht geschuldet. Die datenverarbeitende Stelle trägt insoweit das Verwendungsrisiko. Ob das datenschutzrechtliche Einverständnis im Einzelfall wirksam ist, vermag der Betroffene jedoch regelmäßig weder zu beurteilen noch zu beeinflussen, da es sich in der Praxis meist um formularmäßig eingeholte Einverständnis erklärungen handelt, die Frage der Wirksamkeit – wie bereits aufgezeigt – oft an die Beantwortung schwieriger Rechtsfragen geknüpft ist und tatsächlich auch in der Sphäre des Datengläubigers liegt. Der Betroffene hat jedoch vertragswidriges Verhalten zu unterlassen und alles zu tun, was zur Herbeiführung des Leistungserfolgs von ihm nach Treu und Glauben und der Beachtung der im Verkehr erforderlichen Sorgfalt erwartet werden kann. Tritt der Leistungserfolg nicht ein, wird der Schuldner nicht von seiner Leistungspflicht frei, er muss also seine Leistungshandlung wiederholen oder die zusätzlich erforderlichen Erklärungen abgeben.192 Der Schuldner wird also regelmäßig verpflichtet sein, das datenschutzrechtliche Einverständnis erneut zu erteilen. Hat der Betroffene die Unwirksamkeit der Einwilligung beispielsweise durch die Angabe falscher Daten verschuldet oder hat er den Gläubiger bewusst über seine Befugnis zur Erteilung des Einverständnisses getäuscht, so sind Sekundäransprüche des Gläubigers durchaus denkbar.193
III. Durchsetzbarkeit der Leistungspflicht Üblicherweise wird das datenschutzrechtliche Einverständnis zusammen mit dem Abschluss des Vertrages erteilt, weshalb die Frage der Durchsetzbarkeit in der Praxis eine untergeordnete Rolle spielen dürfte. Denkbar wäre jedoch auch, dass die Einwilligung erst später gesondert erteilt wird, sei es, weil die Einwilligung bei Vertragsschluss einfach noch nicht erteilt wurde oder der Gläubiger sich zur Vorleistung verpflichtet hat.194 Weigert sich der Schuldner seiner Verpflichtung nachzukommen müsste die datenverarbeitende Stelle versuchen, einen Titel auf Angabe der geschuldeten personenbezogenen Daten und der Erteilung der entsprechenden Einwilligung zu erwirken. Hier stellt sich die Frage, ob Fetzer, in: Münchner Kommentar zum BGB, 7. Aufl. 2016, § 362 Rn. 2. Vgl. hierzu auch Kapitel 3, C, II. 194 Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 66 f. 192 193
126
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
der Betroffene für die Schuld – vorliegend die Verpflichtung zur Leistung von personenbezogenen Daten – auch haften muss. 1. Unvollkommene Verbindlichkeiten Neben den einklagbaren Leistungspflichten (sog. vollkommene Verbindlichkeiten) kennt die deutsche aber auch die österreichische und schweizer Rechtsordnung Forderungen, die nicht vom Gläubiger im Wege der Klage und der Zwangsvollstreckung durchgesetzt werden können.195 Bei diesen sog. unvollkommenen Verbindlichkeiten oder Naturalobligationen handelt es sich um Verbindlichkeiten ohne Haftung; sie können vom Schuldner erfüllt werden, der Gläubiger kann ihre Erfüllung jedoch nicht erzwingen.196 Der Schuldner kann dennoch freiwillig leisten, sich aber im Nachhinein nicht darauf berufen, es habe kein Anspruch bestanden. Dies ergibt sich im österreichischen Recht direkt aus § 1432 ABGB. Die abgeschwächte Wirkung der Forderung beruht auf der grundsätzlichen Missbilligung des Erfüllungszwangs197 und setzt sich auch auf der Ebene der Sekundäransprüche fort. Unvollkommene Verbindlichkeiten entstehen kraft Gesetz – wie beispielsweise bei Forderungen aus Spiel und Wette gem. §§ 762 ff. BGB bzw. Art. 513 OR – oder kraft Vereinbarung.198 Die Parteien können sich grundsätzlich also auf einen Verzicht der Zwangsbefugnisse aus einem Forderungsrecht einigen.199 Eine solche Vereinbarung muss sich aber eindeutig aus den Willenserklärungen der Parteien ergeben 200, was meist nicht der Fall sein dürfte.
195 Für Deutschland: Grüneberg/Sutschet, in: Bamberger/Roth (Hrsg.), Kommentar zum BGB, Band 1, 2. Aufl. 2007, § 241 Rn. 24; für Österreich: Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 25; für die Schweiz: Guhl/Merk/Koller, in: Guhl (Hrsg.), Das Schweizerische Obligationenrecht, 8. Aufl. 1991, S. 16. 196 Für Deutschland: Schlechtriem/Schmidt-Kessel, Schuldrecht AT, 6. Aufl. 2005, S. 15; für Österreich: Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 25; für die Schweiz: Guhl/Merk/Koller, in: Guhl (Hrsg.), Das Schweizerische Obligationenrecht, 8. Aufl. 1991, S. 16. 197 Für Deutschland: Schulze, Die Naturalobligation, Tübingen 2008, S. 252; für die Schweiz: Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 27. 198 Schulze, Die Naturalobligation, Tübingen 2008, S. 252; für die Schweiz: Furrer/Müller Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 27. 199 Für Deutschland: Schulze, Die Naturalobligation, Tübingen 2008, S. 252; für die Schweiz: Guhl/Merk/Koller, in: Guhl (Hrsg.), Das Schweizerische Obligationenrecht, 8. Aufl. 1991, S. 18. 200 Für Deutschland: Schulze, Die Naturalobligation, Tübingen 2008, S. 252; für die Schweiz: Guhl/Merk/Koller, in: Guhl (Hrsg.), Das Schweizerische Obligationenrecht, 8. Aufl. 1991, S. 18.
B. Datenüberlassung als Leistungspflicht
127
2. Einwand des rechtsmissbräuchlichen Handelns Doch auch wenn man von einer vollkommenen „echten“ Verbindlichkeit ausgeht, ist ihre Durchsetzbarkeit zweifelhaft. Die Berufung auf ein subjektives Recht kann rechtsmissbräuchlich sein, wenn sich bei richtiger materieller Betrachtung herausstellt, dass die Rechtsposition so nicht vorhanden ist, wie es scheint.201 Wer also weiß, dass dem Schuldner ein entsprechender Gegen anspruch zusteht, handelt rechtsmissbräuchlich, wenn er die Leistung dennoch verlangt. (sog. dolo-agit-Einwand). Dies ergibt sich im deutschen Recht aus § 242 BGB. Auch in Österreich wird diese Wertung immer wieder vom Obersten Gerichtshof herangezogen und beruht auch auf dem aus dem römischen Recht stammenden Rechtssatz „dolo agit qui petit quod redditurus“.202 So entschied das Gericht beispielsweise in einer mietrechtlichen Streitigkeit, dass kein legitimes Interesse am Erheben eines Aufwandersatzanspruchs des Mieters erkennbar sei, wenn er einen allenfalls erhaltenen Betrag umgehend zurückgeben müsste, weil (spätestens) die Zahlung durch den beklagten Vermieter einen deckungsgleichen Schadensersatzanspruch begründen würde.203 In der Schweiz lässt sich dieser Grundsatz Art. 2 Abs. 2 ZGB entnehmen, wonach der offenbare Missbrauch eines Rechts keinen Rechtsschutz findet. Er gehört zur Fallgruppe der unnützen Rechtsausübung und wird grundsätzlich sehr restriktiv gehandhabt.204 Bei einem Vertrag mit dem Inhalt „Daten als Leistung“ besteht zwar – wie bereits aufgezeigt – eine Leistungspflicht des Schuldners. Jedoch muss die datenverarbeitende Stelle jederzeit mit dem Widerruf des Betroffenen rechnen. Es wäre also sinnlos die Erfüllung der Leistungspflicht zu verlangen, wenn der Schuldner die Erfüllung jederzeit mittels des Widerrufs verhindern könnte. Die jederzeitige Widerrufbarkeit bedeutet, dass es in Bezug auf die Rechtsgrund lage für die Datenverwendung – nämlich des datenschutzrechtlichen Einverständnisses – keinen Rechtsanspruch gibt bzw. nur soweit und solange der Betroffene dies zulässt.205
201 Für Deutschland: Roth/Schubert, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 242 Rn. 408; für Österreich: Mader, JBl 1998, 677 (678); für die Schweiz: Honsell, in: Honsell/Vogt/Geiser (Hrsg.), Zivilgesetzbuch Band I, 4. Aufl. 2010, Art. 2 Rn. 40. 202 OGH, 1 Ob 936/27; OGH, 8Ob290/63; OGH, 7Ob136/70; OGH, 3Ob22/88; OGH, 4Ob1523/94; OGH, 3Ob182/94; OGH, 4Ob199/13p. 203 OGH, 4 Ob 199/13p. 204 Honsell, in: Honsell/Vogt/Geiser (Hrsg.), Zivilgesetzbuch Band I, 4. Aufl. 2010, Art. 2 Rn. 40. 205 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 174.
128
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
3. Durchsetzung im Wege der Zwangsvollstreckung Aber selbst, wenn man dem nicht folgen wollte ist die zwangsweise Durchsetzung der Leistungspflicht fraglich. Je nachdem, ob die geschuldeten Daten nur vom Schuldner angegeben oder auch von einem Dritten ermittelt werden können, müsste das Prozessgericht entweder durch die Anordnung eines Zwangsgelds oder ersatzweise von Zwangshaft den Betroffenen zur Angabe der geschuldeten Daten anhalten, vgl. § 888 D-ZPO, § 355 Abs. 1 Exekutionsordnung (EO)206 bzw. Art. 343 Abs. 1 lit. a-c S-ZPO oder den Gläubiger ermächtigen, einen Dritten mit der Ermittlung der Daten zu beauftragen, vgl. § 887 D-ZPO, § 353 Abs. 1 EO bzw. Art. 343 Abs. 1 lit. e S-ZPO. Qualifiziert man – wie hier vertreten 207 – das datenschutzrechtliche Einverständnis als rechtsgeschäftliche Willenserklärung könnte man den erlangten Titel gem. § 894 D-ZPO, § 367 Abs. 1 EO bzw. Art. 344 Abs. 1 S-ZPO vollstrecken. Die Einwilligung gelte dann nach der Erteilung einer vollstreckbaren Ausfertigung des rechtskräftigen Urteils als erteilt, vgl. § 894 S. 2 D-ZPO, § 367 Abs. 1 EO bzw. Art. 344 Abs. 1 S-ZPO. Diese Lösung begegnet im Hinblick auf das Informationelle Selbstbestimmungsrecht jedoch einigen Bedenken. Die Literatur hat sich bisher nur wenig – bzw. in Österreich und der Schweiz soweit ersichtlich gar nicht – mit der Zwangsvollstreckung von Persönlichkeitsrechten befasst; die bisher im deutschen Recht bestehenden Beiträge befassen sich vorwiegend mit der Vollstreckung in Persönlichkeitsrechte.208 Im deutschen Recht lässt sich der Regelung des § 888 Abs. 3 D-ZPO209 nach wie vor die Wertung entnehmen, dass die Ausübung von Persönlichkeitsrechten nicht auf dem Wege der Zwangsvollstreckung bewirkt werden sollte.210 Diese Vorschrift dient der Wahrung elementarer Frei206 Gesetz vom 27. Mai 1896, über das Exekutions- und Sicherungsverfahren (Exekutions ordnung – EO). 207 Vgl. hierzu vorne Kapitel 2, A, II. 208 Zuerst wohl Hubmann, Die Zwangsvollstreckung in Persönlichkeits- und Immaterialgüterrechte, in: Das deutsche Privatrecht in der Mitte des 20. Jahrhunderts, Festschrift für Lehmann, S. 812; Taupitz/Müller, Rufausbeutung nach dem Tode, wem gehört der Profit?, 2002, S. 49; Sosnitza, JZ 2004, 992; ausführlich hierzu Freundenberg, Zwangsvollstreckung in Persönlichkeitsrechte, 1. Aufl. 2006, S. 25 ff. 209 Bis 2009 lautete § 888 Abs. 3 D-ZPO wie folgt: „Diese Vorschriften kommen im Falle der Verurteilung zur Eingehung einer Ehe, im Falle der Verurteilung zur Herstellung des ehelichen Lebens und im Falle der Verurteilung zur Leistung von Diensten aus einem Dienstvertrag nicht zur Anwendung.“ 210 BGH, GRUR 1978, 583 (585) – Motorsäge; so auch Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 67 für die Einwilligung am Recht am eigenen Bild bzgl. § 888 Abs. 3 D-ZPO a. F.; a. A. Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 161.
B. Datenüberlassung als Leistungspflicht
129
heitsrechte und der Selbstbestimmung. Eine Rechtsstellung, die einem anderen – außerhalb der gesetzlichen Erlaubnistatbestände – die Befugnis verleiht, zum Beispiel über die Anfertigung von Bildnissen und Tonaufnahmen oder über die Preisgabe von personenbezogenen Daten zu befinden ist nicht mit Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG vereinbar.211 Ein entsprechender gesetzlicher Anknüpfungspunkt findet sich in der österreichischen Exekutionsordnung und der schweizer Zivilprozessordnung leider nicht.
IV. Dauerschuldcharakter Das Schuldrecht ist in seinen Regeln ganz überwiegend auf die Erbringung und den Austausch von Leistungen zugeschnitten, welche nur in einem einmaligen Vorgang erbracht werden.212 Auch in Österreich und der Schweiz kann das Schuldverhältnis auf eine einmalige Leistung bzw. einen einmaligen Leistungsaustausch – in Österreich sog. Zielschuldverhältnis in der Schweiz auch sog. einfache Schuld – oder auf immer wiederkehrende Leistungen gerichtet sein, sog. Dauerschuldverhältnis.213 Letzteres ist dadurch gekennzeichnet, dass ein dauerndes bestimmtes Verhalten oder wiederkehrende Leistungen geschuldet werden.214 Entscheidend für den Charakter als Dauerschuldverhältnis ist, dass der Umfang der Gesamtleistung von der Länge der Zeit abhängt und nicht schon von vorne herein bestimmt ist.215 Sie enden nicht mit der Erfüllung sondern mit Ablauf der vereinbarten Zeit oder durch Kündigung.216 Bei einem Schuldverhältnis mit dem Inhalt „Daten als Leistung“ werden, wie bereits erwähnt, die Angabe bzw. Erlaubnis zur Erhebung und Speicherung von personenbezogenen Daten geschuldet sowie die Erteilung einer bestimmten Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 280; ähnlich auch OLG Köln, MDR 1973, 768 keine Vollstreckung einer privatrechtlichen Verpflichtung zur Teilnahme an religiösen Handlungen aufgrund Art. 4 GG. 212 Schmidt-Kessel, in: Prütting/Wegen/Weinreich (Hrsg.), Kommentar zum BGB, 9. Aufl. 2014, § 241 Rn. 29. 213 Für Österreich: Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 8; Mayrhofer, Das Recht der Schuldverhältnisse, 3. Aufl. 1986, S. 24; für die Schweiz: Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 23. 214 Grüneberg/Sutschet, in: Bamberger/Roth, Kommentar zum BGB, Band 1, 2. Aufl. 2007, § 241 Rn. 27. 215 Für Deutschland: Larenz, Schuldrecht Allgemeiner Teil Band 1, 13. Aufl. 1982, S. 29; für Österreich Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 8; für die Schweiz: Gauch, System der Beendigung von Dauerverträgen, Freiburg 1968, S. 6; BGE 128 III 430 E. 3b. 216 Für Österreich: Rummel, in: Aicher/Rummel (Hrsg.), Kommentar zum Allgemeinen Bürgerlichen Gesetzbuch, Band 1, 3. Aufl. 2000, § 859 Rn. 28; für die Schweiz: Gauch/Schlupp, Schweizerisches Obligationenrecht AT Band I, 9. Aufl. 2008, S. 23. 211
130
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
Nutzungsbefugnis. Im Regelfall müssen also sog. Stamm- bzw. Bestandsdaten für die Einrichtung eines Kontos bzw. Accounts oder der Ausstellung einer Kundenkarte angegeben, sowie eine Erlaubnis zur Erhebung von sog. Nutzungsdaten 217 erteilt werden. Letztere werden nicht zu Beginn sondern über die gesamte Dauer des Schuldverhältnisses hinweg erhoben und verarbeitet bzw. verwendet. Ihr Gesamtumfang steht bei Vertragsschluss nicht fest und hängt meist allein vom Betroffenen und seinem Nutzungsverhalten ab. Damit diese Daten immer wieder erhoben, gespeichert, verarbeitet und genutzt werden dürfen bedarf es zu jedem Zeitpunkt eines wirksamen datenschutzrechtlichen Einverständnisses. Für das österreichische Datenschutzrecht führt Reimer dazu aus, dass „ein Vertrag, in dem der Verwendung von Daten zugestimmt wird, […] als Dauerschuldverhältnis zu betrachten“ ist.218 Damit ordnet er nicht nur Verträge mit dem Inhalt „Daten als Leistung“ als Dauerschuldverhältnisse ein, sondern lässt auch Rückschlüsse auf seine Sichtweise bzgl. des Verhältnisses zwischen Schuldverhältnis und Zustimmung zu.219 Daher kann bei einem Vertrag mit dem Inhalt „Daten als Leistung“ in allen drei Rechtsordnungen von einem Dauerschuldverhältnis ausgegangen werden.220
V. Verknüpfung der Leistungspflichten und Koppelungsverbot Eine besondere Stellung im Schuld- bzw. Obligationenrecht haben die gegen seitigen Verträge, also solche, bei denen die beiderseitigen Leistungspflichten im Verhältnis von Leistung und Gegenleistung stehen, weil jede Partei die betreffende Pflicht nur zu dem Zweck übernimmt, von der anderen dafür eine bestimmte Gegenleistung zu erhalten („do ut des“).221 Kennzeichnend für diese Verträge ist die daraus typischerweise folgende gegenseitige Abhängigkeit der beiderseitigen Leistungspflichten, die in einem Austauschverhältnis (Synallag217 Dies
sind regelmäßig Daten über das Nutzungsverhalten des Betroffenen, beispielsweise über die Waren oder Dienstleistungen die er konsumiert. 218 So im Ergebnis feststellend auch Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 177. 219 Dazu später Kapitel 4, B, I. 220 So im Ergebnis für Deutschland auch Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 184; Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 45; für Österreich: Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 177. 221 Für Deutschland: Emmerich, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, Vorbemerkungen zu §§ 320 ff. Rn. 3; für Österreich: Krejci, Privatrecht 7. Aufl. 2007, S. 45; Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 4; für die Schweiz: Guhl/Merk/ Koller, in: Guhl (Hrsg.), Das Schweizerische Obligationenrecht, 8. Aufl. 1991, S. 20; Gauch/ Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 48.
B. Datenüberlassung als Leistungspflicht
131
ma) stehen.222 Betrachtet man nun die hier zu Grunde gelegten Geschäftsmodelle wird schnell ersichtlich, dass der Datenumgang für die verarbeitende Stelle den entscheidenden wirtschaftlichen Faktor darstellt. So verhält es sich beim sog. „Prämienvertrag“ bei Anbietern wie Payback, der den Kunden zum Erhalt von Bonuspunkten und deren Eintausch in Prämien berechtigt und ihn gleichzeitig zur Preisgabe bestimmter Daten verpflichten will223, sowie bei sozialen Netzwerken wie Facebook, My-Space und Co., die ihre IT-Dienstleistung nur Mitgliedern zur Verfügung stellen, deren personenbezogene Daten sie zu Werbezwecken verwenden dürfen oder Unternehmen wie Google, die ihre Online- Dienste wie die Suchmaschine, E-Mail-Accounts, Google Alerts etc. ausschließ lich gegen die Protokollierung und Auswertung des Onlineverhaltens der Nutzer anbieten.224 All diese Geschäftsmodelle sind auf die Erlangung und Verwertung von personenbezogenen Daten des Betroffenen ausgerichtet. Die dahinter stehenden Unternehmen bieten ihre Dienstleistungen nicht aus Altruismus an, sondern um in den Genuss der versprochenen (Gegen-) Leistung zu kommen. Damit stehen die Leistungsplichten bei einem Vertrag mit dem Inhalt „Daten als Leistung“ in einem synallagmatischen Austauschverhältnis.225 1. Koppelungsverbot des § 28 Abs. 3b BDSG Doch gerade diese Verknüpfung von Leistungspflichten ist im Hinblick auf das deutsche datenschutzrechtliche Koppelungsverbot problematisch. So darf im Bereich der Werbung bzw. des Adresshandels gem. § 28 Abs. 3b S. 1 BDSG der Abschluss des Vertrages nicht von der Einwilligung abhängig gemacht werden, wenn dem Betroffenen ein anderer Zugang zu einer gleichwertigen vertraglichen Leistung ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Erfasst werden hier also alle Konstellationen, in denen sich der Betroffene zwar nicht mit einer bestimmten Datenverarbeitung und Nutzung einverstanden Für Deutschland: Larenz, Schuldrecht Allgemeiner Teil Band 1, 13. Aufl. 1982, S. 187; Emmerich, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, Vorbemerkungen zu §§ 320 ff. Rn. 3; Schlechtriem/Schmidt-Kessel, Schuldrecht AT, 6. Aufl. 2005, S. 92; für Österreich: Krejci, Privatrecht, 7. Aufl. 2007, S. 45; Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 4; für die Schweiz: Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 48. 223 Vgl. dazu ausführlich Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 44 ff. 224 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 41 f. 225 So für das deutsche Recht auch Buchner, DuD 2010, 39 (39); Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 44; Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 184; Beisenherz/Tinnefeld, DuD 2011, 110 (114); im schweizer Recht werden obligatorische Dispositionen über Persönlichkeitsgüter als vollkommen zweiseitige Lizenzverträge eingeordnet, vgl. hierzu Kapitel 4, C, I. 222
132
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
erklären muss, in denen er aber, wenn er es nicht tut auch die Gegenleistung nicht bekommt, also nicht Mitglied eines sozialen Netzwerks wird, kein E-Mail- Konto einrichten kann oder keine Kundenkarte erhält.226 Der Betroffene soll aber über die Verarbeitung und Nutzung seiner Daten frei entscheiden können und nicht allein deshalb in eine Datenverarbeitung und Nutzung einwilligen müssen, weil er sonst auf die Leistung gänzlich verzichten muss.227 Wann der Zugang zu einer gleichwertigen Leistung i. S. d. § 28 Abs. 3b BDSG gegeben ist und welche Leistungsmerkmale eines anderen Angebots noch mit denen des ursprünglichen übereinstimmen müssen damit ersteres noch als zumutbares Alternativangebot angesehen werden kann, ist weitgehend unklar.228 Auf die Identität in allen Einzelheiten kann es jedenfalls nicht ankommen, das Alternativangebot sollte jedoch den Kern der ursprünglichen Leistung umfassen.229 Sicher finden sich auch datenschutzfreundliche Zugangsalternativen zu den Online-Diensten von Google230 oder zu Social Media Diensten wie Facebook.231 Allein die Tatsache, dass diese vielleicht nicht kostenlos angeboten werden oder nicht über identische Optionen und Extras verfügen macht sie als Alternative noch nicht unzumutbar.232 Jedoch ist der Nutzen für den einzelnen Betroffenen erheblich eingeschränkt, wenn sich alle „Bekannten und Freunde“ in anderen Netzwerken aufhalten oder ein relevanter Personenkreis einen anderen Online-Dienst nutzt. Trotz einer bestehenden Substituierbarkeit können Leistungen oder Dienste des dominierenden Anbieters also Besonderheiten aufweisen, die sie von anderen Anbietern auf dem Markt unterscheiden, so dass es unzumutbar erscheint, den Betroffenen auf einen anderen Anbieter zu verweisen.233 Einzelne Autoren schlagen daher vor, der Variante „Daten gegen Leistung“ auch die Alternative „Geld gegen Leistung“ zur Seite zu stellen.234 Dies böte für den Betroffenen die Möglichkeit, statt den Dienst kostenlos in Anspruch zu nehmen und in die Verarbeitung personenbezogener Daten einzuwilligen, beispielsweise ein Entgelt zu entrichten, dafür aber keiner Datenverarbeitung zustimmen zu müsBuchner, DuD 2010, 39 (41). Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 265. 228 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 265. 229 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 265. 230 Startpage wirbt selbst auf seiner Homepage damit, die diskreteste Suchmachine der Welt zu sein. 231 Beispielsweise verknüpft das Netzwerk Diaspora seine Leistung nicht mit der Erteilung der datenschutzrechtlichen Einwilligung. 232 Schafft/Ruoff, CR 2006, 499 (504). 233 Kühling/Seidel/Sivridis, Datenschutzrecht, 2. Aufl. 2011, S. 120. 234 Bräutigam, MMR 2012, 635 (636); Schafft/Ruoff, CR 2006, 499 (504). 226 227
B. Datenüberlassung als Leistungspflicht
133
sen.235 Wenn der Nutzer bei Abschluss des Vertrages die Wahl hätte, ob er mit Geld oder mit seinen Daten bezahlen möchte, könne an der Freiwilligkeit der Einwilligung kein Zweifel bestehen.236 Dieser Vorschlag wird aber den Interessen der Parteien nicht gerecht und geht auch an der Praxis vorbei.237 Der Erfolg von Facebook, Payback, Google und Co. zeigt, dass es offenbar ein Bedürfnis nach solchen vermeintlich kostenlosen Angeboten und Dienstleistungen gibt. Nimmt man aber das Koppelungsverbot ernst, so bedeutet das wohl das Ende dieser Geschäftsmodelle.238 Buchner vertritt daher die Ansicht, dass man in diesen Konstellationen die datenschutzrechtliche Maxime der Freiwilligkeit nicht überstrapazieren darf.239 Eine unzulässige Koppelung liege erst dann vor, wenn der Betroffene keine echte Entscheidungsfreiheit mehr habe, weil er auf den Vertrag tatsächlich angewiesen sei.240 Der Einzelne habe jedoch die Freiheit zu entscheiden, ob er lieber auf die Vertraulichkeit seiner Daten verzichten wolle oder stattdessen auf die Kundenkarte mit ihren Rabatten, Prämienpunkten und Geschenken, die Mitgliedschaft in einem sozialen Netzwerk oder die Nutzung von bestimmten Online-Diensten.241 Im Ergebnis muss man dieser Auffassung wohl zustimmen. Dogmatisch lässt sich dies auch mit dem ursprünglichen Telos der Norm begründen. Ursprünglich stammt das Koppelungsverbot aus dem Telekommunikationsrecht, vgl. § 95 Abs. 5 TKG a. F. Der Gesetzgeber wollte verhindern, dass der Telekommunikationsanbieter den Abschluss des Telekommunikationsvertrages von der Einwilligung in die Nutzung der personenbezogenen Daten des Kunden abhängig macht. Es sollten also Verträge geregelt werden, deren Hauptleistungsgegenstand nicht personenbezogene Daten, sondern Telekommunikationsleistungen und Entgelte betrifft. Dass personenbezogene Daten einmal selbst Gegenstand einer Hauptleistungspflicht werden könnten war nicht vorgesehen. Deshalb erscheint es sinnvoll, das Koppelungsverbot des § 28 Abs. 3b S. 1 BDSG wieder auf diesen ursprünglichen Zweck zu reduzieren. 2. Koppelung in Österreich Die Verknüpfung von gegenseitigen Leistungspflichten bereitet in Österreich – aufgrund des Fehlens einer dem § 28 Abs. 3b BDSG entsprechenden RegeSpindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 28 BDSG Rn. 21. 236 Schafft/Ruoff, CR 2006, 499 (504). 237 Wie Bräutigam, MMR 2012, 635 (636) auch selbst einräumt. 238 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 268. 239 Buchner, DuD 2010, 39 (41). 240 Buchner, DuD 2010, 39 (41). 241 Buchner, DuD 2010, 39 (41). 235
134
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
lung – weniger Schwierigkeiten, daher ist es nicht verwunderlich, dass dieser Problematik in der österreichischen Literatur vergleichsweise wenig Aufmerksamkeit geschenkt wird. Während im deutschen Schrifttum unter dem Stichwort „Koppelungsverbot“ sehr breit über die Verknüpfung der Leistung (des Datengläubigers) mit der Einwilligung diskutiert wird, ist der Begriff des Koppelungsverbots in der österreichischen Rechtsordnung nicht verbreitet. Lediglich in § 96 Abs. 2 Telekommunikationsgesetz 2003 (TKG 2003) ist eine spe zielle Regelung zu finden, wonach die Bereitstellung von Kommunikationsdiensten nicht von der Zustimmung zur Verwendung von Benutzerdaten für Vermarktungszwecke abhängig gemacht werden darf.242 Von dieser Regelung sind jedoch nur personenbezogene Daten erfasst, die für die Durchführung des jeweiligen Vertrages über Kommunikationsmittel benötigt werden, also solche, die die Erbringung der eigentlichen Hauptleistungen „Telekommunikationsdienste gegen Entgelt“ sichern sollen. Ebenfalls wird die Existenz eines umfassenden, allgemeinen Koppelungsverbots in der österreichischen Literatur nur sehr wenig thematisiert. Gegen die Annahme eines solchen (allgemeinen) Koppelungsverbots spricht nach Ansicht von Reimer vor allem die Einschränkung der Privatautonomie des Auftraggebers.243 Durch ein generelles Koppelungsverbot würde die Vertragsfreiheit zu sehr eingeschränkt werden, weil der datenschutzrechtliche Auftraggeber gewisse Bedingungen in seinem Vertrag nicht stellen dürfte.244 Es würde daher faktisch ein Kontrahierungszwang normiert, der eigentlich nur als Ausnahme vom Prinzip der Abschlussfreiheit in den vom Gesetz geregelten Fällen besteht.245 Die Datenschutzkommission ging jedenfalls in einer bereits geschilderten Entscheidung davon aus, dass die Verbindung von datenschutzrechtlicher Zustimmung und Vertragsschluss mit dem Merkmal der Freiwilligkeit nicht vereinbar sei.246 3. Abhängigkeitsverhältnisse in der Schweiz Auch die schweizer Rechtsordnung kennt den Begriff des Koppelungsverbotes nicht. Dennoch wird die Problematik eines Abhängigkeitsverhältnisses des Betroffenen von der datenverarbeitenden Stelle bzw. das Machtgefälle beim Abschluss von Verträgen in der Literatur diskutiert.247 Genannt werden in erster Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 164. Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 164. 244 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 164. 245 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 164. 246 Vgl. hierzu Kapitel 2, C, I, 2. 247 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, 242 243
B. Datenüberlassung als Leistungspflicht
135
Linie die Einschränkung der Entscheidungsfreiheit durch faktische oder rechtliche Abhängigkeiten, wie beispielsweise die des Arbeitnehmers vom Arbeitgeber im Rahmen eines Arbeitsverhältnisses248, aber auch die Unterlegenheit des Kunden gegenüber dem Unternehmer.249 Kunden seien oft gezwungen Vorgaben zu akzeptieren, die ihnen vom Vertragspartner gemacht werden. Diese Vorgaben können auch die Abgabe einer Einwilligung in eine Persönlichkeitsrechtsverletzung umfassen, so beispielsweise, wenn der Unternehmer den Vertragsabschluss an die Abgabe einer Einwilligung in die Datenverarbeitung knüpft.250 Schmid vertritt hierzu die Auffassung, dass eine Einwilligung in jedem Fall ungültig wäre, wenn es um einen persönlich oder wirtschaftlich existenziell wichtigen Vertrag gehe.251 Als Beispiel führt er einen Behandlungs vertrag oder einen wichtigen Versicherungsvertrag an.252 Ebenso müsse die Freiwilligkeit verneint werden, wenn der Betroffene keine Möglichkeit habe auf einen anderen Vertragspartner auszuweichen.253 Dagegen geht der Bundesrat davon aus, dass die alleinige Tatsache, eine Verweigerung der Einwilligung könne einen Nachteil für den Betroffenen nach sich ziehen, die Gültigkeit der Einwilligung nicht zu beeinträchtigen vermag.254 So gebe eine Person, die einem Kreditinstitut das Einverständnis zur Überprüfung ihrer Kreditwürdigkeit erteile, um eine Kreditkarte zu erhalten, ihre Einwilligung freiwillig, obwohl sie wisse, dass sie ohne ihre Einwilligung keine Karte erhalten hätte.255 Freiwillig handle auch eine Person, die an einem PreisausGenf 2007, S. 260; Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 375. 248 Im Arbeitsrecht wurde daher bzgl. der Einwilligung in die Datenbearbeitung eine Einwilligungsschranke gesetzlich normiert. Gem. Art. 328b OR darf der Arbeitgeber Personendaten über den Arbeitnehmer nur bearbeiten, soweit sie einen Bezug zur Durchführung des Arbeitsvertrages aufweisen. Eine darüber hinausgehende Einwilligung ist ungültig. Vgl. dazu ausführlich Rehbinder, Schweizerisches Arbeitsrecht, 15. Aufl. 2002, S. 115 ff. 249 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 259 f. 250 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 261. 251 Schmid, KMU und Datenschutz, in: Girsberger/Schmid, Rechtsfragen rund um die KMU, Zürich 2003, S. 164 f. 252 Schmid, KMU und Datenschutz, in: Girsberger/Schmid, Rechtsfragen rund um die KMU, Zürich 2003, S. 164 f. 253 Schmid, KMU und Datenschutz, in: Girsberger/Schmid, Rechtsfragen rund um die KMU, Zürich 2003, S. 164 f. 254 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127). 255 Botschaft zur Änderung des Bundesgesetzes über den Datenschutz (DSG) vom 19.02.2003, BBl. 2003, 2101 (2127); Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 97.
136
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
schreiben teilnimmt und dabei in die Nutzung ihrer Daten zu Werbezwecken einwilligt, weil sie ansonsten nicht teilnehmen könnte.256 Ebenso freiwillig sei die Entscheidung eines Bankkunden, der vor die Wahl gestellt werde, seiner Bank die Übermittlung seiner Personendaten im Zusammenhang mit einer Auslagerung von Geschäftsbereichen ins Ausland zu erlauben oder aber die Bankbeziehungen innerhalb einer bestimmten Frist abzubrechen.257 Für die Schweiz kann demnach festgehalten werden, dass sie zwar keine dem deutschen Koppelungsverbot vergleichbare normierte Regelung kennt, aber dennoch die Zulässigkeit der Verknüpfung von Vertrag und Einwilligung an den normierten Kriterien des Art. 4 Abs. 5 DSG – insbesondere an der Freiwilligkeit – misst. Die Literatur stellt jedoch, wie aufgezeigt, keine erhöhten An forderungen an die Freiwilligkeit und lässt es genügen, wenn der Betroffene in Kenntnis der Abhängigkeit dennoch einwillige. 4. Koppelungsverbot in der Datenschutzgrundverordnung Die neue Datenschutzgrundverordnung sieht im Gegensatz zur Richtlinie in Art. 7 Abs. 4 DS-GVO ein eigenes Koppelungsverbot vor. Hiernach soll bei der Beurteilung der Freiwilligkeit einer Einwilligung, dem Umstand Rechnung getragen werden, inwieweit die Leistung der datenverarbeitende Stelle von der selbigen abhängig gemacht werde, obwohl diese zur Erfüllung des Vertrages nicht erforderlich sei. Strenger noch ist die Formulierung in Erwägungsgrund Nr. 43: „Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“258 Unabhängig davon, was genau unter der Formulierung „größtmöglichem Umfang Rechnung tragen“ zu verstehen ist, kann nicht davon ausgegangen werden, dass der europäische Gesetzgeber, Geschäftsmodelle wie Facebook, Google und Co. sie verfolgen, jede Grundlage entziehen wollte. Freiwillig kann jedoch nur der Betroffene handeln, der sich auch dieser Verknüpfung von Leistung und Gegenleistung bewusst ist. Das Koppelungsverbot steht der vertraglichen Vereinbarung von Nutzungsbefugnissen an personenRosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 97. Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 97. 258 Verordnung (EU) 2016/679 des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Daten verkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) vom 27.04.2016, EG Nr. 43. 256 257
C. Behandlung von Leistungsstörungen
137
bezogenen Daten jedenfalls dann nicht entgegen wenn die Nutzungsbefugnis offen in ein Gegenleistungsverhältnis gestellt wird und die Funktion als Gegenleistung Teil des in der Einwilligung enthaltenen Zweckbestimmung ist.259
C. Behandlung von Leistungsstörungen Da sich die Literatur und Rechtsprechung bisher nur vereinzelt bzw. noch gar nicht mit den einzelnen Vertragsverhältnissen mit dem Inhalt „Daten als Leistung“ auseinandergesetzt hat, wurden auch die Rechtsfolgen einer Leistungsstörung nur wenig thematisiert. Im Folgenden soll vor allem auf die Rechtsfolgen des Widerrufs (1) und die Angabe falscher Daten (2) eingegangen werden.
I. Widerruf des datenschutzrechtlichen Einverständnisses als Pflichtverletzung Wie bereits zur Frage der Möglichkeit einer schuldrechtlichen Verpflichtung ausgeführt, ist das datenschutzrechtliche Einverständnis in allen drei Rechtsordnungen jederzeit und bedingungslos widerrufbar.260 Bei einem Vertrag mit dem Inhalt „Daten als Leistung“ wird die Überlassung bzw. Erlaubnis zur Erhebung und Verarbeitung von bestimmten personenbezogenen Daten und die Einräumung einer bestimmten durch die Parteien vereinbarten Nutzungsbefugnis geschuldet. Diese Leistungspflicht wird in erster Linie mit der Erteilung des Einverständnisses erfüllt, die der datenverarbeitenden Stelle die Erhebung, Verarbeitung und Nutzung bestimmter Daten über die gesamte Vertragsdauer gestattet. Wird dieses Einverständnis widerrufen, hat die datenverarbeitende Stelle die weitere Datenerhebung, Verarbeitung und Nutzung zu unterlassen und ist künftig nicht mehr zum Umgang mit den Daten – dies gilt auch für die bisher rechtmäßig erhobenen – berechtigt. Im deutschen Schuldrecht liegt eine Pflichtverletzung immer dann vor, wenn der Schuldner unberechtigter Weise vom Leistungsprogramm des Schuldverhältnisses abweicht.261 Bei den hier im Fokus stehenden Schuldverhältnissen stellt die Überlassung bzw. Erlaubnis zur Erhebung und Verarbeitung von bestimmten personenbezogenen Daten und die Einräumung der entsprechenden Schmidt-Kessel, Personenbezogene Daten als Tauschmittel, 9. Forum für Verbraucherrechtswissenschaft, Geschäftsmodelle in der Digitalen Welt, 21./22.07.2016 an der Universität Bayreuth. 260 Vgl. hierzu vorne Kapitel 3, B, I, 2. 261 Schmidt-Kessel, in: Prütting/Wegen/Weinreich (Hrsg.), Kommentar zum BGB, 9. Aufl. 2014, § 280 Rn. 10. 259
138
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
Nutzungsbefugnis die Hauptleistungspflicht des Betroffenen dar. Je nach dem was die Parteien als genaues Leistungsprogramm vereinbart haben, leistet der Betroffene ab dem Zeitpunkt des Widerrufs nicht mehr. Der Schuldner kommt seiner Leistungspflicht also nicht mehr nach. Im Regelfall ist die Schadensersatzhaftung nach dem BGB verschuldensabhängig, das heißt die Zurechnung zur Schuld ist nur hinsichtlich eines rechtswidrigen Verhaltens möglich.262 Rechtswidrig ist ein Verhalten, durch das rechtlich geschützte Interessen eines anderen im Widerspruch zur Rechtsordnung verletzt werden.263 Im Rahmen des Vertragsrechts deckt sich die Rechtswidrigkeit im Wesentlichen mit der Verletzung der durch das Schuldverhältnis begründeten Leistungspflicht, d. h. mit der Pflichtverletzung.264 Der vor allem im Deliktsrecht vorherrschende Streit, ob die Rechtswidrigkeit des Erfolgs genügt (Erfolgsunrecht)265 oder ob, wie im Strafrecht die Rechtswidrigkeit des Verhaltens hinzukommen muss (Handlungsunrecht)266 ist für das Vertragsrecht nur von untergeordneter Bedeutung.267 Rechtswidrigkeit liegt bei der Verletzung einer Leistungs- bzw. Verhaltenspflicht aus dem Schuldverhältnis also grundsätzlich vor, sofern nicht ein besonderer Rechtfertigungsgrund besteht.268 Kommt der Betroffene durch Widerruf der Einwilligung seiner Leistungspflicht nicht nach, so erscheint ein Anspruch des Einwilligungsempfängers zwar denkbar zu sein, sollte jedoch aufgrund der persönlichkeitsrechtlichen Relevanz des Widerrufs zurückhaltend gehandhabt werden. Im Einzelfall sollte doch genau geprüft werden, ob der Betroffene durch das Informationelle Selbstbestimmungsrecht gerechtfertigt ist. Bei einem grundlosen Widerruf zur denkbar ungünstigsten Zeit wäre dies jedoch sicher nicht der Fall. Gelingt es der datenverarbeitenden Stelle einen Schaden nachzuweisen sollte dieser – insbesondere aufgrund der Undurchsetzbarkeit der Leistungspflicht – auf den Ersatz des negativen Interesses beschränkt sein.269 262 Unberath, in: Bamberger/Roth (Hrsg.), Kommentar zum BGB, Band 1, 2. Aufl. 2007, § 276 Rn. 5. 263 Stadler, in: Jauernig, Kommentar zum BGB, 15. Aufl. 2014, § 276 Rn. 13. 264 Stadler, in: Jauernig, Kommentar zum BGB, 15. Aufl. 2014, § 276 Rn. 13; Löwisch, AcP 165 (1965), 421 (422). 265 Deutsch, Haftungsrecht, Köln 1996, S. 153; Wagner, JuS 1975, 224 (224 ff.); Larenz/ Canaris, Lehrbuch des Schuldrechts, Band II/2, § 75 II, S. 364. 266 BGHZ 24, 21 = NJW 1957, 785: „Es geht nicht an, ein Verkehrsverhalten, das den Geund Verboten der Verkehrsordnung voll Rechnung trägt, trotzdem mit dem negativen Werturteil der Rechtswidrigkeit zu versehen.“; Löwisch, in: Staudinger (Hrsg.), Kommentar zum BGB (2001), § 276 Rn. 10 ff. 267 Grundmann, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 276 Rn. 13; Schulze, Handkommentar BGB, 8. Aufl. 2014, § 276 Rn. 4. 268 Schulze, Handkommentar BGB, 8. Aufl. 2014, § 276 Rn. 4. 269 Vgl. hierzu Kapitel 3, B, II.
C. Behandlung von Leistungsstörungen
139
In Österreich stellen die §§ 918 ff. ABGB den Kernbereich des sog. Leistungsstörungsrechts dar. Wie § 917 ABGB zu entnehmen ist, gelten diese Vorschriften nur für entgeltliche Verträge, also alle Rechtsgeschäfte, aus denen beide Parteien bei Erbringung ihrer Hauptleistung Anspruch auf Gegenleistung haben. Die hier betrachteten Schuldverhältnisse mit dem Inhalt „Daten als Leistung“ können also in Österreich als entgeltliche Verträge i. S. d. §§ 917 ff. ABGB eingeordnet werden. Der Schuldner gerät mit der Leistung gem. § 918 Abs. 1 ABGB in Verzug, wenn er den Vertrag nicht zur gehörigen Zeit, am gehörigen Ort und auf die bedungene Weise erfüllt. Der objektive Verzug begründet grds. ein Wahlrecht des Gläubigers. Er kann weiter vom Schuldner Erfüllung verlangen oder nach Setzung einer angemessenen Nachfrist vom Vertrag zurücktreten.270 Im Fall des subjektiven – also verschuldeten – Verzugs hat der Gläubiger zusätzlich Anspruch auf Schadensersatz.271 Widerruft der Betroffene seine Zustimmung, kommt er seiner Erfüllungspflicht aus dem Vertrag nicht mehr nach. Für Reimer sind Schadensersatzansprüche allerdings kaum vorstellbar, da der Vertragspartner sich nicht darauf berufen könne, in seinem Vertrauen auf die legitimierte Verwendung der Daten verletzt zu sein, denn deren jederzeitige Widerrufbarkeit müsse ihm auf Grund der gesetzlichen Regelung bekannt sein.272 Schadensersatzansprüche – worunter auch pauschalierte wie etwa Vertragsstrafen fallen – könnten sich daher nicht auf den Widerruf einer einfachgesetzlichen Zustimmung stützten.273 Führe der Widerruf der Zustimmung zur Auflösung des Vertrags, so seien aber die Regeln über die Auflösung von Dauerschuldverhältnissen anzuwenden.274 Ein Dauerschuldverhältnis kann nach ständiger Rechtsprechung mit der Wirkung ex nunc aufgelöst werden, wenn Gründe vorliegen, die bei Verträgen anderer Art einen Rücktritt rechtfertigten.275 Wie in Deutschland werden auch in der Schweiz alle Störungen des Austausches vertraglicher Rechte und Pflichten unter dem Begriff der Leistungsstörungen zusammengefasst. Anders als das revidierte deutsche Schuldrecht – das nunmehr alle Leistungsstörungen in einer Kategorie zusammenfasst – unterscheidet das schweizer Obligationenrecht in Anlehnung an die traditionelle Lehre noch zwischen verschiedenen Arten der Leistungsstörungen und kennt auch kein einheitliches Leistungsstörungsrecht. So finden sich sowohl im allgemeinen wie im besonderen Teil des Obligationenrechts verschiedene VorschrifKoziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 53. Hödl, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 3. Aufl. 2015, § 918 Rn. 4. 272 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 176 f. 273 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 176 f. 274 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 176 f. 275 OGH, 2Ob430/58; OGH, 8Ob162/62; OGH, 7Ob197/66; OGH, 6Ob202/69. 270 271
140
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
ten zur Behandlung von Leistungsstörungen. Im Mittelpunkt der Leistungs störung stehen vor allem die Nichterfüllung, die Schlechterfüllung sowie die Späterfüllung des Schuldners. Das schweizer Recht spricht von Nichterfüllung einer Obligation, wenn die geschuldete Leistung des Schuldners ausbleibt, wobei zwischen der Unmöglichkeit der Leistung und dem Fall der Säumnis der Schuldners (Späterfüllung oder Verzug) unterschieden wird.276 Will der Schuldner aus irgendeinem Grund die noch mögliche Leistung nicht erbringen, gerät er nach Art. 102 OR in Verzug.277 In der Lehre werden die Fälle der Leistungsstörung durch Widerruf jedoch nicht durch die Vorschriften des Allgemeinen Teils des Obligationenrechts, also der Art. 97 ff. OR gelöst, sondern es werden analog die Vorschriften des Auftrages – insbesondere die des Art. 404 Abs. 2 OR – herangezogen.278 Sowohl im persönlichkeits- also auch im datenschutzrechtlichen Schrifttum wird ungeachtet der freien Widerruflichkeit der Einwilligung, ein Anspruch des Einwilligungsempfängers auf Schadensersatz wegen eines Widerrufs zur Unzeit für möglich gehalten.279 Ein solcher Widerruf zur Unzeit soll vorliegen, wenn der Widerruf der Einwilligung in einem ungünstigen Moment unbegründet erfolgt und dadurch dem Einwilligungsempfänger besondere Nachteile entstehen.280 Denn dieser könnte beispielsweise vor dem Widerruf Dispositionen getroffen haben, die nur mit erheblichem Aufwand rückgängig gemacht werden können oder für ihn nutzlos geworden sind.281 Als Beispiele hierfür werden in der Literatur der Widerruf in die Einwilligung zu einem Film über die Lebensgeschichte des Betroffenen während bzw. nach Abschluss der Dreharbeiten sowie der Widerruf 276 Guhl/Merz/Koller, in: Guhl (Hrsg.), Das Schweizerische Obligationenrecht, 8. Aufl. 1991, S. 222. 277 Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 490 f. 278 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 105; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 190 m. w. N. 279 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 105; Rampini, in: Maurer- Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 14; allgemein im persönlichkeitsrechtlichen Schrifttum Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 107 f.; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 189 f. und 362; Hausheer/Aebi-Müller, Das Personenrecht des Schweizer Zivilgesetzbuches, 3. Aufl. 2012, S. 169; andere wiederrum vertreten dagegen die Auffassung, die Annahme einer Vertragsverletzung durch Widerruf sei nicht möglich, da der jederzeitige Widerruf gesetzlich vorgesehen sei, Bächli, Das Recht am eigenen Bild, Basel 2002, S. 92; Gauch, recht 1992, 9 (11 ff.). 280 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 189 f. 281 Geiser, Die Persönlichkeitsverletzung insbesondere durch Kunstwerke, Basel 1990, S. 147; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 190.
C. Behandlung von Leistungsstörungen
141
der Einwilligung in eine bereits vorbereitete Operation genannt.282 Wegen der Ähnlichkeit zum Widerruf des Auftrages wird daher die analoge Anwendung des Art. 404 Abs. 2 OR befürwortet283, wonach der Betroffene zum Ersatz des entstandenen Schadens verpflichtet wäre.284 Gewährt wird aber lediglich der „Ausgleich der besonderen Nachteile als Folge des unzeitigen Widerrufs“285 mithin das negative Interesse, was bedeutet, dass der Betroffene die vergeblichen Aufwendungen der datenverarbeitenden Stelle ersetzen muss, welche diese im Vertrauen auf den Bestand der Einwilligung gemacht hat.286 Grundsätzlich nicht ersatzfähig ist der entgangene Gewinn 287, dieser wäre nur dann zu berücksichtigen, wenn die datenverarbeitende Stelle nachweisen kann, dass sie den Gewinn auf andere Weise – also auch ohne die Einwilligung des Betroffenen – erzielt hätte.288 Da der jederzeitige Widerruf jedoch gesetzlich vorgesehen ist muss man sich die Frage stellen, ob der Vertragspartner überhaupt auf den Fortbestand der Einwilligung vertrauen durfte. Der Einwilligungsempfänger hat also in gewisser Weise immer mit einem Widerruf zu rechnen.289 Dieser Umstand solle daher in der Schadensberechnung Berücksichtigung finden.290 Außerdem wäre eine zu hohe Schadensersatzforderung mit Art. 27 Abs. 2 ZGB unvereinbar, da sie die Ausübung des Widerrufsrechts faktisch erschweren würde.291 Im Einzelfall ist 282 Geiser, Die Persönlichkeitsverletzung insbesondere durch Kunstwerke, Basel 1990, S. 147; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 190. 283 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 105; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 190 m. w. N. 284 Art. 404 OR lautet wie folgt: „(1) Der Auftrag kann von jedem Teile jederzeit widerrufen oder gekündigt werden. (2) Erfolgt dies jedoch zur Unzeit, so ist der zurücktretende Teil zum Ersatze des dem anderen verursachten Schadens verpflichtet.“ 285 BGE 110 II 380 E. 4b; BGE 109 II 462 E. 4d. 286 Weber, in: Honsell/Vogt/Wiegang (Hrsg.), Basler Kommentar zum Obligationenrecht I, 5. Aufl. 2011, Art. 404 Rn. 17; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 190. 287 BGE 110 II 380 E. 4b; Gehrer/Giger, in: Huguenin/Müller-Chen/Girsberger (Hrsg.), Handkommentar zum Schweizer Privatrecht, Art. 319–529 OR, 2. Aufl. 2012, Art. 404 Rn. 16. 288 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 191; Geiser, Die Persönlichkeitsverletzung insbesondere durch Kunstwerke, Basel 1990, S. 148. 289 Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 107 f.; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 192. 290 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 192. 291 Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 107 f. geht davon aus, dass der Vertragspartner aus diesem
142
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
also genau zu prüfen, ob der Betroffene ohne begründeten Anlass den Widerruf erklärt und der Betroffene auf den Fortbestand der Einwilligung vertrauen durfte. Abschließend ist aber noch anzumerken, dass in der Schweiz gem. Art. 13 Abs. 1 DSG eine Verletzung der Persönlichkeit nur widerrechtlich ist, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Der Widerruf der Einwilligung bedeutet also nicht per se, dass der weitere Datenumgang rechtswidrig ist, er könnte nämlich durch ein überwiegendes privates Interesse der datenverarbeitenden Stelle weiter gedeckt sein.292
II. Angabe falscher personenbezogener Daten Wurde die Überlassung bzw. Erlaubnis zur Erhebung und Speicherung von ganz bestimmten personenbezogenen Daten wirksam vereinbart, weicht der Betroffene vom Leistungsprogramm ab, wenn er falsche Daten angibt. Oftmals wird die Angabe von wahrheitsgemäßen Stamm- bzw. Bestandsdaten notwendig sein, um in den Genuss der Gegenleistung zu kommen. So kann beispielsweise eine Kundenkarte nur erhalten, wer die korrekte Adresse angegeben hat. Auch die Daten über das Kauf- und Nutzerverhalten, werden vom Betroffenen in der Regel nicht manipuliert. Andere Dienste können aber theoretisch auch mit falschen, erfundenen Stamm- bzw. Bestandsdaten in Anspruch genommen werden. Dies liegt oft nicht im Interesse des Anbieters, da ein nicht existierender Datensatz keinen wirtschaftlichen Wert besitzt. Deshalb verlangt beispielsweise Facebook von seinen Nutzern, nur zutreffende persönliche Informationen bereitzustellen und den wahren Namen bei der Anmeldung anzugeben. In den Nutzungsbedingungen heißt es hierzu: „Facebook-Nutzer geben ihre wahren Namen und Daten an und wir benötigen deine Hilfe, damit dies so bleibt. Nachfolgend werden einige Verpflichtungen aufgeführt, die du uns gegenüber bezüglich der Registrierung und der Wahrung der Sicherheit deines Kontos eingehst: Du wirst keine falschen persönlichen Informationen auf Facebook bereitstellen oder ohne Erlaubnis kein Profil für jemand anderen erstellen. […]“293
Werden vom Betroffenen also falsche Stamm- bzw. Bestandsdaten angegeben oder unzutreffende Informationen auf Facebook bereitgestellt läge eine Pflichtverletzung in diesem Vertragsverhältnis vor, die die datenverarbeitende Stelle im deutschen Recht zur Kündigung gem. § 314 BGB oder zum Schadensersatz Grund keine prohibitiven Ersatzforderungen stellen könne; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 192. 292 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 105. 293 https://www.facebook.com/legal/terms?locale=de_DE (Abgerufen: 17.06.2015).
C. Behandlung von Leistungsstörungen
143
gem. § 280 ff. BGB berechtigen würde. Es obliegt allein dem Betroffenen, ob er einen Vertrag mit dem Inhalt „Daten als Leistung“ abschließt. Verpflichtet er sich wirksam zur Leistung von bestimmten (echten) personenbezogenen Daten, so muss er, wenn er sich zur Erfüllung entschließt, auch vertragsgemäß erfüllen. Auch bei besonderen Arten von Daten, beispielsweise über die sexuelle Orientierung oder Religion steht ihm kein Recht zur Lüge zu. Das Bundesdatenschutzgesetz erlaubt ausdrücklich auch eine Disposition des Betroffenen über diese Art von Daten. Als schwierig dürften sich für die datenverarbeitende Stelle der Nachweis und die Berechnung des einzelnen Schadens erweisen.294 Auch in Österreich hat der Schuldner, der einem anderen eine Sache gegen Entgelt gem. § 922 Abs. 1 ABGB überlässt zu gewährleisten, dass sie auch dem Vertrag entspricht. Das Gewährleistungsrecht ist jedoch auf Mängel an Sachen beschränkt. Aus den Materialen zum Gewährleistungsrechtsänderungsgesetz geht hervor, dass hierbei der Sachbegriff des § 285 ABGB zugrunde zu legen ist.295 Dieser umfasst – im Gegensatz zu § 90 BGB – neben den körperlichen auch unkörperliche Sachen.296 Alles, was von der Person unterschieden ist und zum Gebrauche der Menschen dient, wird im rechtlichen Sinne eine Sache genannt. Der österreichische Sachenbegriff ist damit denkbar weit gefasst, so dass personenbezogene Daten darunter subsumiert werden können.297 Die Vorschrift ist zwar auf den Kauf-, Tausch- und Werkvertrag zugeschnitten, jedoch sind die Gewährleistungsregeln ganz allgemein auf gegenseitige Verträge anzuwenden, soweit das Gesetz nichts anderes bestimmt.298 Ein Mangel liegt grundsätzlich vor, wenn das Geleistete in negativer Weise vom Geschuldeten abweicht.299 Dies ist der Fall, wenn der Betroffene keine wahrheitsgemäßen Daten angibt, obwohl diese geschuldet sind. Verpflichtet sich der Betroffene zur Leistung von bestimmten (echten) personenbezogenen Daten, so muss er, wenn er erfüllt, auch vertragsgemäß erfüllen, so dass gem. § 932 Abs. 1 ABGB vor allem die Gestaltungsrechte Minderung und Wandlung, 294 De Franceschi, Digitale Inhalte gegen personenbezogene Daten: Unentgeltlichkeit oder Gegenleistung?, in: Schmidt-Kessel/Kramme (Hrsg.), Geschäftsmodelle in der digitalen Welt, Schriften zu Verbraucherrecht und Verbraucherwissenschaften, Band 11, 2017 plädiert für eine „Ersatzbezahlung“ in Geld. 295 Ofner, in: Schwimann/Kodek (Hrsg.), ABGB Praxiskommentar, 4. Aufl. 2014, § 922 Rn. 3. 296 Ofner, in: Schwimann/Kodek (Hrsg.), ABGB Praxiskommentar, 4. Aufl. 2014, § 922 Rn. 3; Bydlinski, AcP 198, 287 (303). 297 Magerl, Kommerzialisierung von Persönlichkeitsrechten, Wien 2004, S. 9 ordnet Daten sogar als körperliche Sachen i. S. v. §§ 285, 292 ABGB ein. 298 Welser/Jud, Die neue Gewährleistung, Wien 2001, § 922 ABGB Rn. 6. 299 Bydlinski, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 922 Rn. 1.
144
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
sowie gem. § 933a Abs. 1 ABGB ein Anspruch auf Schadensersatz in Betracht kommen. Die auf vertragsgemäße Erfüllung zugeschnittenen Gewährleistungsrechte laufen mangels Durchsetzbarkeit der Leistungspflicht wohl ins Leere.300 Auch in der Schweiz liegt eine Schlechtleistung vor, wenn zwischen der versprochenen Leistung und der erbrachten Leistung eine Differenz besteht.301 In der datenschutzrechtlichen Literatur wurde die Frage der Gewährleistung des Betroffenen für die „Leistung von Daten“ bisher nicht thematisiert. Folgt man der Mehrheit im persönlichkeitsrechtlichen Schrifttum, wonach Verträge über die Nutzung von Persönlichkeitsgütern als Lizenzvertrag eingeordnet werden auch für den Vertrag mit dem Inhalt „Daten als Leistung“, dann haftet der Betroffene als Lizenzgeber grundsätzlich auch für die Mangelhaftigkeit des Lizenzgegenstandes.302 Da spezielle Regeln für den Lizenzvertrag fehlen, bietet sich zunächst an, auf die allgemeinen Vorschriften des Obligationenrechts, insbesondere auf Art. 97 Abs. 1 OR zurückzugreifen und die Angabe von falschen Daten als „nicht gehörige Erfüllung“ zu werten.303 Grundsätzlich werden in der Schweiz alle Vertragsverletzungen, die sich weder dem Verzug noch der Nichterfüllung wegen Unmöglichkeit zuordnen lassen, unter der Bezeichnung „nicht gehörige Erfüllung“ (sog. positive Vertragsverletzung) zusammengefasst.304 Hilty vertritt jedoch die Ansicht, dass der allgemeine Teil des Obligationenrechts nicht ausreichend dazu beitragen könne, die im Zusammenhang mit der Gewährleistung bestehenden Bedürfnisse des Lizenznehmers zu befriedigen, da es oft am Verschulden des Lizenzgebers mangele.305 Er erwägt daher eine analoge Anwendung der Vorschriften zum Kaufrecht, Zessionsrecht, Werkvertragsrecht und Mietrecht, wobei insbesondere die Vorschriften des Kaufrechts mit Blick auf das Lizenzvertragsrecht seiner Ansicht nach Vorteile böten.306 Damit dürfte er vor allem die verschuldensunabhängige Haftung des Verkäufers gem. Art. 197 Abs. 2 OR im Blick haben. Gibt der Betroffene also falsche Daten an, könnte der Einwilligungsempfänger wahrscheinlich sowohl über Art. 97 Abs. 1 OR als auch über die Vorschriften des Artt. 197 Abs. 1, 205 Abs. 1 OR analog einen eventuellen Schaden bzw. Minderung geltend machen oder mit der Wandlung eventuell sogar den Vertrag rückabwickeln. 300
Vgl. hierzu Kapiel 3, B, II 3. Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 516. 302 Hilty, Lizenzvertragsrecht, Bern 2001, S. 6 47. 303 Hilty, Lizenzvertragsrecht, Bern 2001, S. 6 49. 304 Wiegand, in: Honsell/Vogt/Wiegang (Hrsg.), Basler Kommentar zum Obligationenrecht I, 5. Aufl. 2011, Art. 97 Rn. 25. 305 Hilty, Lizenzvertragsrecht, Bern 2001, S. 6 49 f. 306 Ausführlich hierzu Hilty, Lizenzvertragsrecht, Bern 2001, S. 651 ff. 301
D. Zusammenfassende rechtsvergleichende Betrachtung
145
D. Zusammenfassende rechtsvergleichende Betrachtung Zusammenfassend lässt sich für alle drei Rechtsordnungen sagen, dass personenbezogene Daten Leistungsgegenstand in einem rechtgeschäftlichen Vertrag sein können und der Betroffene sich auch wirksam zur Leistung von bestimmten personenbezogenen Daten verpflichten kann. Diese Verpflichtung – die regelmäßig die Hauptleistungspflicht in solchen Verträgen darstellt – wird erfüllt durch die Angabe bzw. die Erteilung der Erlaubnis zur Erhebung, Speicherung und Verarbeitung der geschuldeten Daten sowie der Einräumung einer bestimmten Nutzungsbefugnis. Dies geschieht durch die Erteilung des datenschutzrechtlichen Einverständnisses nach § 4a BDSG, § 4 Z. 14 DSG 2000 bzw. Art. 4 Abs. 5 DSG das sowohl in Deutschland – entgegen der herrschenden Auffassung in der Literatur – als auch in Österreich und der Schweiz jederzeit und frei widerrufbar ist. Eine Durchsetzung der Leistungspflicht ist in allen drei Rechtsordnungen – letztlich aufgrund der jederzeitigen Widerrufbarkeit – nicht möglich. Da der Umfang der Gesamtleistung meist nicht von vorne herein bestimmt ist und sich der Datenumgang über die gesamte Vertragslaufzeit erstreckt handelt es sich in der Regel um Dauerschuldverhältnisse. Die betrachteten Geschäftsmodelle sind alle auf die Erlangung, Verwertung und Nutzung von personenbezogenen Daten des Betroffenen ausgerichtet. Damit stehen die Leistungsplichten bei einem Vertrag mit dem Inhalt „Daten als Leistung“ in einem synallagmatischen Austauschverhältnis. Diese Koppelung der gegenseitigen Leistungspflichten steht in Deutschland auch nicht im Widerspruch zum Koppelungsverbot des § 28 Abs. 3b S. 1 BDSG. In Österreich ist der Begriff des Koppelungsverbotes nicht verbreitet. Lediglich das Telekommunikationsgesetz enthält eine spezielle Regelung, wonach die Bereitstellung von Kommunikationsdiensten nicht von der Zustimmung zur Verwendung von Benutzerdaten für Vermarktungszwecke abhängig gemacht werden darf. Die Einführung eines allgemeinen Koppelungsverbots wird aber sowohl in Deutschland als auch in Österreich mehrheitlich abgelehnt. In der Schweiz finden sich dagegen keine gesetzlich geregelten Koppelungsverbote. Dennoch wird die Problematik eines Abhängigkeitsverhältnisses des Betroffenen von der datenverarbeitenden Stelle anhand des Merkmals der Freiwilligkeit der Einwilligung diskutiert. Die Anforderungen an die Freiwilligkeit werden in der Literatur jedoch nicht sehr hoch gesetzt. Bezüglich des in der Datenschutzgrundverordnung auf europäischer Ebene neu eingeführten Koppelungsverbotes in Art. 7 Abs. 4 DS-GVO ist festzuhalten, dass eine vertraglichen Vereinbarung von Nutzungsbefugnissen an personenbezogenen Daten jedenfalls dann nicht gegen das Koppelungsverbot verstößt, wenn die Nutzungs befugnis offen in ein Gegenleistungsverhältnis gestellt wird und die Funktion als Gegenleistung Teil der in der Einwilligung enthaltenen Zweckbestimmung ist.
146
Kapitel 3: Personenbezogene Daten als Leistung im Vertrag
In Bezug auf die Behandlung von Leistungsstörungen lässt sich festhalten, dass ein Schadensersatzanspruch aufgrund eines Widerrufs des Betroffenen in Deutschland und der Schweiz nur im Ausnahmefall – beispielsweise bei einem Widerruf zur Unzeit – in Betracht kommt und dann auf das negative Interesse zu beschränken ist. In der österreichischen datenschutzrechtlichen Literatur wird dagegen ein Schadensersatzanspruch der datenverarbeitenden Stelle aufgrund des Widerrufs der Zustimmung durch den Betroffenen grundsätzlich abgelehnt. Der Vertragspartner könne sich nicht darauf berufen, in seinem Vertrauen auf die legitimierte Verwendung der Daten verletzt zu sein. Gibt der Betroffene jedoch entgegen der ausdrücklichen vertraglichen Vereinbarung falsche personenbezogene Daten an, so hat er sowohl in Deutschland als auch in Österreich und der Schweiz grundsätzlich auch für den dadurch erstandenen Schaden zu haften.
Kapitel 4
Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung – Einheits- oder Trennungslösung? Nachdem nun der Vertrag mit dem Inhalt „Daten als Leistung“ genauer untersucht wurde, sollen nachfolgend das Verhältnis von schuldrechtlicher Verpflichtung und datenschutzrechtlichem Einverständnis sowie die Möglichkeit der Übertragung des Informationellen Selbstbestimmungsrechts beleuchtet werden. Da die Verknüpfung von Persönlichkeitsrechten und wirtschaftlichen Vermögensinteressen sehr komplex ist und sowohl bestimmte dogmatische Grundentscheidungen als auch Einzelfragen der Gesetzesanwendung betrifft1, ist eine umfassende Erörterung in allen drei Rechtsordnungen im Rahmen dieser Arbeit nicht möglich. Es kann allenfalls einen Überblick über die verschiedenen dogmatischen Ansätze im Bereich der Kommerzialisierung von Persönlichkeitsrechten gegeben werden. Dies soll aufgrund der Komplexität der Fragestellungen und der unterschiedlichen Ansätze für Deutschland (A), Österreich (B) und die Schweiz (C) getrennt erörtert werden.
A. Deutschland I. Stufenleiter der Gestattungen als Ausgangspunkt Ausgangspunkt der Untersuchung des Verhältnisses von schuldrechtlicher Verpflichtung und Einwilligung soll die von Ohly in seiner Habilitationsschrift zur dogmatischen Einordung und Begrenzung der Einwilligung im Privatrecht herangezogene Stufenleiter der Gestattungen bilden.2 Ohly reiht dabei alle Rechtsfiguren, die sich auf den Grundsatz „volenti non fit iniuria“ zurückführen lassen in ein Stufenverhältnis ein, indem er davon ausgeht, dass bei allen Konstruktionen der Rechteinhaber eine Erlaubnis in eine Rechtsverletzung erteilt, die zur Rechtsmäßigkeit der Eingriffshandlung führt und sich lediglich die Intensität
1 2
Büchler, AcP 2006, 301 (303). Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 141 ff.
148
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
der rechtlichen Bindung jeweils unterscheidet.3 Ganz oben auf der Leiter – als Eingriffsermächtigung mit der stärksten Intensität – stuft er die Rechtsübertragung ein, durch die der Handelnde ein dingliches Recht erwirbt.4 Die niedrigste Stufe bildet die einseitige, widerrufliche Einwilligung, die zwar auch zur Rechtmäßigkeit der Eingriffshandlung führt, dem Handelnden jedoch kein gegenüber Dritten durchsetzbares Recht verleiht.5 Zwischen diese beiden Stufen verortet Ohly den Gestattungsvertrag, worunter er einen schuldrechtlichen Vertrag versteht, mit dem der Rechteinhaber dem Handelnden ein tatsächliches Verhalten erlaubt, dass er ihm sonst verbieten könnte.6 Übertragen auf die hier behandelten Verträge mit dem Inhalt „Daten als Leistung“ ist daher zu untersuchen, in welchem Verhältnis die datenschutzrechtliche Einwilligung zu der vertraglichen Verpflichtung steht.
II. Trennung von schuldrechtlicher Verpflichtung und Einwilligung Ausgehend von der von Ohly aufgestellten Stufenleiter der Gestattungen7 soll zunächst die Frage beleuchtet werden, ob eine Trennung zwischen dem Schuldverhältnis mit dem Inhalt „Daten als Leistung“ und der datenschutzrechtlichen Einwilligung nach § 4a BDSG möglich ist. Allgemein für die Einwilligung im Privatrecht finden sich einige Hinweise dazu in der älteren Literatur.8 Schon früh setzte sich Zitelmann für die Trennung von Schuldvertrag und Einwilligung ein.9 Der Schuldner könne sich zwar zur Erteilung einer Einwilligung verpflichten, doch das Forderungsrecht allein mache die Handlung nicht rechtmäßig; der Schuldner müsse seine Einwilligung auch wirklich erteilen.10 Dies gelte selbst dann, wenn das Forderungsrecht auf einem Vertrag beruhe.11 Zustimmend merkt Kohte für die Verbreitung von Fotoaufnahmen an, dass die Einwilligung und die Verwertung der Bilder rechtlich zwei getrennte Akte darstellen, auch wenn sie wirtschaftlich miteinander verbunden seien.12 Auch Ohly tritt für eine Trennung der Verpflichtung zur Gestattung und der Gestattung selbst ein und führt aus, dass eine solche nur dann Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 143 f. Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 144. 5 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 144. 6 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 165. 7 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 141 ff. 8 Helle, AfP 1985, 93 (99); Frömming/Peters, NJW 1996, 958 (958); Zitelmann, AcP 99 (1906), 1 (43 ff.); Kothe, AcP 185 (1985), 105 (136). 9 Zitelmann, AcP 99 (1906), 1 (43 ff.). 10 Zitelmann, AcP 99 (1906), 1 (44). 11 Zitelmann, AcP 99 (1906), 1 (44). 12 Kothe, AcP 185 (1985), 105 (136). 3 4
A. Deutschland
149
gedanklich nicht möglich sei, wenn man die Einwilligung als „pactum de non petendo“ – also quasi als Verzicht auf die Abwehrbefugnis – begreife.13 Dieses Verständnis vom Wesen der Einwilligung greife auch zu kurz, da es nicht zu erklären vermag, warum der Einwilligende nach erfolgtem Eingriff an seine Einwilligung gebunden bleibt.14 Ebenfalls bejahend führt Götting aus, dass eine Trennung vor dem Hintergrund, dass die Einwilligung auch einseitig erteilt werden könne nur plausibel sei.15 Andere halten dagegen eine Trennung von schuldrechtlicher Gestattung und Einwilligung nicht für möglich, vielmehr sei die Einwilligung Teil eines Gestattungsvertrages.16 Die Einwilligung könne zwar einseitig erklärt werden – etwa wenn jemand der Veröffentlichung eines Bildes in der Zeitung zustimme – sie erfolge dagegen im Wege eines Vertrags, wenn eine Gegenleistung vereinbart werde.17 Die Einwilligung gehe dann in dem Rechtsgeschäft des Gestattungsvertrages auf, es bedürfe keiner Konstruktion, die zwischen der Einwilligung des Betroffenen und dem schuldrechtlichen Vertrag noch unterscheiden müsse.18 Diese Auffassung wird vor allem im persönlichkeitsrechtlichen Schrifttum bzgl. des Rechts am eigenen Bild und der Einwilligung nach § 22 KUG vertreten. Eine vermittelnde Position nehmen diejenigen ein, die die Einwilligung zwar als eigenständigen Vertragsbestandteil aber als Teil eines einheitlichen Gestattungsvertrags sehen.19 In der datenschutzrechtlichen Literatur ist diese Grundfrage bisher nur wenig bereichsspezifisch aufgearbeitet. Teilweise wird auf die eben dargestellten Auffassungen zur Einwilligung beim Recht am eigenen Bild verwiesen; so gehen von Zimmermann und Haag beide ohne weitere Auseinandersetzung mit dieser Frage von der Anwendbarkeit des Trennungsprinzips aus.20 Bräutigam lehnt dagegen eine Trennung von schuldrechtlicher Verpflichtung und datenschutzrecht licher Einwilligung ab.21 Er führt aus, dass eine Zweiteilung von Rechtsgeschäft und Einwilligung beispielsweise bei beschränkt geschäftsfähigen Betroffenen zu Widersprüchen und unterschiedlichen Ergebnissen führen könnte. Dem kann jedoch entgegengehalten werden, dass ein nicht unerheblicher Teil der Literatur Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 168. Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 183. 15 Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 159. 16 Frömming/Peters, NJW 1996, 958 (958); Helle, AfP 1985, 93 (99). 17 Frömming/Peters, NJW 1996, 958 (958). 18 Helle, AfP 1985, 93 (99) für die Einwilligung beim Recht am eigenen Bild. 19 Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 60; Larenz, Schuldrecht Band II, 13. Aufl. 1982, S. 594. 20 von Zimmermann, Die Einwilligung im Internet, Berlin 2014, S. 23; Haag, Direktmarke ting mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 183; so wohl auch Wandtke, MMR 2017, 6 (11). 21 Bräutigam, MMR 2012, 635 (636). 13 14
150
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
eine Doppelzuständigkeit von gesetzlichem Vertreter und beschränkt Geschäfts fähigem für die Erteilung der Einwilligung annimmt22 und – auch wenn man allein auf die Entscheidungsreife des Betroffenen abstellt – aus Gründen des Minderjährigenschutzes eine Durchbrechung des Trennungsprinzips nicht nur möglich sondern auch systemkonform wäre. Buchner und Rogosch plädieren dagegen für die Einführung einer „schuld rechtlichen Einwilligung“ – wie sie bereits aus der kunsturheberrechtlichen Einwilligung bekannt sei – ins Datenschutzrecht.23 Diese wäre von der einseiti gen Einwilligung zu unterscheiden; denn sie stelle keinen isolierten, eigenstän digen Vorgang dar, sondern gehöre zur Hauptleistungspflicht des Vertrages.24 „Sobald einer Einwilligung auch rechtsgeschäftliche Bedeutung zukommt, etwa weil sie selbst zum Gegenstand des Vertrages wird, ist die Einwilligung nicht mehr nur als isolierte Einwilligung im engeren datenschutzrechtliche Sinne, sondern Bestandteil eines umfassenden schuldrechtlichen Rechtsverhältnisses und damit als schuldrechtliche Einwilligung einzuordnen.“25 Dies vermag jedoch nicht zu überzeugen.26 Die Begründung eines Schuldverhältnisses mit dem Inhalt „Daten als Leistung“ stellt die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten auf eine rechtsgeschäftliche Basis. Daher liegt es nahe, den gesetzlichen Regelungen zum Verhältnis von Verpflichtung und Erfüllung zu folgen.27 Eine Verschmelzung von Einwilligung und Schuldverhältnis – wie sie teilweise angenommen wird – ist nicht rechtlich zwingend und vor allem dann nicht zutreffend, wenn man sich vor Augen hält, dass beides zeitlich auseinander fallen kann.28 Unabhängig von der später noch zu behandelnden Frage nach der Anwendbarkeit des Abstraktionsprinzips29 findet jedenfalls das Trennungsprinzip auf das Schuldverhältnis mit dem Inhalt „Daten als Leistung“ Anwendung. Ob 22
Vgl. hierzu vorne Kapitel 2, B, I, 2. Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 253 ff.; Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 44. 24 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 4 4 f.; Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 253. 25 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 237 zur Frage der Rechtsnatur der einseitigen und schuldrechtlichen Einwilligung, wobei letztere in jedem Fall einen rechtsgeschäftlichen Charakter hätte. 26 Auch kritisch Riesenhuber, dRdA 2011, 257 (258), für den nicht nachvollziehbar ist, warum die Einwilligung durch einen rechtsgeschäftlichen Bezug ihre Rechtsnatur ändern sollte. 27 So auch Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 61 bzgl. der Anwendung von Trennungs- und Abstraktionsprinzip bei der Einwilligung beim Recht am eigenen Bild. 28 Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 159. 29 Vgl. hierzu später Kapitel 4, A, IV, 1. 23
A. Deutschland
151
es sich dann bei der aufgrund der schuldrechtlichen Verpflichtung erteilten Einwilligung selbst um eine einseitige Einwilligung oder um ein Rechtsgeschäft handelt, das Ähnlichkeiten mit der Rechtsübertragung aufweist30, soll im Anschluss erörtert werden.
III. Einwilligung als Verfügungsgeschäft? Durch die Erteilung der datenschutzrechtlichen Einwilligung stimmt der Betroffene einem Eingriff in sein Recht auf informationelle Selbstbestimmung zu und legitimiert den Umgang mit seinen personenbezogenen Daten. Ob hierin auch eine rechtsgeschäftliche Verfügung im technischen Sinn gesehen werden kann, die durch Übertragung, Belastung, Aufhebung oder Änderung unmittelbar auf die bestehende Rechtsposition einwirkt, ist für die Praxis von nicht unerheblichem Interesse, da die einseitige Einwilligung ihre Rechtswirkung nur gegenüber dem Einwilligungsempfänger entfaltet.31 Sie verschafft der datenverarbeitenden Stelle eine Legitimation für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten und rechtfertigt den Eingriff in das Recht auf informationelle Selbstbestimmung, räumt ihr aber keine gegenüber Dritten wirksame Rechtsposition ein.32 Aber gerade eine solche gesicherte Rechtsposition wäre für den Datengläubiger ökonomisch wertvoll. Personenbezogene Daten haben einen höheren Marktwert, wenn sie nicht für jedermann frei verfügbar sind.33 Für die datenverarbeitende Stelle wäre es also wünschenswert eine Rechtsposition zu erlangen, die es ihr ermöglicht, zumindest Dritte von der Nutzung bestimmter Daten auszuschließen. 1. Die Übertragbarkeit des Informationellen Selbstbestimmungsrechts Einerseits gelten die Persönlichkeitsrechte als unübertragbar, andererseits gibt es auch ein praktisches Bedürfnis bindende Dispositionen über Persönlichkeitsrechte zuzulassen.34 Für das Allgemeine Persönlichkeitsrecht und seine Ausprägungen – wie beispielsweise dem Rechts am eigenen Bild, dem Namensrecht und dem Urheberpersönlichkeitsrecht – wurde die Frage der Übertragbarkeit schon breit innerhalb des Schrifttums35 diskutiert. Speziell für das InformatioOhly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 168. Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 44. 32 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 276. 33 Kilian, CR 2002, 921 (925). 34 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 152. 35 Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 279; Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 147 ff.; Klippel, Der zivilrechtliche Schutz des Namens, 1985, 497 ff. und 523 ff.; Forkel, NJW 1993, 3181 30 31
152
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
nelle Selbstbestimmungsrecht wurden hierzu bisher nur vereinzelt Überlegungen angestellt.36 Jedoch besteht mit Blick auf die Rechtsprechung zum Allgemeinen Persönlichkeitsrecht durchaus Raum dafür, die informationelle Selbstbestimmung nicht nur als Abwehrrecht, sondern auch als Basis für die Disposition des Betroffenen über seine Daten zu begreifen.37 Auf dieser Grundlage gehen einige Autoren von einer Übertragbarkeit des Informationellen Selbstbestimmungsrechts aus38, während andere dagegen schon die Existenz eines subjektiven Rechts an den eigene Daten und damit auch ein eigenes Herrschafts- und Verfügungsrecht ablehnen.39 a. Anerkennung eines subjektiven Rechts am eigenen Datum Das Leitbild des allgemeinen Datenschutzes war ursprünglich an dem klassischen rechtsstaatlichen Konflikt zwischen dem öffentlichen Interesse an Informationen und dem Schutz privater Selbstbestimmung orientiert.40 Mittlerweile erschöpft sich der Schutzzweck des Datenschutzrechts nicht mehr im Schutz ideeller Werte wie der Persönlichkeit, sondern ist auch auf das Austarieren wirtschaftlicher Interessen gerichtet.41 Dieser Wandel spiegelt sich auch an einigen Stellen im Gesetz wieder, beispielsweise in der Gewinnabschöpfungsmöglichkeit des § 43 Abs. 3 S. 2 und 3 BDSG. Natürlich verbürgt das Informationelle Selbstbestimmungsrecht in erster Linie die Befugnis des einzelnen Betroffenen, sein Recht an den eigenen Daten als negatives Abwehrrecht gegen Dritte geltend zu machen.42 Es besteht in der Praxis aber auch aus einer positiven Komponente, denn je nach Situation und Interessenlage, will der Betroffene die Ver(3182); Lausen, ZUM 1997, 86 (92 f.); Wandtke, GRUR 2000, 942 (949); mit einem Überblick über die wichtigsten Monographien in diesem Bereich Büchler, AcP 2006, 301 (302 Fn. 4). 36 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 276; Kilian, CR 2002, 921 (925); Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 186 ff.; Bräutigam, MMR 2012, 635 (639); Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 236 ff. 37 Bräutigam, MMR 2012, 635 (639); Kilian, CR 2002, 921 (925 ff.), vgl. hierzu Kapitel 4, A, III, 1, a. 38 Kilian, CR 2002, 921 (925); Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 186 ff. 39 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Einleitung Rn. 26 und § 1 Rn. 38 ff.; Hoffmann-Riem, AöR 123 (1998), 513 (520 ff.); Trute, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 169 f. 40 Jandt/Gutscher/Heesen/Müller/Roßnagel: Datenschutzfragen mobiler kontextbezogener Systeme (2006), S. 25. 41 Buchner, WRP 1/2015, Editorial; Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 100. 42 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 231.
A. Deutschland
153
arbeitung durch Dritte zu bestimmten Zwecken auch gestatten.43 Das Bundesverfassungsgericht hat sich im Volkszählungsurteil zwar nicht ausdrücklich zur Einordnung des Informationellen Selbstbestimmungsrechts geäußert. Es hat aber den Grundsatz aufgestellt, dass eine Gesellschaftsordnung, in welcher der Bürger nicht mehr wissen könne, wer was wann und bei welcher Gelegenheit über ihn weiß nicht mit dem Informationellen Selbstbestimmungsrecht vereinbar sei und dem Einzelnen die Befugnis zugebilligt, grundsätzlich selbst über seine Daten zu entscheiden.44 Ein solches subjektives Verständnis des Rechts auf informationelle Selbstbestimmung ist in der Literatur nicht unumstritten. Dagegen wird vor allem vorgebracht, es führe zu einem privatistischen Verständnis der gesetzlichen Anforderungen an die Verarbeitung personenbezogener Daten und damit zu einem erheblichen Verlust an Freiheits- und Demokratiesubstanz.45 Es ginge nicht nur um die individuellen Entfaltungschancen, sondern auch um das Gemeinwohl, da die Selbstbestimmung eines jeden Einzelnen ein wesentliches Element einer freiheitlich-demokratischen Grundordnung darstelle.46 Diese freiheits- und demokratiefördernde Funktion des Informationellen Selbstbestimmungsrechts wird durch die Anerkennung eines subjektiven Rechts nicht aufgehoben; im Gegenteil: Die freie Entfaltung der Persönlichkeit sowie die Identität des Einzelnen hängen auch von der Art und den Möglichkeiten der Selbstdarstellung ab, während die rechtlich abgesicherte Freiheit wiederum die Voraussetzung für die freie Selbstdarstellung darstellt.47 Vor allem muss man aber wohl aufgrund der Entwicklung von bestimmten Geschäftsmodellen und Kommunikationsmöglichkeiten in der digitalen Welt anerkennen, dass es zumindest im Bereich des privatrechtlichen Datenschutzes nicht nur um den Schutz der Freiheit, Kommunikation und Demokratie, sondern auch um den Ausgleich widerstreitender (vermögensrechtlicher) Interessen der datenverarbeitenden Stelle und des Betroffenen geht. b. Dogmatische Ansätze zur Übertragung von Persönlichkeitsrechten Im Schrifttum existieren bereits einige dogmatische Ansätze, welche die Übertragung von Persönlichkeitsrechten und damit die Einräumung einer gesicherten Rechtsposition gewährleisten sollen. Dazu ist vorab anzumerken, dass das Gesetz im Rahmen der Persönlichkeitsrechte – im Gegensatz zu den SachenBuchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 231. BVerfGE 65, 43 (44); Vogelgesang, Grundrecht auf informationelle Selbstbestimmung, Baden-Baden 1987, S. 140. 45 Simitis, in: Simitis (Hrsg.), BDSG, 7. Aufl. 2011, Einleitung Rn. 26 und § 1 Rn. 38 ff.; Hoffmann-Riem, AöR 123 (1998), 513 (520 ff.). 46 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 207. 47 Meister, Datenschutz im Zivilrecht, 2. Aufl. 1991, S. 120 f. 43
44
154
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
rechten – nur die Einwilligung als Dispositionsbefugnis kennt.48 Die Einwilligung muss demnach im persönlichkeitsrechtlichen Bereich Funktionen erfüllen, für die im vermögensrechtlichen Bereich verschiedene Arten der Rechtsübertragung zur Verfügung stehen.49 Einige Vertreter in der Literatur zweifeln daran, dass die Einwilligung das richtige Instrument zur wirtschaftlichen Verwertung von Persönlichkeitsrechten darstellt, denn sie räumt dem Datengläubiger nur eine schwache Rechtsposition ein, die von der „Willkür“ des Betroffenen abhängt, das Vertrauen des Datengläubigers in den Fortbestand der Ein willigung nicht schützt und auch nicht auf Dritte übertragbar ist.50 Um diese „Nachteile“ zu überwinden werden verschiedene Ansätze diskutiert. Dabei bewegt sich das Spektrum der vertretenen Auffassungen auf der gesamten von Ohly51 eingeführten und bereits dargestellten Stufenleiter52. (1) Die Abtretung von Nutzungsbefugnissen Am unteren Ende ist die Auffassung von der „übertragbaren Einwilligung“ anzusiedeln.53 Nach ihr soll es trotz der einseitigen Natur der Einwilligung möglich sein, sie unwiderruflich zu erteilen und die erlangte Rechtsposition nach §§ 413, 398 BGB analog zu übertragen.54 Erforderlich sei lediglich, dass die Einwilligung des Betroffenen die Abtretung an einen Dritten deckt.55 Sicherlich kann nicht jede Einwilligung dahingehend ausgelegt werden, dass sie auch ein Einverständnis in die Abtretung an Dritte umfasst; dies folgt bereits aus § 399 1. Alt. BGB.56 Dies ergibt sich auch aus § 34 Abs. 1 S. 1 D-UrhG, der die Weiter übertragung eines Nutzungsrechts von der Zustimmung des Urhebers abhängig macht.57 Die Rechtsstellung des Zessionars ist jedoch rein schuldrechtlicher Art, d. h. weder der Einwilligungsempfänger noch der Zessionar kann bei dieser Konstruktion aus eigenem Recht gegen Dritte vorgehen.
Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 152. Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 35; Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 152. 50 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 152. 51 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 147 ff. 52 Vgl. hierzu weiter vorne Kapitel 4, A, I. 53 So vertreten von Helle, AfP 1985, 93 (100 f.) bzgl. des Rechts am eigenen Bild; Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 162 ff. 54 Helle, AfP 1985, 93 (100 f.); Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 162 ff. 55 Helle, AfP 1985, 93 (100 f.). 56 Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 163. 57 Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 163. 48 49
A. Deutschland
155
(2) Die translative Übertragung Auf dem anderen Ende der Leiter, wären die an das US-amerikanische Recht angelehnten „dualistischen Modelle“ zu verorten. Als rechtsdogmatischer Lösungsansatz wird eine Aufspaltung des Rechts auf informationelle Selbstbestim mung in einen unveräußerlichen und einen verwertbaren Teil vorgeschlagen.58 Auf diese Weise könne zwischen nicht veräußerlichen Persönlichkeitsrechten und davon losgelöst verkehrsfähigen Immaterialgüterrechten differenziert werden.59 Als Beispiel für eine solche Abtrennung führt Haag den Vergleich zum US-amerikanischen „right of publicity“60 an, das losgelöst vom „right of privacy“61 vollständig übertragbar sei.62 Auch hier bleibt es beim Grundsatz der Unübertragbarkeit von Persönlichkeitsrechten, da nach dieser dualistischen Auffassung sich das betreffende Persönlichkeitsinteresse von der Persönlichkeit abspaltet und sich zu einem selbständig übertragbaren Immaterialgüterrecht entwickelt.63 Außerdem können hier wohl auch die „property-right-Modelle“ eingeordnet werden. Da niemand bereit ist, für die Nutzung eines Gutes zu bezahlen, wenn dieses Gut auch kostenlos erlangt werden kann, sei es erforderlich, dass die Anbieter von personenbezogenen Daten eine zumindest eigentumsähnliche Position an diesen besitzen, um die für einen Markt notwendige Knappheit zu erzeugen.64 Einige Autoren halten daher eine eigentumsähnliche Ausschlussund Verfügungsbefugnis an personenbezogenen Daten für denkbar.65 Die eigentumsähnliche Position, die das Urheberrecht dem Schöpfer eines Werkes zuweist, sei vergleichbar mit der Position des Betroffenen im Datenschutzrecht, da die Nutzung der Immaterialgüter jeweils von der Einwilligung des Betroffe58 Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 195; so auch für das Namensrecht: Klippel, Der zivilrechtliche Schutz des Namens, 1985, 497 ff. und 523 ff. 59 Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 195; Kilian, CR 2002, 921 (926). 60 Als Gegensatz zum „right of privacy“ entwickeltes, voll übertragbares und vererbliches Recht zur kommerziellen Verwertung von Persönlichkeitsmerkmalen, vgl. hierzu ausführlich Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 191 ff. 61 Persönlichkeitsrecht im US-amerikanischen Raum, das auch oft als „right to be alone“ bezeichnet wird; ausführlich hierzu Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 168 ff. 62 Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 195. 63 So berichtet Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 154. 64 Kilian, Strukturwandel der Privatheit, in: Gedächtnisschrift für Wilhelm Steinmüller, 2014, S. 201. 65 Dorner, CR 2014, 617 (626); Schwartmann/Hentsch, RDV 2015, 221 (224 ff.).
156
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
nen abhinge.66 Daher handle es sich in beiden Fällen um ein „property right“ im ökonomischen Sinn.67 Kilian verspricht sich hiervon auch nicht zuletzt eine bessere Steuerung des Ausmaßes der Nutzung.68 (3) Die gebundene Rechtsübertragung Ein sich in der Mitte befindender Ansatz orientiert sich ebenfalls am Urheberrecht, geht aber davon aus, dass die persönlichkeits- und vermögensrechtlichen Interessen des Betroffenen – der monistischen Theorie69 entsprechend – in einem einheitlichen Recht geschützt sind.70 Auf der Basis von der von Thur71 getroffenen Unterscheidung zwischen unbeschränkter und beschränkter Übertragung hat Forkel72 die Theorie von der gebundenen (beschränkten) Übertragung von Persönlichkeitsrechten entwickelt. Während es bei der unbeschränkten Übertragung zu einer rückhaltlosen, vollumfänglichen Entäußerung und Beendigung der Rechtszuständigkeit des ursprünglichen Rechteinhabers kommt – der Erwerber erwirbt also „dasselbe Recht“ – wird bei der gebundenen Übertragung ein bestimmtes, aus dem subjektiven Recht des Veräußerers fließendes Interesse abgespalten und dem Erwerber hieran ein ausschließliches, gegenständlich wirkendes Teilrecht eingeräumt.73 Das eingeräumte Recht ist ein partieller Ausschnitt des Mutterrechts, das bestehen bleibt. Die gebundene Rechtsübertragung räumt dem Begünstigten eine abgesicherte Position ein, die es ihm auch ermöglicht, gegen Dritte aus eigenem Recht vorzugehen. Ein „Ausverkauf der Persönlichkeit“ soll durch die bleibende Bindung an das Stammrecht verhindert werden. Eigenart und Grenzen der gebundenen Übertragungen richten sich in den Grundlinien nach dem Modell, das der Gesetzgeber in den §§ 31 ff. Kilian, CR 2002, 921 (927). Kilian, CR 2002, 921 (926); Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 186 ff.; a. A. Weichert, NJW 2001, 1463 (1469), nach dem das Informationelle Selbstbestimmungsrecht nicht zu einem reinen „property right“ werden darf. 68 Kilian, Strukturwandel der Privatheit, in: Gedächtnisschrift für Wilhelm Steinmüller, 2014, S. 201. 69 Vgl. § 11 D-UrhG, diese Bestimmung enthält den allgemeinen Grundsatz, dass das Urheberrecht eine untrennbare Einheit vermögensrechtlicher und persönlichkeitsrechtlicher Bestandteile ist und dem Schutz des Urhebers dient. 70 Forkel, GRUR 1988, 491 (493 f.); ders., NJW 1993, 3181 (3182); Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 185 ff. ; ders., GRUR 2011, 982 (988). 71 von Thur, Der Allgemeine Teil des Deutschen Bürgerlichen Rechts, 2. Band, 1914, S. 59 ff. 72 Forkel, GRUR 1988, 491 (493 f.); ders., NJW 1993, 3181 (3182); dem folgend Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 185 ff.; ders., GRUR 2011, 982 (988). 73 Unseld, GRUR 2011, 982 (983). 66 67
A. Deutschland
157
D-UrhG für die persönliche geistige Schöpfung des Urhebers unter der Einräumung von „Nutzungsrechten“ normiert hat.74 Unseld und Buchner übertragen diesen, zunächst nur für das Allgemeine Persönlichkeitsrecht diskutierten Ansatz, auf das Informationelle Selbstbestimmungsrecht.75 Für Unseld ist kein Grund ersichtlich, die Einräumung gegenständlicher Nutzungsrechte im Bereich des Datenschutzrechts und Rechts auf informationelle Selbstbestimmung auszuschließen.76 (4) Kritik an der Übertragbarkeit von Persönlichkeitsrechten Natürlich finden sich in der Literatur auch einige Stimmen, die der Verwertung von Persönlichkeitsrechten kritisch gegenüber stehen. So hält Schack es nicht für die Aufgabe des Privatrechts die maximale Kommerzialisierung der Per sönlichkeit durch Schaffung eines marktfähigen Immaterialgüterrechts abzu sichern, da es sich schlussendlich nur gegen den Betroffenen selbst richte.77 Die Persönlichkeitsrechte sollen vor allem die Selbstbestimmung des Betroffenen sichern und dienen damit vorwiegend ideellen Interessen.78 Durch die Ausgestaltung als Immaterialgüterrecht werde die Persönlichkeit objektiviert und Dritten in unwiderruflicher Weise frei verfügbar gemacht.79 Die Anerkennung der Übertragbarkeit würde außerdem falsche Anreize für die Entwicklung der Persönlichkeit schaffen. Gestärkt würde nur die Generierung von Prominenz und marktorientierten Images, nicht aber die Ausbildung von authentischer und von der Verfassung geschützter Individualität.80 (5) Keine klare Linie in der Rechtsprechung Die Rechtsprechung zeigt in dieser Frage kein einheitliches Bild. Zwar hat der Bundesgerichtshof in den Entscheidungen Paul Dahlke81 und Marlene Dietrich82 ausdrücklich den Schutz von Vermögensinteressen bestimmter PersönlichkeitsForkel, GRUR 1988, 491 (501). Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 236 ff.; Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 283. 76 Unseld, GRUR 2011, 982 (988); so im Ergebnis auch Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 281 ff. 77 Schack, AcP 195 (1995), 594 (599).; ders, JZ 2000, 1060 (1062); zustimmend Peifer, Individualität im Zivilrecht, Tübingen 2001, S. 306. 78 Peifer, Individualität im Zivilrecht, Tübingen 2001, S. 306; Baston-Vogt, Der sachliche Schutzbereich des zivilrechtlichen allgemeinen Persönlichkeitsrechts, Tübingen 1997, S. 253. 79 Peukert, ZUM 2000, 710 (718). 80 Peifer, Individualität im Zivilrecht, Tübingen 2001, S. 306; ders., GRUR 2002, 495 (499). 81 BGHZ 20, 345 (353 f.) – Paul Dahlke. 82 BGHZ 143, 214 – Marlene Dietrich. 74
75
158
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
rechte anerkannt, zur Frage der Übertragbarkeit von Persönlichkeitsrechten lässt er jedoch keine klare Linie erkennen. Während er in der Universitätsemblem-Entscheidung83 die Übertragung eines dinglichen Nutzungsrechts am Universitätsnamen, Wappen und Siegel abgelehnt und nur durch schuldrechtlichen Vertrag die Ausübung des Namensrechts gestattet hat84, sprach er im Fall Nena85 dem rechtmäßigen Verwerter der kommerziellen Rechte des akustischen und optischen Umfeldes der Sängerin einen Bereicherungsanspruch gegen einen Konkurrenten zu, der unerlaubt Fanartikel mit ihrem Bild vertrieben hatte. In der Urteilsbegründung bezeichnete der Gerichtshof die Frage nach der Übertragbarkeit des Rechts am eigenen Bild ausdrücklich als umstritten.86 Aus der Urteilsbegründung wird nicht deutlich, ob er die Möglichkeit einer Rechtsübertragung anerkennt oder sein Ergebnis auf eine gewillkürte Prozessstandschaft stützt.87 In der Marlene-Dietrich-Entscheidung war wiederum die Frage der Übertragbarkeit von Persönlichkeitsrechten unter Lebenden nicht entscheidungserheblich, da es um Ansprüche der Tochter und Erbin gegen die unerlaubte Verwendung des Namens ihrer Mutter ging.88 Das Bundesverfassungsgericht hatte in der daran anschließenden Blauer-Engel-Entscheidung gegen die Anerkennung eines vererblichen vermögenswerten Bestandteils des Persönlichkeitsrechts jedenfalls keine verfassungsrechtlichen Bedenken.89 In der Carolinevon-Monaco-Entscheidung führte das Verfassungsgericht jedoch aus, dass der verfassungsrechtliche Privatsphärenschutz aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG nicht im Interesse einer Kommerzialisierung der eigenen Person gewährleistet werde.90 Bisher musste sich die Rechtsprechung zur Frage der Übertragbarkeit des Informationellen Selbstbestimmungsrechts nicht äußern. Insgesamt ist in der höchstrichterlichen Rechtsprechung zum Allgemeinen Persönlichkeitsrecht aber eine leichte Tendenz zur Abkehr vom Dogma der Unübertragbarkeit von Persönlichkeitsrechten zu erkennen.
119, 237 (240) – Universitätsemblem. Ablehnend auch BGH, 122, 71 (73) – Decker; BGH, GRUR 1978, 583 (585) – Motorsäge; OLG München, ZUM 1997, 388 – Schwarzer Sheriff. 85 BGH, NJW-RR 1987, 231 – Nena. 86 BGH, NJW-RR 1987, 231 (232). 87 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 156. 88 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 156. 89 BVerfG, NJW 2006, 3409 – Blauer Engel. 90 BVerfG, NJW 2000, 1021 (1023) – Caroline von Monaco. 83 BGHZ 84
A. Deutschland
159
2. Verwertbarkeit ohne Übertragbarkeit Auch wenn man – wie hier vertreten – dem Betroffenen ein subjektives Recht an seinen Daten zubilligt und den Schutz vermögensrechtlicher Interessen grundsätzlich anerkennt, muss daraus nicht zwingend auf eine Übertragbarkeit des Informationellen Selbstbestimmungsrechst geschlossen werden.91 Die Befürworter92 begründen die Notwendigkeit einer dinglichen Lösung vor allem mit den nur schuldrechtlichen Wirkungen der Einwilligung. So könne der Vertragspartner erstens die ihm erteilte Berechtigung nicht auf Dritte übertragen oder unterlizensieren, zweitens keine gegenüber jedermann wirkende und drittens vor allem keine sichere bzw. geschützte Rechtsposition erlangen.93 Der Einwilligung fehlt es damit an einem für Verfügungen charakteristischen Verbrauch von Verfügungsmacht, so dass nachfolgende Dispositionen des Betroffenen nicht unwirksam werden.94 Ob jedoch die dargestellten dogmatischen Ansätze diese (vermeintlichen) Nachteile zu beseitigen vermögen, bedarf einer genaueren Betrachtung.95 Die Wirkung einer translativen Voll- oder auch Teilübertragung von Persönlichkeitsrechten wird vor allem in der viel zitierten US-amerikanischen Entscheidung im Fall Brooke Shields96 deutlich. Damals ging die Schauspielerin gegen die Verbreitung von Nacktaufnahmen vor, die sie im Alter von 10 Jahren zeigten. Da ihre Mutter das „right of publicity“ an diesen Aufnahmen im Rahmen eines Lizenzvertrages übertragen hatte, wurde die Klage aufgrund der bindenden Wirkung des Vertrages abgewiesen.97 Der Betroffene verlöre also die Kontrolle zumindest über einen Teil seiner personenbezogenen Daten und damit auch über sein Informationelles Selbstbestimmungsrecht. Diese Rechtsfolgen sind mit Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG unvereinbar. Die freie Entfaltung der Persönlichkeit setzt den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.98 Der Betroffene soll selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen können.99 Freudenberg, Zwangsvollstreckung in Persönlichkeitsrechte, S. 42. Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 158; Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 283; Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 159 ff. 93 Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 158. 94 Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 158. 95 Da die dargestellte „Abtretungslösung“ dem Zessionar auch keine eigene, absolut wirkende Rechtsposition vermittelt, werden im Folgenden nur die Rechtsfolgen der translativen und der gebundenen Rechtsübertragung dargestellt. 96 Shields v Gross, 488 N.E.2d 108, 461 N.Y.2s 254 (1983) – Brooke Shields. 97 Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 184. 98 BVerfGE 65, 1 (43). 99 BVerfGE 65, 1 (43). 91
92
160
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
Gegen eine Voll- oder Teilübertragung sprechen auch der Personenbezug der Daten und ihre Nähe zur Persönlichkeit des Betroffenen.100 Das Informationelle Selbstbestimmungsrecht ist kein Immaterialgüterrecht. Es ist substanziell nicht von der Person ablösbar. Personenbezogene Daten erhalten ihren kommerziellen Wert nur dadurch, dass es die dahinterstehende Person gibt. Für den Betroffenen wäre der Umfang seiner Disposition nicht absehbar und aufgrund der Breite der Rechtseinräumung besteht die Gefahr der Fremdbestimmung.101 Auch wenn eine Abspaltung technisch möglich wäre verlieren personenbezogene Daten nie ihre Herkunftsfunktion102 , weshalb die vollständige translative Übertragung des Informationellen Selbstbestimmungsrecht oder seiner Teile ausscheidet.103 Schlussendlich überschreitet die Schaffung eines solchen neuen Immaterialgüterrechts die Grenze der richterlichen Rechtsfortbildung.104 Erkennt man die Möglichkeit der gebundenen Rechtsübertragung an, wäre in Anlehnung an die Vorschriften des Urheberrechts die Einräumung von Nutzungsrechten an personenbezogenen Daten zuzulassen. Das Urheberrecht eröffnet die Möglichkeit, ausschließliche und einfache Nutzungsrechte am Werk des Urhebers zu begründen. Das ausschließliche Nutzungsrecht i. S. d. § 31 Abs. 3 S. 1 D-UrhG berechtigt den Inhaber, das Werk unter Ausschluss aller anderen Personen auf die ihm erlaubte Art zu nutzen und weitere Nutzungsrechte einzuräumen. Damit ist ausschließlich der Rechtsinhaber zu der vereinbarten Werknutzung berechtigt. Nach der gesetzlichen Konzeption von Satz 1 wäre sogar eine Nutzung durch den Urheber selbst ausgeschlossen.105 Während der Rechtsinhaber beim ausschließlichen Nutzungsrecht gegen Dritte aus eigenem Recht vorgehen könnte ist dies beim einfachen Nutzungsrecht nach § 31 Abs. 2 D-UrhG nicht möglich. Das einfache Nutzungsrecht gibt dem Nutzungsrechtsinhaber nur das positive Recht zur Benutzung des Werkes aber kein entsprechendes negatives Verbotsrecht, das ihm die Möglichkeit gibt, alle Handlungen zu unterbinden, die seine Werknutzung beeinträchtigen. Der Inhaber eines einfachen Nutzungsrechts ist also weder berechtigt Dritten weitere Nutzungsrechte einzuräumen, noch hat er die Möglichkeit, Dritten die Nutzung zu verbieten.106
Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 183. Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 150. 102 Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 183. 103 So auch Götting, Persönlichkeitsrechte als Vermögensrechte, Tübingen 1995, S. 278; Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 183. 104 Schack, JZ 2000, 1060 (1062). 105 Soppe, in: Ahlberg/Götting, BeckOK UrhG, § 31 Rn. 66. 106 Soppe, in: Ahlberg/Götting, BeckOK UrhG, § 31 Rn. 65. 100 101
A. Deutschland
161
Es wird nur wegen des in § 33 D-UrhG angeordneten Sukzessionsschutzes als eigenständiges Recht mit dinglicher Wirkung angesehen.107 Das einfache Nutzungsrecht ist also nicht in der Lage, der datenverarbeitenden Stelle die erwünschte Rechtsposition zu verschaffen, so dass nur die Einräumung von ausschließlichen Nutzungsrechten nach dem Modell des § 31 Abs. 3 D-UrhG übrig bliebe. Ein solches würde der datenverarbeitenden Stelle die Möglichkeit verschaffen, personenbezogene Daten unter Ausschluss sämt licher Dritter, möglicherweise sogar des Persönlichkeitsrechtsträgers selbst, zu verwerten.108 Im Urheberrecht stellt die Einräumung von (vollen) ausschließlichen Nutzungsrechten den Regelfall dar, für das Datenschutzrecht kommt eine solche Vorgehensweise von vorne herein jedoch nicht in Frage.109 Der Betroffene selbst kann – sowohl rechtlich als auch tatsächlich – nicht vom weiteren Umgang mit seinen personenbezogenen Daten ausgeschlossen werden, eine solche Vereinbarung wäre mit dem Informationellen Selbstbestimmungsrecht unvereinbar.110 Des Weiteren würde die Einräumung von Ausschließlichkeitsrechten den gesellschaftlichen und kommunikativen Austausch behindern.111 Außerdem kann selbst ein ausschließliches Nutzungsrecht grundsätzlich nur mit Zustimmung des Urhebers übertragen oder unterlizensiert werden, vgl. §§ 34 f. D-UrhG. Dem Urheber sollen zur Wahrung seiner persönlichkeitsrechtlichen Interessen Kontrollrechte an seinen Nutzungsrechten verbleiben.112 Was für das Urheberpersönlichkeitsrecht gilt müsste aber erst recht für das Informationelle Selbstbestimmungsrecht gelten, so dass der einzige „Mehrwert“ gegenüber der schuldrechtlichen Lösung in der Ausschlusswirkung gegenüber Dritten (eingeschränkte Ausschließlichkeit) läge. Aber gerade diese liegt in den hier zu Grunde gelegten Schuldverhältnissen nicht im Interesse des Betroffenen. Bei dem „Tausch“ Daten gegen IT-Dienstleistungen, Bonuspunkte, Werbegeschenke und ähnlichem möchte möglicherweise der Betroffene – zumindest teilweise – dieselben personenbezogenen Daten mehrmals als Leistungsgegenstand einsetzen. Er möchte sich gegebenenfalls zugleich in sozialen Netzwerken aufhalten, die Dienstleistungen von Google in Anspruch nehmen, eine Paybackkarte verwenden und sich eventuell weitere Rabatte und Kundengeschenke sichern 107 Wiebe, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 31 UrhG Rn. 6. 108 Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 208. 109 Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 288. 110 So auch Buchner, Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006, S. 288; i. E. auch Wandtke, MMR 2017, 6 (11). 111 Härting, CR 2016, 646 (649). 112 Wiebe, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 35 UrhG Rn. 1; Schulze, in: Dreier/Schulze, UrhG, 4. Aufl. 2013, § 35 Rn. 1.
162
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
und das alles im Gegenzug für die Einwilligung in Erhebung, Verarbeitung und Nutzung möglicherweise derselben oder zumindest sich überschneidender personenbezogener Daten. Sein ökonomisches Interesse dürfte also vielmehr darin liegen, dieselben Daten gegenüber so vielen datenverarbeitenden Stellen wie möglich einsetzen zu können. Könnte ein Vertragspartner gegen die anderen datenverarbeitenden Stellen aus eigenem Recht vorgehen wäre der Betroffene in seinen Möglichkeiten zur umfangreichen kommerziellen Nutzung seiner Daten zumindest mittelbar beschränkt. Anders bei der Einwilligung, sie erlaubt dem Betroffenen im Rahmen der Vorschriften des § 4a BDSG beliebig viele (schuldrechtliche) Dispositionen über seine personenbezogenen Daten zu treffen. An einer gebundenen Rechtsübertragung wird der Betroffene also kein Interesse haben. Letztendlich handelt es sich um eine rein rechtspolitische Entscheidung, ob und in welchem Umfang Persönlichkeitsrechte wie das Informationelle Selbstbestimmungsrecht übertragbar sein sollen. Fakt ist, dass viele ihre personen bezogenen Daten mehr oder weniger bewusst als „Zahlungs- oder Tauschmittel“ einsetzen, um an vermeintlich unentgeltliche Dienstleistungen, Boni und Geschenke zu kommen und es ein Bedürfnis nach dem Abschluss solcher Dispo sitionen gibt. Die Rechtsordnung muss bestimmten gesellschaftlichen Werte entscheidungen auch Rechnung tragen. So hat der Bundesgerichtshof in der Marlene -Dietrich-Entscheidung bereits ausgeführt, dass die Rechtsordnung kein starres System darstelle, an dem sich die Wirklichkeit zu orientieren habe.113 Ihr komme auch eine dienende Funktion zu und deshalb müsse sie auch neuen Formen der Vermarktung einen Rahmen bieten.114 Die Frage ist nur, ob diese unbedingt auch dingliche Wirkung entfalten müssen. Wie aufgezeigt, ist die schuldrechtlich wirkende Einwilligung durchaus in der Lage, dem Betroffenen verschiedene Dispositionen über seine personenbezogenen Daten zu ermöglichen. Sie schützt ihn aber auch vor einer übermäßigen Bindung. Durch eine translative oder gebundene Rechtsübertragung würden sowohl die datenverarbeitende Stelle als auch möglicherweise Dritte unwiderrufliche Befugnisse über eine große Menge von personenbezogenen Daten erlangen, die für den Betroffenen so nicht vorhersehbar waren und auch nicht sein konnten.115 Im Gegensatz zum Recht am eigenen Bild oder des Urheberrechts, welche eine Verkörperung der Persönlichkeit in einem selbständigen materiellen Substrat zum Gegenstand haben das sich auch nicht im Laufe der Zeit verändert, werden bei den hier betrachteten Geschäftsmodellen – aufgrund des BGHZ 143, 214 (255) – Marlene Dietrich. BGHZ 143, 214 (255) – Marlene Dietrich. 115 So für die Schweiz Büchler, AcP 2006, 301 (325). 113 114
A. Deutschland
163
Dauerschuldcharakters – eine schier unüberschaubare Menge an personenbezogene Daten erhoben, verarbeitet und genutzt, die für den Betroffenen oft nicht überschaubar sind. Die schuldrechtliche Lösung erkennt die mit dem Persönlichkeitsrecht einhergehende Herrschafts- und Verfügungsmacht des Betroffenen an und ermöglicht ihm die wirtschaftliche Nutzung seiner personenbezogenen Daten, erhält aber gleichzeitig auch die starke Abwehrfunktion und bewahrt ihn vor unüberschaubaren Bindungen.
IV. Folgen der Nichtigkeit des Schuldverhältnisses Trotz der Anwendung des Trennungsprinzips besteht eine enge Verbindung zwischen schuldrechtlichem Vertrag und eigentlicher Einwilligung, da die Einwilligung ja gerade aufgrund einer schuldrechtlichen Verpflichtung erteilt wird. Daher ist zu klären, ob ein Mangel des Verpflichtungsvertrages auch die Einwilligung erfasst oder ob diese in ihrem rechtlichen Bestand unabhängig vom jeweiligen Schuldverhältnis ist. 1. Anwendbarkeit des Abstraktionsprinzips Die Rechtsprechung hat bisher noch nicht explizit zu dieser Frage Stellung genommen, es ist jedoch eine Tendenz zur Anwendung des Abstraktionsprinzips zu erkennen. So sah das Oberlandesgericht Karlsruhe die Einwilligung einer Minderjährigen in die Verwertung von Oben-ohne-Aufnahmen als wirksam, den zugrundeliegenden Vertrag aber aufgrund der §§ 104 ff. BGB als unwirksam an.116 In diesem Fall117 verbrachte die damals 17-jährige Klägerin mit Erlaubnis ihrer Eltern im August 1980 einen Sommerurlaub am Meer. Dort ließ sie sich am Strand teils allein, teils zusammen mit anderen jungen Leuten von einem Fotografen, der mit der Anfertigung von Bildern für den Reisekatalog der Beklagten zum Sommer 1981 beauftragt war, mit nacktem Oberkörper fotografieren. Dem Fotografen erklärte die Klägerin schriftlich, dass sie die Veröffentlichungs- und Verbreitungsrechte an den Aufnahmen der Beklagten übertrage; sie sei mit einer uneingeschränkten Reproduktion in allen Werbebereichen einverstanden. Die Beklagte verwendete daraufhin einige Bilder der Klägerin in ihrem Reisekatalog. Die Klägerin verlangte die Unterlassung der Verbreitung des Reisekatalogs sowie Schmerzensgeld. Das Gericht war jedoch der Auffassung, dass die Klägerin die erforderliche geistige Reife besaß, um die Bedeutung und die Tragweite ihrer Einwilligung zu den Aufnahmen und zu deren 116 117
OLG Karlsruhe, FamRZ 1983, 742. OLG Karlsruhe, FamRZ 1983, 742 (742).
164
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
Verwendung zu erfassen.118 Die Beklagte habe weder gegen § 22 KUG verstoßen, noch rechtswidrig in Persönlichkeitsrechte der Klägerin eingegriffen.119 Die rechtsgeschäftliche Erklärung – womit wohl der Vertrag gemeint sein dürfte – wurde vom Oberlandesgericht jedoch nach § 107 BGB für unwirksam erklärt, da die Klägerin durch den Vertrag keinen rechtlichen Vorteil erlangte und keine Zustimmung des gesetzlichen Vertreters vorlag.120 Auch der Bundesgerichtshof ging in einem Urteil zur Frage der rechtmäßigen Einwilligung eines Minderjährigen in einen ärztlichen Heileingriff von einer Anwendbarkeit des Abstraktionsprinzips aus.121 In der älteren Literatur ist ebenfalls eine Tendenz zum Abstraktionsprinzip erkennbar. So vertrat zuerst Zitelmann, dass stets eine unabhängige Wirksamkeitsprüfung vorzunehmen sei, wenn die Einwilligung dem Vertrag zeitlich nachfolgte.122 Fielen Einwilligung und Vertrag dagegen zeitlich zusammen, so sei zwar auch eine getrennte Beurteilung angebracht, es wäre aber denkbar, dass die Nichtigkeit des Vertrages auch die Nichtigkeit der Einwilligung zur Folge habe.123 Hier sieht er vor allem eine Parallele zur Vollmacht, bei der die Frage, ob sie akzessorisch zum Grundverhältnis sei auch öfter erörtert werde.124 Nach seinem Dafürhalten kommt daher auch die Anwendung des § 139 BGB in Betracht125, auf die später noch ausführlicher eingegangen werden soll. Auch Fischer geht von einer grundsätzlich abstrakten Beurteilung der Einwilligung aus.126 In der jüngeren Literatur haben einige Autoren127 jedoch Zweifel an der Notwendigkeit des Abstraktionsprinzips geäußert. Dem Abstraktionsprinzip liege der Gedanke des Verkehrsschutzes zu Grunde, der für die Einwilligung nicht passe.128 Durch die Lösung der Verfügung vom zugrundeliegenden Kausalgeschäft werde erreicht, dass sich ein Dritterwerber unabhängig von der Fehlerhaftigkeit des schuldrechtlichen Erstgeschäfts auf den Rechtserwerb verlassen könne.129 Für einen derartigen Verkehrsschutz bestehe bei der Einwilligung je118
OLG Karlsruhe, FamRZ 1983, 742 (743). OLG Karlsruhe, FamRZ 1983, 742 (743). 120 OLG Karlsruhe, FamRZ 1983, 742 (744). 121 BGHZ 29, 33 (37). 122 Zitelmann, AcP 99 (1906), 1 (61). 123 Zitelmann, AcP 99 (1906), 1 (61). 124 Zitelmann, AcP 99 (1906), 1 (61 Fn. 48). 125 Zitelmann, AcP 99 (1906), 1 (61 Fn. 48); zustimmend Kothe, AcP 185, 105 (136). 126 Fischer, Die Rechtswidrigkeit, Frankfurt am Main 1911, S. 279. 127 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 449; Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 62 f. 128 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 449. 129 Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 62. 119
A. Deutschland
165
doch kein Bedarf.130 Auch die gedankliche Parallele zur Vollmacht könne nicht überzeugen, da die Einwilligung am ehesten mit der Innenvollmacht vergleichbar sei, welche durch § 168 S. 1 BGB an das Grundgeschäft gebunden wäre.131 Außerdem wird gegen die Abstrahierung vorgebracht, dass der Betroffene zwar wirksam einwilligen und damit auch seine Leistungspflicht erfüllen könnte, das Recht auf die Gegenleistung jedoch aufgrund der Unwirksamkeit des schuld rechtlichen Vertrages dann verlöre. Es bestehe aber kein Grund, die daten verarbeitende Stelle derart zu begünstigen.132 Dazu muss aber gesagt werden, dass das Abstraktionsprinzip keine „Einbahnstraße“ darstellt. Genauso wäre es möglich, dass die Einwilligung unwirksam ist und personenbezogene Daten nicht mehr verarbeitet und genutzt werden dürfen, der Betroffene aber aufgrund des wirksamen Vertrages weiter in den Genuss der Gegenleistung kommt. Darüber hinaus hat der Gesetzgeber zur Korrektur der vermeintlich negativen Folgen des Abstraktionsprinzips einen Ausgleich über das Bereicherungsrecht vorgesehen. Außerdem sind auch Konstellationen denkbar, in denen sich der Verzicht auf das Abstraktionsprinzip nachteilig für den Betroffenen auswirkt, nämlich dann, wenn der Vertrag für den Betroffene besonders günstig ist und er nur deshalb seine Einwilligung erteilt hat.133 Zwar stellt die Einwilligung nach der hier vertretenen Ansicht keine dingliche Verfügung über personenbezogene Daten dar, so dass eine Abstraktion im Interesse der Verkehrssicherheit nicht erforderlich ist. Dennoch führt eine getrennte und abstrakte Beurteilung zu einer klareren Struktur sowohl in der wissenschaftlichen Diskussion als auch in der Rechtsanwendung.134 Teilweise werden nämlich das Verhältnis von Vertrag und Einwilligung untechnisch bzw. nicht präzise genug beschrieben oder die Termini werden vermischt. So geht beispielsweise der Bundesgerichtshof in einer Entscheidung zur Frage, ob der Eingriff in das Persönlichkeitsrecht einer Minderjährigen durch die Veröffentlichung von Nacktaufnahmen zu seiner Rechtmäßigkeit neben der Zustimmung des gesetzlichen Vertreters auch der Einwilligung des Minder jährigen bedarf, anscheinend davon aus, dass die Einwilligung in einer Vereinbarung über die Bildnisverwertung enthalten sei135, unterscheidet aber dann 130 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 449; Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 62. 131 Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 62 f. 132 Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 450. 133 von Zimmermann, Die Einwilligung im Internet, Berlin 2014, S. 28 f. 134 So auch von Zimmermann, Die Einwilligung im Internet, Berlin 2014, S. 27. 135 BGH, GRUR 1975, 561 (563) – Nacktaufnahmen.
166
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
aber doch zwischen der vermögensrechtlichen Regelung – also dem Vertrag – und der Einwilligung zum Eingriff in das Recht am eigenen Bild.136 Eine nicht nur gedankliche sondern auch tatsächliche Trennung und unabhängige Betrachtung von Vertrag und Einwilligung führt zu klareren Ergebnissen sowohl für die datenverarbeitende Stelle als auch für den Betroffenen. Zudem stellt auch die Einwilligung, die im Rahmen eines Vertrages erteilt wird, eine einseitige rechtsgeschäftliche Erklärung dar, die eine eigene Zweckbestimmung bzgl. der zu verarbeitenden personenbezogenen Daten enthält und nicht mit dem Vertrag stehen oder fallen soll. Oftmals bleiben personenbezogene Daten auch über die Vertragslaufzeit hinaus gespeichert und werden weiter verarbeitet. Es wäre nicht praktikabel, verlöre die dazu ermächtigende Einwilligung mit Vertragsende ihre Wirksamkeit. Entscheidend ist außerdem, dass durch die getrennte und unabhängige Betrachtung die besonderen Wertungen der Einwilligung, beispielsweise beim Minderjährigenschutz nicht verloren gehen.137 2. Anwendung des § 139 BGB Teilweise wird in der persönlichkeitsrechtlichen Literatur die Anwendung des § 139 BGB befürwortet. Diese Norm will die Parteien eines Rechtsgeschäfts davor bewahren, an Teile des Geschäfts gebunden zu sein, obwohl andere Teile nichtig sind. Der Gesetzgeber hat die Tradition, bei einem teilbaren Geschäft die nichtigen Teile für unwirksam zu erklären und die geltungsfähigen Teile aufrechtzuerhalten, zugunsten einer Vermutung der Gesamtnichtigkeit aufgegeben.138 Maßgeblich für die Annahme eines einheitlichen Rechtsgeschäfts ist der Wille der Parteien, dass zwei äußerlich getrennte Rechtsgeschäfte miteinander stehen und fallen sollen.139 Geht man – wie hier vertreten – von der Geltung des Abstraktionsprinzips im Verhältnis zwischen Verpflichtung und Einwilligung aus, würde dieses durch die Anwendung des § 139 BGB durchbrochen werden. Eine generelle Anwendbarkeit im Verhältnis Verpflichtungs- und Erfüllungsgeschäft wird in der Literatur140 vereinzelt und in der Rechtsprechung141 überwiegend bejaht.142 Im Schrifttum wird teilweise die Meinung vertreten, dass das BGH, GRUR 1975, 561 (564) – Nachtaufnahmen. von Zimmermann, Die Einwilligung im Internet, Berlin 2014, S. 27. 138 Busche, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 139 Rn. 1. 139 BGHZ 50, 8 (13); Ahrens, in: Prütting/Wegen/Weinreich (Hrsg.), Kommentar zum BGB, 9. Aufl. 2014, § 139 Rn. 9. 140 Eisenhardt, JZ 1991, 271 (274 ff.). 141 BGH, NJW 1992, 3237 (3238); BGH, NJW 1967, 1130 (1130); BGH, NJW 1988, 2364 (2364). 142 Jauernig, JuS 1994, 721 (724); ausführlich zum Meinungsstand in der Literatur Eisenhardt, JZ 1991, 271 (274 ff.). 136 137
A. Deutschland
167
Abstraktionsprinzip nicht zur Disposition der Parteien stünde und es der gesetzlichen Wertung widerspräche wenn die Parteien durch ihren Willen Verpflichtungs- und Erfüllungsgeschäft zu einer Geschäftseinheit verbinden könnten.143 Dem wird von anderen Autoren entgegengehalten, dass sich aus den gesetzlichen Regeln kein Vorrang des Abstraktionsprinzips im Verhältnis zum Parteiwillen entnehmen lasse.144 Aber auch für die Befürworter kommt eine Anwendung nur ausnahmsweise in Betracht.145 Der Einheitswille der Parteien müsse deutlich erkennbar nach außen treten.146 Im persönlichkeitsrechtlichen Schrifttum wird § 139 BGB regelmäßig herangezogen.147 Dasch führt bzgl. der Einwilligung nach § 22 KUG an, dass der Abgebildete gerade im Hinblick auf die Verpflichtung die Einwilligung erteile.148 Außerdem ließen sich Inhalt und Umfang der Einwilligung (nur) aus dem Verpflichtungsgeschäft entnehmen.149 Beides ist jedoch kein sich auf das Persönlichkeitsrecht beschränkende Phänomen, sondern der Regelfall – der Umfang der Erfüllung richtet sich meist nach der schuldrechtlichen Verpflichtung. Meines Erachtens ist daher bei der Anwendung von § 139 BGB Zurückhaltung geboten. Ein einheitliches Rechtsgeschäft ist nur im Ausnahmefall und bei klarer Erkennbarkeit des Parteiwillens anzunehmen. Die Willenserklärungen der Vertragspartner sind also entsprechend nach den §§ 133, 157 BGB auszulegen.
V. Zusammenfassung Zusammenfassend lässt sich im deutschen Recht zum Verhältnis zwischen schuldrechtlichem Vertrag und Einwilligung sagen, dass sowohl das Trennungs- als auch das Abstraktionsprinzip Anwendung findet. Die Einwilligung 143 Schlüter, JuS 1969, 10 (12); kritisch auch Fischer, Die Rechtswidrigkeit, Frankfurt am Main 1911, S. 279. 144 Eisenhardt, JZ 1991, 271 (277). 145 Ahrens, in: Prütting/Wegen/Weinreich (Hrsg.), Kommentar zum BGB, 9. Aufl. 2014, § 139 Rn. 13; der Bundesgerichtshof hat bereits auf die „höchst selten vorkommende Geschäftseinheit zwischen schuldrechtlichem und dinglichem Geschäft“ i. S. d. § 139 BGB hingewiesen, vgl. BGH, NJW 1988, 2364 (2364). 146 Ahrens, in: Prütting/Wegen/Weinreich (Hrsg.), Kommentar zum BGB, 9. Aufl. 2014, § 139 Rn. 14. 147 Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 63 f.; Kothe, AcP 185, 105 (136); Ohly, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Tübingen 2002, S. 450 f. 148 Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 64. 149 Dasch, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, München 1990, S. 64.
168
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
ist damit isoliert vom Vertrag zu betrachten und in ihrem Bestand demnach unabhängig vom Schicksal des vertraglichen Schuldverhältnisses zu beurteilen. Die Einwilligung wirkt zudem nur zwischen den Parteien und verschafft der datenverarbeitenden Selle keine gesicherte (absolute) Rechtsposition. Aufgrund des mangelnden Verbrauchs von Verfügungsmacht stellt die Einwilligung auch keine rechtsgeschäftliche Verfügung dar. Auch wenn man – wie hier vertreten – dem Betroffenen ein subjektives Recht an seinen Daten zubilligt und den Schutz vermögensrechtlicher Interessen durch das Informationelle Selbstbestimmungsrecht anerkennt folgt daraus nicht zwingend, dass die Disposition über personenbezogene Daten auch dingliche Wirkung entfalten muss. Das Schuldrecht ist durchaus in der Lage einen guten Ausgleich zwischen den In teressen der Parteien herbeizuführen. Es bewahrt die Verfügungsmacht des Betroffenen und die damit verbundene Abwehrfunktion des Informationellen Selbstbestimmungsrechts und ermöglicht ihm gleichzeitig aber auch eine wirtschaftliche Nutzung seiner personenbezogenen Daten.
B. Österreich I. Zustimmung und Gestattungsvertrag Während im deutschen Recht eingehend zur Stellung der Einwilligung im Privatrecht im Allgemeinen und vereinzelt auch zur datenschutzrechtlichen Einwilligung und ihrem Verhältnis zur schuldrechtlichen Verpflichtung im Spe ziellen diskutiert wird, findet in der österreichischen Literatur bisher kaum eine Auseinandersetzung mit dieser Fragestellung statt. Dieser Umstand lässt sich wohl mit dem in Österreich vorherrschenden Prinzip der kausalen Tradition begründen. Zwar kennt auch die Österreichische Rechtsordnung das Trennungsprinzip, sie lässt aber im Grundsatz keine abstrakten Rechtsgeschäfte zu, erlaubt also weder ein abstraktes Verpflichtungs- noch ein abstraktes Verfügungs geschäft.150 Da die Zustimmung also, auch bei einer Trennung von der schuldrechtlichen Verpflichtung, mit dieser in der Regel steht und fällt wurde dieser Frage vermutlich keine große Relevanz beigemessen. Die Rechtsprechung stuft einen Vertrag über den Gebrauch bestimmter Persönlichkeitsgüter als Gestattungsvertrag ein. So urteilte der Oberste Gerichthof in einem Fall bzgl. der Frage der Lizenzierung des Namens der bekannten Autorin Maria Treben, dass der Namensträger auf sein Untersagungsrecht nach § 43 ABGB verzichten und den Gebrauch seines Namens zu Werbezwecken 150
Resch, Die Einwilligung des Geschädigten, Wien 1997, S. 38 f.
B. Österreich
169
oder zur Kennzeichnung von Waren bzw. zur Vermarktung im Geschäftsverkehr gestatten kann.151 Ein solcher (schuldrechtlicher) Gestattungsvertrag bzw. Namenslizenzvertrag beseitige grundsätzlich die Rechtswidrigkeit des Gebrauchs eines fremden Namens oder eines fremden Kennzeichens.152 Diese Entscheidung hat der Gerichtshof auch in Bezug auf das Recht am eigenen Bild bestätigt.153 Dagegen geht Resch davon aus, dass es sich bei der Einwilligung im Privatrecht nicht nur um eine Rechtsgutsverfügung, sondern auch um ein einseitiges Rechtsgeschäft handelt und trennt damit zwischen der schuldrecht lichen Verpflichtung und der aufgrund dieses Rechtsgeschäfts getätigten Verfügung.154 In der datenschutzrechtlichen Literatur finden sich zu dieser Frage nur ein paar Andeutungen von Reimer. Er geht davon aus, dass das Grundrecht auf Datenschutz selbst nicht übertragbar sei, der Betroffene aber Nutzungsrechte an seinen personenbezogenen Daten einräumen könne.155 Außerdem sei seines Erachtens ein Vertrag, in dem der Verwendung von Daten zugestimmt wird, als Dauerschuldverhältnis zu betrachten.156 Diese Formulierung deutet vage darauf hin, dass er die Zustimmung auch als Teil eines einheitlichen Gestattungsvertrages sieht.
II. Zustimmung als Verfügungsgeschäft? Wie schon angedeutet unterscheidet auch die österreichische Rechtsordnung grundsätzlich Verpflichtungs- und Verfügungsgeschäfte. Auch wenn die Zustimmung als Teil eines Gestattungsvertrages gesehen wird, kann sie – als Erfüllung – dennoch eine rechtsgeschäftliche Dimension in Form eines Verfügungsgeschäfts aufweisen, das unmittelbar auf ein bestehendes Recht einwirkt.157 Wie in Deutschland wird auch in Österreich die Zustimmung als Instrument der Disposition über Persönlichkeitsrechte verstanden.158 Grundsätzlich wirkt die Zustimmung bzw. der Gestattungsvertrag nur zwischen den Parteien und vermittelt dem Zustimmungsempfänger keine gesicherte RechtsOGH, 17 Ob 2/10h E. 3.1 – Maria Treben; Korn/Walter, MuR 2010, 371 (372). OGH, 17 Ob 2/10h E. 3.2; OGH, 4 Ob 7/92; OGH, 4 Ob 85/00d; Aicher, in: Aicher/ Rummel (Hrsg.), Kommentar zum Allgemeinen Bürgerlichen Gesetzbuch, Band 1, 3. Aufl. 2000, § 43 Rn. 13, 15; Egger, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 3. Aufl. 2015, § 43 Rn. 12. 153 OGH, 4 Ob 124/10d – Nahrungsergänzungsmittel. 154 Resch, Die Einwilligung des Geschädigten, Wien 1997, S. 38 ff. 155 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 177. 156 Reimer, Die datenschutzrechtliche Zustimmung, Wien 2010, S. 177. 157 Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 104. 158 Magerl, Kommerzialisierung von Persönlichkeitsrechten, Wien 2004, S. 124. 151
152
170
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
position. Daher stellt sich auch in Österreich die Frage, ob die datenverarbeitende Stelle dennoch absolute Rechte an den personenbezogenen Daten des Betroffenen „erwerben“ könnte. 1. Übertragbarkeit von Persönlichkeitsrechten Wie in Deutschland gelten auch in Österreich die Persönlichkeitsrechte aufgrund ihres höchstpersönlichen Charakters als nicht (vollständig) übertragbar.159 In der Literatur wird das Persönlichkeitsrecht vereinzelt als ein Mischrecht beschrieben, das einerseits aus dem allgemeinen160 und den besonderen Persönlichkeitsrechten161 besteht, die einen umfassenden Schutz der ideellen Persönlichkeitsinteressen gewährleisten und andererseits auch vermögenswerte Bestandteile enthält, die auch durch die Rechtsordnung gesichert sind.162 So geht der Oberste Gerichtshof in ständiger Rechtsprechung davon aus, dass der „geldwerte Bekanntheitsgrad“ einer Persönlichkeit, eine Sache i. S. d. § 1041 ABGB163 darstellt und dem Rechtsträger bei einem unbefugten Gebrauch – z. B. des Rechts am eigenen Bild – daher ein bereicherungsrechtlicher Verwendungsanspruch zusteht.164 Der ungerechtfertigte aus einem Gut gezogene Nutzen ist dem Betroffenen hiernach zu erstatten; es geht also um die Rückführung eines geldwerten Vorteils, der entgegen der von der Rechtsordnung vorgenommenen Zuordnung nicht dem Berechtigten, sondern einem anderen zugeflossen ist.165 In Österreich ist demnach ebenso anerkannt, dass die Persönlichkeitsrechte neben den Ausschließungsrechten auch vermögenswerte Bestandteile enthalten.166 Wie schon angesprochen, erkennt der Oberste Gerichtshof auch grundsätzlich die Möglichkeit der (schuldrechtlichen) Gestattung bzw. Lizenzierung von PerEgger, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 3. Aufl. 2015, § 43 Rn. 12; Hofmarcher, ecolex 2013, 543 (543). 160 Vgl. zur Existenz eines allgemeinen Persönlichkeitsrechts in Österreich die Ausführungen von Aicher, in: Aicher/Rummel (Hrsg.), Kommentar zum Allgemeinen Bürgerlichen Gesetzbuch, Band 1, 3. Aufl. 2000, § 16 Rn. 12. 161 Darunter sind die durch § 16 ABGB geschützten Persönlichkeitsrechte zu verstehen, wie u. a. das Recht am eigenen Bild, das Namensrecht, das Urheberpersönlichkeitsrecht aber auch das Recht auf Datenschutz. 162 Hofmarcher, ecolex 2013, 543 (543); Magerl, Kommerzialisierung von Persönlichkeits rechten, Wien 2004, S. 102 ff. 163 § 1041 ABGB lautet: „Wenn ohne Geschäftsführung eine Sache zum Nutzen eines Andern verwendet worden ist; kann der Eigenthümer sie in Natur, oder, wenn dieß nicht mehr geschehen kann, den Werth verlangen, den sie zur Zeit der Verwendung gehabt hat, obgleich der Nutzen in der Folge vereitelt worden ist.“ 164 OGH, 6 Ob 57/06k E. 3; OGH, 4 Ob 147/90; OGH, 17 Ob 2/10h E. 2.2. 165 Magerl, Kommerzialisierung von Persönlichkeitsrechten, Wien 2004, S. 101. 166 Hofmarcher, ecolex 2013, 543 (543); Thiele, MuR 2010, 379 (379). 159
B. Österreich
171
sönlichkeitsgütern an. In zwei wichtigen Entscheidungen167 stellte er klar, dass die Grundsätze der immaterialgüterrechtlichen Lizenz auch auf die kommerzielle Seite des Namensrechts bzw. auf andere Persönlichkeitsgüter anwendbar sind.168 „Die Gestattung des Namensgebrauchs ist keine Veräußerung des Namensrechts, sondern ein Verzicht auf die Geltendmachung von Ansprüchen gegen den durch die Gestattung Begünstigten.“169 Weiter ging der Gerichthof in der Nahrungsergänzungsmittel-Entscheidung, als er dem Persönlichkeitsrechtsträger zubilligte, das Recht den eigenen Namen und das eigene Bild zu wirtschaftlichen Zwecken zu verwenden, an eine andere Person zu übertragen und ihr dadurch eine Rechtsposition einzuräumen, dieses übertragene Recht auch im eigenen Namen gegen Dritte zu verteidigen.170 „Wie weit die Gestattung inhaltlich, zeitlich und räumlich reicht, richtet sich immer nach den konkreten Umständen des Einzelfalls und kann auch das Recht umfassen, die vermögenswerten Interessen des Namensträgers an der Verwertung des Namens zu schützen und Namensmissbrauch abzustellen.“171 Nachdem der Oberste Gerichtshof zunächst nur von einer inter partes wirkenden Gestattung sprach geht er nunmehr davon aus, dass das vermögenswerte Recht, Persönlichkeitsmerkmale zu kommerziellen Zwecken zu benutzen übertragbar ist und auch dingliche Wirkung entfalten kann.172 2. Verwertbarkeit durch Orientierung am Urheberrecht Um die Kommerzialisierung von bestimmten Persönlichkeitsrechten einen Ordnungsrahmen zu geben wird auch in der österreichischen Literatur eine Orientierung am Urheberrecht vorgeschlagen.173 Es ermöglicht dem Urheber die wirtschaftliche Verwertung des Werkes durch Einräumung von umfassenden Nutzungsrechten, vgl. § 26 österreichisches Urhebergesetz (ÖR-UrhG). Diese so begründeten Werknutzungsrechte sind gem. § 27 ÖR-UrhG auch veräußerlich und damit übertragbar. Da es sich bei § 27 Abs. 2 ÖR-UrhG um eine dispositive Bestimmung handelt, können die Parteien auch volle Veräußerungsfreiheit hinsichtlich der Werknutzungsrechte vereinbaren, sodass die Zustimmung des Urhebers zur Übertragung des Werknutzungsrechts im Einzelfall nicht notwendig ist.174 Dagegen ist das Urheberpersönlichkeitsrecht – wie auch OGH, 17 Ob 2/10h – Maria Treben; OGH, 4 Ob 124/10d – Nahrungsergänzungsmittel. Hofmarcher, ecolex 2013, 543 (543). 169 OGH, 4 Ob 124/10d E. 4. 170 Hofmarcher, ecolex 2013, 543 (543 f.); OGH, 4 Ob 124/10d E. 4. 171 OGH, 4 Ob 124/10d E. 4. 172 Hofmarcher, ecolex 2013, 543 (544); Schanda, ecolex 2000, 808 (808). 173 Hofmarcher, ecolex 2013, 543 (544). 174 Guggenbichler, in: Büchele/Ciresa/Guggenbichler/Thiele(Hrsg.), Österreichisches Ur heberrecht, 17. Ergänzungslieferung 2014, § 27 Rn. 6. 167
168
172
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
in Deutschland – einer vertraglichen Vereinbarung nicht zugänglich, vgl. §§ 19– 24 ÖR-UrhG.175 Zwar diene das Urheberrecht primär dem Schutz von wirtschaftlichen Interessen, eine zurückhaltende Anwendung der urheberrechtlichen Instrumentarien auf die Übertragung von Persönlichkeitsrechten sei aber dennoch möglich und auch richtig.176 Beispielsweise solle bei einer fehlenden Vereinbarung der Parteien analog zum Urheberrecht von einer geringen Belastung für den Lizenzgeber mithin von einer einfachen Lizenz i. S. d. § 24 Abs. 1 ÖR-UrhG ausgegangen werden.177 Eine solche sog. Werknutzungsbewilligung begründet aber auch „nur“ einen obligatorischen Anspruch gegen den Urheber und somit – im Gegensatz zum Werknutzungsrecht – nur ein relatives Recht.178 Dieses genießt – wie auch in Deutschland – jedoch gem. § 24 Abs. 2 ÖR-UrhG Sukzessionsschutz. Außerdem ist im Bereich des Persönlichkeitsrechts eine Lizenzübertragungsbefugnis des Lizenznehmers ohne Zustimmung des Persönlichkeitsrechtsträgers generell abzulehnen.179 Konkrete Überlegungen, diese Ansätze auch auf das Grundrecht auf Datenschutz als spezielle Ausprägung des Persönlichkeitsrechts zu übertragen finden sich kaum. Wiebe deutet mit Blick auf die Entwicklung in Deutschland an, dass man den Bogen vom Datenschutz zum Immaterialgüterrecht ruhig spannen könne, geht aber dann nur auf die vertretenen Ansätze im deutschen Recht ein.180 Aufgrund der engen Verbindung von ideellen und kommerziellen Interessen bei den Persönlichkeitsrechten ist meines Erachtens die Parallele zum Urheberrecht schwierig. Das Grundrecht auf Datenschutz schützt in erster Linie die ideellen Interessen des Betroffenen, während das Urheberrecht vor allem wirtschaftliche Interessen schützt. Der Urheber ist mit seinem Werk nicht in derselben Weise verbunden, wie der Betroffene mit seinen Persönlichkeitsmerkmalen und seinen personenbezogenen Daten.181 Hier kann insoweit auf die Ausführungen und Argumentation zum deutschen Recht bzgl. der Interessen des Betroffenen verwiesen werden.182 In Literatur und Rechtsprechung zeigt sich jedoch die deutliche Tendenz, eine Übertragung von bestimmten Persönlichkeitsrechten und die Begründung von dinglich wirkenden Rechten zuzulas-
Hofmarcher, ecolex 2013, 543 (544). Hofmarcher, ecolex 2013, 543 (544). 177 Hofmarcher, ecolex 2013, 543 (544). 178 Guggenbichler, in: Büchele/Ciresa/Guggenbichler/Thiele (Hrsg.), Österreichisches Ur heberrecht, 17. Ergänzungslieferung 2014, § 24 Rn. 2. 179 Hofmarcher, ecolex 2013, 543 (544). 180 Wiebe, ZIR 2014, 35 (53). 181 Hofmarcher, ecolex 2013, 543 (545). 182 Vgl. hierzu Kapitel 4, A, III, 2. 175
176
B. Österreich
173
sen. Die Zustimmung kann damit in Österreich als rechtsgeschäftliche Verfügung über Persönlichkeitsrechtsgüter eingeordnet werden.183
III. Folgen der Nichtigkeit des Schuldverhältnisses Geht man von der Einheit zwischen schuldrechtlicher Verpflichtung und datenschutzrechtlicher Zustimmung aus, hängt auch die Wirksamkeit der Zustimmung von der Gültigkeit des Gestattungsvertrages ab. Erweist sich das Schuldverhältnis aus irgendeinem Grund als unwirksam, so ist davon auch die datenschutzrechtliche Zustimmung betroffen. Im Gegensatz zu Deutschland fände aber auch bei einer Trennung von Zustimmung und Verpflichtung keine vom Schuldverhältnis unabhängige Betrachtung statt. Geht man wie Resch von der Trennung der Zustimmung vom Verpflichtungsgeschäft aus, so folgt jedenfalls aus der Gesamtnichtigkeit des Titelgeschäfts auch die Unwirksamkeit des Verfügungsgeschäfts – respektive der Zustimmung.184 Es sei aber im Einzelfall genau zu prüfen, ob tatsächlich eine Gesamtnichtigkeit des Verpflichtungsgeschäfts vorliege; bei relativer Nichtigkeit müsse untersucht werden, ob sich der Betroffenen auf die Nichtigkeit auch berufen könne.185
IV. Zusammenfassung Für Österreich lässt sich festhalten, dass der Frage des Verhältnisses von datenschutzrechtlicher Zustimmung und schuldrechtlicher Verpflichtung keine große Bedeutung beigemessen wird. Die Rechtsprechung scheint keine Trennung zwischen beiden Rechtsgeschäften vorzunehmen, sondern sieht – zumindest im Bereich bestimmter Persönlichkeitsrechte – die Zustimmung wohl als Teil eines einheitlichen Gestattungsvertrags. Im Gegensatz zum Bundesgerichtshof, der bisher keine klare Linie bzgl. der Frage der Übertragbarkeit bzw. Begründung von dinglichen Rechten an Persönlichkeitsrechten erblicken lässt, geht der Oberste Gerichtshof mittlerweile – nachdem er zunächst nur von einer inter partes wirkenden Gestattung sprach – davon aus, dass das vermögenswerte Recht, Persönlichkeitsmerkmale zu kommerziellen Zwecken zu benutzen übertragbar ist und auch dingliche Wirkung entfalten kann. In der Literatur wird hier vereinzelt eine dogmatische Konstruktion in Anlehnung an das Urheberrecht vorgeschlagen. Resch, Die Einwilligung des Geschädigten, Wien 1997, S. 38 ff. Resch, Die Einwilligung des Geschädigten, Wien 1997, S. 79 f. 185 Resch, Die Einwilligung des Geschädigten, Wien 1997, S. 80; vgl. zur relativen Nichtig keit Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 144. 183
184
174
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
Geht man von einer Übertragbarkeit der Rechtsprechung des Obersten Gerichtshof bzgl. der schuldrechtlichen Gestattung bzw. Lizenzierung von Persönlichkeitsmerkmalen auch für den Vertrag mit dem Inhalt „Daten als Leistung“ aus, hängt auch die Wirksamkeit der Zustimmung von der Gültigkeit des Gestattungsvertrages ab. Erweist sich das Schuldverhältnis aus irgendeinem Grund als unwirksam, so wäre davon auch die datenschutzrechtliche Zustimmung betroffen.
C. Schweiz Die Schweiz hat bisher – soweit ersichtlich – keine speziellen Lösungsansätze bzgl. der Frage des Verhältnisses von datenschutzrechtlicher Einwilligung und schuldrechtlicher Verpflichtung entwickelt, weshalb im Folgenden vor allem die Ansätze in der allgemeinen persönlichkeitsrechtlichen Literatur und Rechtsprechung in den Blick genommen werden soll. Ausgangspunkt der Überlegung bildet auch hier die gesellschaftliche Realität, dass eine wirtschaftlichen Nutzung von bestimmten Persönlichkeitsgütern auch in der Schweiz stattfindet, personenbezogene Daten einen wirtschaftlichen Wert aufweisen und – ungeachtet der Unübertragbarkeit von Persönlichkeitsrechten186 – allgemein anerkannt ist, dass rechtsgeschäftliche Verpflichtungen, die Persönlichkeitsrechte betreffen, grundsätzlich gültig sind.187
I. Die Einwilligung als Teil des Gestattungsvertrags Die wirksame Einwilligung stellt – wie bereits mehrfach erwähnt – einen Rechtsfertigungsgrund gem. Art. 13 Abs. 1 DSG und Art. 28 Abs. 2 ZGB dar. Durch die Möglichkeit des Betroffenen, mittels Einwilligung die Rechtswidrigkeit des Eingriffs in das Informationelle Selbstbestimmungsrecht zu beseitigen, können personenbezogene Daten zum Gegenstand vertraglicher Beziehungen werden.188 In diesem Zusammenhang wird in der Schweiz der Einwilligung eine 186
Vgl. dazu gleich Kapitel 4, C, II, 1. Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 181; Weber, Persönlichkeit als Immaterialgut?, in: Honsell/Zäch/Hasenböhler/Harrer/Rhinow (Hrsg.), Privatrecht und Methode, Festschrift für Kramer, Basel 2004, S. 423; Jäggi, ZSR 1960, 135a (203a); a. A. Geiser, Die Persönlichkeitsverletzung insbesondere durch Kunstwerke, Basel 1990, S. 133 für den Bereich der Kunstwerke. 188 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 346 f. 187
C. Schweiz
175
„vertragsbegründende Wirkung“ zugesprochen189, d. h. sie wird als Teil eines wohl einheitlichen schuldrechtlichen Gestattungsvertrages gesehen.190 Die schuldrechtliche Einräumung von Nutzungsbefugnissen an Persönlichkeitsrechten wird in der Literatur und Rechtsprechung als eine auf den Abschluss eines Lizenzvertrags gerichtete Einwilligung verstanden.191 Das Aargauische Handelsgericht führte in Bezug auf die Übertragung des Namensrechts aus, dass das einer natürlichen Person zustehende Namensrecht aufgrund seiner persönlichkeitsrechtlichen Natur grundsätzlich unübertragbar sei, dagegen ein schuldrechtlicher Gestattungsvertrag, in welchem der Namensträger einem Berechtigten die Benutzung eines im zustehenden Namens gestattet zulässig sei.192 Außerdem sei, so das Gericht, dieser Gestattungsvertrag unter die Lizenzverträge zu subsumieren; denn Gegenstand eines Lizenzvertrages können alle Güter sein, die vom Lizenznehmer nicht ohne Einwilligung des Lizenzgebers kommerziell genutzt werden können.193 In der Schweiz wird also die datenschutzrechtliche Einwilligung nicht isoliert von der schuldrechtlichen Verpflichtung betrachtet, sie ist vielmehr Teil eines schuldrechtlichen Gestattungs- bzw. Lizenzvertrages. Beim Lizenzvertrag verpflichtet sich der Lizenzgeber dem Lizenznehmer ein Nutzungsrecht an einem Immaterialgüterrecht oder an einem geschützten Rechtsgut – wie beispielsweise dem Persönlichkeitsrecht194 – zu gewähren.195 Hierbei kommt es nicht zu einer gem. Art. 27 Abs. 2 ZGB verbotenen „Ent äusserung der Freiheit“, da der Rechtsinhaber die Herrschaft über das Persönlichkeitsgut behält und die Rechtsposition nur mit schuldrechtlichen Nutzungs-
189 Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 347. 190 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 184; Handelsgericht des Kantons Aargau (HGA), Aargauische Gerichts- und Verwaltungsentscheide (AGVE) 1997, Nr. 5, 36 (38); für das Recht am eigenen Bild: Bächli, Das Recht am eigenen Bild, Basel 2002, S. 130. 191 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 184; Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 348 spricht in diesem Zusammenhang von der Einwilligung als zentralem Element des Lizenzvertrages. 192 HGA, AGVE 1997, Nr. 5, 36 (38). 193 HGA, AGVE 1997, Nr. 5, 36 (38). 194 Hilty, Lizenzvertragsrecht, Bern 2001, S. 28. 195 Weber, Persönlichkeit als Immaterialgut?, in: Honsell/Zäch/Hasenböhler/Harrer/Rhinow (Hrsg.), Privatrecht und Methode, Festschrift für Kramer, Basel 2004, S. 423; ausführlich zum Lizenzvertrag: Hilty, Lizenzvertragsrecht, Bern 2001, S. 5 ff.
176
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
ansprüchen belastet wird.196 In der Literatur wird übereinstimmend davon ausgegangen, dass der Lizenzvertrag grundsätzlich ein vollkommen zweiseitiges Verhältnis darstellt, was bedeutet, dass auch eine Gegenleistung des Lizenznehmers geschuldet wird.197 Diese muss aber nicht notwendigerweise in Geld bestehen, es ist genauso eine andere Gegenleistung denkbar198, so dass eine Anwendung auf den Vertrag mit dem Inhalt „Daten als Leistung“ möglich erscheint. Im Schrifttum hat sich – soweit ersichtlich – noch niemand zur schuldrechtlichen Einordnung der hier untersuchten Geschäftsmodelle geäußert. Eine Übernahme oder zumindest eine Anlehnung an die bereits zu den allgemeinen Persönlichkeitsrechten entwickelten Grundsätze durch das datenschutzrechtliche Schrifttum erscheint naheliegend.
II. Die Einwilligung als Verfügungsgeschäft? Auch in der Schweiz stellt die Einwilligung das Instrument zur Disposition über Persönlichkeitsgüter dar.199 Da sowohl die Einwilligung als auch das durch sie begründete Rechtsverhältnis in Form des schuldrechtlichen Gestattungsvertrages nur zwischen dem Betroffenen und dem Einwilligungsempfänger Wirkung entfaltet200, stellt sich auch hier die Frage, ob die Einwilligung nicht auch ein Rechtsgeschäft darstellt, dass der datenverarbeitenden Stelle eine gesicherte (dingliche) Rechtsposition vermitteln kann. Die Literatur und Rechtsprechung haben sich bisher – soweit ersichtlich – nicht zur Übertragbarkeit des Informationellen Selbstbestimmungsrechts geäußert. Bezüglich der Übertragbarkeit von anderen Persönlichkeitsrechten finden sich aber vereinzelt Überlegungen, auf die im Folgenden eingegangen werden soll. 1. Die Übertragbarkeit von Persönlichkeitsrechten Da die Persönlichkeitsrechte den Menschen in seiner Würde und Einzigartigkeit schützen, gelten sie auch in der Schweiz als untrennbar mit dem Rechtsträger verbunden, unverzichtbar und nach überwiegender Auffassung als unübertragbar und unvererblich.201 Damit unterscheiden sich die Persönlichkeitsrechte von 196 Weber, Persönlichkeit als Immaterialgut?, in: Honsell/Zäch/Hasenböhler/Harrer/Rhinow (Hrsg.), Privatrecht und Methode, Festschrift für Kramer, Basel 2004, S. 423. 197 Hilty, Lizenzvertragsrecht, Bern 2001, S. 13 m. w. N. 198 Hilty, Lizenzvertragsrecht, Bern 2001, S. 14. 199 Büchler, AcP 2006, 301 (327); Aebi-Müller, Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes, Bern 2005, S. 92 ff.; Hausheer/Aebi-Müller, Das Personenrecht des Schweizer Zivilgesetzbuches, 3. Aufl. 2012, S. 168. 200 Seemann, Prominenz als Eigentum, Baden-Baden 1996, S. 203. 201 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/
C. Schweiz
177
den Immaterialgüterrechten und den dinglichen Rechten.202 Sie sind als Abwehrrechte ausgestaltet und dienen dem Schutz ideeller Interessen 203; ein verwertungsrechtlicher Charakter wird ihnen grundsätzlich abgesprochen.204 Aber auch in der Schweiz erweist sich die Trennung zwischen Persönlichkeits- und Vermögensrechten in der Theorie einfacher als in der Praxis.205 Während in Deutschland eine breite Diskussion über die Übertragbarkeit von Persönlichkeitsrechten – vor allem das Recht am eigenen Bild betreffend – stattfindet präsentiert sich die Situation in der Schweiz etwas anders. Bislang sind nur wenige Fälle zur Frage der Übertragbarkeit von Persönlichkeitsrechten vor Gericht gelangt206 und auch in der Literatur geht die Diskussion deutlich leiser von statten als beispielsweise in Deutschland.207 Büchler erklärt diesen Umstand damit, dass auf der schweizerischen Skala der Tugenden, die Bescheidenheit einen höheren Rang als die Prominenz belege.208 Auch wenn das grundsätzlich stimmen mag, so dürfte der Grund vor allem darin liegen, dass die Schweiz – im Gegensatz zu Deutschland – über ausdrückliche Regelungen zur Frage des Schadensersatzes, vgl. Art. 28a Abs. 3 ZGB i. V. m. Art. 41 ff. OR und der Gewinnabschöpfung, vgl. Art. 28a Abs. 3 ZGB i. V. m. Art. 423 OR bei Persönlichkeitsrechtsverletzungen verfügt und der „Leidensdruck“ in Deutschland entsprechend höher war bzw. ist, neue dogmatische Ansätze für einen Ordnungsrahmen für den Umgang mit der Kommerzialisierung von Persönlichkeitsrechten zu finden.209 Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 178 f.; Hausheer/Aebi-Müller, Das Personenrecht des Schweizer Zivilgesetzbuches, 3. Aufl. 2012, S. 129; Bucher, Natürliche Personen und Persönlichkeitsschutz, Genf 2008, Rn. 483; Schmid/Hürlimann-Kaup, Einleitungsartikel des ZGB und Personenrecht, Zürich 2001, S. 220 ff. m. w. N.; BGE 95 II 503. 202 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 181. 203 Hausheer/Aebi-Müller, Das Personenrecht des Schweizer Zivilgesetzbuches, 3. Aufl. 2012, S. 127. 204 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 179; Aebi-Müller, Die Persönlichkeit im Sinne von Art. 28 ZGB, in: Geiser (Hrsg.), Privatrecht im Spannungsfeld zwischen gesellschaftlichem Wandel und ethischer Verantwortung, Festschrift für Hausheer zum 65. Geburtstag, Bern 2002, S. 101. 205 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 180. 206 BGE 129 I 302 ff. zum postmortalem Persönlichkeitsschutz bei einer Patientenverfügung; BGE 84 II 570 zum Urheberpersönlichkeitsrecht; BGE 5A_827/2009, 5.2.2. 207 Büchler, AcP 2006, 301 (303). 208 Büchler, AcP 2006, 301 (303). 209 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/
178
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
In der schweizer Literatur wird das Dogma der Unübertragbarkeit also deutlich weniger hinterfragt als dies in Deutschland der Fall ist.210 Auch eine Diskussion über eine Weiterentwicklung der Persönlichkeitsrechte nach bereits dargestelltem US-amerikanischem Vorbild 211 findet so gut wie nicht statt.212 Zwar setzen sich einige Autoren mit den in Deutschland vertretenen Ansätzen der gebundenen Rechtsübertragung213 und der Abtretung von Einwilligungsrechten 214 auseinander, die Übertragbarkeit von Persönlichkeitsrechten wird jedoch insgesamt eher kritisch gesehen.215 Vor allem wird die im deutschen Schrifttum am häufigsten genannte Indikation für die Übertragbarkeit von Persönlichkeitsrechten in Frage gestellt, nämlich dass eine Ablösung der vermögensrechtlichen Bestandteile216 des Persönlichkeitsrechts von der Person des Trägers nahezu vollständig möglich ist.217 Auch die nach außen tretenden, materialisierten Persönlichkeitsgüter seien Ausdruck der inneren Persönlichkeit und können sich daher auch nicht voll verselbstständigen 218; sie seien untrennbar mit der Person verbunden.219 Außerdem wird auch im schweizer Schrifttum vorgebracht, dass die absolute Wirkung der Rechtsübertagung – insbesondere zugunsten Dritter – mit einem zu großen Verlust an Kontrollmöglichkeiten Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 190 f. 210 So berichtet Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 190 f. 211 Vgl. hierzu vorne Kapitel 4, A, III, 1, b. 212 Ansätze hierzu finden sich bei Bächli, Das Recht am eigenen Bild, Basel 2002, S. 130, der von einem Publizitätsrecht bzgl. des Rechts am eigenen Bild spricht. 213 Vgl. hierzu Kapitel 4, A, III, 1, b. 214 Vgl. hierzu Kapitel 4, A, III, 1, b. 215 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 192 ff.; Büchler, AcP 2006, 301 (320 ff.); Weber, Persönlichkeit als Immaterialgut?, in: Honsell/Zäch/Hasenböhler/Harrer/Rhinow (Hrsg.), Privatrecht und Methode, Festschrift für Kramer, Basel 2004, S. 421 ff. 216 So vor allem vertreten von den Anhängern der gebundenen Rechtsübertragung und der dualistischen Theorien, Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 195; Klippel, Der zivilrechtliche Schutz des Namens, 1985, 497 ff. und 523 ff.; Forkel, GRUR 1988, 491 (493 f.); ders., NJW 1993, 3181 (3182); Unseld, Die Kommerzialisierung personenbezogener Daten, München 2010, S. 187; ders., GRUR 2011, 982 (988); vgl. hierzu vorne Kapitel 4, A, III, 1, b. 217 Büchler, AcP 2006, 301 (322). 218 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 192 ff. 219 BGE 84 II 570 (573) bzgl. des Urheberpersönlichkeitsrechts.
C. Schweiz
179
durch den Rechtsinhaber einhergehe.220 Während das deutsche Schrifttum sich sehr stark am Urheberrecht orientiert findet dies in der Schweiz dagegen so gut wie keine Entsprechung.221 Außerdem wird vor allem die dingliche Lizenz mit dem Hinweis auf den numerus clausus der absoluten Rechte und die damit verbundene Typengebundenheit generell abgelehnt.222 Die Einwilligung verschafft damit dem Einwilligungsempfänger auch in der Schweiz keine gesicherte absolute Rechtsposition. Sie entfaltet keine Verfügungswirkung da die Verfügungsmacht beim Berechtigten verbleibt223 und das Recht nicht in seinem Bestand oder Inhalt geändert wird. 2. Verwertbarkeit ohne Übertragbarkeit Durch die enge Verklammerung von vermögenswerten und ideellen Persönlichkeitsbestandteilen und der daraus folgenden Notwendigkeit einer einheitlichen Betrachtung der Persönlichkeitsrechte224 kommt eine Übertragung – unabhängig ob translativer oder konstitutiver Natur – in der Schweiz also nicht in Betracht.225 Eine obligatorische Gestattung der Verwertung von Persönlichkeitsrechten wird aber – wie bereits gezeigt – nicht beanstandet.226 Sie schafft die Basis für eine Persönlichkeitsrechtskonzeption, welche die Selbstbestimmung und den Schutz des Persönlichkeitsrechtsträgers in den Mittelpunkt der Betrachtung rückt und dennoch eine vermögensrechtliche Verwertung von Persönlichkeitsgütern ermöglicht. Das Recht über sie disponieren zu können wird so ausschließlich dem Inhaber zugewiesen. Der Frage der Übertragbarkeit dieser für das Persönlichkeitsrecht entwickelten Grundsätze auf das Recht der informationellen Selbstbestimmung wurde bisher im schweizer Schrifttum noch nicht nachgegangen. Lediglich Büchler erwähnt im Zusammenhang mit der Unübertragbarkeit von Rechten am eigenen Bild oder an der Stimme auch ein-
220 Weber, Persönlichkeit als Immaterialgut?, in: Honsell/Zäch/Hasenböhler/Harrer/Rhinow (Hrsg.), Privatrecht und Methode, Festschrift für Kramer, Basel 2004, S. 422. 221 Büchler, AcP 2006, 301 (338). 222 Büchler, AcP 2006, 301 (338); Hilty, Lizenzvertragsrecht, Bern 2001, S. 132 m. w. N. 223 So für die Einwilligung im Bereich des Sports Zeder, Haftungsbefreiung durch Einwilligung des Geschädigten im Bereich des Sport, Zürich 1999, S. 31. 224 So auch Bächli, Das Recht am eigenen Bild, Basel 2002, S. 71. 225 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 194. 226 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 194.
180
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
mal das Recht an den Lebensdaten 227, bezieht sich dabei jedoch auf Ausführungen von Peukert zum deutschen Recht.228
III. Folgen der Nichtigkeit des Schuldverhältnisses Grundsätzlich unterscheidet auch die Schweiz zwischen kausalen und abstrakten Geschäften, auch wenn die Anwendung des Abstraktionsprinzips in der Schweiz eher die Ausnahme als die Regel darstellt. Wie bereits dargestellt, geht die persönlichkeitsrechtliche Literatur jedoch davon aus, dass die Einwilligung Teil eines einheitlichen Gestattungsvertrages ist. Eine Trennung zwischen Einwilligung und schuldrechtlicher Verpflichtung findet also nicht statt. Diese Einordnung hat zur Konsequenz, dass die Einwilligung als Teil der vertraglichen Verpflichtung auch mit ihr steht und fällt.
IV. Zusammenfassung Die Schweiz hat bisher – soweit ersichtlich – keine speziellen Lösungsansätze bzgl. der Frage des Verhältnisses von datenschutzrechtlicher Einwilligung und schuldrechtlicher Verpflichtung entwickelt, im Rahmen der Persönlichkeitsrechte wird der Einwilligung aber eine „vertragsbegründende Wirkung“ zugesprochen, d. h. sie wird als Teil eines wohl einheitlichen schuldrechtlichen Gestattungsvertrages gesehen. Die schuldrechtliche Einräumung von Nutzungs befugnissen an Persönlichkeitsrechten wird in der Literatur und Rechtsprechung grundsätzlich als eine auf den Abschluss eines Lizenzvertrags gerichtete Einwilligung verstanden. Im Gegensatz zu Deutschland und Österreich wird das Dogma der Unübertragbarkeit von Persönlichkeitsrechten nur wenig hinterfragt. Das mag vor allem daran liegen, dass die Schweiz bereits über ausdrückliche Regelungen zur Frage des Schadensersatzes, vgl. Art. 28a Abs. 3 ZGB i. V. m. Artt. 41 ff. OR und der Gewinnabschöpfung, vgl. Art. 28a Abs. 3 ZGB i. V. m. Art. 423 OR bei Persönlichkeitsrechtsverletzungen verfügt und diese nicht erst dogmatisch kon struiert werden müssen. Aufgrund der engen Verklammerung von vermögenswerten und ideellen Persönlichkeitsbestandteilen und der daraus folgenden Notwendigkeit einer einheitlichen Betrachtung der Persönlichkeitsrechte wird in der Schweiz eine Übertragung von Persönlichkeitsrechten und die Einrichtung von absoluten (dinglichen) Rechtspositionen abgelehnt. 227 Büchler, Persönlichkeitsgüter als Vertragsgegenstand?, in: Honsell/Portmann/Zäch/ Zobel (Hrsg.), Aktuelle Aspekte des Schuld- und Sachenrechts, Festschrift für Rey, Zürich 2003, S. 193. 228 Mit Verweis auf Peukert, ZUM 2000, 710 (712).
D. Zusammenfassende rechtsvergleichende Betrachtung
181
Grundsätzlich unterscheidet auch die Schweiz zwischen kausalen und ab strakten Geschäften, auch wenn die Anwendung des Abstraktionsprinzips in der Schweiz eher die Ausnahme als die Regel darstellt. Da jedoch keine Trennung zwischen schuldrechtlicher Verpflichtung und datenschutzrechtlicher Einwilligung stattfindet, steht und fällt diese auch mit der Wirksamkeit des Gestattungsvertrages.
D. Zusammenfassende rechtsvergleichende Betrachtung Zusammenfassend lässt sich sagen, dass nur im deutschen Recht eine umfassende Auseinandersetzung mit der Frage des Verhältnisses von Einverständnis und schuldrechtlicher Verpflichtung stattfindet. In Österreich wird dieser Fragestellung keine große Bedeutung beigemessen. Dies lässt sich wohl mit dem vorherrschenden Prinzip der kausalen Tradition begründen. Zwar kennt auch die österreichische Rechtsordnung das Trennungsprinzip, sie lässt aber im Grundsatz keine abstrakten Rechtsgeschäfte zu. Da die Zustimmung also auch bei einer Trennung von der schuldrechtlichen Verpflichtung mit dieser in der Regel steht und fällt wurde dieser Frage vermutlich auch keine große Relevanz beigemessen. Für das deutsche Recht kann zum Verhältnis zwischen schuldrechtlichem Vertrag und Einwilligung festhalten werden, dass sowohl das Trennungs- als auch das Abstraktionsprinzip Anwendung finden. Die Einwilligung ist damit isoliert vom Vertrag zu betrachten und in ihrem Bestand demnach unabhängig vom Schicksal des vertraglichen Schuldverhältnisses zu beurteilen. Dagegen wird in Österreich und auch in der Schweiz das Einverständnis in Rechtsprechung und Literatur als Teil eines wohl einheitlichen schuldrechtlichen Gestattungsvertrages gesehen von dessen Wirksamkeit auch das des Einverständnisses abhängt. Grundsätzlich wirkt das Einverständnis in allen drei Rechtsordnungen nur zwischen den Parteien und verschafft der datenverarbeitenden Stelle keine gesicherte (absolute) Rechtsposition. Während der österreichische Oberste Gerichthof vom Dogma der Unübertragbarkeit von Persönlichkeitsrechten bereits abgerückt zu sein scheint, lässt der Bundesgerichtshof in dieser Frage noch keine klare Linie erblicken. In der Literatur werden jedoch zahlreiche dogmatische Ansätze für eine Verwertung von Persönlichkeitsrechten diskutiert, wobei der überwiegende Teil der Literatur dazu neigt, gebundene Rechtsübertragungen an Persönlichkeitsrechten zuzulassen, deren Eigenart und Grenzen sich an den Grundlinien der §§ 31 ff. D-UrhG orientiert. Dagegen wird in der Schweiz das Dogma der Unübertragbarkeit von Persönlichkeitsrechten kaum hinterfragt. Der Grund dürfte vor allem darin liegen, dass die Schweiz – im Gegensatz zu Deutschland – über ausdrückliche Regelun-
182
Kapitel 4: Verhältnis von schuldrechtlicher Verpflichtung und Einwilligung
gen zur Frage des Schadensersatzes, vgl. Art. 28a Abs. 3 ZGB i. V. m. Artt. 41 ff. OR und der Gewinnabschöpfung, vgl. Art. 28a Abs. 3 ZGB i. V. m. Art. 423 OR bei Persönlichkeitsrechtsverletzungen verfügt und der „Leidensdruck“ in Deutschland entsprechend höher war bzw. ist, neue dogmatische Ansätze für einen Ordnungsrahmen für den Umgang mit der Kommerzialisierung von Persönlichkeitsrechten zu finden. Diese in den Artt. 27 ff. ZGB positivierte Assoziierung von Persönlichkeitsrechtsverletzung und vermögensrechtlichen Rechtsfolgen erweist sich – vor allem im Vergleich zum deutschen und österreichischen Recht – als der verlässlichere Ordnungsrahmen für die kommerzielle Verwertung von Persönlichkeitsrechtsgütern.229 Auch wenn man – wie hier vertreten – dem Betroffenen ein subjektives Recht an seinen Daten zubilligt und den Schutz vermögensrechtlicher Interessen durch das Informationelle Selbstbestimmungsrecht anerkennt folgt daraus nicht zwingend, dass die Disposition über personenbezogene Daten auch dingliche Wirkung entfalten muss. Das Schuld- und Obligationenrecht ist durchaus in der Lage einen guten Ausgleich zwischen den Interessen der Parteien herbeizuführen. Es bewahrt die Verfügungsmacht des Betroffenen und die damit verbundene Abwehrfunktion des Informationellen Selbstbestimmungsrechts und ermöglicht ihm gleichzeitig aber auch eine wirtschaftliche Nutzung seiner personenbezogenen Daten. Durch eine translative oder gebundene Rechtsübertragung würden sowohl die datenverarbeitende Stelle als auch möglicherweise Dritte unwiderrufliche Befugnisse über eine große Menge von personenbezogenen Daten erlangen, die für den Betroffenen so nicht vorhersehbar war und auch nicht sein konnte. Im Gegensatz zum Recht am eigenen Bild oder des Urheberrechts, welche eine Verkörperung der Persönlichkeit in einem selbständigen materiellen Substrat zum Gegenstand haben das sich auch nicht im Laufe der Zeit verändert, werden bei den hier betrachteten Geschäftsmodellen eine Vielzahl von Dauerschuldverhältnissen eine schier unüberschaubare Menge an personenbezogene Daten erhoben, verarbeitet und genutzt, die für den Betroffenen oft nicht überschaubar sind. Die schuldrechtliche Lösung erkennt die mit dem Persönlichkeitsrecht einhergehende Herrschafts- und Verfügungsmacht des Betroffenen an und ermöglicht ihm die wirtschaftliche Nutzung seiner personenbezogenen Daten, bewahrt aber gleichzeitig auch die starke Abwehrfunktion und bewahrt ihn vor unüberschaubaren Bindungen. Persönlichkeitsrechtliche Abwehrbefugnisse und vermögensrechtliche Verwertungspositionen lassen sich also durchaus miteinander vereinen. Eine Weiterentwicklung des Rechts auf informationelle Selbstbestimmung zu einem reinen Vermögensrecht oder gar Immaterialgüterrecht ist meines Erachtens in keiner der drei Rechtsordnungen angezeigt. 229
So vor allem Büchler, AcP 2006, 301 (314).
Kapitel 5
Einbeziehung und richterliche Kontrolle des datenschutzrechtlichen Einverständnisses Formularmäßig eingeholte, datenschutzrechtliche Einverständniserklärungen sind aus dem heutigen Massengeschäftsverkehr nicht mehr weg zu denken: Sei es bei der Eröffnung eines Kontos oder dem Abschluss eines Kreditvertrages die Schufa-Klausel, bei der Anmeldung zu Online-Diensten und sozialen Netzwerken die Werbeklausel oder bei Versicherungsverträgen die Schweigepflicht- entbindungsklausel.1 Die individuell zwischen den Vertragspartnern ausge handelte Einverständniserklärung ist in der Praxis zum Ausnahmefall geworden.2 Um die Ausübung des verfassungsmäßig garantierten Rechts auf Schutz von personenbezogenen Daten entsprechend zu sichern, knüpfen – wie bereits gesehen – sowohl Deutschland als auch Österreich und die Schweiz bestimmte Voraussetzungen an die Wirksamkeit eines datenschutzrechtlichen Einverständ nisses. Neben den allgemeinen Anforderungen der jeweiligen Datenschutz gesetze und den speziellen Anforderungen der verschiedenen bereichsspezifischen Regelungen für den elektronischen Geschäftsverkehr, sind bei der Prüfung formularmäßig erteilter Einverständniserklärungen zusätzlich die Vorschriften über die Verwendung von Allgemeinen Geschäftsbedingungen (AGB) heran zu ziehen. Im Folgenden soll daher ein Überblick über die Regelungen zur Kontrolle von Allgemeinen Geschäftsbedingungen in Deutschland, Österreich und der Schweiz gegeben werden (A) bevor dann auf die Einbeziehung des datenschutzrechtlichen Einverständnisses (B), die Kontrolle der einbezogenen Abreden (C) und die sich daraus ergebenen Rechtsfolgen (D) eingegangen wird.
1 2
Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 107 f. Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 108.
184
Kapitel 5: Einbeziehung und richterliche Kontrolle
A. Überblick über die Kontrolle von Allgemeinen (Vertrags-) Geschäftsbedingungen in Deutschland, Österreich und der Schweiz A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
Das Vertragsrecht in Deutschland, Österreich und der Schweiz enthält – insbesondere im Schuld- bzw. Obligationenrecht – in erheblichem Maße dispositives Recht. Die Vertragsparteien erhalten hier die Möglichkeit, ihre Vertragsbeziehungen abweichend vom Gesetz zu regeln. Außerdem erfordern neue Vertragsformen, welche sich oft nur schwer unter die gesetzlich geregelten Vertragstypen einordnen lassen, gegebenenfalls eine Anpassung an die Bedürfnisse der Vertragspartner.3 Da die Vertragsbedingungen aber in der Regel einseitig vom Unternehmer vorgegeben werden geht mit der Verwendung Allgemeiner Geschäftsbedingungen typischerweise die Tendenz einer Risikoverlagerung zu Lasten des schwächeren Vertragspartners einher.4 Treffend wurde dieser Umstand im Regierungsentwurf zum früheren deutschen AGB-Gesetz um schrieben: „Mindestens ebenso stark sind AGB jedoch von dem Bestreben ihrer Verwender geprägt, auf Kosten eines gegenseitigen Interessensausgleichs die eigene Rechtsposition zu stärken und die Rechte der anderen Seite durch Überbürdung der Geschäftsrisiken zu verkürzen.“5 Die damit verbundene Gefahr einer einseitigen Ausnutzung der faktischen Vertragsgestaltungsfreiheit macht eine Kontrolle von Allgemeinen Geschäftsbedingungen durch die Zivilgerichte erforderlich. In diesem Abschnitt soll zunächst ein Überblick über die Vorschriften zur Kontrolle von Allgemeinen Geschäftsbedingungen (I), die Anforderungen an eine Einbeziehung in den Vertrag (II und III) und die Maßstäbe der Inhaltskontrolle (IV) in Deutschland, Österreich und der Schweiz gegeben werden, bevor dann in den folgenden Abschnitten auf die Einbeziehung und die Inhaltskontrolle des formularmäßig eingeholten datenschutzrechtlichen Einverständnisses eingegangen wird.
I. Maßstab der Kontrolle von Allgemeinen (Vertrags-)Geschäftsbedingungen Im deutschen Recht sind die maßgeblichen Vorschriften zur Kontrolle von Allgemeinen Geschäftsbedingungen in den §§ 305–310 BGB normiert. Der Anwendungsbereich wird durch § 305 Abs. 1 S. 1 BGB bestimmt und ist eröffnet, Schlechtriem/Schmidt-Kessel, Schuldrecht AT, 6. Aufl. 2005, S. 49. Stoffels, AGB-Recht, 2. Aufl. 2009, S. 21. 5 Entwurf eines Gesetzes zur Regelung des Rechts der Allgemeinen Geschäftsbedingun gen (AGB-Gesetz) vom 06.08.1975, BT-Drs. 7/3919, S. 9. 3 4
A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
185
wenn es sich für eine Vielzahl von Verträgen vorformulierte Vertragsbedingungen handelt, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Vertragsbedingungen sind dabei alle privatrechtlichen Regelungen, die den Inhalt des zwischen dem Verwender und seinem Vertragspartner zu schließenden Rechtsgeschäfts abbilden6 Sie sind vorformuliert, wenn sie vor Vertragsabschluss fertig aufgestellt sind und nicht erst bei Vertragsschluss ausgehandelt werden.7 Der Verwender bzw. Aufsteller muss außerdem die Absicht verfolgen, die vorformulierten Vertragsbedingungen für eine Vielzahl von Verträgen verwenden zu wollen. Die Rechtsprechung geht bei einer mindestens dreimaligen Verwendung von einer Vielzahl aus, wobei die mehrfache Nutzung gegenüber demselben Vertragspartner genügt.8 Werden die Vertragsbedingungen von einem Unternehmer gegenüber einem Verbraucher verwendet, erweitert § 310 Abs. 3 BGB den Anwendungsbereich der AGB-Kontrolle über § 305 BGB hinaus. Allgemeine Geschäftsbedingungen gelten gem. § 310 Abs. 3 Nr. 1 BGB in diesem Fall als vom Unternehmer gestellt, § 310 Abs. 3 Nr. 2 BGB ordnet an, dass bestimmte Normen zum Schutz des Vertragspartners auch dann gelten, wenn die Klauseln nur einmal verwendet werden sollen und § 310 Abs. 3 Nr. 3 BGB ergänzt den Maßstab der Inhaltskontrolle um die Begleitumstände des Vertragsschlusses. In Österreich finden sich die maßgeblichen Vorschriften zur AGB-Kontrolle in den §§ 864a und 879 Abs. 3 ABGB sowie in § 6 KSchG. Anders als das deutsche Recht, verzichtet das österreichische Recht auf eine Legaldefinition des Begriffs der Allgemeinen Geschäftsbedingungen. Bisher war man in der österreichischen Lehre auch nicht sehr um eine präzise Begriffsbestimmung bemüht, da in der Mehrzahl der Fälle die Qualifikation als AGB unproblematisch erscheint.9 Ein Teil der Literatur greift für die Begriffsbestimmung auf die deutsche Definition des § 305 Abs. 1 BGB zurück.10 Allgemeine Geschäftsbedingungen sind „alle für eine Vielzahl von Verträgen vorformulierten Vertrags bedingungen, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrags stellt. Gleichgültig ist, ob die Bestimmungen einen äußerlich gesonderten Bestandteil des Vertrags bilden oder in die Vertrags urkunde selbst aufgenommen werden, welchen Umfang sie haben, in welcher Pfeiffer, in: Wolf/Lindacher/Pfeiffer, ABG-Recht, 5. Aufl. 2009, § 305 Rn. 7. Pfeiffer, in: Wolf/Lindacher/Pfeiffer, ABG-Recht, 5. Aufl. 2009, § 305 Rn. 14. 8 BGH, NJW 1998, 2286 (2287); BGH, NJW 2002, 138 (139); BGH, NJW 2002, 2470 (2471). 9 Leitner, in: Knyrim/Leitner/Perner/Riss (Hrsg.), Aktuelles AGB-Recht, Wien 2008, S. 20 f. 10 Leitner, in: Knyrim/Leitner/Perner/Riss (Hrsg.), Aktuelles AGB-Recht, Wien 2008, S. 21. 6 7
186
Kapitel 5: Einbeziehung und richterliche Kontrolle
Schriftart sie verfasst sind und welche Form der Vertrag hat. Allgemeine Geschäftsbedingungen liegen nicht vor, soweit die Vertragsbedingungen zwischen den Vertragsparteien im Einzelnen ausgehandelt sind.“11 Für Kiendl und Kletečka ist vor allem entscheidend, dass der Kunde keine Einflussmöglichkeit auf den Vertragsinhalt hat.12 Darin komme das für die ABG-Verwendung typische Ungleichgewicht zwischen Verwender und Kunde zum Ausdruck.13 Die Vielzahl der Verwendung stellt jedoch für beide kein Wesensmerkmal von AGB dar, der Kunde sei auch bei nur einmaliger Verwendung schutzwürdig.14 Für Leitner liegt dagegen das mit der AGB-Verwendung einhergehende Ungleichgewicht nicht in der fehlenden Möglichkeit zur Einflussnahme auf den Vertragsinhalt, sondern in der Möglichkeit der Aufteilung der Informationskosten – wie beispielsweise für juristische Beratung und Zeitaufwand – auf eine Vielzahl von Verträgen.15 Entscheidend sei nicht ob die Bedingungen tatsächlich für mehrere Verträge verwendet werden, sondern mit welcher Absicht sie formuliert wurden.16 Auch der Oberste Gerichtshof folgt dieser Auffassung in ständiger Rechtsprechung und führte dazu aus: „Was unter den in den §§ 28 KSchG, 864a und 879 Abs. 3 ABGB verwendeten Begriffen „Allgemeine Geschäftsbedingungen“ und „Vertragsformblätter“ zu verstehen ist, hat der Gesetzgeber nicht definiert. Im Hinblick auf eine teleologische Verwandtschaft zwischen dem Anliegen des deutschen AGBG einerseits und dem KSchG andererseits wird eine Orientierung an § 1 AGBG für angezeigt erachtet.“17 Danach ist auch für das österreichische Recht davon auszugehen, dass es sich bei Allgemeine Geschäftsbedingungen für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen handelt, die eine Vertragspartei (Verwender) der anderen Vertragspartei bei Abschluss eines Vertrages stellt.18 Im Gegensatz zu Deutschland und Österreich, wo bereits ein umfassendes Regelwerk zur Kontrolle von AGB besteht, finden sich in der Schweiz nur punk-
11 Leitner, in: Knyrim/Leitner/Perner/Riss (Hrsg.), Aktuelles AGB-Recht, Wien 2008, S. 21. 12 Kiendl, Unfaire Klauseln in Verbraucherverträgen, Wien 1997, S. 101 f. 13 Kiendl, Unfaire Klauseln in Verbraucherverträgen, Wien 1997, S. 101 f. 14 Kiendl, Unfaire Klauseln in Verbraucherverträgen, Wien 1997, S. 101 f. 15 Leitner, in: Knyrim/Leitner/Perner/Riss (Hrsg.), Aktuelles AGB-Recht, Wien 2008, S. 22. 16 Leitner, in: Knyrim/Leitner/Perner/Riss (Hrsg.), Aktuelles AGB-Recht, Wien 2008, S. 22. 17 OGH, 7Ob89/08a; OGH, 9Ob69/11d; OGH, 2Ob59/12h; OGH, 7Ob93/12w; OGH, 6Ob206/12f; OGH, 2Ob84/13m; OGH, 4Ob117/14f; OGH, 2Ob20/14a. 18 Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 864a Rn. 1.
A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
187
tuell gesetzliche Bestimmungen zu Allgemeinen Geschäftsbedingungen.19 Die zentrale Vorschrift zur AGB-Kontrolle in der Schweiz ist nicht etwa im Obligationenrecht sondern in Art. 8 S-UWG normiert. Das schweizer Obligationenrecht enthält keine allgemeinen Vorschriften zur Kontrolle von Allgemeinen Geschäftsbedingungen.20 Es finden sich lediglich einzelne Normen in verschiedenen Teilbereichen, wie beispielsweise im Mietrecht, vgl. Art. 256 Abs. 2 lit. a OR oder zum Pachtvertrag, vgl. Art. 288 Abs. 2 lit. a OR, die eine Abweichung vom zwingenden Recht durch Allgemeine Geschäftsbedingungen untersagen.21 Mangels gesetzlicher Grundlage, wird daher die allgemeine vertragsrechtliche Kontrolle von Allgemeinen Geschäftsbedingungen in Rechtsprechung und Lehre auf nicht normierte, aber speziell für AGB entwickelte Auslegungsgrundsätze – insbesondere die Ungewöhnlichkeits-22 und die Unklarheitsregel23 – gestützt24, während sich die wettbewerbsrechtliche Kontrolle nach Art. 8 S-UWG richtet. Für die Lehre manifestiert sich der Schutz vor nachteiligen AGB vor allem in einer Abschluss- oder Konsenskontrolle, also der Frage der wirksamen vertraglichen Einbeziehung von bestimmten Klauseln, sowie in einer Aus legungs- und Inhaltskontrolle, wobei letztere nur sehr begrenzt Eingang in die Rechtsprechungspraxis des Bundesgerichts gefunden hat, wie später noch zu zeigen sein wird.25 Das schweizer Recht kennt genauso wie das österreichische Recht keine Legaldefinition von AGB.26 Literatur und Rechtsprechung verstehen unter Allgemeinen Geschäftsbedingungen Vertragsbestimmungen, die im Hinblick auf eine Vielzahl von Verträgen eines bestimmten Typs vorformuliert werden.27 Etwas unglücklich ist die Formulierung in Art. 256 Abs. 2 lit. a OR, Art. 288 Widmer, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG, Zürich 2015, S. 13. Dies soll sich aber durch die geplante Teilrevision des Obligationenrechts ändern. Eine einheitliche Regelung der vertragsrechtlichen AGB-Kontrolle findet sich in Art. 32, 33 des Entwurfs für einen neuen allgemeinen Teil des schweizer Obligationenrechts (OR 2020). 21 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 48. 22 Vgl. hierzu weiter unten Kapitel 5, A, III. 23 Vgl. hierzu weiter unten Kapitel 5, A, II. 24 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 48. 25 Vgl. Kapitel 5, A, IV. 26 Widmer, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG, Zürich 2015, S. 4. 27 BGer, 4P.135/2002, E.3.1; BGer, 4C.282/2003, E. 3.1; Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 48; Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 245; Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 33; Perrig, Die AGB-Zugänglichkeitsregel, Basel 2011, S. 11 f.; Koller, Allgemeines Schweizer Obligationenrecht, Allgemeiner Teil (OR AT), 3. Aufl. 2009, S. 374. 19
20
188
Kapitel 5: Einbeziehung und richterliche Kontrolle
Abs. 2 lit. a OR und Art. 8 S-UWG a. F. geraten, in denen von vorformulierten Allgemeinen Geschäftsbedingungen die Rede ist bzw. war. Dies erweckt den Eindruck es gebe auch nicht vorformulierte Geschäftsbedingungen, was nicht dem Verständnis des Begriffs in Rechtsprechung und Lehre entspricht.28 Angelehnt an die deutsche Rechtsprechung und Lehre genügt auch in der Schweiz, dass der Verwender den mehrfachen Einsatz der AGB beabsichtigt; eine mehrfache tatsächliche Verwendung ist nicht erforderlich.29 Unerheblich ist, wer die AGB ausgearbeitet hat, sie können sowohl vom Verwender selbst stammen, als auch von Interessenverbänden oder unabhängigen Dritten.30 Für die Qualifikation als AGB ist deren Form nicht entscheidend. Sie können äußerlich getrennt vom Vertrag festgehalten sein oder aber in die Vertragsurkunde selbst einbezogen werden. Sie müssen lediglich vor Vertragsschluss fertig formuliert sein und für die Übernahme in Verträge bereit stehen.31 Handeln die Vertragsparteien die Vertragsbedingungen einzeln aus, liegen grundsätzlich auch in der Schweiz keine Allgemeinen Geschäftsbedingungen, sondern Individualabreden vor. Entscheidend ist hier, ob der Verwender die AGB zur Diskussion stellt oder einseitig vorgibt.32
II. Allgemeine Einbeziehungsanforderungen Damit die vorformulierten Allgemeinen Geschäftsbedingungen wirksam in den Vertrag mit einbezogen werden, muss der Verwender im deutschen Recht gem. § 305 Abs. 2 BGB ausdrücklich auf seine AGB hinweisen und der anderen Partei die Möglichkeit verschaffen, vom Inhalt der AGB Kenntnis zu nehmen. Der ausdrückliche Hinweis ist entbehrlich, wenn die AGB im Vertrag selbst enthalten sind und der Vertragspartner unterschreibt, da er dadurch die Chance erhält, vor der Unterschrift die Bestimmungen zur Kenntnis zu nehmen.33 Ist der Hinweis wegen der Art des Vertragsschlusses nur unter unverhältnismäßigen Schwierigkeiten möglich, kann der Hinweis durch einen deutlich sichtbaren Aushang am Ort des Vertragsschlusses ersetzt werden, vgl. § 305 Abs. 2 Nr. 1 BGB. Ein ausdrücklicher Hinweis wird dann angenommen, wenn der VertragsPerrig, Die AGB-Zugänglichkeitsregel, Basel 2011, S. 12 f. Perrig, Die AGB-Zugänglichkeitsregel, Basel 2011, S. 13. 30 Koller, Allgemeines Schweizer Obligationenrecht, Allgemeiner Teil (OR AT), 3. Aufl. 2009, S. 375; Schwab, Die Übernahme von Allgemeinen Geschäftsbedingungen in elektronisch abgeschlossene Verträge, Zürich 2001, S. 9. 31 Perrig, Die AGB-Zugänglichkeitsregel, Basel 2011, S. 14. 32 Schwab, Die Übernahme von Allgemeinen Geschäftsbedingungen in elektronisch abgeschlossene Verträge, Zürich 2001, S. 10. 33 Grunewald/Peifer, Verbraucherschutz im Zivilrecht, Heidelberg 2010, S. 21. 28 29
A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
189
partner den Willen des Verwenders zur Einbeziehung seiner AGB zweifelsfrei erkennen kann.34 Maßgeblich hierfür ist, ob der Hinweis dergestalt ausgeformt ist, dass ihn ein Durchschnittskunde selbst bei flüchtiger Betrachtung und durchschnittlicher Aufmerksamkeit nicht übersehen kann.35 Dies ist beispielsweise dann nicht der Fall, wenn der Hinweis klein gedruckt ist oder senkrecht zur Leserichtung steht.36 Außerdem muss der Verwender der anderen Vertragspartei die Möglichkeit verschaffen, in zumutbarer Weise vom Inhalt der Geschäftsbedingungen Kenntnis zu nehmen. Welche Anforderungen an die Möglichkeit zumutbarer Kenntnisnahme zu stellen sind, richtet sich nach der Art des Zustandekommens des Vertrages.37 Allgemein wird verlangt, dass der vollständige Text dem Kunden bei Vertragsschluss verfügbar gemacht werden muss.38 Bei Vertragsschluss unter Abwesenden sind AGB in der Regel zu übersenden.39 Bei Internet-Geschäften genügt es, wenn die Geschäftsbedingungen über einen auf der Bestellseite gut sichtbaren Link aufgerufen und ausgedruckt werden können40; längere Texte müssen zum Herunterladen zur Verfügung stehen.41 Des Weiteren ist für eine wirksame Einbeziehung erforderlich, dass der Vertragspartner mit der Geltung der AGB einverstanden ist. Hierbei handelt es sich um eine unterstreichende Klarstellung des sich schon auf der Grundlage der §§ 145 ff. BGB ergebenden Konsenserfordernisses.42 Soweit Allgemeine Geschäftsbedingungen in Österreich nicht durch Gesetz oder Verordnung in Kraft gesetzt werden, gelten sie auch hier nur bei wirksamer Einbeziehung in den Vertrag durch Willenserklärung der Parteien (sog. Einbeziehungskontrolle).43 Diese kann sowohl ausdrücklich als auch stillschweigend erfolgen.44 Bei der Einbeziehung wird immer auf das gesamte Bedingungswerk und nicht nur auf einzelne Klauseln geblickt.45 Wie in Deutschland ist auch hier 34 Schuster, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, 3. Aufl. 2015, § 305 BGB Rn. 26. 35 Schuster, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, 3. Aufl. 2015, § 305 BGB Rn. 26. 36 BGH, NJW-RR 1987, 113. 37 Stoffels, AGB-Recht, 2. Aufl. 2009, S. 90. 38 Stoffels, AGB-Recht, 2. Aufl. 2009, S. 90. 39 Das Angebot der Übersendung genügt nicht: BGH, NJW-RR 1999, 1246. 40 BGH, NJW 2006, 2976 (2977). 41 Stadler, in: Jauernig, Kommentar zum BGB, 15. Aufl. 2014, § 305 Rn. 14. 42 Stoffels, AGB-Recht, 2. Aufl. 2009, S. 94. 43 Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 864a Rn. 2. 44 Kolmarsch, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 2. Aufl. 2012, § 864a Rn. 3. 45 Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 125.
190
Kapitel 5: Einbeziehung und richterliche Kontrolle
die Möglichkeit der Kenntnisnahme durch den Kunden erforderlich.46 Die Einbeziehung setzt des Weiteren einen deutlichen Hinweis auf die AGB durch den Verwender und eine Unterwerfung durch den Kunden voraus.47 Beim elektronischen Geschäftsverkehr muss der Dienstanbieter die AGB dem Nutzer so zur Verfügung stellen, dass dieser sie speichern und wiedergeben kann, vgl. § 11 E-Commerce-Gesetz48 (ECG). Dies gilt jedoch nicht, wenn eine Website nur der Werbung und nicht dem Vertragsabschluss dient.49 Je üblicher die Verwendung von AGB, umso eher wird von einer stillschweigenden Unterwerfung ausgegangen werden können.50 Hierzu ist jedoch anzumerken, dass der Oberste Gerichtshof von seiner früheren Auffassung, der widerspruchslose Vertragsabschluss sei schon deshalb als Einverständnis zu den AGB zu werten, weil es allgemein bekannt sei, dass bestimmte Unternehmen nur auf Grundlage von AGB kontrahieren, abgerückt ist.51 Findet sich keine Grundlage dafür, dass die Klauseln vom Willen der Vertragsschließenden umfasst sein sollen, werden sie auch nicht Vertragsinhalt.52 Mangels spezifischer gesetzlicher Regelungen zu Allgemeinen Geschäftsbedingungen in der Schweiz knüpft die Literatur für die Frage der Einbeziehung unmittelbar an die rechtsgeschäftliche Geltungsgrundlage des Art. 1 OR an, wonach zum Abschluss eines Vertrages zwei (ausdrückliche oder stillschweigende) übereinstimmende Willensäußerungen erforderlich sind.53 Allgemeine Geschäftsbedingungen haben aus sich heraus keinerlei Verbindlichkeit, sie bedürfen der vertraglichen Übernahme im Einzelfall (sog. Abschluss- oder Geltungskontrolle).54 Es muss daher auch in der Schweiz eine entsprechende ausdrückliche oder konkludente Vereinbarung der Parteien vorliegen, dass die Vertragsbedingungen auch Inhalt des Vertrages sein sollen. 46 OGH, 7 Ob 93/06m; Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 864a Rn. 2. 47 Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 864a Rn. 2. 48 Bundesgesetz, mit dem bestimmte rechtliche Aspekte des elektronischen Geschäftsund Rechtsverkehrs geregelt werden (E-Commerce-Gesetz – ECG), BGBl. I Nr. 152/2001. 49 OGH, 4 Ob 80/03y; Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 864a Rn. 7. 50 Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 126. 51 OGH, 7 Ob 31/03i. 52 OGH, 9 Ob 2169/96b. 53 Perrig, Die AGB-Zugänglichkeitsregel, Basel 2011, S. 32; Furrer/Müller-Chen, Obliga tionenrecht – Allgemeiner Teil, Genf 2008, S. 139. 54 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 50; Koller, Allgemeines Schweizer Obligationenrecht, Allgemeiner Teil (OR AT), 3. Aufl. 2009, S. 376.
A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
191
In der Praxis erfolgt die Übernahme durch die Eingliederung der Bestimmungen in den Vertragstext, durch Unterzeichnung der AGB oder durch Abschluss einer Vereinbarung der Parteien, die auf die AGB verweist.55 Hat der Kunde die AGB tatsächlich gelesen, verstanden und akzeptiert, spricht man in der Schweiz von einer sog. Vollübernahme.56 Diese liegt jedoch nur vor, wenn der Verwender die AGB dem Kunden nachweislich erläutert hat und dies die Annahme rechtfertigt, dass der Kunde die Bestimmungen auch tatsächlich verstanden hat.57 Darüber hinaus gelten auch ungelesene bzw. gelesene aber vielleicht nicht verstandene Geschäftsbedingungen, die auf dem Vertragsdokument abgedruckt sind oder auf die im unterzeichneten Vertragsdokument ausdrücklich verwiesen wird, normativ als vereinbart (sog. Globalübernahme).58 Die Legitimation für die Gültigkeit der Globalübernahme wird von der Rechtsprechung aus dem vom Vertrauensprinzip abgeleiteten Regeln über die ungelesene unterzeichnete Urkunde begründet, wonach jemand, der ein Schriftstück unterschreibt und damit einem anderen eine Erklärung abgeben will, ohne sich um dessen Inhalt zu kümmern, dieses gegen sich gelten lassen muss.59 Im Schrifttum wird im Rahmen der Abschlusskontrolle teilweise zwischen Konsumenten- und Unternehmer-AGB unterschieden.60 Ein überwiegender Teil in der Literatur vertritt die Auffassung, dass bei Verträgen mit Konsumenten die Übernahme ausdrücklich erfolgen muss.61 Anderen zufolge ist eine stillschweigende Übernahme, wie sie Art. 1 Abs. 2 OR vorsieht, auch bei Konsumentenverträgen möglich. Es bestehe aufgrund der „heurigen Abschlusswirklichkeit“ sogar eine Vermutung für eine einseitige Globalübernahme seitens des Kunden.62 Dennoch können auch wirksam übernommene Allgemeine Geschäftsbedingungen ausnahmsweise keine Geltung entfalten. Dies ist vor allem dann der 55 BGE 119 II 443 (445); Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 50. 56 Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 6; Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 52. 57 BGE 135 III 1, 9; BGer, 4A_84/2009, E. 2.1. 58 Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 6; Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 247. 59 BGE 76 I 338 (350). 60 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 51. 61 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 51. 62 Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 247.
192
Kapitel 5: Einbeziehung und richterliche Kontrolle
Fall, wenn sie gegen zwingendes Recht verstoßen.63 So darf gem. Artt. 19, 20 OR der Inhalt von Verträgen bzw. dessen Vereinbarung nicht widerrechtlich, sittenwidrig oder unmöglich sein und nicht gegen die öffentliche Ordnung oder das Persönlichkeitsrecht aus Art. 27 ZGB verstoßen.64 Auch Klauseln, die zu einer Übervorteilung des Kunden i. S. d. Art. 21 OR führen, erlangen keine Geltung trotz Übernahme. Eine solche liegt vor, wenn im Moment des Vertragsschlusses in objektiver Hinsicht eine offensichtliche Inäquivalenz zwischen vertraglicher Leistung und Gegenleistung besteht und dieses Missverhältnis die Folge der Ausnützung einer Schwäche des Übervorteilten durch die Gegenpartei ist.65 Des Weiteren sind vor allem bestimmte Haftungsbeschränkungen und Freizeichnungsklauseln gem. Artt. 100, 101 Abs. 3, 192 Abs. 3, 199 OR und einzelne Gerichtsstandsvereinbarungen gem. Art. 21 Gerichtsstandsgesetz (GestG) ungültig. Speziellen Bezug auf die Verwendung von Allgemeinen Geschäftsbedingungen nehmen Artt. 256, 288 OR. Bestimmungen, die zulasten des Mieters oder Pächters die Pflicht des Vertragspartners zur Gebrauchsüberlassung beschränken sind nichtig und können nicht wirksam durch AGB vereinbart werden. Auch keine Geltung trotz Übernahme erlangen Vertragsbestimmungen, wenn die Parteien eine abweichende individuelle Abrede getroffen haben. Individuelle Abreden gehen den Allgemeinen Geschäftsbedingungen grundsätzlich vor.66 Außerdem wird eine Geltung von global übernommenen AGB verneint, wenn der Kunde nicht jederzeit die Möglichkeit hatte, von den Vertragsbedingungen in zumutbarer Weise Kenntnis zu nehmen.67 Neben der Abschluss- bzw. Geltungskontrolle, nehmen Rechtsprechung und Lehre in der Schweiz auch eine sog. Auslegungskontrolle vor. Die allgemein für die Vertragsauslegung geltenden Bestimmungen der Artt. 18, 20 OR werden auch zur Auslegung von AGB herangezogen.68 Besondere Bedeutung kommt hier der von der Rechtsprechung aus dem Vertrauensprinzip abgeleiteten Unklarheitsregel zu.69 Führt die Auslegung einer AGB-Klausel zu keinem schlüsGauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 249. Kramer, in: Kramer (Hrsg.), Berner Kommentar zum Obligationenrecht, 3. Aufl. 1991, Art. 19/20 Rn. 158 ff. 65 Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 20. 66 Kut, in: Furrer/Schnyder (Hrsg.), Handkommentar zum Schweizer Privatrecht, Obliga tionenrecht, 2. Aufl. 2012, Art. 1 Rn. 57. 67 BGE 77 II 154, 156; Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 249 f.; Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 139. 68 BGE 135 III 225 E. 1.3; BGE 126 III 388 E. 9d. 69 BGE 122 III 118 E. 2d; Guhl/Merz/Koller, in: Guhl (Hrsg.), Das Schweizerische Obliga tionenrecht, 8. Aufl. 1991, S. 111. 63
64
A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
193
sigen Ergebnis, also bleibt die Bedeutung der Bestimmung unklar so gehen diese Zweifel wie auch in Deutschland und Österreich zu Lasten des Verwenders.70 Ausdrücklich ist diese Rechtsfolge nur für den Sonderfall des Art. 33 Versicherungsvertragsgesetz (VVG) vorgesehen, wird aber vom Bundesgericht allgemein angewandt.71 Außerdem legt das Bundesgericht Allgemeine Geschäfts bestimmungen, die zu Lasten der schwächeren Partei vom dispositiven Recht abweichen, restriktiv aus.72
III. Insbesondere Überraschungssituationen Da der Verbraucher, die ihm eingeräumte Möglichkeit, sich vom Inhalt der ABG Kenntnis zu verschaffen, in der Regel nicht nutzt, werden sowohl in Deutschland, als auch in Österreich und der Schweiz Klauseln, die so ungewöhnlich sind, dass der Vertragspartner nicht mit ihnen zu rechnen braucht, nicht Bestandteil des Vertrages. In Deutschland ist dieser Grundsatz in § 305c Abs. 1 BGB normiert. Hiernach werden einzelne überraschende Klauseln selbst dann nicht Vertragsbestandteil, wenn in Bezug auf das gesamte Klauselwerk eine wirksame Einbeziehung nach § 305 Abs. 2 BGB vorliegt.73 Es handelt sich also um eine negative gesetzliche Einbeziehungsvoraussetzung.74 Erforderlich ist zum einen, dass die Bestimmung objektiv ungewöhnlich ist. Wie auch schon bei der Frage nach dem Verständnis einer Willenserklärung ist auf den Erwartungshorizont des Erklärungsempfängers abzustellen.75 Außerdem muss der Klausel ein „Überrumpelungs- oder Übertölpelungseffekt“ innewohnen.76 Sie muss eine Regelung enthalten, die von den Erwartungen des Vertragspartners deutlich abweicht und mit der dieser den Umständen nach vernünftigerweise nicht zu rechnen braucht.77 Die Rechtsprechung stellt hier auf die Erkenntnis- und Verständnismöglichkeiten des typischerweise bei derartigen Verträgen zu erwartenden Durchschnittskunden ab.78 Koller, Allgemeines Schweizer Obligationenrecht, Allgemeiner Teil (OR AT), 3. Aufl. 2009, S. 389. 71 BGE 115 II 264 E. 5a. 72 Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 28. 73 Stoffels, AGB-Recht, 2. Aufl. 2009, S. 94. 74 Wolf, in: Wolf/Lindacher/Pfeiffer, ABG-Recht, 5. Aufl. 2009, § 305c Rn. 4. 75 Schmidt, in: Bamberger/Roth, Kommentar zum BGB, Band 1, 2. Aufl. 2007, § 305c Rn. 11. 76 Schmidt, in: Bamberger/Roth, Kommentar zum BGB, Band 1, 2. Aufl. 2007, § 305c Rn. 15. 77 BGH, NJW 1995, 2637 (2638) zu § 3 AGBG. 78 BGHZ, 102, 152 (159) = NJW 1988, 558 (560) zu § 3 AGBG. 70
194
Kapitel 5: Einbeziehung und richterliche Kontrolle
Im österreichischen Recht werden gem. § 864a ABGB Bestimmungen ungewöhnlichen Inhaltes in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern, die ein Vertragsteil verwendet hat, nicht Vertragsbestandteil, wenn sie dem anderen Teil nachteilig sind und er mit ihnen auch nach den Umständen, vor allem nach dem äußeren Erscheinungsbild der Urkunde, nicht zu rechnen brauchte. Diese sog. Geltungskontrolle bezieht sich auf einzelne Klauseln und geht der Inhaltskontrolle nach § 879 Abs. 3 ABGB vor. Objektiv ungewöhnlich i. S. d. § 864a ABGB sind Klauseln, mit denen der Partner nach den Umständen vernünftigerweise nicht zu rechnen braucht, die also von seinen berechtigten Erwartungen deutlich abweichen.79 Eine Klausel ist „versteckt“, wenn sie nicht dort eingeordnet ist, wo ein durchschnittlich sorgfältiger Leser nach den Umständen mit ihr rechnen würde.80 Wie der Bundesgerichtshof spricht auch der Oberste Gerichtshof von einem der Klausel innewohnenden „Überrumpelungs- oder Übertölpelungseffekt“.81 Als benachteiligend wird eine Klausel vor allem dann eingestuft, wenn sie zulasten des Unterworfenen vom dispositiven Recht abweicht oder die mit der Klausel entstehenden Rechtspositionen von Verwender und Kunde ein massives Ungleichgewicht aufweisen.82 Da für die Schweiz derzeit keine explizite gesetzliche Regelung existiert83, greift die Rechtsprechung und Literatur auf die aus dem Vertrauensprinzip abgeleitete Ungewöhnlichkeitsregel zurück.84 Nach dieser erlangen global übernommene AGB-Klauseln keine Geltung, mit deren Inhalt die zustimmende Partei nach den Umständen nicht gerechnet hat und vernünftigerweise auch nicht rechnen musste.85 Nach bundesgerichtlicher Rechtsprechung kann sich grund79 Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 864a Rn. 10. 80 OGH, 4 Ob 56/03v; Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 864a Rn. 10. 81 OGH, 8 Ob 31/05z. 82 Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 126. 83 Der Entwurf der Teilrevision sieht in Art. 10c Abs. 2 OR 2020 eine Kodifizierung der Ungewöhnlichkeitsregel vor. 84 BGE 119 II 443, 446; BGE 109 II 452, 456 f.; Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 53; Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 12; Koller, Allgemeines Schweizer Obligationenrecht, Allgemeiner Teil (OR AT), 3. Aufl. 2009, S. 378; Giger, Grundsätzliches zum Einbezug Allgemeiner Geschäftsbedingungen in den Einzelvertrag, in: Giger/Schluep (Hrsg.), Allgemeine Geschäftsbedingungen in Doktrin und Praxis, Zürich 1982, S. 66. 85 BGE 119 II 443, 446; BGE 109 II 452, 456 f.; Forstmoser, Gesetzgebung und Gerichtspraxis zu den Allgemeinen Geschäftsbedingungen in der Schweiz – Eine Standortbestimmung, in: Giger/Schluep (Hrsg.), Allgemeine Geschäftsbedingungen in Doktrin und Praxis, Zürich 1982, S. 47.
A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
195
sätzlich nur die schwächere oder unerfahrenere Partei auf die Ungewöhnlichkeitsregel berufen, wobei auch eine wirtschaftlich leistungsfähige Partei als „schwächer“ gilt, wenn sie den AGB mangels Alternativen nicht ausweichen kann.86 Ungewöhnlich ist eine Klausel, wenn sie nicht nur individuell-subjektiv für die Gegenpartei überraschend ist, sondern wenn sie zudem objektiv einen geschäftsfremden Inhalt aufweist, indem sie wesentlich vom dispositiven Vertragsrecht abweicht.87 Es kann jedoch auch Ungewöhnliches gewollt sein. Hat die Partei vom Inhalt einer an sich objektiv ungewöhnlichen Klausel Kenntnis erlangt und ihrer Übernahme zugestimmt, muss sie deren Inhalt gegen sich gelten lassen, da die Klausel dann nicht überraschend sein kann.88 Die Ungewöhnlichkeitsregel kommt daher bei der Vollübernahme von AGB nicht zum Tragen.89
IV. Maßstäbe der Inhaltskontrolle Im deutschen Recht sind gem. § 307 Abs. 3 S. 1 BGB von der Inhaltskontrolle nur solche Abreden erfasst, die von Rechtsvorschriften abweichen oder diese ergänzen, also nicht solche, die eine gesetzliche Regelung wiederholen oder Fragen regeln, für die es keine gesetzlichen Vorgaben gibt. Dazu zählen neben der Bestimmung des Vertragszwecks vor allem die Leistungsbeschreibung und die Preisvereinbarung.90 Die Abgrenzung zwischen zu kontrollierenden und kon trollfreien Klauseln ist gerade im Bereich des elektronischen Geschäftsverkehrs schwierig.91 Grundsätzlich sind Allgemeine Geschäftsbedingungen, die Sachfragen regeln, für die Rechtsvorschriften bestehen, der Inhaltskontrolle der §§ 307 ff. BGB entzogen, während die Normen der §§ 305 ff. BGB anwendbar bleiben.92 Der Maßstab der Inhaltskontrolle bei zu kontrollierenden Vertragsbedingungen wird durch die Generalklausel des § 307 Abs. 1 und 2 BGB festgelegt.93 Danach sind AGB unwirksam, wenn sie den Vertragspartner des Verwenders BGE 109 II 452, 456 f.; Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlaute ren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 12. 87 Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 15. 88 Koller, Allgemeines Schweizer Obligationenrecht, Allgemeiner Teil (OR AT), 3. Aufl. 2009, S. 382. 89 Koller, Allgemeines Schweizer Obligationenrecht, Allgemeiner Teil (OR AT), 3. Aufl. 2009, S. 382. 90 Grunewald/Peifer, Verbraucherschutz im Zivilrecht, Heidelberg 2010, S. 24. 91 Schuster, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 307 BGB Rn. 7. 92 Schuster, in: Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, § 307 BGB Rn. 7. 93 Wurmnest, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 307 Rn. 21. 86
196
Kapitel 5: Einbeziehung und richterliche Kontrolle
entgegen den Geboten von Treu und Glauben unangemessen benachteiligen, vgl. § 307 Abs. 1 S. 1 BGB. Als eine mögliche Form der unangemessenen Benachteiligung nennt Abs. 1 S. 2 die Nichtbeachtung des Transparenzgebotes durch die Verwendung unklarer oder unverständlicher Bestimmungen. In Abs. 2 wird dann die Bestimmung dessen, was als unangemessene Benachteiligung anzusehen ist weiter erleichtert, indem eine (widerlegbare) Vermutung für das Vorliegen einer unangemessenen Benachteiligung bei Abweichungen vom wesentlichen Grundgedanken der gesetzlichen Regelung (Nr. 1) und bei Einschrän kung vertragswesentlicher Rechte oder Pflichten (Nr. 2) aufgestellt wird.94 Konkretisiert wird die Generalklausel durch die Klauselverbote der §§ 308, 309 BGB.95 § 309 BGB enthält dabei Klauselverbote ohne Wertungsmöglichkeit, also solche, die – jedenfalls nach der Ansicht des Gesetzgebers – keine unbestimmten Rechtsbegriffe enthalten; § 308 BGB zählt dagegen verbotene Klauseln mit Wertungsmöglichkeit auf. Ist eine streitige Klausel wegen Verstoßes gegen §§ 308, 309 BGB unwirksam, so gilt sie auch im Rahmen des § 307 BGB als unangemessen. Die Rechtsprechung geht von einer unangemessenen Benachteiligung aus, „wenn der Verwender durch einseitige Vertragsgestaltung missbräuchlich eigene Interessen auf Kosten seines Vertragspartners durchzusetzen versucht, ohne von vornherein auch dessen Belange hinreichend zu berücksichtigen und ihm einen angemessenen Ausgleich zuzugestehen“.96 In Österreich findet sich die Generalnorm der Inhaltskontrolle in § 879 Abs. 3 ABGB. Demzufolge ist eine in Allgemeinen Geschäftsbedingungen oder Vertragsformblättern enthaltene Vertragsbestimmung, die nicht eine der beiderseitigen Hauptleistungen festlegt, jedenfalls nichtig, wenn sie unter Berücksichtigung aller Umstände des Falles einen Teil gröblich benachteiligt. § 879 Abs. 3 ABGB gilt demnach nur für die Inhaltskontrolle von Nebenbestimmungen. Der Grund für diese Einschränkung ist, dass die Beurteilung des Verhältnisses der vertraglichen Hauptleitungen zueinander im Rahmen des Wuchertatbestandes in § 879 Abs. 2 Z. 4 ABGB vorgenommen wird.97 Dies bereitet gelegentlich Abgrenzungsprobleme, weshalb in der Literatur teilweise für ein weites Verständnis der Nebenbestimmungen bzw. Nichthauptleistung plädiert wird, so dass auch beispielsweise Bestimmungen zu den Rechtsfolgen von Leistungsstörungen unter § 879 Abs. 3 ABGB fallen können.98 Auch der oberste Gerichtshof Wolf, in: Wolf/Lindacher/Pfeiffer, ABG-Recht, 5. Aufl. 2009, § 307 Rn. 74. NJW 1987, 837 (838) zu den §§ 9, 10, 11 ABGB; Wolf, in: Wolf/Lindacher/Pfeiffer, ABG-Recht, 5. Aufl. 2009, § 308 Rn. 1. 96 BGHZ 143, 103 (113) = NJW 2000, 1110 (1110); BGHZ, 90, 280 (284); BGH, NJW 2001, 2331 (2331); BGH, NJW 1997, 3022 (3023). 97 Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 129. 98 Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 129; Krejci, in: Aicher/ 94
95 BGH,
A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
197
legt das Merkmal der Hauptleistungspflichten eng aus.99 So sollen Klauseln, die das Leistungsversprechen einschränken, verändern oder aushöhlen, generelle Leistungsbeschreibungen sowie Bestimmungen über die Preisberechnungsund Leistungsmodalitäten der Prüfung nach Abs. 3 unterliegen.100 Ob eine gröbliche Benachteiligung vorliegt, hängt einerseits vom Ausmaß der objektiven Äquivalenzstörung und andererseits vom Grad der „verdünnten Willensfreiheit“ des benachteiligten Vertragspartners ab, wobei eine umfassende Interessenabwägung vorzunehmen ist.101 Als gröblich benachteiligend wird von der Rechtsprechung bereits eine sachlich nicht gerechtfertigte Abweichung vom dispositiven Recht gewertet, welches die Leitlinie für einen ausgewogenen Interessenausgleich bildet.102 Auch ein auffallendes Missverhältnis der eingeräumten Rechtspositionen von Verwender und Kunde kann im Einzelfall eine gröbliche Benachteiligung begründen.103 Auf konkrete Einzelklauseln bezogen und als lex specialis damit der Generalkontrolle nach § 879 Abs. 3 ABGB vorrangig ist bei Verbraucherverträgen der Klauselkatalog des § 6 Konsumentenschutzgesetz (KSchG).104 Unterschieden werden hier zwei Arten von Klauseln: § 6 Abs. 1 KSchG enthält eine Aufzählung von Klauseln, die in jedem Fall unwirksam sind; bei Klauseln nach § 6 Abs. 2 KSchG kann der Verwender dagegen die Unwirksamkeit abwenden, wenn der darlegen kann, dass die Klauseln einzeln ausgehandelt wurden.105 § 6 Abs. 3 KSchG enthält auch das durch die Richtlinie 93/13/EWG vorgegebene Transparenzgebot. Eine in AGB oder Vertragsformblättern enthaltene Vertragsbestimmung ist demnach unwirksam, wenn sie unklar oder unverständlich abgefasst ist. Der Kunde soll in die Lage versetzt werden, den Inhalt der Bedingungen möglichst leicht zu erfassen.106 Der Oberste Gerichtshof orientiert sich bei der Auslegung des Transparenzgebotes auch an der Rechtsprechung des deutschen Bundesgerichtshofes. So führt der OGH in einer Entscheidung wörtlich aus: „Da sich die Richtlinie bei der Festlegung des Transparenzgebots an der deutschen Rechtsprechung orientiert hat, liegt es nahe, die deutsche AuffasRummel (Hrsg.), Kommentar zum Allgemeinen Bürgerlichen Gesetzbuch, Band 1, 1. Aufl. 1990, § 879 Rn. 237 f. 99 OGH, 7 Ob 22/12d; OGH, 6 Ob 104/09a; OGH, 4 Ob 112/04f. 100 OGH, 2 Ob 73/10i; OGH, 6 Ob 100/10i; OGH, 4 Ob 112/04f. 101 Kolmarsch, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 2. Aufl. 2012, § 879 Rn. 20. 102 OGH, 5 Ob 42/11d; OGH, 4 Ob 221/06p; OGH, 7 Ob 267/02v; Kolmarsch, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 2. Aufl. 2012, § 879 Rn. 20. 103 OGH, 7 Ob 93/06m; OGH, 4 Ob 221/06p. 104 Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 128. 105 Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 415. 106 Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 421.
198
Kapitel 5: Einbeziehung und richterliche Kontrolle
sung bei der Auslegung des Transparenzgebots zu beachten.“107 Unklar und unverständlich ist demnach eine Klausel, wenn der typische Durchschnittskunde ihren Inhalt und ihre Tragweite nicht „durchschauen“ kann.108 Für die Anwendung des Transparenzgebots im Einzelfall und die sich daraus ergebenden Anforderungen an die „Durchschaubarkeit“ der Klausel wird in der Literatur eine Abstufung je nach der Bedeutung der Klausel für den Vertragsabschluss, ihrer Konsequenzen bei der Vertragsabwicklung, der Wahrscheinlichkeit ihrer Anwendung im konkreten Fall, ihrer Übereinstimmung mit den Erwartungen des Durchschnittskunden und der Komplexität des Regelungsbereichs vorgeschlagen.109 Je stärker eines dieser Elemente wiege, desto klarer und verständlicher müsse eine Klausel formuliert sein.110 In der Schweiz findet – im Gegensatz zu Deutschland und Österreich – außerhalb von Art. 8 S-UWG keine richterliche Inhaltskontrolle statt. Hier ist zwischen der vom Bundesgericht durchgeführten verdeckten (indirekten) und der in der Literatur geforderten offenen (direkten) Inhaltskontrolle zu unterschieden.111 Erstere liegt vor, wenn der Inhalt von AGB-Klauseln quasi indirekt durch die Standards der Geltungs- und Auslegungskontrolle überprüft und korrigiert werden, während bei der offenen Inhaltskontrolle sich die Frage stellt, ob die Klauseln auch in Bezug auf ihren Inhalt mit geltendem Recht vereinbar sind.112 Das Bundesgericht hat eine offene Inhaltskontrolle bisher immer abgelehnt113 und nimmt stattdessen eine verdeckte Inhaltskontrolle vor. Das Gericht orientiert sich dabei an der vom Vertrauensprinzip abgeleiteten Ungewöhnlichkeitsregel und führt so unter Rückgriff auf die Auslegung der AGB Korrekturen an deren Inhalt durch.114 Dabei hat es die Ungewöhnlichkeit der Klausel umso eher bejaht, je stärker diese die Rechtsstellung des Vertragspartners beeinträchtigte.115 In der Literatur wird dieser Ansatz schon seit längerem kritisch betrachtet und ein Übergehen zu einer offeneren vertraglichen Inhaltskontrolle gefordert.116 107
OGH, 4 Ob 28/01y. Graf, ecolex 1999, 8; Koziol/Welser, Bürgerliches Recht Band II, 13. Aufl. 2007, S. 421. 109 Korinek, JBl 1999, 149 (160). 110 Korinek, JBl 1999, 149 (160). 111 Brunner, Allgemeine Geschäftsbedingungen, in: Kramer (Hrsg.), Konsumentenschutz im Privatrecht, Schweizerisches Privatrecht Band 10, Basel 2008, S. 142. 112 Brunner, Allgemeine Geschäftsbedingungen, in: Kramer (Hrsg.), Konsumentenschutz im Privatrecht, Schweizerisches Privatrecht Band 10, Basel 2008, S. 142. 113 BGE 135 III 1, 8 und 13; BGer, 4A_54/2009, E. 1; BGer, B 160/06, E. 6.2 m. w. N. 114 Brunner, Allgemeine Geschäftsbedingungen, in: Kramer (Hrsg.), Konsumentenschutz im Privatrecht, Schweizerisches Privatrecht Band 10, Basel 2008, S. 142. 115 BGE 135 III 225, 227; BGE 119 II 443, 446; Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 59. 116 Kut, in: Furrer/Schnyder (Hrsg.), Handkommentar zum Schweizer Privatrecht, Obliga108
A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
199
Auf welche Rechtsgrundlage sich eine solche offene Inhaltskontrolle stützen soll ist innerhalb der Literatur umstritten. Einige berufen sich auf das Rechtsmissbrauchsverbot des Art. 2 Abs. 2 ZGB, andere stützen sich auf das Kontrollkriterium der öffentlichen Ordnung in Art. 19 Abs. 2 OR.117 Unter der öffent lichen Ordnung sind vor allem die der Gesamtrechtsordnung immanenten Wertungs- und Ordnungsprinzipien zu verstehen.118 Das Bundesgericht konnte sich bisher jedoch nicht zu einer derartigen Inhaltskontrolle durchringen und ließ diese Frage vereinzelt offen. Das Gericht erklärte eine Klausel bzgl. der Einschränkung des Kündigungsrechts einer Privathaftpflichtversicherung aufgrund des Verstoßes gegen den Ungewöhnlichkeitsgrundsatz für unwirksam und führte aus, dass sich daher die Frage nicht stelle, „ob die bisherige Praxis zur Geltung global übernommener, ungewöhnlicher Klauseln auf eine von der herrschenden Lehre geforderte richterliche Inhaltskontrolle ausgedehnt werden soll.“119 Die eigentliche Generalnorm der Inhaltskontrolle findet sich in Art. 8 S-UWG. Hiernach handelt unlauter, wer Allgemeine Geschäftsbedingungen verwendet, die in Treu und Glauben verletzender Weise zum Nachteil der Konsumentinnen und Konsumenten ein erhebliches und ungerechtfertigtes Missverhältnis zwischen den vertraglichen Rechten und den vertraglichen Pflichten vorsehen. Diese (Teil-)Integration der AGB-Kontrolle – die auf die Weigerung des Bundes rates zur Ergänzung des Obligationenrechts um Vorschriften der AGB-Kontrolle zurückzuführen ist120 – im Wettbewerbsrecht und der damit einhergehende Dualismus von vertrags- und wettbewerbsrechtlicher AGB-Kontrolle werden im schweizer Schrifttum seit jeher kritisiert.121 Die Verortung im UWG sei mehr als unglücklich, da auf der Ebene der Allgemeinen Geschäftsbedingungen gerade kein Wettbewerb stattfinde und die AGB-Kontrolle auch nicht die den tionenrecht, 2. Aufl. 2012, Art. 1 Rn. 62; Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 29; Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 58; Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 254; Brunner, Allgemeine Geschäftsbedingungen, in: Kramer (Hrsg.), Konsumentenschutz im Privatrecht, Schweizerisches Privatrecht Band 10, Basel 2008, S. 143. 117 Kut, in: Furrer/Schnyder (Hrsg.), Handkommentar zum Schweizer Privatrecht, Obliga tionenrecht, 2. Aufl. 2012, Art. 1 Rn. 62; Gauch/Schlupp, Schweizerisches Obligationenrecht AT, Band I, 9. Aufl. 2008, S. 254; Furrer/Müller-Chen, Obligationenrecht – Allgemeiner Teil, Genf 2008, S. 144; Baudenbacher, ZBJV 1987, 505 (514); Kramer, SJZ 1985, 17 (23). 118 Huguenin, in: Honsell/Vogt/Wiegang (Hrsg.), Basler Kommentar zum Obligationenrecht I, 5. Aufl. 2011, Art. 19/20 Rn. 28. 119 BGE 135 III 13. 120 Botschaft zu einem Bundesgesetz gegen den unlauteren Wettbewerb vom 18. Mai 1983, S. 1052. 121 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 72; Baudenbacher, ZBJV 1987, 505 (526).
200
Kapitel 5: Einbeziehung und richterliche Kontrolle
Regelungsstandard des Wettbewerbsrechts bildende wettbewerbliche, sondern die vertragliche Phase des Verhältnisses von Verwender und Kunde erfasse.122 Durch die Novellierung der Bestimmung im Jahr 2012 wurde nun im Verhältnis zum Konsumenten eine offene Inhaltskontrolle ermöglicht. Der Bundesrat wollte hiermit „eine im Vergleich mit dem europäischen Recht bestehende Lücke“ schließen und „eine für Schweizer Bürgerinnen und Bürger bestehende Diskriminierung“ beseitigen123 indem er den Wortlaut von Art. 8 UWG an den von Art. 3 Abs. 1 der Richtlinie 93/13/EWG anlehnte. Jedoch fehlt im schweizer Recht eine entsprechende „graue oder schwarze Liste“ mit Klauseln, welche für „missbräuchlich“ bzw. unzulässig erklärt werden können. Da die schweizer Rechtsordnung keinen einheitlichen Konsumentenbegriff kennt, muss der Begriff des Konsumenten für Art. 8 S-UWG autonom mit Blick auf den Regelungsgehalt der Norm bestimmt werden.124 Mögliche Orientierungspunkte bilden die Regelungen des Art. 3 Bundesgesetz über den Konsumkredit (KKG)125, Art. 32 Abs. 2 S-ZPO126 und Art. 2 Abs. 2 der Preisbekannt gabeverordnung (PBV).127 Es spricht jedoch einiges dafür Art. 2 Abs. 2 PBV als Referenznorm heranzuziehen, da verschiedene Normen des S-UWG – wie beispielsweise Art. 16 S-UWG – sich auf den Konsumentenbegriff im Zusammenhang mit Preisangaben beziehen und die Begriffsbildung so auf dasselbe Gesetz gestützt werden könnte.128 Entscheidend wird im Rahmen des Art. 8 S-UWG wohl aber sein, ob der Vertrag der gewerblichen bzw. beruflichen Tätigkeit des Konsumenten zugerechnet werden kann oder nicht.129
122 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 72. 123 Botschaft zu Änderung des Bundesgesetzes gegen den unlauteren Wettbewerb vom 02. September 2009, S. 6186. 124 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 79. 125 Art. 3 KKG lautet: „Als Konsumentin oder Konsument gilt jede natürliche Person, die einen Konsumkreditvertrag zu einem Zweck abschliesst, der nicht ihrer beruflichen oder gewerblichen Tätigkeit zugerechnet werden kann.“ 126 Art. 32 Abs. 2 S-ZPO lautet wie folgt: „Als Konsumentenverträge gelten Verträge über Leistungen des üblichen Verbrauchs, die für die persönlichen oder familiären Bedürfnisse der Konsumentin oder des Konsumenten bestimmt sind und von der anderen Partei im Rahmen ihrer beruflichen oder gewerblichen Tätigkeit angeboten werden.“ 127 Art. 2 Abs. 2 PBV hat folgenden Wortlaut: „Konsumentinnen und Konsumenten sind Personen, die Waren oder Dienstleistungen für Zwecke kaufen, die nicht im Zusammenhang mit ihrer gewerblichen oder beruflichen Tätigkeit stehen.“ 128 Widmer, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG, Zürich 2015, S. 138. 129 Stöckli, BR/BC 2011, 184 (186); ausführlich zur Begriffsbestimmung Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel
A. Überblick über die Kontrolle von Allgemeinen Geschäftsbedingungen
201
Gegenstand der AGB-Kontrolle nach Art. 8 S-UWG bilden allein die Allgemeinen Geschäftsbedingungen. Die wettbewerbsrechtliche AGB-Kontrolle ist damit im Gegensatz zur vertraglichen AGB-Kontrolle abstrakter Natur, d. h. die Umstände des einzelnen Vertragsschlusses und die jeweiligen Individualvereinbarungen werden nicht berücksichtigt.130 Art. 8 S-UWG ist damit nicht auf die Prüfung der Gültigkeit von AGB in einem konkreten Vertrag ausgerichtet, sondern auf die Beurteilung der Verwendung der AGB also solche. Wie bereits auch bei der Inhaltskontrolle nach deutschem und österreichischem Recht, findet auch keine Inhaltskontrolle hinsichtlich des Hauptgegenstandes des Vertrages und des Preis-Leistungsverhältnisses statt.131 Maßstab der wettbewerbsrechtlichen Inhaltskontrolle bildet der Verstoß gegen Treu und Glauben, in dem aber das Schrifttum kein eigenes bzw. selbstständiges Tatbestandsmerkmal erkennt.132 Unklar ist, ob sich der Hinweis auf den Maßstab von Treu und Glauben in Art. 8 S-UWG auf den allgemeinen Grundsatz von Treu und Glauben des Art. 2 Abs. 1 ZGB oder auf den wettbewerbsrechtlichen Grundsatz von Treu und Glauben der Generalklausel des Art. 2 S-UWG bezieht.133 Nach Art. 2 S-UWG ist jedes täuschende oder in anderer Weise gegen den Grundsatz von Treu und Glauben verstoßende Verhalten oder Geschäftsgebaren unlauter. Alle weiteren Spezialtatbestände knüpfen an die Generalklausel an, bis auf Art. 8 S-UWG, der den Grundsatz von Treu und Glauben nochmals erwähnt. Die Regelungstechnik des schweizer UWG spricht daher eher dafür, dass der Gesetzgeber in Art. 8 S-UWG nicht an den wettbewerbsrechtlichen Begriff von Treu und Glauben anknüpfen wollte, da es sonst zu einer Verdoppelung des Tatbestandsmerkmals kommen würde134, sondern auf den allgemeinen Grundsatz des Art. 2 Abs. 1 ZGB Bezug nimmt.135 2013, Art. 8 Rn. 79 ff. und Widmer, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG, Zürich 2015, S. 137 ff. 130 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 89 ff. 131 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 94; Widmer, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG, Zürich 2015, S. 126. 132 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 101. 133 Jung, ABG-Inhaltskontrolle im UWG, in: Brunner/Schnyder/Eisner-Kiefer (Hrsg.), Allgemeine Geschäftsbedingungen nach neuem Schweizer Recht, Zürich 2014, S. 137. 134 Widmer, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG, Zürich 2015, S. 125. 135 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 105; so wohl auch Jung, ABG-Inhaltskontrolle im UWG, in: Brunner/Schnyder/Eisner-Kiefer (Hrsg.), Allgemeine Geschäftsbedingungen nach neuem Schweizer Recht, Zürich 2014, S. 137 ff.; Hausheer/Aebi-Müller, in: Hausheer/Walter (Hrsg.), Berner Kommentar Band I, Bern 2012, Art. 2 ZGB Rn. 115.
202
Kapitel 5: Einbeziehung und richterliche Kontrolle
Zentrales Tatbestandsmerkmal von Art. 8 S-UWG ist das Missverhältnis zwischen den vertraglichen Rechten und Pflichten. Es muss also eine Diskrepanz bzw. eine ungleiche Verteilung von Rechten und Pflichten bestehen und dieses Ungleichgewicht muss dann nach den Wertungen von Treu und Glauben als erhebliches Missverhältnis qualifiziert werden.136 Im Schrifttum wurden bereits einige Kriterien, wie der Maßstab des dispositiven Gesetzesrechts, die Interessenlage der Parteien, die Möglichkeit der Risikobeherrschung, das Kräfteverhältnis zwischen den Parteien und die Charakteristika des Vertragsverhältnisses zu Bestimmung des Missverhältnisses herausgebildet.137 Dabei kann ein zulasten einer Partei bestehendes Ungleichgewicht bestimmter Rechte und Pflichten durch eine andere zu ihren Gunsten bestehende Ungleichheit kompensiert werden.138 Dieses Missverhältnis muss dann insgesamt zu einer Schlechterstellung der Konsumenten gegenüber dem Verwender führen.
B. Einbeziehung des datenschutzrechtlichen Einverständnisses Nachdem ein Überblick über die Maßstäbe der AGB-Kontrolle in den jeweiligen Rechtsordnungen gegeben wurde, soll nun auf die einzelnen Problemkreise der standardisierten, formularmäßigen datenschutzrechtlichen Einverständnis erklärung, wie die Anwendbarkeit des jeweiligen AGB-Rechts (I) und die Frage der wirksamen Einbeziehung (II) eingegangen werden.
I. Anwendbarkeit des AGB-Rechts Im deutschen Recht ist, wie gesagt, der Anwendungsbereich des AGB-Rechts nur eröffnet, wenn für eine Vielzahl von Verträgen vorformulierte Vertrags bedingungen vorliegen. Die datenschutzrechtliche Einwilligung stellt jedoch gerade kein Vertragsbestandteil, sondern eine einseitige, vom Vertrag getrennt zu betrachtende Erklärung dar.139 Daher könnte man an der AGB-Qualität von vorformulierten Einwilligungserklärungen zweifeln.140 136 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 115. 137 Widmer, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG, Zürich 2015, S. 123. 138 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 120. 139 Vgl. hierzu Kapitel 4, A, II. 140 So Nietsch, CR 2014, 272 (275); für die Einwilligung im Lauterkeitsrecht Lettl, NJW 2011, 42 (43); a. A. Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 83; Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 109 ff.;
B. Einbeziehung des datenschutzrechtlichen Einverständnisses
203
Der Bundesgerichtshof stuft jedoch in ständiger Rechtsprechung, formularmäßig eingeholte datenschutzrechtliche Einwilligungen als Allgemeine Geschäftsbedingungen ein.141 Mit Rücksicht auf ihren Schutzzweck seien die §§ 305 ff. BGB auch auf eine vom Verwender vorformulierte einseitige Erklärung des anderen Teils anzuwenden, die im Zusammenhang mit dem Vertragsverhältnis stehe.142 Entscheidend sei weiterhin, dass der Verwender bei der von den Kunden abzugebenden Erklärung die rechtsgeschäftliche Gestaltungsfreiheit für sich ebenso in Anspruch nehme wie bei der Vorformulierung eines Vertragstextes.143 Der Kunde habe nur Einfluss darauf, ob er die Erklärung abgeben wolle, nicht aber auf deren Inhalt.144 Fraglich bleibt, was unter der von der Rechtsprechung gebrauchten Formel „im Zusammenhang mit dem Vertragsverhältnis“ genau zu verstehen ist. Ein entsprechender Zusammenhang soll jedenfalls vorliegen, wenn die Abgabe der Einwilligung zeitgleich mit dem Vertragsschluss erfolgt.145 Es ist jedoch kein vernünftiger Grund ersichtlich, warum formularmäßige datenschutzrechtliche Einwilligungen, die einseitig von der datenverarbeitenden Stelle gestellt sind, die aber erst nach dem Vertragsschluss abgegeben werden einem geringeren Schutz unterworfen sein sollen.146 Im Übrigen steht gerade in den hier betrachteten Geschäftsmodellen die Einwilligung in sehr engem Zusammenhang mit dem Vertragsverhältnis mit dem Inhalt „Daten als Leistung“, weshalb der Anwendungsbereich des deutschen AGB-Rechts jedenfalls eröffnet ist. Im Gegensatz zum deutschen Recht wird in Österreich und der Schweiz die Frage der Anwendbarkeit des AGB-Rechts auf das formularmäßig eingeholte datenschutzrechtliche Einverständnis weder von der Rechtsprechung noch von der Literatur problematisiert. Der österreichische Oberste Gerichtshof hat – soweit ersichtlich – in keiner seiner Entscheidung positiv das Vorliegen von Allgemeinen Geschäftsbedingungen geprüft, sondern ist immer stillschweigend von Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 186. 141 BGHZ 95, 362 (363 f.) = NJW 1986, 46 – Schufa-Entscheidung, allerdings ging der BGH in dieser Entscheidung nicht auf die Frage der AGB-Qualität ein, sondern prüfte die Klausel gleich anhand des damaligen AGBG; dagegen aber explizit in BGHZ 177, 253 = NJW 2008, 3055 (3055) – Payback; BGH, MMR 2010, 138 (139) – HappyDigits; so auch jüngst LG Berlin, MMR 2014, 563 (566). 142 BGHZ 177, 253 = NJW 2008, 3055 (3055 f.) – Payback. 143 So BGH, NJW 2000, 2677 (2678) – Telefonwerbung IV zur Einwilligung im Lauterkeitsrecht. 144 BGH, NJW 2000, 2677 (2678) – Telefonwerbung IV zur Einwilligung im Lauterkeitsrecht. 145 Ayad/Schafft, BB 2002, 1711 (1712). 146 So auch Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 111.
204
Kapitel 5: Einbeziehung und richterliche Kontrolle
der Anwendbarkeit der Vorschriften zur AGB-Kontrolle bei vorformulierten Einverständniserklärungen ausgegangen.147 Auch in der schweizer Literatur geht man davon aus, dass die auf Allgemeine Geschäftsbedingungen anwend baren Vorschriften für die Überprüfung von vorformulierten datenschutzrechtlichen Einwilligungen heranzuziehen sind.148 Die höchstrichterliche Rechtsprechung in der Schweiz hat sich bisher – soweit ersichtlich – noch nicht mit datenschutzrechtlichen Einwilligungen im Rahmen von AGB befasst.
II. Einbeziehung des datenschutzrechtlichen Einverständnisses Da Allgemeine Geschäftsbedingungen oft eine Vielzahl von Regelungen enthalten, besteht die Gefahr, dass die Einverständniserklärung leicht übersehen wird. Damit sie nicht zwischen den einzelnen Vertragsbedingungen untergeht ist sie im deutschen Datenschutzrecht – wenn sie zusammen mit anderen Erklärungen schriftlich erteilt werden soll – gem. § 4a Abs. 1 S. 4 BDSG besonders hervorzuheben. Hierfür sollen Abstand zum übrigen Text, eine Einrahmung oder Fettdruck oder auch die Platzierung in räumlicher Nähe zur Unterschriftszeile genügen, sofern sich die Einwilligungserklärung damit genügend von den anderen Erklärungen abhebt und nicht übersehen werden kann.149 Außerdem verlangt der durch die BDSG-Novelle II neu eingefügte § 28 Abs. 3a S. 2 BDSG von Einwilligungen für Werbezwecke, die zusammen mit anderen Erklärungen schriftlich erteilt werden, dass diese in drucktechnisch deutlicher Gestaltung besonders hervorgehoben werden. Die drucktechnische Umsetzung kann nach der Gesetzesbegründung beispielsweise durch eine besondere Schriftgröße, Schrifttype oder Formatierung oder auch durch einen Rahmen erfolgen.150 Das im ursprünglichen Gesetzesentwurf enthaltene Erfordernis einer Bestätigung der Einwilligungsklausel durch aktives Tun, beispielsweise durch Ankreuzen oder gesondertes Unterschreiben wurde nicht übernommen, was auf massive Proteste der Werbewirtschaft als Reaktion auf den Regierungsentwurf zurückzuführen ist.151 Der stattdessen eingefügte § 28 147
OGH, 4 Ob 221/06p; OGH, 4 Ob 179/02f; OGH, 4 Ob 28/01y; OGH, 7 Ob 170/98w. Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 90; Rampini, in: Maurer- Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 13; Schmid, KMU und Datenschutz, in: Girsberger/Schmid, Rechtsfragen rund um die KMU, Zürich 2003, S. 166; bzgl. der Einwilligung in eine Persönlichkeitsrechtsverletzung allgemein Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 71. 149 Holznagel/Sonntag, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, München 2003, S. 694 f. 150 BT-Drs. 16/13657, S. 19. 151 Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 84. 148
B. Einbeziehung des datenschutzrechtlichen Einverständnisses
205
Abs. 3a S. 2 BDSG stellt somit lediglich eine Konkretisierung des § 4a Abs. 1 S. 4 BDSG dar und läuft weitgehend leer.152 Interessant erscheint vor allem eine nähere Betrachtung des Zusammenspiels von Hervorhebungsgebot und § 305c Abs. 1 BGB zu sein. Einwilligungsklauseln, die bereits gegen das Hervorhebungsverbot verstoßen und in den AGB „versteckt“ sind wären bereits nach § 4a Abs. 1 S. 4 BDSG unwirksam, auf § 305c Abs. 1 BGB käme es insoweit nicht an.153 Ob eine nach § 4a Abs. 1 S. 4 BDSG korrekt hervorgehobene Einwilligungserklärung überraschend i. S. v. § 305c Abs. 1 BGB sein kann ist bisher nicht geklärt. Im Rahmen von § 305c BGB kommt es grundsätzlich auf die Vorstellungen und Erwartungen an, die ein redlicher Kunde von durchschnittlicher Geschäftserfahrung, Aufmerksamkeit und Umsicht sich vom Inhalt des Vertrages auf Grund der genannten Umstände gebildet hätte.154 Bei einem Vertrag mit dem Inhalt „Daten als Leistung“ kann man annehmen, dass der Betroffene nicht von der Einholung der Einwilligung überrascht sein dürfte, vor allem wenn diese auch noch korrekt hervorgehoben war. Etwas anderes wird nur dann gelten, wenn über den eigentlichen Vertragsinhalt hinaus und an anderer Stelle noch weitere Erklärungen bzgl. einer Datenerhebung, Verarbeitung und Nutzung vorgesehen sind und der Betroffene sie des wegen nicht erkennen kann oder an der Stelle nicht damit gerechnet hat.155 In der deutschen Rechtsprechung werden teilweise die Voraussetzungen einer wirksamen Einbeziehung, wie beispielsweise die Gestaltung der Erklärung oder das Hervorhebungsgebot, im Rahmen der Inhaltskontrolle geprüft. Dieser Umstand liegt darin begründet, dass in der deutschen Rechtspraxis die Rechtsprechung sich mit datenschutzrechtlichen Einwilligungen überwiegend im Rahmen von Klagen qualifizierter Verbraucherverbände gegen Allgemeine Geschäftsbedingungen auseinandersetzt.156 Da datenschutzrechtliche Verstöße de lege lata nicht unter § 2 UKlaG fallen157, kann derzeit eine Aktivlegitimation der Verbraucherverbände nur über § 1 UKlaG begründen werden, sodass der Prüfungsmaßstab der Gerichte in diesen Fällen auf die §§ 307–309 BGB beschränkt bleibt und eine Einbeziehungskontrolle grundsätzlich nicht stattfin152 Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 84. 153 Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 191. 154 Basedow, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 305c Rn. 6. 155 Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG, Hamburg 2013, S. 191. 156 BGH, NJW 2010, 864 (864); BGHZ, 177, 253; OLG Köln, MMR 2008, 780; LG Hamburg, ZGS 2009, 475 (476). 157 OLG Frankfurt, GRUR 2005, 785 (786).
206
Kapitel 5: Einbeziehung und richterliche Kontrolle
det.158 So nahm das Landgericht Bonn einen Verstoß gegen das Transparenz gebot aus § 307 Abs. 1 S. 2 BGB an, als bei einem Gewinnspiel die Einwilligung an versteckter Stelle mitten in einem vorformulierten Text ohne jegliche Hervorhebung untergebracht war.159 Auch die Gefahr des Überlesens der gesamten Klausel bei sog. Opt-Out-Gestaltungen wurde von der Rechtsprechung in den bereits dargestellten Entscheidungen zu den Kundenbindungsprogrammen Payback und Happy Digits im Rahmen der Inhaltskontrolle thematisiert.160 Entscheidend war für den Bundesgerichtshof hier allein, ob das Hervorhebungs gebot des § 4a Abs. 1 S. 4 BDSG gewahrt ist, ob also die Einwilligungsklausel besonders hervorgehoben ist, wenn sie zusammen mit anderen Erklärungen erteilt wird.161 Einer Opt-in-Lösung, d. h. einer gesonderten, positiven Erklärung des Betroffenen bedürfte es bei der Einwilligung nach § 4a BDSG dann nicht.162 Das österreichische Datenschutzgesetz schreibt dagegen ein solches Hervorhebungsgebot nicht ausdrücklich vor. Jedoch hat der Verfassungsdienst des Bundeskanzleramtes in einem Rundschreiben von 1985163 zur Form einer ausdrücklichen Zustimmungserklärung festgehalten, dass eine Zustimmungserklärung deutlich vom übrigen Text eines Formulars abzusetzen sei und diese vom übrigen Formulartext derart getrennt werden müsse, dass eine gesonderte Unterfertigung der Zustimmungserklärung möglich bleibe.164 Der Oberste Gerichtshof hat dazu in der Merkur-Entscheidung festgestellt, dass Zustimmungsklauseln zwar transparent sein müssen, aber dennoch in Allgemeinen Geschäfts bedingungen enthalten sein können, sofern sie dort besonders hervorgehoben sind.165 Eine gesonderte Erklärung und vor allem Unterzeichnung fordert der Oberste Gerichtshof nur dann, wenn die datenschutzrechtliche Zustimmungserklärung gleichzeitig eine Entbindung vom Bankgeheimnis nach § 38 Abs. 2 Z. 5 BWG enthält.166 Das Hervorhebungsgebot gehört damit zu den vom Obersten 158 Dies wird sich künftig mit der geplanten Aufnahme des Datenschutzrechts in § 2 UKlaG ändern. 159 LG Bonn, RDV 2007, 77 (77). 160 Vgl. hierzu auch weiter vorne Kapitel 2, B, II, 3, a. 161 BGH, NJW 2008, 3055 (3056). 162 BGH, NJW 2008, 2055 (3057 f.). 163 BKA-VD, 810.008/1-V/1a/85 vom 10.8.1985, abgedruckt in: Reimer, Verfassungs- und europarechtliche Überlegungen zur datenschutzrechtlichen Zustimmung, in: Jahnel/Siegwart/ Fercher (Hrsg.), Aktuelle Fragen des Datenschutzrechts (2007), S. 208. 164 BKA-VD, 810.008/1-V/1a/85 vom 10.8.1985, abgedruckt in: Reimer, Verfassungs- und europarechtliche Überlegungen zur datenschutzrechtlichen Zustimmung, in: Jahnel/Siegwart/ Fercher (Hrsg.), Aktuelle Fragen des Datenschutzrechts (2007), S. 208. 165 OGH, 4Ob 170/98w; Knyrim, in: Stellungnahme des Österreichischen Rechtsanwaltskammertags zum BG, mit dem das B-VG, das Datenschutzgesetz 2000 und das Sicherheitspolizeigesetz geändert werden (DSG-Novelle 2010) vom 16.06.2009, S. 1 f. 166 OGH, 4Ob 221/06p.
B. Einbeziehung des datenschutzrechtlichen Einverständnisses
207
Gerichtshof entwickelten Grundsätzen für die Formulierung von Zustimmungsklauseln.167 Wie bereits dargelegt, enthält das schweizer Obligationenrecht keine Vorschriften zur vertraglichen AGB-Kontrolle. In Rechtsprechung und Lehre haben sich dennoch einige Grundsätze entwickelt, die auch bei der formularmäßig eingeholten datenschutzrechtlichen Einwilligung zum Tragen kommen. Es stellt sich also auch hier die Frage nach der Übernahme der Einwilligungsklausel (sog. Abschluss- und Geltungskontrolle). Verbindlich werden diese nur, wenn sie von den Parteien in den konkreten Einzelvertrag übernommen wurden.168 Dies kann sowohl durch eine Voll- als auch durch eine Globalübernahme geschehen.169 Akzeptiert der Betroffene die Klausel ohne diese zu lesen, gilt die sog. Ungewöhnlichkeitsregel, wonach ungewöhnliche, zulasten des Betroffenen gehende Klauseln keine Geltung erlangen, wenn auf sie nicht besonders hingewiesen wurde.170 Bei einer Einwilligungsklausel ist dies dann der Fall, wenn die Einwilligung in eine bestimmte Persönlichkeitsrechtsverletzung als solche oder ihre Tragweite im Kontext des betreffenden Vertrags außergewöhnlich, überraschend oder unerwartet ist.171 Als unerwartet wird beispielsweise eine Einwilligung eingestuft, die in keinem direkten Zusammenhang mit der Erfüllung der vertraglichen Pflicht steht.172 Dies ist jedoch bei den hier zugrunde gelegten Vertragsverhältnissen mit dem Inhalt „Daten als Leistung“ nicht der Fall, da die Einwilligung auch im schweizer Recht die Erfüllung der vertraglichen Hauptleistungspflicht darstellt.173 Ein gesetzliches Hervorhebungsgebot wie in Deutschland kennt die schweizer Rechtsordnung nicht. Jedoch hat die Rechtsprechung teilweise Grundsätze zu einer besseren Erkennbarkeit von Klauseln aufgestellt. In einem Fall hat das Bundesgericht beispielsweise entschieden, dass eine Partei sich nicht auf die Ungewöhnlichkeitsregel berufen kann, wenn sie ausdrücklich auf eine beJahnel, Datenschutzrecht, Wien 2010, S. 174. Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 71 allgemein zur Einwilligung in eine Persönlichkeitsverletzung. 169 Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 90; Rampini, in: Maurer- Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 13. 170 Rampini, in: Maurer-Lambrou/Vogt (Hrsg.), Datenschutzgesetz, 2. Aufl. 2006, Art. 13 Rn. 13; Rosenthal, Handkommentar DSG, Zürich 2008, Art. 4 Rn. 90; so auch Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 71 allgemein zur Einwilligung in eine Persönlichkeitsverletzung. 171 So Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 71 allgemein zur Einwilligung in eine Persönlichkeitsverletzung. 172 So Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 73 f. allgemein zur Einwilligung in eine Persönlichkeitsverletzung. 173 Vgl. hierzu Kapitel 3, A, II, 3. 167
168 So
208
Kapitel 5: Einbeziehung und richterliche Kontrolle
stimmte, fett gedruckte und gut lesbare Klausel aufmerksam gemacht wurde.174 Außerdem wird im Zusammenhang mit Einwilligungsklauseln, die von der Verfassung garantierte Persönlichkeitsrechte – wie namentlich das Informationelle Selbstbestimmungsrecht – betreffen, in der Literatur teilweise vertreten, dass ein Verzicht auf dieses Persönlichkeitsrecht mit Verzichtsklauseln bzgl. des garantierten Gerichtsstands am Wohnort gem. Art. 30 Abs. 2 BV vergleichbar sei und daher die vom Bundesgericht entwickelten Grundsätze zu solchen Gerichtsstandsklauseln heranzuziehen seien.175 Solche müssten, so das Gericht, an gut sichtbarer Stelle angebracht sein, deutlich hervortreten und, je nach den Umständen, dem Betroffenen speziell erklärt werden.176 Im Gegensatz zur Datenschutzrichtlinie enthält die Datenschutzgrundverordnung Vorgaben zur besseren Erkennbarkeit von Einwilligungsklauseln. Nach Art. 7 Abs. 2 DS-GVO muss jede Einwilligung, die einen anderen Sachverhalt betrifft, äußerlich erkennbar von diesem getrennt sein. Die EU-Kommission möchte damit durch die Einführung eines Trennungsgebotes die tatsächliche Erkennbarkeit der Einwilligung sicherstellen.177
C. Kontrolle der einbezogenen Abreden I. Maßstab der Inhaltskontrolle Ausgangspunkt der Inhaltskontrolle bildet im deutschen Recht § 307 Abs. 3 S. 1 BGB, nachdem nur dann eine Klauselkontrolle stattfindet, wenn eine Regelung vorliegt, die von bestehenden Rechtsvorschriften abweicht oder diese ergänzt. Der Bundesgerichtshof zieht für die Feststellung einer solchen Abweichung oder Ergänzung allein die Vorschriften des BDSG sowie ergänzend § 307 Abs. 2 Nr. 1 BGB als Prüfungsmaßstab heran.178 Daraus folgt, dass datenschutzrechtliche Einwilligungen, die den Anforderungen des § 4a BDSG genügen, nach Auffassung des Bundesgerichtshofes nach § 307 Abs. 3 S. 1 BGB keiner weitergehenden Inhaltskontrolle unterworfen sind, da es sich um deklaratorische Klauseln handelt. Dies leuchtet ein, soweit im Bereich der Datenverwendung beispielsweise die §§ 28, 29 BDSG eine Ermächtigungsgrundlage für die Spei174
BGE Pra 87, 1998, Nr. 9, S. 55. Haas, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Genf 2007, S. 74 allgemein zur Einwilligung in eine Persönlichkeitsverletzung. 176 BGE 91 I 11; BGE 93 I 328. 177 Rogosch, Die Einwilligung im Datenschutzrecht, Münster 2012, S. 130. 178 BGHZ 177, 253 = NJW 2008, 3055 (3055) – Payback; BGH, MMR 2010, 138 (139) – HappyDigits. 175 So
C. Kontrolle der einbezogenen Abreden
209
cherung und Verarbeitung von Daten schaffen. Denn dann ist eine Klausel in AGB, die diese Datenverwendung eigens erwähnen der Inhaltskontrolle gem. § 307 Abs. 3 S. 1 BGB entzogen.179 Die Ermächtigung zum Umgang mit den Kundendaten folgt hier aus dem Gesetz, die AGB bilden diese Rechtslage dann lediglich ab.180 Soll die Zulässigkeit der Datennutzung aber erst im Wege einer Einwilligungserklärung des Betroffenen erreicht werden, kann eine darauf gerichtete AGB-Klausel nicht lediglich geltendes Recht abbilden.181 Durch die Klausel soll die Ermächtigung zur Datennutzung erst herbeigeführt werden; ihr Inhalt ist damit keineswegs nur ohnehin geltendes Recht.182 Durch eine Einwilligung, die über die gesetzlichen Erlaubnistatbestände hinausgeht, wird vertraglich eine völlig andere Rechtslage geschaffen, als ohne die Einwilligung bestünde. Gerade dieser Umstand ist aber für eine deklaratorische Klausel untypisch. Es erscheint daher – entgegen der Auffassung des Bundesgerichtshofs – vorzugs würdig, auch eine nach dem Bundesdatenschutzgesetz nicht zu beanstandende Einwilligung an § 307 Abs. 1 und 2 BGB zu messen. Zentrale Vorschriften zur Prüfung von formularmäßigen Einwilligungsklauseln sind damit diejenigen des Bundesdatenschutzgesetzes, des Telemedien- und Telekommunikationsgesetzes sowie die §§ 307 ff. BGB. In Österreich ist die Generalnorm der Inhaltskontrolle in § 879 Abs. 3 ABGB zu finden. Da es sich bei den hier betrachteten Schuldverhältnissen mit dem Inhalt „Daten als Leistung“ in aller Regel um Verbraucherverträge handelt, also der Betroffene auch immer Verbraucher i. S. d. § 1 Abs. 1 Z. 2 KSchG sein dürfte, kommt § 6 KSchG vorrangig als lex specialis zur Anwendung. Der Prüfungsmaßstab erstreckt sich dabei auf den Klauselkatalog der § 6 Abs. 1 und 2 KSchG sowie auch auf das Transparenzgebot des § 6 Abs. 3 KSchG. Auf § 879 Abs. 3 ABGB kann grundsätzlich ergänzend zurückgegriffen werden.183 Anders als in Deutschland, hat die höchstrichterliche Rechtsprechung bei der Kontrolle von vorformulierten Zustimmungserklärungen keine Einschränkung des Prüfungsmaßstabes – beispielsweise auf die Vorschriften des DSG 2000 – vorgenommen. Wie bereits dargelegt kennt die Schweiz – außerhalb des Art. 8 S-UWG – keine offene gerichtliche Inhaltskontrolle. Das Bundesgericht beschränkt sich bei der vertraglichen AGB-Kontrolle darauf, die Klauseln indirekt durch die Stan179 So zutreffend der BGH in der Payback-Entscheidung BGHZ 177, 253 (268 f.) bzgl. einer Klausel zur Speicherung des Geburtsdatums der Kunden. 180 Nord/Manzel, NJW 2010, 3756 (3756). 181 Nord/Manzel, NJW 2010, 3756 (3756); Hanloser, MMR 2010, 140 (141); Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 84. 182 Nord/Manzel, NJW 2010, 3756 (3756). 183 OGH, 4 Ob 179/02f.
210
Kapitel 5: Einbeziehung und richterliche Kontrolle
dards der Geltungs- und Auslegungskontrolle zu überprüfen und ggf. zu korrigieren.184 Im Rahmen des Art. 8 S-UWG bilden die Allgemeinen Geschäftsbedingungen den alleinigen Prüfungsgegenstand, eine Inhaltskontrolle hinsichtlich des Hauptgegenstandes des Vertrages und des Preis-Leistungsverhältnisses findet auch hier nicht statt. Da es sich bei der Einwilligung jedoch nicht um den Hauptgegenstand des Vertrages handelt sondern um dessen Erfüllung und es sich beim Betroffenen in der Regel um einen Konsumenten handelt, wäre die datenschutzrechtliche Einwilligung einer Kontrolle nach Art. 8 S-UWG grundsätzlich zugänglich.
II. Inhaltskontrolle des formularmäßigen Einverständnisses Der Maßstab der Inhaltskontrolle von vorformulierten datenschutzrechtlichen Einwilligungen wird in Deutschland – wie bereits dargelegt – durch die Generalklausel des § 307 Abs. 1 und 2 BGB, sowie durch deren Konkretisierung in den §§ 308 und 309 BGB festgelegt. Ist eine Klausel der Inhaltskontrolle zugänglich, findet zunächst eine Überprüfung anhand des Klauselkatalogs der §§ 308, 309 BGB statt. Dabei können einzelne Klauselverbote in Bezug auf den Inhalt vorformulierter Einwilligungserklärungen zum Tragen kommen.185 Beispielsweise darf gem. § 308 Nr. 5 BGB keine Erklärungsfiktion in eine vorformulierte Einwilligungserklärung aufgenommen oder gem. § 309 Nr. 12 BGB die Beweislast hinsichtlich des Vorliegens einer wirksamen Einwilligung auf den Betroffenen abgewälzt werden.186 Maßgebende Vorschrift für die Überprüfung von vorformulierten Einwilligungserklärungen ist jedoch die Generalklausel des § 307 BGB. Demnach ist eine Klausel unwirksam, wenn sie den Vertragspartner, also den Betroffenen, unangemessen benachteiligt. Eine solche Benachteiligung wird gem. § 307 Abs. 2 Nr. 1 BGB im Zweifel angenommen, wenn die Klausel mit den wesentlichen Grundgedanken der gesetzlichen Regelungen nicht vereinbar ist. Hierbei ist vor allem von Bedeutung, dass die Datenschutzgesetze entsprechend den Vorgaben des Volkszählungsurteils und § 4 Abs. 1 BDSG einen Regel-Ausnahme-Mechanismus vorsehen.187 Anders als bei der Überprüfung von Vertragsklauseln des Privatrechtes, wobei – sofern es sich um dispositive Normen des Privatrechts handelt, grundsätzlich von der Zulässigkeit einer vom Gesetz abweichenden Regelung auszugehen ist – gilt, dass die Erhebung, Speicherung, 184
Vgl. vorne Kapitel 5, A, IV. Zscherpe, MMR 2004, 723 (725). 186 Zscherpe, MMR 2004, 723 (725). 187 Munz, in: Graf von Westphalen (Hrsg.), Vertragsrecht und AGB-Klauselwerke, 36. Ergänzungslieferung 2015, Datenschutzklauseln, Rn. 7. 185
C. Kontrolle der einbezogenen Abreden
211
Verarbeitung und Übermittlung personenbezogener Daten verboten sind, soweit sie nicht durch das BDSG oder eine andere Rechtsvorschrift ausdrücklich erlaubt sind oder der Betroffene seine Einwilligung erklärt hat.188 Heranzuziehen für die Beurteilung einer etwaigen Benachteiligung sind also die Vorschriften des Datenschutzrechts einschließlich der bereichsspezifischen Vorschriften im TMG und TKG. Die deutsche Rechtsprechung ist bereits in zahlreichen Entscheidungen zu dem Ergebnis gekommen, dass eine vorformulierte datenschutzrechtliche Einwilligung den Betroffenen unangemessen benachteiligt und daher der Inhaltskontrolle nicht standhält. So erklärte der Bundesgerichtshof die frühere Schufa-Klausel189 aufgrund der fehlenden Interessenabwägung für unwirksam, da sie den Kreditnehmer unangemessen benachteilige.190 Eine solche sei gegeben, wenn eine formularmäßige Einwilligung sich nicht auf bestimmte Kreditdaten beschränke, sondern pauschal unter der Bezeichnung „Daten des Kreditnehmers über die Abwicklung des Kredits“ auch Angaben über einseitige Maß nahmen des Kreditgebers zur Durchsetzung vermeintlicher Ansprüche gegen den Kreditnehmer, wie beispielsweise Mahnungen, Kündigungen oder Mahnbescheide umfassen solle und der Kreditgeber dadurch uneingeschränkt ermächtigt werde, auch derartige Negativmerkmale ohne Interessenabwägung im Einzelfall und sogar in Fällen, in denen eine solche Abwägung negativ ausfallen würde, an ein Kreditinformationssystem zu übermitteln.191 Zuletzt hat das Oberlandesgericht Düsseldorf in diesem Sinne entschieden und eine formularmäßige Einwilligungserklärung, die eine Datenübermittlung ohne die gebotene Interessenabwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG vorsieht, für unwirksam erklärt.192 Weiter stufte das OLG Köln eine von Happy Digits verwendete Klausel, die dem Betroffenen die Möglichkeit zur Streichung bot, als unangemessene Benachteiligung der Kunden ein: Diese würden nicht in dem Umfang von ihrer Wahlmöglichkeit Gebrauch machen, wie es ihren Belangen entspräche. Aufgrund des in Aussicht gestellten nicht geringen Rabatts sei der Kunde grundsätzlich geneigt, an dem System teilzunehmen. Im Hinblick auf die Attraktivität 188 Munz, in: Graf von Westphalen (Hrsg.), Vertragsrecht und AGB-Klauselwerke, 36. Ergänzungslieferung 2015, Datenschutzklauseln, Rn. 7. 189 Schufa-Klausel: „Die Bank ist berechtigt, der Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa) und der KSV-Kreditschutzvereinigung W. Daten des Kreditnehmers und etwaiger Mitschuldner über die Aufnahme (Kreditbetrag, Laufzeit, Ratenhöhe) und Abwicklung dieses Kredits zur Speicherung zu übermitteln.“ 190 BGHZ 95, 362 = NJW 1986, 46 – Schufa-Entscheidung. 191 BGH, NJW 1986, 46 (47) – Schufa-Entscheidung. 192 OLG Düsseldorf, MMR 2007, 387 (387).
212
Kapitel 5: Einbeziehung und richterliche Kontrolle
des Angebots werde er die vorgegebene Option des Einverständnisses mit dem Erhalt von Werbung eher akzeptieren. Demnach führe eine derartige Gestaltung zu einer psychologischen Beeinflussung des Betroffenen in seiner Willensbildung. Das OLG hob damit das vorinstanzliche Urteil des LG Köln auf, das in dem Angebot an den Verbraucher, die vorformulierte Einwilligung zu streichen, nicht den Aufbau unnötiger Barrieren für eine freie Entscheidung erkannt hatte. In anderen Entscheidungen wurde die Unwirksamkeit einer Einwilligung in AGB allein auf ihre mangelnde Bestimmtheit zurückgeführt.193 So wurde die Einwilligungsklausel eines Telefondienstleisters, welche die Nutzung für Marketingzwecke vorsah, für unwirksam erklärt, da sie den Zweck der Datennutzung und die Empfänger von Übermittlungen nicht hinreichend erkennen lasse.194 In Österreich richtet sich die Inhaltskontrolle von vorformulierten datenschutzrechtlichen Zustimmungserklärungen aufgrund der Verbrauchereigenschaft des Betroffenen zunächst nach § 6 KSchG, wobei besonders das Transparenzgebot in Abs. 3 von Bedeutung ist. Der österreichische Oberste Gerichtshof hatte bereits eine Reihe von Zustimmungsklauseln in Allgemeinen Geschäftsbedingungen zu prüfen.195 Bemerkenswert ist dabei, dass so gut wie jede Klausel wegen Widerspruchs gegen das Transparenzgebot des § 6 Abs. 3 KSchG als unwirksam verworfen wurde und der Gerichtshof seine Anforderungen an die Wirksamkeit der Zustimmungsklausel von Entscheidung zu Entscheidung verschärft zu haben scheint. So erklärte der Oberste Gerichtshof die in den Allgemeinen Geschäftsbedingungen der Mobilkom enthaltene datenschutzrechtliche Zustimmungserklärung bezüglich des „Mobilpoints-Programms“ mit dem Inhalt: „[…] Zu Werbezwecken erfolgt auch ein Datenaustausch mit Konzernunternehmen und eine Datenübermittlung auch an andere Dritte, sofern der Teilnehmer dem nicht bei Teilnahme beginn oder zu einem späteren Zeitpunkt widerspricht“196
aufgrund des Verstoßes gegen das Transparenzgebot des § 6 Abs. 3 KSchG für unwirksam. Das Gericht sieht das Transparenzgebot bei einer dem Konsumenten abgeforderten Zustimmungserklärung zur Datenübermittlung nur dann als erfüllt an, wenn die Zustimmungserklärung die zu übermittelnden Datenarten, 193 Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen, Wiesbaden 2010, S. 87; beispielsweise LG Bonn, RDV 2007, 77 (77). 194 LG Bonn, RDV 2007, 77 (77). 195 Eine Übersicht von relevanten Entscheidungen findet sich auch bei: Knyrim, Datenschutzrechtliche Zustimmungserklärungen richtig formulieren und platzieren, in: Aktuelles AGB-Recht, Knyrim/Leitner/Perner/Riss (Hrsg.), Aktuelles AGB-Recht, Wien 2008, S. 139 ff. 196 OGH, 4 Ob 16/01y, Klausel 9.
C. Kontrolle der einbezogenen Abreden
213
deren Empfänger und den Übermittlungszweck abschließend bezeichnet.197 Für den Kunden bleibe hier jedoch offen, auf welche konkreten Daten von welchen Dritten zugegriffen werden könne, auch wenn der Zweck des Zugriffes mit dem „wenig aussagekräftigen Schlagwort zu Werbezwecken“ umschrieben werde.198 Die Auswirkungen der Erklärung seien wegen der völligen Unbestimmtheit des Inhaltes der Übermittlung und der Empfänger unabsehbar und daher unwirksam.199 Ähnlich entschied der Oberste Gerichtshof in der bereits erwähnten Merkur-Entscheidung200. In dieser Entscheidung wurde eine Klausel als unwirksam im Sinn des § 6 Abs. 3 KSchG beurteilt, durch die sich der Kunde eines Lebensmittelkonzerns damit einverstanden erklärte, dass seine „oben genannten persönlichen Daten EDV-unterstützt verarbeitet und zum Zwecke der Konsumenteninformation sowie allfälliger Werbemaßnahmen an andere Unternehmen des Billa-Konzerns weitergegeben werden“.201 Die in der Bestimmung verwendete Bezeichnung des Konzerns sei für den Kunden nicht nachvollziehbar, zumal es sich um einen international tätigen Konzern handle, in dem sich auch die Zugehörigkeit verschiedener Unternehmen ändern könne, was für den Kunden jedoch völlig undurchschaubar sei.202 Außerdem hatte der Gerichtshof über eine ganze Reihe von Zustimmungserklärungen in Allgemeinen Geschäftsbedingungen von Banken zu befinden. Zunächst erklärte er folgende Zustimmungsklausel in den AGB der damaligen Creditanstalt AG203 aufgrund eines Verstoßes gegen die Bestimmungen des § 4 Z. 14 DSG 2000 und des Transparenzgebotes des § 6 Abs. 3 KSchG für unwirksam: „Der Kontoinhaber ist damit einverstanden, dass die Bank alle im Zusammenhang mit der Eröffnung und Führung des Kontos/Depots stehenden Daten an eine zentrale Evidenzstelle und/oder an Gemeinschaftseinrichtungen von Kreditunternehmen übermitteln kann.“204
Hier bliebe nicht nur die genauere Bezeichnung der potenziellen Übermittlungsempfänger offen; im Unklaren werde der Kunde aber vor allem über ihre Aufgaben und damit darüber gelassen, von wem und zu welchem Zweck auf die Daten zugegriffen werden könne.205 Nur wenn der Kunde darüber aufgeklärt würde, könne aber davon gesprochen werden, dass er „in Kenntnis der Sachlage 197
OGH, 4 Ob 16/01y. OGH, 4 Ob 16/01y. 199 OGH, 4 Ob 16/01y. 200 Vgl. hierzu vorne Kapitel 2, C, II. 201 OGH, 4 Ob 170/98w. 202 OGH, 4 Ob 170/98w; so auch OGH, 2 Ob 1/09z. 203 Nunmehr Bank Austria. 204 OGH, 4 Ob 28/01y. 205 OGH, 4 Ob 28/01y. 198
214
Kapitel 5: Einbeziehung und richterliche Kontrolle
für den konkreten Fall“ zustimmt habe.206 Nach dieser Entscheidung, in der auch eine ganze Reihe weiterer Klauseln für unwirksam befunden wurden, änderten einige Kreditinstitute ihre AGB und präzensierten ihre Datenschutzklauseln, die dann erneut auf dem Prüfstand standen. Auch diese Zustimmungs erklärung erklärte der Oberste Gerichtshof aufgrund des Verstoßes gegen das Transparenzgebot für nichtig: „Der Kunde erklärt sich einverstanden, dass das Kreditinstitut nachstehende Daten an die Kleinkreditevidenz und die Warnliste, die derzeit beim Kreditschutzverband von 1870 eingerichtet sind, übermittelt: Name, Anschrift, Geburtsdatum, Höhe der Verbindlichkeit, Rückführungsmodalitäten, Schritte des Kreditinstituts im Zusammenhang mit der Fälligstellung und der Rechtsverfolgung sowie den Missbrauch von Zahlungsverkehrsinstrumenten. Zweck der Übermittlung ist die Verwahrung, Zusammenführung und Weitergabe der vorstehend angeführten Daten durch den Empfänger an andere Kreditinstitute, Leasinggesellschaften und andere Finanzinstitute und Versicherungsunternehmen zur Wahrung ihrer Gläubigerschutzinteressen. Der Kunde erklärt sich auch damit einverstanden, dass den Kunden oder ein mit ihm konzernmäßig verbundenes Unternehmen betreffende Daten, die dem Kreditinstitut im Rahmen der Geschäftsverbindung mit dem Kunden bekannt geworden und zur Beurteilung der aus Geschäften mit der jeweils betroffenen Person oder Gesellschaft entstehenden Risiken notwendig oder zweckmäßig sind (insbesondere Bilanzdaten), an (potentielle) Konsortial-/Risikopartner des Kreditinstituts zur Risikobeurteilung im Rahmen des Konsortialgeschäfts, an Refinanzierungsgeber des Kreditinstituts, denen gegenüber die Forderungen des Kreditinstituts gegen den Kunden als Sicherheit dienen sollen (insbesondere Österreichische Nationalbank, Österreichische Kontrollbank AG, Europäische Zentralbank, Europäische Investitionsbank), zur Beurteilung der bestellten Sicherheiten und an Einlagen- und Anlegerentschädigungseinrichtungen des Fachverbandes, dem das Kreditinstitut angehört, im Rahmen eines Frühwarnsystems zur Beurteilung allfälliger von diesen Einrichtungen abzudeckenden Risiken weitergegeben werden.“207
Der Oberste Gerichtshof beanstandete hier den fehlenden Hinweis auf die Möglichkeit des Widerrufs der Zustimmung nach § 8 Abs. 1 Z. 2 DSG 2000.208 Es existiere zwar keine generelle Pflicht, den Vertragspartner über alle ihm nach dem Gesetz zustehenden Rechte zu informieren, der Gesetzgeber räume jedoch dem Datenschutz einen besonderen Stellenwert ein und ermögliche die Weitergabe persönlicher Daten nur unter ganz bestimmten Voraussetzungen.209 Eine davon sei die Zustimmung des Betroffenen nach § 8 Abs. 1 Z. 2 DSG 2000. Ihr Widerruf führe zur Unzulässigkeit der weiteren Datenverwendung.210 Die dem Betroffenen eröffnete Widerrufsmöglichkeit sei somit zentraler Bestandteil des aus seiner Zustimmung folgenden Schutzes. Seine Nichterwähnung vermittle 206
OGH, 4 Ob 28/01y. OGH, 4 Ob 179/02f, Klausel Z. 26. 208 So auch in OGH, 4 Ob 221/06p; OGH, 7 Ob 68/11t. 209 OGH, 4 Ob 179/02f. 210 OGH, 4 Ob 179/02f. 207
C. Kontrolle der einbezogenen Abreden
215
dem Betroffenen ein unklares Bild seiner vertraglichen Position und kann dazu führen, dass er in Unkenntnis seiner Rechte an ihrer Ausübung gehindert werde, zumal die Kenntnis der Widerrufsmöglichkeit nicht vorausgesetzt werden könne.211 Das Fehlen eines entsprechenden Hinweises führe somit zur Verletzung des aus § 6 Abs. 3 KSchG abgeleiteten Transparenzgebotes. Regelrecht „auseinandergenommen“ hat der Oberste Gerichtshof auch eine mehrteilige datenschutzrechtliche Zustimmungserklärung im Rahmen der Kontrolle von 42 Klauseln der GE Money Bank.212 Der erste Teil der Klausel enthielt die Zustimmung, die Entbindung vom Bankgeheimnis und die Weitergabe von Daten zur Bonitätsprüfung: „Der Kreditgeber ist berechtigt, mit Auskunftsstellen, die er üblicherweise in Anspruch nimmt (z. B. Allgemeiner Kreditschutzverband), Bonitätsinformationen auszutauschen und anlässlich der Behandlung des Kreditantrages sowie im Rahmen der Verwaltung des Geschäftsfalles die zur Wahrung seiner berechtigten Interessen ihm notwendig erscheinenden Informationen einzuholen. Der Kreditnehmer ermächtigt daher den Kreditgeber, insbesondere in das Namensverzeichnis des Grundbuchs Einsicht zu nehmen und stimmt ausdrücklich der Übermittlung der seitens des Kreditgebers angefragten Daten zu.“213
Der Gerichtshof verwies zunächst darauf, dass diese Klausel eine nicht wirksame Entbindung vom Bankgeheimnis enthalte. Des Weiteren stellte er fest, dass die Klausel auch keine wirksame Zustimmung des Kunden zur Weitergabe von Daten i. S. d. § 4 Z. 14 DSG 2000 enthalte, da sie intransparent sei und für den Kunden nicht deutlich werde, welche Daten im Einzelnen an wen und wofür weitergegeben werden dürfen.214 Der zweite Teil der Klausel sah eine Zustimmung zur Übermittlung von personenbezogenen Daten zu Werbezwecken vor: „Der Kreditnehmer stimmt einer Übermittlung der Daten aus dem bestehenden Vertragsverhältnis an Unternehmen des GE-Konzerns nämlich, der GE Capital Global Consumer Finance insbesondere GE Service Center GmbH, Servicebank GmbH Co KG, Service Bank GmbH, GE Capital Information Technology Solutions (GE Capital IT Solutions), GE Informations Services Inc. insbesondere Radio Austria AG, GE Lightning Worldwide insbesondere GE Lightning AG, GE Medical Systems Europe insbesondere GE Austria GmbH, GE Plastics insbesondere GE Plastics Austria GesmbH zu Marketingzwecken und Werbung ausdrücklich zu.“215
Der Oberste Gerichtshof kritisierte auch hier den fehlenden Hinweis auf die Möglichkeit des Widerrufs. Interessant ist, dass die Klausel Nr. 34 eine Wider211
OGH, 4 Ob 179/02f. OGH, 4 Ob 221/06p = ecolex 2007, 252. 213 OGH, 4 Ob 221/06p, Klausel Nr. 30. 214 OGH, 4 Ob 221/06p. 215 OGH, 4 Ob 221/06p, Klausel Nr. 31. 212
216
Kapitel 5: Einbeziehung und richterliche Kontrolle
rufsbelehrung enthielt, der Oberste Gerichtshof dies jedoch nicht für ausreichend erachtete. Es sei nicht ersichtlich, dass sich diese Widerrufsbelehrung auch auf die Zustimmung zur Datenübermittlung in Klausel Nr. 31 beziehe216, schon alleine deshalb verletzte die Klausel das Transparenzgebot. Im Übrigen bezeichnete er die Aussage, die Daten dienten zu Marketing- und Werbezwecken als nicht präzise genug. Sie ließe zwar den Zweck der Übermittlung erkennen jedoch nicht, um welche Daten es sich handle.217 In einem weiteren Teil der Klausel sah der OGH einen Verstoß gegen die Bestimmungen des § 107 Abs. 1 und 2 TKG 2003, wonach Anrufe und das Zusenden von elektronischer Post einschließlich SMS zu Werbezwecken ohne vorherige Einwilligung218 des Teilnehmers unzulässig sind. Folgende Klausel sei daher intransparent und folglich unwirksam: „In diesem Zusammenhang erteilt der Kreditnehmer auch seine ausdrückliche Zustimmung, dass der Kreditgeber sowie die vorangeführten Konzernunternehmen den Kreditnehmer mittels Telefon, Telefax, GSM, E-Mail oder diesen gleichartige Kommunikationsmittel sowie durch direkte Mailing Aktionen bewerben darf.“219
Eine wirksame Einwilligung i. S. d. § 107 Abs. 1 und Abs. 2 TKG 2003 könne nur dann vorliegen, wenn der Betroffene wisse, von welchen Unternehmen er im Wege bestimmt angeführter Kommunikationsmittel Werbung zu erwarten habe und welche Produkte dabei beworben werden.220 Dies sei hier nicht der Fall. Selbst wenn sich die Worte „in diesem Zusammenhang“ auf die in der vorangehenden Klausel angeführten Konzernunternehmen der Beklagten be zögen, so erfahre der Kreditnehmer nur, dass diese Unternehmen ihn mit Hilfe der angeführten Kommunikationsmittel aufgrund seiner Einwilligung bewerben dürfen. Welcher Art diese Werbung sein soll, erfahre er jedoch nicht, so dass er die Tragweite seiner Einwilligung nicht erkennen könne.221 Insgesamt hat sich eine Rechtsprechungspraxis des Obersten Gerichtshofes entwickelt, die die datenverarbeitenden Stellen vor eine große Herausforderung stellt. Die Anforderungen, die die höchstrichterliche Rechtsprechung an die Transparenz von Zustimmungsklausel stellt, können schier nicht mehr eingehalten werden. Außerdem zeichnet sich ein Spannungsfeld zwischen den Anforderungen an die Bestimmtheit der Zustimmungsklausel zum einen und an die Übersichtlichkeit und Lesbarkeit für den Betroffenen zum anderen ab. 216
OGH, 4 Ob 221/06p. OGH, 4 Ob 221/06p. 218 Zur Terminologie vgl. vorne Kapitel 2, A, I. 219 OGH, 4 Ob 221/06p, Klausel 32. 220 OGH, 4 Ob 221/06p. 221 OGH, 4 Ob 221/06p. 217
C. Kontrolle der einbezogenen Abreden
217
Da in der Schweiz keine direkte vertragliche Inhaltskontrolle stattfindet, beschränkt sich die inhaltliche Überprüfung der AGB auf Art. 8 S-UWG. Diese ist nach überwiegender Auffassung im Schrifttum im Gegensatz zur vertraglichen Inhaltskontrolle nicht konkreter sondern abstrakter Natur, d. h. sie ist nicht auf die Kontrolle von Klauseln in einem bestimmten Vertrag ausgerichtet, sondern auf die Verwendung der AGB als solche, weshalb nicht nur die Vertragsparteien, sondern auch die Konkurrenten des Verwenders und die Konsumentenschutz organisationen gegen missbräuchliche AGB nach den Bestimmungen des UWG vorgehen können.222 Sollen jedoch ABG in Zusammenhang mit einem individuellen Vertrag geprüft werden plädieren manche auch für eine konkrete Inhaltskontrolle, d. h. vor allem unter der Berücksichtigung aller Vertragsumstände.223 Dann müsste geprüft werden, ob ein zum Nachteil des Betroffenen erhebliches Missverhältnis, also eine nach den Maßstäben von Treu und Glauben ungleiche Verteilung von vertraglichen Rechten und Pflichten, besteht. Leider finden sich in der Schweiz – soweit ersichtlich – keine höchstrichterlichen Entscheidungen zur formularmäßig eingeholten datenschutzrechtlichen Einwilligung. Dies lässt sich wohl mit der zurückhaltenden Rechtsprechung des Bundesgerichts bzgl. der Inhaltskontrolle von AGB begründen. Dazu kommt, dass nach Art. 8 S-UWG a. F. die Verwendung vorformulierter AGB nur dann als unlauter einzustufen war, wenn sie in irreführender Weise zum Nachteil einer Vertragspartei von der unmittelbar anwendbaren gesetzlichen Ordnung erheblich abwichen oder eine der Vertragsnatur erheblich widersprechende Verteilung von Rechten und Pflichten vorsahen. Gerade das frühere Tatbestandsmerkmal „in irreführender Weise“ erwies sich als untauglich zur Überprüfung von Allgemeinen Geschäftsbedingungen, da es in der Praxis meist an der bewussten Irreführung fehlte.224 Art. 8 S-UWG a. F. hat deshalb kaum Spuren in der Rechtsprechung hinterlassen.225 Bisher erging – soweit ersichtlich – zum neuen Art. 8 S-UWG nur eine höchstrichterliche Entscheidung226, die Entwicklung der gerichtlichen Praxis bleibt also noch abzuwarten. Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 92; David/Jacobs, Schweizerisches Wettbewerbsrecht, 5. Aufl. 2012, S. 131; noch zum alten Art. 8 S-UWG Sack, Probleme des neuen schweizerischen UWG im Vergleich mit dem deutschen UWG, in: Baudenbacher (Hrsg.), Das UWG auf neuer Grundlage, Bern 1989, S. 141. 223 Widmer, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG, Zürich 2015, S. 103 f. 224 Stöckli, BR/BC 2011, 184 (185); Hess/Ruckstuhl, AJP 2012, 1188 (1189). 225 Stöckli, BR/BC 2011, 184 (185); Widmer, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG, Zürich 2015, S. 80 f. 226 BGE 140 III 404. 222
218
Kapitel 5: Einbeziehung und richterliche Kontrolle
D. Rechtsfolgen Sind Klauseln in Allgemeinen Geschäftsbedingungen ganz oder teilweise nicht Vertragsbestandteil geworden bzw. unwirksam, bleibt in Deutschland gem. § 306 Abs. 1 BGB der Vertrag wirksam, ohne dass es darauf ankommt, ob dies dem wirklichen oder hypothetischen Willen der Parteien entspricht. Dies gilt nicht nur dann, wenn eine einzelne überraschende Klausel gemäß § 305c Abs. 1 BGB nicht Vertragsbestandteil geworden ist, sondern auch dann, wenn die AGB im Ganzen, weil es an den in § 305 Abs. 2 genannten Voraussetzungen fehlt, nicht in den Vertrag einbezogen worden sind.227 Führt der Wegfall der nicht zum Vertragsbestandteil gewordenen oder unwirksamen AGB-Klauseln zu einer Lücke im Vertrag ist diese gem. § 306 Abs. 2 BGB dadurch zu schließen, dass die Regeln des dispositiven Rechts herangezogen werden. Die Annahme einer Lücke darf grundsätzlich nicht damit vermieden werden, dass die entsprechende Klausel durch richterliche Gestaltung auf einen gerade noch zulässigen Inhalt zurückgeführt wird (sog. Verbot der geltungserhaltenden Reduktion).228 Verstößt die datenschutzrechtliche Einwilligungserklärung gegen die Vorgaben des Datenschutzrechts, insbesondere gegen die Vorschrift des § 4a BDSG, oder hält sie der Inhaltskontrolle gem. §§ 307 ff. BGB aus einem anderen Grund nicht stand, dann ist sie unwirksam und damit nichtig. Eine geltungserhaltende Reduktion kommt nicht in Betracht, dies widerspräche dem Grundsatz des Verbotes mit Erlaubnisvorbehalt. Da der Vertrag getrennt von der Einwilligung zu betrachten ist, bleibt er entsprechend dem Grundsatz des § 306 Abs. 1 BGB weiter wirksam. Die auf der unwirksamen bzw. nicht wirksam einbezogenen Einwilligung beruhende Datenverarbeitung ist unzulässig und künftig zu unterlassen. Außerdem sind bereits gespeicherte Daten zu löschen. Auch in Österreich ist eine Klausel, die gegen § 879 Abs. 3 ABGB oder § 6 KSchG verstößt nichtig, ohne dass hiervon jedoch die Gültigkeit des Vertrages selbst berührt wird.229 Anstelle der nichtigen Klausel gelangt die entsprechende Regelung des dispositiven Rechts zur Anwendung.230 Dabei reicht die Unwirksamkeit so weit, wie ein „materiell eigenständiger Regelungsbereich“ verbleibt.231 In Basedow, in: Münchner Kommentar zum BGB, 6. Aufl. 2012, § 306 Rn. 7. Berger, in: Prütting/Wegen/Weinreich (Hrsg.), Kommentar zum BGB, 9. Aufl. 2014, § 306 Rn. 4. 229 OGH, 1 Ob 144/04i; Bollenberger, in: Koziol/Bydlinski/Bollenberger (Hrsg.), Allgemeines Bürgerliches Gesetzbuch, Wien 2005, § 879 Rn. 30; Bydlinski, Bürgerliches Recht I Allgemeiner Teil, 4. Aufl. 2007, S. 130. 230 Donath, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 2. Aufl. 2012, § 6 KSchG Rn. 28. 231 OGH, 6 Ob 140/06s; OGH, 7 Ob 201/05t; OGH, 10 Ob 70/07b. 227
228
D. Rechtsfolgen
219
einer Klausel können mehrere, voneinander unabhängige Regelungen enthalten sein, die für die Beurteilung der Zulässigkeit auch isoliert voneinander zu beurteilen sind.232 Strittig ist jedoch, ob sich die Nichtigkeitssanktion auch lediglich auf einen Teil einer Bestimmung beziehen und diese auf ihren zulässigen Kern reduziert werden kann (sog. geltungserhaltende Reduktion) oder stets in ihrer Gesamtheit unwirksam wird.233 Die Rechtsprechung hat teilweise eine geltungserhaltende Reduktion im Individualprozess zugelassen 234, im Verbandsprozess hingegen aus Gründen der Prävention abgelehnt.235 Bei einer gegen das Transparenzverbot des § 6 Abs. 3 KSchG verstoßenden, intransparenten oder unklaren Klausel wird eine geltungserhaltende Reduktion jedoch insgesamt abgelehnt.236 Eine solche Klausel ist in ihrer Gesamtheit nichtig, an ihrer Stelle kommt es zur Anwendung des dispositiven Rechts. Daraus ergibt sich auch hier die Unwirksamkeit der Zustimmung und der auf ihr beruhenden Datenverarbeitung. In der Schweiz sind dagegen die Rechtsfolgen eines Verstoßes gegen Art. 8 S-UWG nicht gesetzlich geregelt und innerhalb der Lehre umstritten.237 Auch das Bundesgericht hat diese Frage lange offengelassen.238 Die Botschaft geht jedenfalls von der Nichtigkeit solcher Klauseln aus.239 Die Verwendung missbräuchlicher Geschäftsbedingungen ist wettbewerbsrechtlich unzulässig und damit widerrechtlich. Nach überwiegender Auffassung wird diese Widerrechtlichkeit als Inhaltsmangel nach Art. 20 OR eingeordnet, was die Nichtigkeit der AGB-Klausel als Ganzes zur Folge hat.240 Eine Reduktion auf das erlaubte Maß ist nach Auffassung der Rechtsprechung ausgeschlossen.241 Die Ungültigkeit OGH, 6 Ob 140/06s; OGH, 2 Ob 215/10x; Donath, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 2. Aufl. 2012, § 6 KSchG Rn. 28. 233 Donath, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 2. Aufl. 2012, § 6 KSchG Rn. 28. 234 OGH, 9 Ob 68/08b. 235 OGH, 2 Ob 73/10i; OGH, 5 Ob 42/11d. 236 OGH, 7 Ob 179/03d; OGH, 10 Ob 67/06k; OGH, 5 Ob 64/10p; Donath, in: Schwimann (Hrsg.), ABGB Taschenkommentar, 2. Aufl. 2012, § 6 KSchG Rn. 28. 237 Schnyder, Einführung in die Dogmatik der AGB, in: Brunner/Schnyder/Eisner-Kiefer (Hrsg.), Allgemeine Geschäftsbedingungen nach neuem Schweizer Recht, Zürich 2014, S. 72. 238 Schnyder, Einführung in die Dogmatik der AGB, in: Brunner/Schnyder/Eisner-Kiefer (Hrsg.), Allgemeine Geschäftsbedingungen nach neuem Schweizer Recht, Zürich 2014, S. 72; BGE 119 II 443. 239 Botschaft zu Änderung des Bundesgesetzes gegen den unlauteren Wettbewerb vom 02. September 2009, S. 6152. 240 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 144; Probst, in: Jung/Spitz (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Bern 2010, Art. 8 Rn. 68 zu Art. 8 S-UWG a. F.; Schmid, ZBJV 2012, 1 (16) m. w. N. 241 BGer 4A_404/2008, E. 5.6.3.2.1. 232
220
Kapitel 5: Einbeziehung und richterliche Kontrolle
einer oder mehrerer Klauseln führt nach Art. 20 Abs. 2 OR grundsätzlich nicht zur Nichtigkeit der gesamten AGB oder gar des ganzen Vertrags, sondern nur zur bloßen Teilnichtigkeit.242 Liegt also ein Verstoß gegen Art. 8 S-UWG vor oder wurde die Einwilligungsklausel nicht wirksam in den Vertrag übernommen, so ist sie entsprechend Art. 20 Abs. 1 OR nichtig.
E. Zusammenfassende rechtsvergleichende Betrachtung Das Vertragsrecht in Deutschland, Österreich und der Schweiz enthält – insbesondere im Schuld- bzw. Obligationenrecht – in erheblichem Maße dispositives Recht und ermöglicht somit den Vertragsparteien grundsätzlich ihre Vertragsbeziehungen abweichend vom Gesetz durch Allgemeine Vertrags- oder Geschäftsbedingungen zu regeln. Diese Freiheit wird jedoch durch Vorschriften zur Kontrolle von Allgemeinen Vertragsbedingungen beschränkt. Entsprechende Regelungen finden sich in §§ 305–310 BGB bzw. §§ 864a, 879 Abs. 3 ABGB und § 6 KSchG. Anders als das deutsche Recht, verzichtet das österreichische Recht auf eine Legaldefinition des Begriffs der Allgemeinen Geschäftsbedingungen. Bisher war man in der österreichischen Lehre auch nicht sehr um eine präzise Begriffsbestimmung bemüht, die Literatur greift für die Begriffsbestimmung auf die deutsche Definition des § 305 Abs. 1 BGB zurück. Im Gegensatz zu Deutschland und Österreich, wo bereits ein umfassendes Regelwerk zur Kontrolle von AGB besteht, finden sich in der Schweiz fast keine Bestimmungen zu Allgemeinen Geschäftsbedingungen. Die zentrale Vorschrift zur AGB-Kontrolle in Art. 8 S-UWG normiert. Auch die Schweiz verzichtet auf eine Legaldefinition des Begriffs der Allgemeinen Geschäftsbedingungen. Literatur und Rechtsprechung verstehen darunter aber auch Vertragsbestimmungen, die im Hinblick auf eine Vielzahl von Verträgen eines bestimmten Typs vorformuliert werden, so dass sich der Begriff in den drei Rechtsordnungen im Grunde genommen nicht unterscheidet. Damit Allgemeine Geschäftsbedingungen in Deutschland, Österreich und der Schweiz Geltung erlangen können, müsse sie wirksam in den Vertrag einbezogen werden. Dies ergibt sich für das deutsche Recht direkt aus § 305 Abs. 2 BGB während in Österreich dieses Erfordernis zwar nicht normiert aber übereinstimmend in Literatur und Rechtsprechung angenommen wird. In der Schweiz wird es aus Art. 1 OR abgeleitet. In Deutschland und Österreich wird hauptsächlich darauf abgestellt, ob die andere Partei die Möglichkeit hatte von 242 Thouvenin, in: Hilty/Arpagaus (Hrsg.), Bundesgesetz gegen den unlauteren Wettbewerb (UWG), Basel 2013, Art. 8 Rn. 147.
E. Zusammenfassende rechtsvergleichende Betrachtung
221
den AGB Kenntnis zu nehmen, wobei in Deutschland grundsätzlich das Erfordernis des ausdrücklichen Hinweises hinzukommt. Die Schweiz unterscheidet dagegen zwischen der sog. Voll- und Globalübernahme, je nachdem, ob der Kunde die AGB tatsächlich gelesen und verstanden hat oder nicht. Da der Verbraucher, die ihm eingeräumte Möglichkeit, sich vom Inhalt der ABG Kenntnis zu verschaffen, in der Regel nicht nutzt, werden sowohl in Deutschland, als auch in Österreich und der Schweiz Klauseln, die so ungewöhnlich sind, dass der Vertragspartner nicht mit ihnen zu rechnen braucht, nicht Bestandteil des Vertrages. Dies ergibt sich unmittelbar aus § 305c Abs. 1 BGB bzw. § 864a ABGB. Da für die Schweiz derzeit keine explizite gesetzliche Regelung existiert, greift die Rechtsprechung und Literatur auf die aus dem Vertrauensprinzip abgeleitete Ungewöhnlichkeitsregel zurück, wonach global übernommene AGB-Klauseln keine Geltung erlangen, mit deren Inhalt die zustimmende Partei nach den Umständen nicht gerechnet hat und vernünftigerweise auch nicht rechnen musste. In Bezug auf die Inhaltskontrolle von Allgemeinen Geschäftsbedingungen lassen sich wohl die größten Unterschiede zwischen den untersuchten Rechtsordnungen ausmachen. Während Deutschland und Österreich eine umfassende gerichtliche Kontrolle von vertraglichen Allgemeinen Geschäftsbedingungen vorsehen, ist in der Schweiz eine solche nur im Rahmen der wettbewerbsrechtlichen Kontrolle nach Art. 8 S-UWG möglich. Das Bundesgericht hat eine offene Inhaltskontrolle vertraglicher Allgemeiner Geschäftsbedingungen bisher immer abgelehnt und nimmt stattdessen eine verdeckte Inhaltskontrolle vor. Es orientiert sich dabei an der vom Vertrauensprinzip abgeleiteten Ungewöhnlichkeits regel und führt so im Rahmen der Geltungs- und Auslegungskontrolle Korrekturen an deren Inhalt durch. Der in der Schweiz etablierte Dualismus von vertrags- und wettbewerbsrechtlicher AGB-Kontrolle wird im schweizer Schrifttum auch zu Recht kritisiert. Der Bundesrat hat zwar durch die Novellierung des Art. 8 S-UWG im Jahr 2012 eine im Verhältnis zu Konsumenten offene Inhaltskontrolle ermöglicht, „eine im Vergleich mit dem europäischen Recht bestehende Lücke“243 konnte er damit aber meines Erachtens nicht vollständig schließen. Entsprechend den Vorgaben der RL 93/13/EWG sehen Deutschland und Österreich jeweils eine Generalklausel für die gerichtliche Kontrolle von All gemeinen Geschäftsbedingungen vor, nach der unangemessene bzw. gröbliche benachteiligende Klauseln unwirksam sind. Unterschiede ergeben sich dort, wo die Richtlinie keine verbindlichen Vorgaben macht. So enthält die Richtlinie im Gegensatz zu den §§ 308, 309 BGB und § 6 KSchG keine unmittelbar wirken243 Botschaft zu Änderung des Bundesgesetzes gegen den unlauteren Wettbewerb vom 2. September 2009, S. 6186.
222
Kapitel 5: Einbeziehung und richterliche Kontrolle
den Verbote spezifischer Klauseln. Beide Rechtsordnungen orientieren sich zwar an den im Anhang der Richtlinie enthaltenen Liste von typischerweise missbräuchlichen Klauseln, jedoch enthalten die §§ 308, 309 BGB jeweils nur Klauselverbote während der Klauselkatalog des § 6 Abs. 1 und 2 KSchG zwischen jenen Vertragsbedingungen, die in jedem Fall gegenüber dem Verbraucher unwirksam sind und solchen, die nur dann verbindlich sind, wenn sie im Einzelnen zwischen Verbraucher und Unternehmer ausgehandelt wurden differenziert. Speziell in Bezug auf die formularmäßig eingeholte datenschutzrechtliche Einverständniserklärung wird in Deutschland die Anwendbarkeit des AGBRechts teilweise bezweifelt. Der Bundesgerichtshof stuft jedoch in ständiger Rechtsprechung, formularmäßig eingeholte datenschutzrechtliche Einverständniserklärungen zu Recht als Allgemeine Geschäftsbedingungen ein. Im Gegensatz zum deutschen Recht wird in Österreich und der Schweiz die Frage der Anwendbarkeit des AGB-Rechts auf das formularmäßig eingeholte datenschutzrechtliche Einverständnis weder von der Rechtsprechung noch von der Literatur problematisiert. Da Allgemeine Geschäftsbedingungen oft eine Vielzahl von Regelungen enthalten, besteht die Gefahr, dass die Einverständniserklärung leicht übersehen wird. Damit sie nicht zwischen den einzelnen Vertragsbedingungen untergeht ist sie im deutschen Datenschutzrecht – wenn sie zusammen mit anderen Erklärungen schriftlich erteilt werden soll – gem. § 4a Abs. 1 S. 4 BDSG besonders hervorzuheben. Ein solches normiertes Hervorhebungsgebot kennen die österreichische und schweizer Rechtsordnungen nicht, jedoch wurden von der Rechtsprechung bestimmte Grundsätze zur besseren Erkennbarkeit von bestimmten Klauseln aufgestellt. So hat der österreichische Oberste Gerichtshof zur Form einer ausdrücklichen Zustimmungserklärung festgehalten, dass eine Zustimmungserklärung deutlich vom übrigen Text eines Formulars abzusetzen sei und diese vom übrigen Formulartext derart getrennt werden müsse, dass eine gesonderte Unterfertigung der Zustimmungserklärung möglich bleibe und auch das schweizer Bundesgericht hat bereits entschieden, dass eine Partei sich nicht auf die Ungewöhnlichkeitsregel berufen könne, wenn sie ausdrücklich auf eine bestimmte, fett gedruckte und gut lesbare Klausel aufmerksam gemacht wurde. Eine untergeordnete Rolle dürften vorliegend die Grundsätze zur Unwirksamkeit von überraschenden Klauseln spielen, da bei einem Vertrag mit dem Inhalt „Daten als Leistung“ man wohl annehmen kann, dass der Betroffene nicht von der Einholung der Einwilligung überrascht sein wird. Im Rahmen der Inhaltskontrolle erscheint es – entgegen der Auffassung des Bundesgerichtshofs, der den Prüfungsmaßstab lediglich auf die Vorschriften des BDSG begrenzt – vorzugswürdig, auch eine nach dem Bundesdatenschutz-
E. Zusammenfassende rechtsvergleichende Betrachtung
223
gesetz nicht zu beanstandende Einwilligung an § 307 Abs. 1 und 2 BGB zu messen. Zentrale Vorschriften zur Prüfung von formularmäßigen Einverständnisklauseln sind damit in Deutschland diejenigen des Bundesdatenschutzgesetzes, des Telemedien- und Telekommunikationsgesetzes sowie die §§ 307 ff. BGB. Im Gegensatz zu Deutschland, hat die höchstrichterliche Rechtsprechung in Österreich bei der Kontrolle von vorformulierten Zustimmungserklärungen keine Einschränkung des Prüfungsmaßstabes auf die Vorschriften des Datenschutzgesetzes vorgenommen. Da es sich bei den hier betrachteten Schuldverhältnissen mit dem Inhalt „Daten als Leistung“ in aller Regel um Verbraucherverträge handelt, kommt in Österreich vorrangig § 6 KSchG zur Anwendung. Auf § 879 Abs. 3 ABGB kann grundsätzlich aber ergänzend zurückgegriffen werden. Weil die Schweiz – außerhalb des Art. 8 S-UWG – keine offene gerichtliche Inhaltskontrolle kennt ist der Prüfungsmaßstab in der Schweiz auf diese Vorschrift beschränkt. Grundsätzlich findet jedoch in allen drei Rechtsordnungen keine Inhaltskontrolle hinsichtlich des Hauptgegenstandes eines Vertrages und des Preis-Leistungsverhältnisses statt. Da es sich bei dem datenschutzrechtlichen Einverständnis jedoch nicht um den Hauptgegenstand des Vertrages handelt, sondern um die Erfüllung der sich aus dem Schuldverhältnis mit dem Inhalt „Daten als Leistung“ ergebenden Hauptleistungspflicht, sind entsprechende Einverständnisklauseln einer Inhaltskontrolle auch zugänglich. Während sich in Deutschland und Österreich also eine umfangreiche höchst richterliche Rechtsprechung zur Wirksamkeit von vorformulierten, datenschutz rechtlichen Einwilligungsklauseln entwickelt hat, lassen sich in der Schweiz bisher keine Entscheidungen in diesem Zusammenhang finden. Dies lässt sich wohl mit der zurückhaltenden Rechtsprechung des Bundesgerichts bzgl. der Inhaltskontrolle von AGB begründen. Dazu kommt, dass der Art. 8 S-UWG a. F. sich als untauglich zur Überprüfung von Allgemeinen Geschäftsbedingungen herausstellte. Eine entsprechende Rechtsprechungspraxis muss sich also in der Schweiz erst noch entwickeln. Außerdem lässt sich sagen, dass der Bundesgerichtshof mittlerweile eine gefestigte Rechtsprechung zu den Anforderungen an die datenschutzrechtliche Einwilligung herausgebildet hat, während der österreichische Oberste Gerichtshof diese in den letzten Entscheidungen immer wieder verschärft hat. Dies geht mittlerweile so weit, dass man bereits ernsthafte Zweifel an der Einhaltbarkeit der höchstrichterlichen Vorgaben hegen kann. Hält die vorformulierte, datenschutzrechtliche Einverständniserklärung einer Inhaltskontrolle nicht stand oder wurde sie nicht wirksam in den Vertrag einbezogen ist sie unwirksam. Eine geltungserhaltende Reduktion kommt weder in Deutschland noch in Österreich oder der Schweiz in Betracht. Da sowohl Österreich als auch die Schweiz davon ausgehen, dass das Einverständnis Teil eines
224
Kapitel 5: Einbeziehung und richterliche Kontrolle
einheitlich zu beurteilenden Gestattungsvertrags darstellt, ist auch der Vertrag von der Unwirksamkeit der Einwilligung betroffen. Dagegen ist in Deutschland der Vertrag getrennt von der Einwilligung zu betrachten und bleibt entsprechend dem Grundsatz des § 306 Abs. 1 BGB weiter wirksam. Jeglicher Datenumgang, der auf dem unwirksamen bzw. nicht wirksam einbezogenen Einverständnis beruht ist unzulässig und künftig zu unterlassen. Außerdem sind bereits gespeicherte Daten zu löschen.
Kapitel 6
Schlussbetrachtung I. Schaffung eines Persönlichkeitsvertragsrechts In den vergangenen Jahren hat das „Geschäft mit personenbezogenen Daten“ immer stärker zugenommen. Durch die rasante Entwicklung der Informationstechnologie und die Möglichkeiten, große Datenmengen unter vielfältigen Aspekten zu sammeln und auszuwerten, hat sich eine neue Branche etabliert, bei der der Umgang mit personenbezogenen Daten im Mittelpunkt des Geschäfts interesses steht. Daten sind zu einer wichtigen Ressource der Informations gesellschaft geworden. Um an diese zu gelangen werden, vor allem im Online- Bereich, unzählige „kostenlose“ Dienstleistungen und Programme angeboten. Deren Nutzung ist tatsächlich aber nicht kostenlos, sie haben sehr wohl ihren Preis, wenn auch nicht in Geld, sondern stattdessen in Form einer Preisgabe persönlicher Informationen. Personenbezogene Daten haben sich in den vergangenen Jahren zunehmend zu einem Kommerzialisierungsinstrument entwickelt; sie werden bereitwillig hingegeben um dafür im Gegenzug von der datenverarbeitenden Stelle eine Leistung in Form von Dienstleistungen, Rabatten, Bonusmeilen, Punkten, Werbe geschenken oder gar Geld zu erhalten. Jeden Tag werden zahlreiche Verträge mit dem Inhalt „Daten als Leistung“ abgeschlossen. Diese zunehmende Praxis, personenbezogene Daten als „Entgelt“ im rechtsgeschäftlichen Verkehr einzusetzen, stellt die Zivilrechtsdogmatik vor neue Herausforderungen. Vor allem das Spannungsfeld zwischen dem Schutz der informationellen Selbstbestimmung des Einzelnen und der Berücksichtigung der ökonomischen Interessen der datenverarbeitenden Unternehmen an der Verarbeitung und Nutzung von personenbezogenen Daten scheint schwer auflösbar zu sein. Weder das (All gemeine) Bürgerliche Gesetzbuch noch das Obligationenrecht wurden für die Regelung solcher Geschäftsbeziehungen konzipiert. Dazu kommt, dass perso nenbezogene Daten aufgrund ihres persönlichkeitsrechtlichen Charakters nur beschränkt verkehrsfähig sind. Dogmatische Lösungsansätze werden in Deutsch land und Österreich daher vor allem im Umfeld des Immaterialgüterrechts gesucht. Die vorliegende Untersuchung hat jedoch gezeigt, dass nur eine rein schuldrechtliche Betrachtung die Basis für eine Persönlichkeitsrechtskonzep tion schafft, welche die Selbstbestimmung und den Schutz des Betroffenen in
226
Kapitel 6: Schlussbetrachtung
den Mittelpunkt rückt und dennoch eine vermögensrechtliche Verwertung von personenbezogenen Daten ermöglicht. Der nationale wie auch der europäische Gesetzgeber steht demnach vor der Aufgabe, ein Persönlichkeitsvertragsrecht in Form eines „Datenschuldrechts“ zu schaffen, dass den Geschäftsbeziehungen „Daten gegen Leistung“ einen klar definierten Rahmen geben kann.
II. Zusammenfassung der Ergebnisse und rechtsvergleichende Betrachtung Das Instrument der Disposition über personenbezogene Daten stellt das datenschutzrechtliche Einverständnis dar. Neben den einzelnen nationalen Bestimmungen sind sowohl für Deutschland und Österreich, als auch für die Schweiz bestimmte europarechtliche Vorgaben zu beachten. Im Bereich des Sekundärrechts sind für Deutschland und Österreich – als Mitgliedstaaten der Europäischen Union – vor allem die Datenschutzrichtlinie und die Datenschutzrichtlinie für elektronische Kommunikation von Bedeutung. Die Frage nach dem Harmonisierungsgrad der Datenschutzrichtlinie wurde bereits vom Europäischen Gerichtshof in mehreren Urteilen höchstrichterlich geklärt. Diese setzt nicht nur einen Mindeststandard für den Datenschutz in der Europäischen Union, sondern gibt exakt das Schutz niveau vor, welches die Mitgliedstaaten zu gewährleisten haben (sog. Vollhar monisierung). Die Schweiz ist zwar kein Mitgliedstaat der Europäischen Union, hat aber aufgrund der Schengen- und Dublin-Assoziierung die Pflicht, zumindest die Vorgaben der Datenschutzrichtlinie in nationales Recht umzusetzen. Begrifflich verwenden Deutschland und die Schweiz – in Übereinstimmung mit der Datenschutzrichtlinie – den Terminus der Einwilligung, während Österreich zumindest im DSG 2000 von der Zustimmung spricht. Die Rechtsnatur des Einverständnisses ist in allen drei Rechtsordnungen umstritten. Während in der schweizer Literatur zum Datenschutz die Frage nach der Rechtsnatur der Einwilligung nicht weiter thematisiert, sondern weitgehend auf die Literatur zum zivilrechtlichen Persönlichkeitsschutz verwiesen wird, werden in Österreich und Deutschland diese Fragen breit in der fachspezifischen Literatur erörtert. In der Schweiz wird das Einverständnis überwiegend als Rechtsgeschäft eingeordnet, während in Deutschland die Mehrheit im Schrifttum wohl zur Einordnung als geschäftsähnliche Handlung tendiert. In Österreich dagegen steht eher die Frage der öffentlich- oder privatrechtlichen Qualifizierung im Vordergrund. Übereinstimmend wird in allen drei Rechtsordnungen mehrheitlich davon ausgegangen, dass die allgemeinen Regeln des jeweiligen Vertragsrechts auf das Einverständnis grundsätzlich Anwendung finden können. Gerade im Hinblick auf die hier untersuchten Austauschverhältnisse, erscheint eine Einordnung als Rechtsgeschäft jedoch sinnvoll zu sein.
Schlussbetrachtung
227
Einige Unterschiede – zumindest in der Regelungstechnik – lassen sich zwischen den einzelnen Rechtsordnungen, insbesondere bei der Abgabe des Einverständnisses durch Minderjährige, feststellen. Besonders hervorzuheben ist dabei die gesetzliche Regelung in der Schweiz, die urteilsfähigen Unmündigen explizit die Möglichkeit einräumt, höchstpersönliche Rechte wie das Persönlichkeitsrecht selbst wirksam auszuüben. Daher bedürfen urteilsfähige Minderjährige für die Abgabe eines wirksamen datenschutzrechtlichen Einverständnisses nicht der Zustimmung ihres gesetzlichen Vertreters. Im Ergebnis stimmt diese Lösung zwar weitgehend mit der deutschen Rechtspraxis – nämlich primär auf die Einsichtsfähigkeit des (minderjährigen) Betroffenen und nicht auf seine Geschäftsfähigkeit abzustellen – überein, dennoch zeigen sich hier deutlich die Defizite des BGB im persönlichkeitsrechtlichen Bereich. Eine solche eigene Geschäftsfähigkeit wie in der Schweiz kommt auch dem mündigen Minderjährigen in Österreich beispielsweise im Bereich medizinischer Behandlungen zu, vgl. § 173 Abs. 1 ABGB. Hier wird ebenfalls nicht auf das Erreichen einer starren Altersgrenze, sondern auf die Urteils- und Einsichtsfähigkeit des Minderjährigen abgestellt. Diese Lösung wird aber nicht auf das datenschutzrechtliche Einverständnis übertragen, so dass man im Ergebnis festhalten kann, dass in Österreich der Minderjährige – trotz möglicher Urteils- und Einsichtsfähigkeit – im Datenschutzrecht der Zustimmung seines gesetzlichen Vertreters bedarf, während in der Schweiz dem Minderjährigen de lege lata eine eigene Geschäftsfähigkeit im höchstpersönlichen Lebensbereich zukommt. Sowohl in der Schweiz als auch in Österreich kann die Einverständniserklärung formlos abgegeben werden. Dagegen bedarf gemäß § 4a Abs. 1 S. 3 BDSG in Deutschland die Einwilligung eigentlich der Schriftform. Da die Datenschutzrichtlinie jedoch keine bestimmte Form vorsieht und auch kein höheres Schutzniveau zulässt, ist das deutsche Schriftformerfordernis europarechtswidrig. Im Ergebnis bedeutet dies, dass auch in Deutschland das Einverständnis mündlich oder auch in einfacher elektronischer Form abgegeben werden kann. Außerdem lässt sich festhalten, dass in allen drei Rechtsordnungen eine Erklärung durch schlüssiges Handeln sowie durch vorformulierte Geschäftsbedingungen grundsätzlich anerkannt ist. Lediglich bei der Frage, ob auch Schweigen als Einverständnis gewertet werden kann, ergeben sich Unterschiede. Während dies in Deutschland und Österreich verneint wird, wollen einige Stimmen in der schweizer Literatur ausnahmsweise auch Schweigen einen Erklärungswert beimessen. Dies soll beispielsweise bei einer entsprechenden Abrede z. B. in den Allgemeinen Geschäftsbedingungen oder bei besonderen Verhältnissen der Fall sein. In der Praxis wird bei der Gestaltung von Einverständniserklärungen häufig von sog. „Auskreuz- oder Ausstreichlösungen“ (Opt-out-Modellen) Gebrauch gemacht. Dieses Vorgehen wird teilweise massiv in der deutschen Literatur und
228
Kapitel 6: Schlussbetrachtung
von führenden Datenschützern kritisiert. In Deutschland ist neben einer positiv vorformulierten, aktiv gegebenen Einverständniserklärung (Opt-in-Modell) im Rahmen des § 4a BDSG auch die negativ formulierte „Auskreuz- oder Ausstreichlösung“ (sog. Opt-out-Modell) zulässig. Die Begriffspaare sind nicht glücklich gewählt, da die Widerspruchslösung des § 7 Abs. 3 UWG auch als Opt-Out-Modell bezeichnet wird, aber eigentlich der übergeordneten Frage „Einwilligungs- oder Widerspruchsmodell“ zuzuordnen ist. Dagegen wird in Österreich und der Schweiz nicht über die Opt-in/Opt-out-Problematik innerhalb der Einwilligungslösung diskutiert, sondern die Begriffspaare werden hier in einem weiteren Sinne, also zur Unterscheidung zwischen Einwilligungs- und Widerspruchslösung verwendet. Während Österreich mit dem Erfordernis der Zwangsfreiheit die Terminologie der Datenschutzrichtlinie übernommen hat, fordern die deutsche und schweizer Rechtsordnung eine freie bzw. freiwillige Entscheidung des Betroffenen. Rein sprachlich betrachtet, scheint die freie Entscheidung bzw. Freiwilligkeit ein höheres Maß an Autonomie vorauszusetzen als die Zwangsfreiheit. Im Ergebnis lässt sich aber nicht feststellen, dass das deutsche Bundesdatenschutzgesetz und das schweizer DSG ein höheres Schutzniveau gewährleisten als das österreichische DSG 2000 oder die Richtlinie. In allen drei Rechtsordnungen sind in erster Linie Einverständniserklärungen unwirksam, die unter physischem oder psychischem Zwang, Drohung bzw. Anwendung von Gewalt abgeben werden. Des Weiteren geht es sowohl in Deutschland als auch in Österreich darum, dem Betroffenen die Möglichkeit zur Verweigerung des Einverständnisses zu gewähren, ohne dass dieser (unzumutbare) Nachteile erleidet. Für alle drei Rechtsordnungen konnte festgestellt werden, dass personenbezogene Daten Leistungsgegenstand in einem privatrechtlichen Vertrag sein können und der Betroffene sich auch wirksam zur Leistung von bestimmten personenbezogenen Daten verpflichten kann. Diese Verpflichtung – die regelmäßig eine Hauptleistungspflicht in solchen Verträgen darstellt – wird erfüllt durch die Angabe bzw. die Erteilung der Erlaubnis zur Erhebung, Speicherung und Verarbeitung der geschuldeten Daten sowie der Einräumung einer bestimmten Nutzungsbefugnis. Dies geschieht durch die Erteilung des datenschutzrechtlichen Einverständnisses nach § 4a BDSG, § 4 Z. 14 DSG 2000 bzw. Art. 4 Abs. 5 DSG das sowohl in Deutschland – entgegen der herrschenden Auffassung in der Literatur – als auch in Österreich und der Schweiz jederzeit und frei widerrufbar ist. Die Verschaffung der Daten selbst spielt dabei jedoch nur eine Nebenrolle, weil sich diese regelmäßig bereits im Verantwortungsbereich des Datengläubigers befinden. Eine Durchsetzung der Leistungspflicht ist in allen drei Rechtsordnungen – letztlich aufgrund der jederzeitigen Widerrufbarkeit – nicht möglich.
Schlussbetrachtung
229
Da der Umfang der Gesamtleistung meist nicht von vorne herein bestimmt ist und sich der Datenumgang über die gesamte Vertragslaufzeit erstreckt, handelt es sich in der Regel um Dauerschuldverhältnisse. Die datenverarbeitenden Unternehmen bieten ihre Dienstleistungen auch nicht aus Altruismus an, sondern in aller Regel um in den Genuss der (Gegen-) Leistung zu kommen. Damit stehen die Leistungsplichten bei einem Vertrag mit dem Inhalt „Daten als Leistung“ in einem synallagmatischen Austauschverhältnis. Aber gerade diese Verknüpfung der Leistungspflichten ist datenschutzrechtlich nicht unproblematisch. Das deutsche Bundesdatenschutzgesetz verfügt mit § 28 Abs. 3b BDSG über ein explizit normiertes datenschutzrechtliches Koppelungsverbot im Bereich der Werbung und des Adresshandels, was in Bezug auf die hier untersuchten Austauschverhältnisse auch Schwierigkeiten bereitet. Der Erfolg von Facebook, Payback, Google und Co. zeigt, dass es offenbar ein Bedürfnis nach solchen vermeintlich kostenlosen Angeboten und Dienstleistungen gibt. Versteht man das in § 28 Abs. 3b BDSG normierte Koppelungsverbot wörtlich, so bedeutet das wohl das Ende dieser Geschäftsmodelle. Es erscheint daher sinnvoll, das Koppelungsverbot in § 28 Abs. 3b S. 1 BDSG für diese Austauschverhältnisse teleologisch zu reduzieren. Die Existenz eines über die normierten Fälle hinausgehenden allgemeinen Koppelungsverbots wird sowohl von der deutschen als auch von der österreichischen Literatur mehrheitlich abgelehnt. Während in Deutschland und Österreich verschiedene Koppelungsverbote normiert sind, kennt die Schweiz solche Verbote nicht. Dennoch wird die Problematik eines Abhängigkeitsverhältnisses des Betroffenen von der datenverarbeitenden Stelle bzw. das Machtgefälle beim Abschluss von Verträgen in der schweizer Literatur diskutiert. Die Einwilligung sei mangels Freiwilligkeit dann ungültig, wenn es um einen persönlich oder wirtschaftlich wichtigen Vertrag gehe oder der Betroffene keine Möglichkeit habe auf einen anderen Vertragspartner auszuweichen. Teilweise wird die Drohung, einen Vertrag nicht abzuschließen, falls der Betroffene seine Einwilligung verweigert auch als unlauter eingestuft. In Bezug auf die Behandlung von Leistungsstörungen lässt sich sagen, dass im deutschen und schweizer Recht ein Schadensersatzanspruch aufgrund eines Widerrufs des Betroffenen nur im Ausnahmefall – beispielsweise bei einem Widerruf zur Unzeit – in Betracht kommt und dann auf das negative Interesse zu beschränken ist. In der österreichischen datenschutzrechtlichen Literatur wird dagegen ein Schadensersatzanspruch der datenverarbeitenden Stelle grundsätzlich abgelehnt, da der Vertragspartner sich nicht darauf berufen könne, in seinem Vertrauen auf die legitimierte Verwendung der Daten verletzt zu sein. Gewährleistungs- und Schadensersatzansprüche aufgrund der vertragswidrigen Angabe von falschen personenbezogenen Daten sind jedoch in allen drei Rechtsordnungen denkbar.
230
Kapitel 6: Schlussbetrachtung
Die Untersuchung hat gezeigt, dass im deutschen Recht eine umfassende Auseinandersetzung mit der grundsätzlichen Frage des Verhältnisses von Einverständniserklärung und schuldrechtlicher Verpflichtung stattfindet, während dieser Fragestellung in Österreich keine große Bedeutung beigemessen wird. Dies lässt sich wohl mit dem dort vorherrschenden Prinzip der kausalen Tradition begründen. Zwar kennt auch die österreichische Rechtsordnung das Trennungsprinzip, sie lässt aber im Grundsatz keine abstrakten Rechtsgeschäfte zu. Da die Zustimmung also auch bei einer Trennung von der schuldrechtlichen Verpflichtung mit dieser in der Regel steht und fällt, wurde dieser Frage vermutlich auch keine große Relevanz beigemessen. Für das deutschen Recht kann zum Verhältnis zwischen schuldrechtlichem Vertrag und Einwilligung festhalten werden, dass sowohl das Trennungs- als auch das Abstraktionsprinzip Anwendung finden. Eine getrennte und abstrakte Beurteilung führt zu einer klareren Struktur sowohl in der wissenschaftlichen Diskussion als auch in der Rechtsanwendung. Die Einwilligung ist damit isoliert vom Vertrag zu betrachten und in ihrem Bestand demnach unabhängig vom Schicksal des vertraglichen Schuldverhältnisses zu beurteilen. Dagegen wird in Österreich und auch in der Schweiz das Einverständnis in Rechtsprechung und Literatur als Teil eines wohl einheitlichen schuldrechtlichen Gestattungsvertrages gesehen von dessen Wirksamkeit auch die des Einverständnisses abhängt. Grundsätzlich wirkt das Einverständnis in allen drei Rechtsordnungen nur zwischen den Parteien und verschafft der datenverarbeitenden Stelle keine ge sicherte (absolute) Rechtsposition. Während der österreichische Oberste Gerichts hof vom Dogma der Unübertragbarkeit von Persönlichkeitsrechten bereits abgerückt zu sein scheint, lässt der Bundesgerichtshof in dieser Frage noch keine klare Linie erblicken. In der Literatur werden jedoch zahlreiche dogmatische Ansätze für eine Verwertung von Persönlichkeitsrechten diskutiert, wobei der überwiegende Teil der Literatur dazu neigt, gebundene Rechtsübertragungen an Persönlichkeitsrechten zuzulassen, deren Eigenart und Grenzen sich an den Grundlinien der §§ 31 ff. D-UrhG orientiert. Dagegen wird in der Schweiz der Grundsatz der Unübertragbarkeit von Persönlichkeitsrechten kaum hinterfragt. Der Grund dürfte vor allem darin liegen, dass die Schweiz – im Gegensatz zu Deutschland – über ausdrückliche Regelungen zur Frage des Schadensersatzes, vgl. Art. 28a Abs. 3 ZGB i. V. m. Artt. 41 ff. OR und der Gewinnabschöpfung, vgl. Art. 28a Abs. 3 ZGB i. V. m. Art. 423 OR bei Persönlichkeitsrechtsverletzungen verfügt und der „Leidensdruck“ in Deutschland entsprechend höher war bzw. ist, neue dogmatische Ansätze für einen Ordnungsrahmen für den Umgang mit der Kommerzialisierung von Persönlichkeitsrechten zu finden. Diese in den Artt. 27 ff. ZGB positivierte Assoziierung von Persönlichkeitsrechtsver-
Schlussbetrachtung
231
letzung und vermögensrechtlichen Rechtsfolgen erweist sich – vor allem im Vergleich zum deutschen und österreichischen Recht – insgesamt als der verlässlichere Ordnungsrahmen für die kommerzielle Verwertung von Persönlichkeitsrechtsgütern. Von einem stimmigen Persönlichkeitsvertragsrecht sind aber sowohl die Schweiz, als auch Österreich und Deutschland noch ein ganzes Stück entfernt. Das Schuld- und Obligationenrecht ist aber durchaus in der Lage einen guten Ausgleich zwischen den Interessen der Parteien herbeizuführen. Es bewahrt die Verfügungsmacht des Betroffenen und die damit verbundene Abwehrfunktion des Informationellen Selbstbestimmungsrechts und ermöglicht ihm gleichzeitig aber auch eine wirtschaftliche Nutzung seiner personenbezogenen Daten. Durch eine translative oder gebundene Rechtsübertragung würden sowohl die datenverarbeitende Stelle als auch möglicherweise Dritte unwiderrufliche Befugnisse über große Mengen von personenbezogenen Daten erlangen, die für den Betroffenen so nicht vorhersehbar waren und auch nicht sein konnten. Im Gegensatz zum Recht am eigenen Bild oder des Urheberrechts, welche eine Verkörperung der Persönlichkeit in einem selbständigen materiellen Substrat zum Gegenstand haben, das sich auch nicht im Laufe der Zeit verändert, werden bei den hier betrachteten Geschäftsmodellen eine große Menge an personenbezogenen Daten erhoben, verarbeitet und genutzt, die für den Betroffenen oft nicht überschaubar ist. Die schuldrechtliche Lösung erkennt die mit dem Persönlichkeitsrecht einhergehende Herrschafts- und Verfügungsmacht des Betroffenen an und ermöglicht ihm die wirtschaftliche Nutzung seiner personenbezogenen Daten, bewahrt aber gleichzeitig auch die starke Abwehrfunktion und bewahrt ihn vor unüberschaubaren Bindungen. Persönlichkeitsrechtliche Abwehrbefugnisse und vermögensrechtliche Verwertungspositionen lassen sich also durchaus miteinander vereinen. Eine Weiterentwicklung des Rechts auf informationelle Selbstbestimmung zu einem reinen Vermögensrecht oder gar Immaterialgüterrecht ist daher in keiner der drei Rechtsordnungen erforderlich und meines Erachtens auch nicht wünschenswert. Das Vertragsrecht in Deutschland, Österreich und der Schweiz enthält – insbesondere im Schuld- bzw. Obligationenrecht – in erheblichem Maße disposi tives Recht und ermöglicht somit den Vertragsparteien grundsätzlich, ihre Vertragsbeziehungen abweichend vom Gesetz durch Allgemeine Vertrags- oder Geschäftsbedingungen selbst zu regeln. Von dieser Möglichkeit wird von Seiten der datenverarbeitenden Stellen auch umfangreich Gebrauch gemacht. In der Regel werden daher datenschutzrechtliche Einverständniserklärungen formularmäßig im Zusammenhang mit den Allgemeinen Geschäftsbedingungen eingeholt. Die Gestaltungsfreiheit solcher Bedingungen wird jedoch durch Vorschriften zur Kontrolle von Allgemeinen Vertragsbedingungen beschränkt.
232
Kapitel 6: Schlussbetrachtung
Entsprechende Regelungen finden sich für Deutschland und Österreich in den §§ 305–310 BGB bzw. §§ 864a, 879 Abs. 3 ABGB und § 6 KSchG. Anders als das deutsche Recht, verzichtet das österreichische Recht jedoch auf eine Legaldefinition des Begriffs der Allgemeinen Geschäftsbedingungen. Bisher war man in der österreichischen Lehre auch nicht sehr um eine präzise Begriffs bestimmung bemüht, die Literatur greift für die Begriffsbestimmung auf die deutsche Definition des § 305 Abs. 1 BGB zurück. Im Gegensatz zu Deutschland und Österreich, wo bereits ein umfassendes Regelwerk zur Kontrolle von AGB besteht, finden sich in der Schweiz fast keine Bestimmungen zu Allgemeinen Geschäftsbedingungen. Die zentrale Vorschrift zur AGB-Kontrolle ist auch nicht im Obligationenrecht, sondern in Art. 8 S-UWG normiert. Auch die Schweiz verzichtet auf eine Legaldefinition des Begriffs der Allgemeinen Geschäftsbedingungen. Literatur und Rechtsprechung verstehen darunter aber auch Vertragsbestimmungen, die im Hinblick auf eine Vielzahl von Verträgen eines bestimmten Typs vorformuliert werden, so dass sich der Begriff in den drei Rechtsordnungen im Grunde genommen nicht unterscheidet. Damit Allgemeine Geschäftsbedingungen in Deutschland, Österreich und der Schweiz Geltung erlangen können, müssen sie wirksam in den Vertrag einbezogen werden. Dies ergibt sich für das deutsche Recht direkt aus § 305 Abs. 2 BGB, während in Österreich dieses Erfordernis zwar nicht normiert aber übereinstimmend in Literatur und Rechtsprechung anerkannt wird. In der Schweiz wird es aus Art. 1 OR abgeleitet. In Deutschland und Österreich wird in Bezug auf eine wirksame Einbeziehung hauptsächlich darauf abgestellt, ob die andere Partei die Möglichkeit hatte von den AGB Kenntnis zu nehmen, wobei in Deutschland grundsätzlich das Erfordernis des ausdrücklichen Hinweises hinzukommt. Die Schweiz unterscheidet dagegen zwischen der sog. Voll- und Globalübernahme, je nachdem, ob der Kunde die AGB tatsächlich gelesen und verstanden hat oder nicht. Da der Verbraucher, die ihm eingeräumte Möglichkeit, sich vom Inhalt der AGB Kenntnis zu verschaffen, in der Regel nicht nutzt, werden sowohl in Deutschland, als auch in Österreich und der Schweiz Klauseln, die so ungewöhnlich sind, dass der Vertragspartner nicht mit ihnen zu rechnen braucht, nicht Bestandteil des Vertrages. Dies ergibt sich unmittelbar aus § 305c Abs. 1 BGB bzw. § 864a ABGB. Da für die Schweiz derzeit keine explizite gesetzliche Regelung existiert, greifen die Rechtsprechung und Literatur auf die aus dem Vertrauensprinzip abgeleitete Ungewöhnlichkeitsregel zurück, wonach global übernommene AGB-Klauseln keine Geltung erlangen, mit deren Inhalt die zustimmende Partei nach den Umständen nicht gerechnet hat und vernünftigerweise auch nicht rechnen musste.
Schlussbetrachtung
233
In Bezug auf die Inhaltskontrolle von Allgemeinen Geschäftsbedingungen lassen sich wohl die größten Unterschiede zwischen den untersuchten Rechtsordnungen ausmachen. Während Deutschland und Österreich eine umfassende gerichtliche Kontrolle von vertraglichen Allgemeinen Geschäftsbedingungen vorsehen, ist in der Schweiz eine solche nur im Rahmen der wettbewerbsrechtlichen Kontrolle nach Art. 8 S-UWG möglich. Das Bundesgericht hat eine offene Inhaltskontrolle vertraglicher Allgemeiner Geschäftsbedingungen bisher immer abgelehnt und nimmt stattdessen eine verdeckte Inhaltskontrolle vor. Es orientiert sich dabei an der vom Vertrauensprinzip abgeleiteten Ungewöhnlichkeitsregel und führt so im Rahmen der Geltungs- und Auslegungskontrolle Korrekturen an deren Inhalt durch. Der in der Schweiz etablierte Dualismus von vertrags- und wettbewerbsrechtlicher AGB-Kontrolle wird im schweizer Schrifttum auch zu Recht kritisiert. Der Bundesrat hat zwar durch die Novellierung des Art. 8 S-UWG im Jahr 2012 eine im Verhältnis zum Konsumenten offene Inhaltskontrolle ermöglicht, eine im Vergleich mit dem europäischen Recht bestehende Lücke konnte damit aber meines Erachtens nicht vollständig geschlossen werden. Entsprechend den Vorgaben der RL 93/13/EWG sehen Deutschland und Österreich jeweils eine Generalklausel für die gerichtliche Kontrolle von Allgemeinen Geschäftsbedingungen vor, nach der unangemessene bzw. gröblich benachteiligende Klauseln unwirksam sind. Unterschiede ergeben sich dort, wo die Richtlinie keine verbindlichen Vorgaben macht. So enthält die Richtlinie – im Gegensatz zu den §§ 308, 309 BGB und § 6 KSchG – keine unmittelbar wirkenden Verbote spezifischer Klauseln. Beide Rechtsordnungen orientieren sich zwar an der im Anhang der Richtlinie enthaltenen Liste von typischerweise missbräuchlichen Klauseln, jedoch enthalten die §§ 308, 309 BGB jeweils nur Klauselverbote während der Klauselkatalog des § 6 Abs. 1 und 2 KSchG zwischen jenen Vertragsbedingungen, die in jedem Fall gegenüber dem Verbraucher unwirksam sind und solchen, die nur dann verbindlich sind, wenn sie im Einzelnen zwischen Verbraucher und Unternehmer ausgehandelt wurden, differenziert. Speziell in Bezug auf die formularmäßig eingeholte datenschutzrechtliche Einverständniserklärung wird in Deutschland die Anwendbarkeit des AGBRechts teilweise bezweifelt. Der Bundesgerichtshof stuft jedoch in ständiger Rechtsprechung, formularmäßig eingeholte datenschutzrechtliche Einverständniserklärungen zu Recht als Allgemeine Geschäftsbedingungen ein. Im Gegensatz zum deutschen Recht wird in Österreich und der Schweiz die Frage der Anwendbarkeit des AGB-Rechts auf das formularmäßig eingeholte datenschutzrechtliche Einverständnis weder von der Rechtsprechung noch von der Literatur problematisiert.
234
Kapitel 6: Schlussbetrachtung
Da Allgemeine Geschäftsbedingungen oft eine Vielzahl von Regelungen enthalten, besteht die Gefahr, dass die Einverständniserklärung leicht übersehen wird. Damit sie nicht zwischen den einzelnen Vertragsbedingungen untergeht ist sie im deutschen Datenschutzrecht – wenn sie zusammen mit anderen Erklärungen schriftlich erteilt werden soll – gem. § 4a Abs. 1 S. 4 BDSG besonders hervorzuheben. Ein solches normiertes Hervorhebungsgebot kennen die österreichische und schweizer Rechtsordnungen nicht, jedoch wurden von der Rechtsprechung bestimmte Grundsätze zur besseren Erkennbarkeit von bestimmten Klauseln aufgestellt. So hat der österreichische Oberste Gerichtshof zur Form einer ausdrücklichen Zustimmungserklärung festgehalten, dass eine Zustimmungserklärung deutlich vom übrigen Text eines Formulars abzusetzen sei und diese vom übrigen Formulartext derart getrennt werden müsse, dass eine gesonderte Unterfertigung der Zustimmungserklärung möglich bleibe und auch das schweizer Bundesgericht hat bereits entschieden, dass eine Partei sich nicht auf die Ungewöhnlichkeitsregel berufen könne, wenn sie ausdrücklich auf eine bestimmte, fett gedruckte und gut lesbare Klausel aufmerksam gemacht wurde. Eine untergeordnete Rolle dürften vorliegend die Grundsätze zur Unwirksamkeit von überraschenden Klauseln spielen, da bei einem Vertrag mit dem Inhalt „Daten als Leistung“ man wohl annehmen kann, dass der Betroffene nicht von der Einholung des Einverständnisses überrascht sein wird. Im Rahmen der Inhaltskontrolle erscheint es – entgegen der Auffassung des Bundesgerichtshofs, der den Prüfungsmaßstab lediglich auf die Vorschriften des BDSG begrenzt – vorzugswürdig, auch eine nach dem Bundesdatenschutzgesetz nicht zu beanstandende Einwilligung an § 307 Abs. 1 und 2 BGB zu messen. Zentrale Vorschriften zur Prüfung von formularmäßigen Einverständnisklauseln sind damit in Deutschland diejenigen des Bundesdatenschutzgesetzes, des Telemedien- und Telekommunikationsgesetzes sowie die §§ 307 ff. BGB. Im Gegensatz zu Deutschland, hat die höchstrichterliche Rechtsprechung in Österreich bei der Kontrolle von vorformulierten Zustimmungserklärungen keine Einschränkung des Prüfungsmaßstabes auf die Vorschriften des Datenschutzgesetzes vorgenommen. Da es sich bei den hier betrachteten Schuldverhältnissen mit dem Inhalt „Daten als Leistung“ in aller Regel um Verbraucherverträge handelt, kommt in Österreich vorrangig § 6 KSchG zur Anwendung. Auf § 879 Abs. 3 ABGB kann grundsätzlich aber ergänzend zurückgegriffen werden. Weil die Schweiz – außerhalb des Art. 8 S-UWG – keine offene gerichtliche Inhaltskontrolle kennt, ist der Prüfungsmaßstab in der Schweiz auch auf diese Vorschrift beschränkt. Grundsätzlich findet jedoch in allen drei Rechtsordnungen keine Inhaltskontrolle hinsichtlich des Hauptgegenstandes eines Vertrages und des Preis-Leistungsverhältnisses statt. Da es sich bei dem datenschutzrechtlichen Einver-
Schlussbetrachtung
235
ständnis jedoch nicht um den Hauptgegenstand des Vertrages handelt, sondern um die Erfüllung der sich aus dem Schuldverhältnis mit dem Inhalt „Daten als Leistung“ ergebenden Hauptleistungspflicht, sind entsprechende Einverständnisklauseln einer Inhaltskontrolle auch zugänglich. Während sich in Deutschland und Österreich eine umfangreiche höchstrichterliche Rechtsprechung zur Wirksamkeit von vorformulierten, datenschutzrechtlichen Einwilligungsklauseln entwickelt hat, lassen sich in der Schweiz bisher keine Entscheidungen in diesem Zusammenhang finden. Dies lässt sich wohl mit der zurückhaltenden Rechtsprechung des Bundesgerichts bzgl. der Inhaltskontrolle von AGB begründen. Dazu kommt, dass der alte Art. 8 S-UWG a. F. sich als untauglich zur Überprüfung von Allgemeinen Geschäftsbedingungen erwiesen hat. Eine entsprechende Rechtsprechungspraxis muss sich also in der Schweiz erst noch entwickeln. Hält die vorformulierte, datenschutzrechtliche Einverständniserklärung der Inhaltskontrolle nicht stand oder wurde sie nicht wirksam in den Vertrag einbezogen ist sie in allen drei Rechtsordnungen unwirksam. Eine geltungserhaltende Reduktion kommt weder in Deutschland und Österreich noch in der Schweiz in Betracht. Jeglicher Datenumgang, der auf dem unwirksamen bzw. nicht wirksam einbezogenen Einverständnis beruht ist unzulässig und künftig zu unterlassen. Bereits durch die datenverarbeitende Stelle erhobene und gespeicherte Daten sind dann entsprechend den Vorschriften des jeweiligen Datenschutzrechts zu löschen.
Literaturverzeichnis Aebi-Müller, Regina Elisabeth, Die Persönlichkeit im Sinne von Art. 28 ZGB, in: Geiser, Thomas (Hrsg.), Privatrecht im Spannungsfeld zwischen gesellschaftlichem Wandel und ethischer Verantwortung, 2002, Stämpfli, Bern Dies., Personenbezogene Informationen im System des zivilrechtlichen Persönlichkeitsschutzes – Unter besonderer Berücksichtigung der Rechtslage in der Schweiz und in Deutschland, Band 710, 2005, Stämpfli, Bern Ahlberg, Hartwig/Götting, Horst-Peter, Beck’scher Online-Kommentar zum Urheberrecht, Stand: 01.04.2015, C. H. Beck, München Aicher, Josef/Rummel, Peter, Kommentar zum Allgemeinen bürgerlichen Gesetzbuch, Band 1, 3. Aufl. 2000, Manz, Wien Althaus Stämpfli, Annette, Kundendaten von Banken und Finanzdienstleistern – Datenschutz und Bankgeheimnis versus Offenlegungspflichten und Outsourcing, 2. Aufl. 2009, Stämpfli, Bern Amstutz, Marc/Breitschmid, Peter/Furrer, Andreas/Müller-Chen, Markus/Huguenin, Claire/ Roberto, Vito/Gehrig, Fabian, Handkommentar zum Schweizer Privatrecht, 2. Aufl. 2012– 2013, Schulthess, Zürich Anderhub, Alain, Zivilrechtliche Ansprüche gegen den Versand von elektronischer Massenwerbung (Spam) – Unter besonderer Berücksichtigung des neuen Art. 3 lit. o. UWG 2008, Dike-Verl., Zürich, St. Gallen Andreéwitch, Markus/Steiner, Gerald, Besonderheiten des österreichischen Datenschutzgesetzes gegenüber der EG-Datenschutzrichtlinie, ITRB, 2005, S. 260–262 Arpagaus, Reto/Hilty, Reto M., Kommentar zum UWG 2013, Helbing & Lichtenhahn, Basel Ayad, Patrick/Schafft, Thomas, Einwilligung ins Direktmarketing – formularmäßig unwirksam?, BB 2002, S. 1711–1716 Bächli, Marc, Das Recht am eigenen Bild – Die Verwendung von Personenbildern in den Medien, in der Kunst, der Wissenschaft und in der Werbung aus der Sicht der abgebildeten Personen, Basler Studien zur Rechtswissenschaft, Reihe A, Privatrecht, Band 60, 2002, Helbing & Lichtenhahn, Basel Baeriswyl, Bruno, Datenschutzgesetz (DSG) – Bundesgesetz über den Datenschutz vom 19. Juni 1992 (DSG), Stämpflis Handkommentar, SHK 2015, Stämpfli, Bern Bamberger, Georg/Roth, Herbert, Kommentar zum Bürgerlichen Recht, 2. Aufl. 2007, C. H. Beck, München Baston-Vogt, Marion, Der sachliche Schutzbereich des zivilrechtlichen allgemeinen Persönlichkeitsrechts, 1997, Mohr Siebeck, Tübingen Baudenbacher, Carl, Braucht die Schweiz ein AGB-Gesetz?, ZBJV 1987, S. 505–531 Bauer, Lukas/Reimer, Sebastian (Hrsg.), Handbuch Datenschutzrecht, 2009, facultas.wuv, Wien
238
Literaturverzeichnis
Becker, Ulrich/Ehlers, Dirk, Europäische Grundrechte und Grundfreiheiten, 3. Aufl. 2009, de Gruyter, Berlin Beisenherz, Gerhard/Tinnefeld, Marie-Theres, Aspekte der Einwilligung, DuD 2011, S. 110– 115 Bennet, Colin J., Regulating Privacy – Dataprotection and Public Policy in Europe and the United States, 1992, Ithaca/London Berger Kurzen, Brigitte, E-health und Datenschutz, ZIK – Publikationen aus dem Zentrum für Informations- und Kommunikationsrecht der Universität Zürich, Band 27, 2004, Schulthess, Zürich Bleser, Eva Maria/Epiney, Astrid/Waldmann, Bernhard, Datenschutzrecht – Grundlagen und öffentliches Recht, 1. Aufl. 2011, Stämpfli, Bern Bräutigam, Peter, Das Nutzungsverhältnis bei sozialen Netzwerken, ZD 2012, S. 635–641 Breitenmoser, Stephan/Gless, Sabine/Lagodny, Otto (Hrsg.), Schengen in der Praxis – Erfahrungen und Ausblicke 2009, Dike; Manz; Nomos, Zürich, Baden-Baden Breitschmied, Peter/Rumo-Jungo, Alexandra, Handkommentar zum Schweizer PrivatrechtPersonen- und Familienrecht inkl. Kindes- und Erwachsenenschutzrecht, Handkommentar zum Schweizer Privatrecht, 2. Aufl. 2012, Schulthess, Zürich Brisch, Klaus/Laue, Philip, Anmerkung zum Urteil des BGH v. 16.07.2008, Az.: VIII ZR 348/06, CR 2008, S. 724–726 Brückner, Christian, Das Personenrecht des ZGB, 2000, Schulthess, Zürich Bründler, Rolf, Das erste Schweizerische Datenschutzgesetz im Überblick, SJZ 1993, S. 129– 133 Ders., Das erste Schweizerische Datenschutzgesetz im Überblick, SJZ 1993, S. 129–133 Brunner, Stephan C., Datenschutz im Rahmen von Schengen, in: Breitenmoser, Stephan/ Gless, Sabine/Lagodny, Otto (Hrsg.), Schengen in der Praxis 2009, Dike, Manz, Nomos, Zürich, Baden-Baden Brunner, Alexander, Allgemeine Geschäftsbedingungen nach neuem Schweizer Recht, 2014, Schulthess, Zürich Bucher, Andreas, Natürliche Personen und Persönlichkeitsschutz, 4. Aufl. 2009, Helbing Lichtenhahn, Basel Ders., Der Persönlichkeitsschutz beim ärztlichen Handeln, in: Wiegand, Wolfgang (Hrsg.), Arzt und Recht, 1985, Stämpfli, Bern Büchler, Andrea, Die Kommerzailisierung von Persönlichkeitsgütern, AcP 2006, S. 301–351 Buchner, Benedikt, Informationelle Selbstbestimmung im Privatrecht, Jus Privatum, Band 114, 2006, Mohr Siebeck, Tübingen Ders., Die Einwilligung im Datenschutzrecht, DuD 2010, S. 39–43 Ders., Editorial: Das UWG als datenschutzrechtlicher Lückenbüßer? WPR 2015, S. 1 Bull, Hans Peter, Zweifelsfragen um die informationelle Selbstbestimmung – Datenschutz als Datenaskese?, NJW 2006, S. 1617–1624 Burkert, Herbert, Die Konvention des Europarates zum Datenschutz, CR 1988, S. 751–758 Bydlinski, Franz, Bemerkungen über Grundrechte und Privatrecht, ZÖR 1962/1963, S. 423– 460 Bydlinski, Peter, Der Sachbegriff im elektronischen Zeitalter – zeitlos oder anpassungsbedürftig?, AcP 1998, S. 287–328 Ders., Allgemeiner Teil, Bürgerliches Recht, Band 1, Ed. 4, 4. Aufl. 2007, Springer, Wien Classen, Claus Dieter/Nettesheim, Martin/Oppermann, Thomas, Europarecht – Kurzlehr bücher für das Juristische Studium, 6. Aufl. 2014, C. H. Beck, München
Literaturverzeichnis
239
Dammann, Ulrich/Simitis, Spiros, EG-Datenschutzrichtlinie 1997, Nomos Verlagsgesellschaft, Baden-Baden Dasch, Norbert, Die Einwilligung zum Eingriff in das Recht am eigenen Bild, Urheberrechtliche Abhandlungen des Max-Planck-Instituts für Ausländisches und Internationales Patent-, Urheber- und Wettbewerbsrecht, München, Heft 23, 1990, C. H. Beck, München Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo, Bundesdatenschutzgesetz, 4. Aufl. 2014, Bund Verlag GmbH, Frankfurt am Main David, Lucas/Jacobs, Reto, Schweizerisches Wettbewerbsrecht – Eine systematische Darstellung des Gesetzes gegen den unlauteren Wettbewerb und des Kartellgesetzes, sowie der wettbewerbsrechtlichen Nebengesetze und der Grundsätze der Schweizerischen Kommission für die Lauterkeit in der Werbung, 5. Aufl. 2012, Stämpfli, Bern De Franceschi, Alberto, Digitale Inhalte gegen personenbezogene Daten: Unentgeltlichkeit oder Gegenleistung?, in: Schmidt-Kessel/Kramme (Hrsg.), Geschäftsmodelle in der digitalen Welt, Schriften zu Verbraucherrecht und Verbraucherwissenschaften, Band 11, Jenaer Wissenschaftliche Verlagsgesellschaft, 2017. Deutsch, Erwin, Allgemeines Haftungsrecht, 2. Aufl. 1996, C. Heymann, Köln Di Martino, Alessandra, Datenschutz im europäischen Recht, 1. Aufl. 2005, Nomos, Baden- Baden Dietz, Rolf/Hübner, Heinz, Festschrift für Carl Nipperdey zum 70. Geburtstag, 1965, C. H. Beck, München Dittrich, Robert/Tades, Helmuth, Das allgemeine bürgerliche Gesetzbuch, Band 2, 36. Aufl. 2003, Manz, Wien Dohr/Pollirer/Weiss/Knyrim, Kommentar zum Datenschutzgesetz, 2. Aufl. 2002, Manzsche Verlags- und Universitätsbuchhandlung, Wien Dorner, Michael, Big Data und „Dateneigentum“, CR 2014, S. 617–628 Dreier, Thomas/Schulze, Gernot, Urheberrechtsgesetz, 4. Aufl. 2013, C. H. Beck, München Dreier, Thomas/Schulze, Gernot, Urheberrechtsgesetz – Urheberrechtswahrnehmungsgesetz, Kunsturhebergesetz, Gelbe Erläuterungsbücher, 5. Aufl. 2015, C. H. Beck, München Drettmann, Fritz/Marly, Jochen/Westphalen, Friedrich von, Vertragsrecht und AGB-Klausel werke, 36. Erg. 2015, C. H. Beck, München Drewes, Stefan/Siegert, Michael, Die konkludente Einwilligung in Telefonmarketing und das Ende des Dogmas von der datenschutzrechtlichen Schriftform, RDV 2006, S. 139–146 Drobesch, Heinz/Grosinger, Walter, Das neue österreichische Datenschutzgesetz – Datenschutzgesetz 2000, Juridica-Kurzkommentare, Stand: 01.10.2000, Juridica, Wien Dullinger, Silvia, Schuldrecht – Allgemeiner Teil, Springers Kurzlehrbücher der Rechtswissenschaft, Band 2, 3. Aufl. 2008, Springer, Wien Duschanek, Alfred, Datenschutzrecht, in: Holoubek/Potacs (Hrsg.), Öffentliches Wirtschafts recht, 3. Aufl. 2013, Verlag Österreich Duschanek, Alfred/Rosenmayr-Klemenz, Claudia, Datenschutzgesetz 2000 – DSG 2000, Bundesgesetz über den Schutz personenbezogener Daten, Band 6, 2000, Wirtschaftskammer Österreich, Wien Eckhardt, Jens, BDSG: Neuregelungen seit 01.09.2009, DuD 2009, S. 587–595 Ders., Datenschutz im Direktmarketing nach dem BDSG – Quo vadis, CR 2009, S. 337–344 Ders., EU-DatenschutzVO – Ein Schreckgespenst oder Fortschritt, CR 2012, S. 195–203 Ehmann, Eugen/Helfrich, Marcus, EG-Datenschutzrichtlinie 1999, Otto Schmidt, Köln Ehrenzweig, Armin/Mayrhofer, Heinrich, Das Recht der Schuldverhältnisse, System des österreichischen allgemeinen Privatrechts, 3. Aufl. 1986, Manz, Wien
240
Literaturverzeichnis
Eisenhardt, Ulrich, Die Einheitlichkeit des Rechtsgeschäfts und die Überwindung des Ab straktionsprinzips, JZ 1991, S. 271–277 Epiney, Astrid, Datenschutz und „Bilaterale II“, SJZ 2006, S. 121–129 Dies., Die Revision des Datenschutzgesetzes, 2009, Schulthess, Zürich, Basel, Genf Dies., Zu den völker- und europarechtlichen Rahmenbedingungen der Revision des Datenschutzgesetzes, in: Epiney, Astrid (Hrsg.), Die Revision des Datenschutzgesetzes, 2009, Schulthess, Zürich Epiney, Astrid/Civitella, Tamara/Zbinden, Patrizia, Datenschutzrecht in der Schweiz – Eine Einführung in das Datenschutzgesetz des Bundes, mit besonderem Akzent auf den für Bundesorgane relevanten Vorgaben, 2009, Freiburg Epiney, Astrid/Freiermuth, Marianne, Datenschutz in der Schweiz und in Europa – La protection des données en Suisse et en Europe, 1999, Univ.-Verl., Freiburg, Schweiz Epiney, Astrid/Hofstötter, Bernhard/Meier, Annekathrin/Theuerkauf, Sarah, Schweizerisches Datenschutzrecht vor europa- und völkerrechtlichen Herausforderungen – Zur rechtlichen Tragweite der europa- und völkerrechtlichen Vorgaben und ihren Implikationen für die Schweiz, 2007, Schulthess, Zürich Epiney, Astrid/Theuerkauf, Sarah, Datenschutz in Europa und die Schweiz – La protection des données en Europe et la Suisse, 2006, Schulthess, Zürich Ernst, Stefan, Die Einwilligung in Werbeanrufe, NJW 2013, S. 2637–2639 Esser, Josef, Schuldrecht – Allgemeiner und Besonderer Teil, 2. Aufl. 1960, C. F. Müller, Karlsruhe Faust, Andreas, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, in: DJT (Hrsg.), Verhandlungen des 71. Deutschen Juristentages in Essen 2016, C. H. Beck, München Fischer, Hans Albrecht, Die Rechtswidrigkeit mit besonderer Berücksichtigung des Privatrechts, Abhandlungen zum Privatrecht und Zivilprozeß des Deutschen Reiches, Band 21, 1911, Sauer & Auvermann, Frankfurt am Main Forkel, Hans, Lizenzen an Persönlichkeitsrechten durch gebundene Rechtsübertragung, GRUR 1988, S. 491–501 Ders., Zur Zulässigkeit beschränkter Übertragungen des Namensrechtes, NJW 1993, S. 3181–3183 Forstmoser, Peter, Gesetzgebung und Gerichtspraxis zu den Allgemeinen Geschäftsbedigun gen in der Schweiz – Eine Standortbestimmung, in: Giger, Hans/Schluep, Walter René (Hrsg.), Allgemeine Geschäftsbedingungen in Doktrin und Praxis, Schriftenreihe zum Konsumentenschutzrecht, Zürich Freudenberg, Nils, Zwangsvollstreckung in Persönlichkeitsrechte, Schriften zum geistigen Eigentum und zum Wettbewerbsrecht, Band 2, 1. Aufl. 2006, Nomos, Baden-Baden Frömming, Jens/Peters, Butz, Die Einwilligung im Medienrecht, NJW 1996, S. 958–962 Furrer, Andreas/Müller-Chen, Markus, Obligationenrecht – Allgemeiner Teil, Litera B, 2008, Schulthess, Zürich Furrer, Anderas/Schnyder, Anton K., Handkommentar zum Schweizer Privatrecht, Obliga tionenrecht Allgemeine Bestimmungen, 2. Aufl. 2012, Schulthess, Zürich Garstka, Hansjürgen/Coy, Wolfgang, Wovon – für wen – wozu Systemdenken wider die Diktatur der Daten – Wilhelm Steinmüller zum Gedächtnis, 2014, http://edoc.hu-berlin.de/ miscellanies/steinmueller-40657/all/PDF/steinmueller.pdf Gärtner, Stephan, Harte Negativmerkmale auf dem Prüfstand des Datenschutzrechts – Ein Rechtsvergleich zwischen deutschem, englischem und österreichischem Recht, 2011, Verlag Dr. Kovac, Hamburg
Literaturverzeichnis
241
Gauch, Peter, System der Beendigung von Dauerverträgen, Arbeiten aus dem juritischen Seminar der Universität Freiburg, Schweiz Ders., Art. 404 OR – Sein Inhalt, seine Rechtfertigung und die Frage seines zwingenden Charakters, recht 1992, S. 9 –22 Gauch, Peter/Schluep, Walter René/Schmid, Jörg/Rey, Heinz/Emmenegger, Susan, Schweize risches Obligationenrecht – Allgemeiner Teil, 9. Aufl. 2008, Schulthess, Zürich Gebauer, Martin/Wiedmann, Thomas, Zivilrecht unter europäischem Einfluss – Die richt linienkonforme Auslegung des BGB und anderer Gesetze – Kommentierung der wichtig sten EG-Verordnungen, 2. Aufl. 2010, Boorberg, Stuttgart Geiser, Thomas, Die Persönlichkeitsverletzung insbesondere durch Kunstwerke, Basler Studien zur Rechtswissenschaft, Band 21, 1990, Helbing & Lichtenhahn, Basel Ders., Privatrecht im Spannungsfeld zwischen gesellschaftlichem Wandel und ethischer Verantwortung – Beiträge zum Familienrecht, Erbrecht, Persönlichkeitsrecht, Haftpflichtrecht, Medizinalrecht und allgemeinen Privatrecht, Festschrift für Heinz Hausheer zum 65. Geburtstag, 2002, Stämpfli, Bern Gernhuber, Joachim/Lange, Hermann, Handbuch des Schuldrechts – Die Erfüllung und ihre Surrogate, 2. Aufl. 1994, Mohr Siebeck, Tübingen Giger, Hans/Schluep, Walter René, Allgemeine Geschäftsbedingungen in Doktrin und Praxis, Schriftenreihe zum Konsumentenschutzrecht, Band 5, 1982, Zürich Girsberger, Daniel, Rechtsfragen rund um die KMU – Referate einer Veranstaltungsreihe der Rechtswissenschaftlichen Fakultät der Universität Luzern, Luzerner Beiträge zur Rechtswissenschaft, Band 1, 2003, Schulthess, Zürich Gleixner-Eberle, Elisabeth, Die Einwilligung in die medizinische Behandlung Minderjähriger – Eine arztrechtliche Untersuchung im Rechtsvergleich mit Österreich und der Schweiz sowie mit Blick auf das Internationale Privat- und Strafrecht, MedR Schriftenreihe Medizinrecht, Springer, Berlin Dies., Die Einwilligung in die medizinische Behandlung Minderjähriger, 2014, Springer, Berlin Gola, Peter, BDSG – Bundesdatenschutzgesetz Kommentar, 10. Aufl. 2010, C. H. Beck, München Ders., BDSG – Bundesdatenschutzgesetz Kommentar, 12. Aufl. 2015, C. H. Beck, München Gola, Peter/Schulz, Sebastian, DS-GVO – Neue Vorhaben für den Datenschutz bei Kindern?, ZD 2013, S. 475–481 Götting, Horst-Peter, Persönlichkeitsrechte als Vermögensrechte, Jus Privatum, Band 7, 1995, Mohr Siebeck, Tübingen Ders., Die Vererblichkeit der vermögenswerten Bestandteile des Persönlichkeitsrechts – ein Meilenstein in der Rechtsprechung des BGH, NJW 2001, S. 585–587 Grabenwarter, Christoph, Datenschutzrechtliche Anforderungen an den Umgang mit Kundenkarten im Versandhandel, ÖJZ 2000, S. 861–871 Ders., Europäische Menschenrechtskonvention – Ein Studienbuch, 3. Aufl. 2008, C. H. Beck, München Grabitz, Eberhard/Hilf, Meinhard, Das Recht der Europäischen Union, 40. Aufl. 2009, C. H. Beck, München Graf, Georg, Auswirkungen des Transportgebots, ecolex 1999, S. 8 Graf, Wolfgang, Datenschutzrecht im Überblick, 2. Aufl. 2010, Facultas Verlags- und Buchhandels AG; facultas wuv, Wien Grentzenberg, Verena/Schreibauer, Marcus/Schuppert, Stefan, Die Datenschutznovelle (Teil I), K&R 2009, S. 368–375
242
Literaturverzeichnis
Grunewald, Barbara/Peifer, Karl-Nikolaus, Verbraucherschutz im Zivilrecht, Springer- Lehrbuch 2010, Springer, Heidelberg Guhl, Theo/Koller, Alfred, Das schweizerische Obligationenrecht mit Einschluss des Handels- und Wertpapierrechts, 8. Aufl. 1991, Schulthess, Zürich Gundermann, Lukas, Das Datenschutzrecht in Europa kommt in Bewegung, VuR 2011, S. 74–78 Haag, Nils, Direktmarketing mit Kundendaten aus Bonusprogrammen – Datenschutzrechtliche Einwilligung als Nutzungslizenz?, 1. Aufl. 2010, Gabler, Wiesbaden Haas, Raphaël, Die Einwilligung in eine Persönlichkeitsverletzung nach Art. 28 Abs. 2 ZGB, Luzerner Beiträge zur Rechtswissenschaft, Band 18, 2007, Schulthess, Zürich Haefliger, Arthur, Die Europäische Menschenrechtskonvention und die Schweiz, 2008, Stämpfli, Bern Häfelin, Ulrich/Haller, Walter/Keller, Helen, Schweizerisches Bundesstaatsrecht, 8. Aufl. 2012, Schulthess, Zürich Häner, Isabelle, Unabhängigkeit der Aufsichtsbehörden – Umsetzung am Beispiel der Datenschutzaufsicht des Kantons Zürich 2008, Schulthess, Zürich Härting, Niko, „Dateneigentum“ – Schutz durch Immaterialgüterrecht? – Was sich aus dem Verständnis von Software für den zivilrechtlichen Umgang mit Daten gewinnen lässt, CR 2016, S. 646–649 Hanloser, Stefan, „opt-in“ im Datenschutz und Wettbewerbsrecht, CR 2008, S. 713–726 Ders., Anmerkungen zu BGH: Opt-out durch Streichen der Einwilligungsklausel – Happy Digits, MMR 2010, S. 140–141 Harte-Bavendamm, Henning /Henning-Bodewig, Frauke, UWG-Kommentar, 3. Aufl. 2013, C. H. Beck, München Hausheer, Heinz/Aebi-Müller, Regina E., Das Personenrecht des Schweizerischen Zivilgesetzbuches, 3. Aufl. 2012, Stämpfli, Bern Heidemann-Peuser, Heike, Rechtskonforme Gestaltung von Datenschutzklauseln, DuD 2002, S. 389–394 Helle, Jürgen, Die Einwilligung beim Recht am eigenen Bild, AfP 1985, S. 93–101 Hess, Markus/Ruckstuhl, Lea, AGB-Kontrolle nach dem neuen Art. 8 UWG – eine kritische Auslegeordnung, AJP 2012, S. 1188–1212 Hilty, Reto M., Lizenzvertragsrecht – Systematisierung und Typisierung aus schutz- und schuldrechtlicher Sicht, 2001, Stämpfli, Bern Hoffmann-Riem, Wolfgang, Informationelle Selbstbestimmung in der Informationsgesellschaft – Auf dem Wege zu einem neuen Konzept des Datenschutzes, AöR 1998, S. 513–540 Hofmarcher, Dominik, Persönlichkeitsrechte als Immaterialgüter(ähnliche) Rechte, ecolex 2013, S. 543–547 Holoubek, Michael/Potacs, Michael, Öffentliches Wirtschaftsrecht, 3. Aufl. 2013, Verlag Österreich Holznagel, Bernd/Bennekoh, Mareike, Radio Frequency Identification – Innovation vs. Datenschutz?, MMR 2006, S. 17–22 Holznagel, Bernd/Enaux, Christoph/Nienhaus, Christian, Telekommunikationsrecht – Rahmenbedingungen – Regulierungspraxis, Studium und Praxis, 2. Aufl. 2006, C. H. Beck, München Holznagel, Bernd/Sonntag, Matthias, Einwilligung des Betroffenen, in: Roßnagel, Alexander/ Abel, Ralf Bernd (Hrsg.), Handbuch Datenschutzrecht, 2003, C. H. Beck, München Honsell, Heinrich/Geiser, Thomas, Zivilgesetzbuch I – Art. 1–456 ZGB, Basler Kommentar, 4. Aufl. 2010, Helbing Lichtenhahn Verlag, Basel
Literaturverzeichnis
243
Honsell, Heinrich/Vogt, Nedim Peter/Wiegand, Wolfgang, Basler Kommentar zum Obliga tionenrecht I – Art. 1–529 OR, Basler Kommentar, 5. Aufl. 2011, Helbing Lichtenhahn Verlag, Basel Hornung, Gerrit, Die Fortentwicklung des datenschutzrechtlichen Regelungssystems des Europarates, DuD 2004, S. 719–722 Hubmann, Heinrich, Die Zwangsvollstreckung in Persönlichkeits- und Immaterialgüterrechte, in: Nipperdey, Hans Carl (Hrsg.), Das deutsche Privatrecht in der Mitte des 20. Jahrhunderts, 1956, Walter de Gruyter, Berlin Ders., Das Persönlichkeitsrecht, 2. Aufl. 1967, Böhlau Huguenin, Claire/Müller-Chen, Markus/Girsberger, Daniel, Handkommentar zum Schweizer Privatrecht, 2. Aufl. 2012, Schulthess, Zürich Hürlimann-Kaup, Bettina/Schmid, Jörg, Einleitungsartikel des ZGB und Personenrecht, 2. Aufl. 2010, Schulthess, Zürich Iraschko-Luscher, Stephanie, Einwilligung – ein stumpfes Schwert des Datenschutzes? DuD 2006, S. 706–710 Jäggi, Peter, Fragen des privatrechtlichen Schutzes der Persönlichkeit, ZSR 1660, S. 135a– 261a Jahnel, Dietmar, Handbuch Datenschutzrecht – Grundrecht auf Datenschutz, Zulässigkeitsprüfung, Betroffenenrechte, Rechtsschutz, 2010, Jan Sramek Verlag, Wien Jahnel, Dietmar/Siegwart, Stefan/Fercher, Nathalie, Aktuelle Fragen des Datenschutzrechts 2007, facultas.wuv, Wien Jarass, Hans D., EU-Grundrechte – Ein Studien- und Handbuch, 2005, C. H. Beck, München Jauernig, Othmar, Trennungsprinzip und Abstraktionsprinzip, JuS 1994, S. 721–727 Jóri, András, Data Protection Law – An introduction, www.dataprotection.eu/pmwiki/pmwiki. php?n=Main.Development Jung, Peter/Spitz, Philippe, Bundesgesetz gegen den unlauteren Wettbewerb (UWG), 2010, Stämpfli, Bern Kiendl, Doris, Unfaire Klauseln in Verbraucherverträgen, 1997, Orac, Wien Kilian, Wolfgang, Informationelle Selbstbestimmung und Marktprozesse, CR 2002, S. 921– 929 Kilian, Wolfgang/Heussen, Benno, Computerrechts-Handbuch – Computertechnologie in der Rechts – und Wirtschaftspraxis, 1999, C. H. Beck, München Klang, Heinrich von/Gschnitzer, Franz, Kommentar zum Allgemeinen bürgerlichen Gesetzbuch, 2. Aufl. 1968, Verlag Österreich Kletečka, Andreas/Koziol, Helmut, Grundriss des bürgerlichen Rechts, Manzsche Kurzlehrbuch-Reihe, Band 1, 13. Aufl. 2006, Manz, Wien Klippel, Diethelm, Der zivilrechtliche Schutz des Namens, Eine historische und dogmatische Untersuchung, Paderborn: Ferdinand Schöningh, 1985 (Rechts- und Staatswissenschaft liche Veröffentlichungen der Görres-Gesellschaft, Neue Folge, Heft 45). Knyrim, Rainer, Aktuelles AGB-Recht, 2008, Manz, Wien Köhler, Helmut/Bornkamm, Joachim, Gesetz gegen den unlauteren Wettbewerb, Band 33, 2015, C. H. Beck, München Kohte, Wolfhard, Die rechtfertigende Einwilligung, AcP 1985, S. 105–161 Koller, Alfred, Schweizerisches Obligationenrecht – Allgemeiner Teil: Handbuch des allgemeinen Schuldrechts ohne Deliktsrecht, 3. Aufl. 2009, Stämpfli, Bern Koós, Clemens, Das Vorhaben eines einheitlichen Datenschutzes in Europa, ZD 2014, S. 9 –15 Korinek, Stephan, Das Transparenzgebot des § 6 Abs. 3 KSchG, JBl 1999, S. 149–172
244
Literaturverzeichnis
Korn, Gottfried/Walter, Michael, Namensrecht – Lizenzierung – Rechtsnachfolge – Kündigung – Verwirkung, MuR 2010, S. 371–376 Koziol, Helmut/Welser, Rudolf/Kletečka, Andreas, Grundriss des bürgerlichen Rechts, Manzsche Kurzlehrbuch-Reihe, Band 1, 13. Aufl. 2006, Manz, Wien Kramer, Ernst A., Allgemeine Geschäftsbedingungen: Status quo, Zukunftsperspektiven, SJZ 1985, S. 17–25 Ders., Inhalt des Vertrags – Art. 19–22 OR, Berner Kommentar Band 6, Das Obligationenrecht, Allgemeine Bestimmungen, 3. Aufl. 1991, Stämpfli, Bern Ders., Schweizerisches Privatrecht, 2008, Helbing Lichtenhahn, Basel Kramer, Ernst A./Honsell, Heinrich, Privatrecht und Methode – Festschrift für Ernst A. Kramer, 2004, Helbing & Lichtenhahn, Basel Krejci, Heinz, Privatrecht, Manz-Rechtstaschenbücher, 7. Aufl. 2007, Manz, Wien Kuderna, Friedrich, Die Zustimmung des Betroffenen zur Übermittlung von Daten, RdA 1992, S. 421 Kühling, Jürgen/Sivridis, Anastasios, Datenschutzrecht, 2008, UTB, Frankfurt am Main Kühling, Jürgen/Sivridis, Anastasios/Seidel, Christian, Datenschutzrecht, 2. Aufl. 2011, C. F. Müller, Heidelberg Kunz, Peter V., OECD-Musterabkommen und die Schweiz: Wie ein Vorbehaltsverzicht umsetzen?, Die Volkswirtschaft, S. 4 –7 Dauner-Lieb, Barbara/Langen, Werner, Bürgerliches Gesetzbuch, 2. Aufl. 2012, Nomos, Baden-Baden Langhanke, Carmen, Datenschutz in der Schweiz – Reichweite der europarechtlichen Vorgaben, ZD 2014, S. 621–626 Langhanke, Carmen/Schmidt-Kessel, Martin, Consumer Data as Consideration, EuCML 2015, S. 218–223 Larenz, Karl, Lehrbuch des Schuldrechts, 13. Aufl. 1982, C. H. Beck, München Lausen, Matthias, Der Schauspieler und sein Replikant, ZUM 1997, S. 86–93 Lehner, Andreas/Lachmayer, Konrad, Datenschutz im Verfassungsrecht, in: Bauer, Lukas/ Reimer, Sebastian (Hrsg.), Handbuch Datenschutzrecht, 2009, facultas.wuv, Wien Leistner, Matthias/Pothmann, Julia, E-Mail-Direktmarketing im neuen europäischen Recht und in der UWG-Reform, WRP 2003, S. 815–831 Lettl, Tobias, Die AGB-rechtliche Relevanz einer Option in der formularmäßigen Einwilligungserklärung zur Telefonwerbung, NJW 2001, S. 42–43 Leupold, Andreas/Glossner, Silke, Münchener Anwaltshandbuch IT-Recht, 2. Aufl. 2011, C. H. Beck, München Liedke, Bernd, Die Einwilligung im Datenschutzrecht – Eine Untersuchung insbesondere zur Einwlligung im Beschäftigungsverhältnis und für Zwecke der Werbung, Beiträge zum Informationsrecht, Band 3, 2012, OlWIR, Oldenburger Verl. für Wirtschaft, Informatik und Recht, Edewecht Lindner, Eric, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG – ein zukunftsfähiges Institut? Schriften zum Persönlichkeitsrecht, Band 9, 2013, Kovač, Hamburg Linke, Thomas, Anmerkungen zu OLG Hamburg, Urteil vom 28.04.2005 – 5 U 156/04, MMR 2005, S. 453–458 Löwisch, Manfred, Rechtswidrigkeit und Rechtfertigung von Vertragsverletzungen, AcP 1965, S. 421–467 Mader, Peter, Neuere Judikatur zum Rechtsmißbrauch, JBl 1998, S. 677–691 Magerl, Michael Leonhard, Kommerzialisierung von Persönlichkeitsrechten – Die Weiter gabe personenbezogener Daten, 2004, Wien
Literaturverzeichnis
245
Maurer-Lambrou, Urs/Vogt, Nedim Petr, Datenschutzgesetz, 2. Aufl. 2006, Helbing und Lichtenhahn, Basel, Genf, München Mayer, Heinz, Der „Rechtserzeugungszusammenhang“ und die sogenannte „Drittwirkung“ der Grundrechte, JBl 1990, S. 768–772 Ders., Nochmals zur sogenannten „Drittwirkung“ der Grundrechte, JBl 1992, S. 768–771 Ders., Willensmängel im Öffentlichen Recht, ecolex 1992, S. 812 Mengel, Hans-Joachim, Die Datenschutzkonvention des Europarates vom 28. Januar 1981, EuGRZ 1981, S. 376–381 Ders., Datenschutzrechtliche Einwilligung, DuD 2008, S. 400–408 Meyer-Ladewig, Jens, Europäische Menschenrechtskonvention, 2. Aufl. 2006, Nomos, Baden- Baden Moos, Flemming, Datenschutzrecht – Schnell erfasst, Recht – schnell erfasst, 2006, Springer Berlin, Heidelberg Mosing, Max W./Otto, Gerald, Spamming neu!, MuR 2003, S. 267–272 Möstl, Markus, Vertrag von Lissabon – Einführung und Kommentierung, 2010, Olzog Verlag, München Müller, Peter, Die Grundzüge des Entwurfs für ein schweizerisches Datenschutzgesetz, Schweizerisches Zentralblatt für Staats- und Gemeindeverwaltung 1988, S. 425–432 Müller-Glöge, Rudi/Preis, Ulrich/Schmidt, Ingrid, Erfurter Kommentar zum Arbeitsrecht, Band 51, 14. Aufl. 2014, C. H. Beck, München Nehf, James P., Recognizing the Societal Value, Washington Law Review 2003, S. 46 Nietsch, Thomas, Zur Überprüfung der Einhaltung des Datenschutzrechts durch Verbraucherverbände, CR 2014, S. 272–278 Nipperdey, Hans Carl, Das deutsche Privatrecht in der Mitte des 20. Jahrhunderts – Festschrift für Heinrich Lehmann zum 80. Geburtstag, 2. Aufl. 1956, Walter de Gruyter, Berlin Nord, Jantina/Manzel, Martin, „Datenschutzerklärungen“ – misslungene Erlaubnisklauseln zur Datennutzung, NJW 2010, S. 3756–3758 Ohly, Ansgar, „Volenti non fit iniuria“ – Die Einwilligung im Privatrecht, Jus Privatum, Band 73, 2002, Mohr Siebeck, Tübingen Ohly, Ansgar/Sosnitza, Olaf, Gesetz gegen den unlauteren Wettbewerb, 6. Aufl. 2014, C. H. Beck, München Palandt, Otto, Bürgerliches Gesetzbuch, 74. Aufl. 2015, C. H. Beck, München Pauly, Daniel A./Ritzer, Christoph, Datenschutz-Novellen: Herausforderungen für die Finanzbranche, WM 2010, S. 8 –17 Pawlik, Thomas, Datenschutz versus Kreditschutz – Über die Zulässigkeit von Bonitätsauskünften aus Datenbanken im Privat- und Firmenkundensegment, 2009, Wien Peifer, Karl-Nikolaus, Individualität im Zivilrecht – Der Schutz persönlicher, gegenständlicher und wettbewerblicher Individualität im Persönlichkeitsrecht, Immaterialgüterrecht und Recht der Unternehmen, Jus Privatum, Band 52, 2001, Mohr Siebeck, Tübingen Ders., Eigenheit oder Eigentum – Was schützt das Persönlichkeitsrecht?, GRUR 2002, S. 495–500 Perrig, Roman, Die AGB-Zugänglichkeitsregel – Das Kriterium der Zugänglichkeit als Regelerfordernis bei der Einbeziehung von Allgemeinen Geschäftsbedingungen (AGB) – Empfehlungen zu einem Swiss Code of Best Practice, Basler Studien zur Rechtswissenschaft, Band 102, 2011, Helbing Lichtenhahn, Basel Petri, Thomas, Datenschutzrechtliche Einwilligung im Massengeschäft, RDV 2007, S. 153– 158
246
Literaturverzeichnis
Peukert, Alexander, Persönlichkeitsbezogene Immaterialgüterrechte?, ZUM 2000, S. 710– 721 Plath, Kai-Uwe/Frey, Anna-Mirjam, Online-Marketing nach der BDSG-Novelle, CR 2009, S. 613–618 Pollirer, Hans J./Weiss, Ernst M., Datenschutzgesetz 2000, 2010, Manz, Wien Prütting, Hans/Wegen, Gerhard/Weinreich, Gerd, Kommentar zum BGB, 9. Aufl. 2014, Luchterhand, Köln Raabe, Oliver/Lorenz, Mieke, Die datenschutzrechtliche Einwilligung im Internet der Dienste, DuD 2011, S. 279–284 Rautenberg, Erardo Cristoforo, Prostitution: Das Ende der Heuchelei ist gekommen!, NJW 2002, S. 650–652 Rebmann, Kurt/Säcker, Franz Jürgen/Rixecker, Roland, Münchner Kommentar zum Bürgerlichen Gesetzbuch, 4. Aufl. 2001, C. H. Beck, München Rehbinder, Manfred, Schweizerisches Arbeitsrecht, Stämpflis juristische Lehrbücher, 15. Aufl. 2002, Stämpfli, Bern Reich, Norbert, Wer hat Angst vor Straßburg, EuZW 2011, S. 379–384 Reimer, Sebastian, Verfassungs- und europarechtliche Überlegungen zur datenschutzrechtlichen Zustimmung, in: Jahnel, Dietmar/Siegwart, Stefan/Fercher, Nathalie (Hrsg.), Aktuelle Fragen des Datenschutzrechts 2007, facultas.wuv, Wien Ders., Die datenschutzrechtliche Zustimmung, 2011, Wien Resch, Reinhard, Die Einwilligung des Geschädigten, Rechtswissenschaft und Sozialpolitik, Band 18, 1997, Manz, Wien Riesenhuber, Karl, Die Einwilligung des Arbeitnehmers im Datenschutzrecht, RdA 2011, S. 257–265 Rogosch, Patricia Maria, Die Einwilligung im Datenschutzrecht, Frankfurter Studien zum Datenschutz, Band 40, 1. Aufl. 2013, Nomos, Baden-Baden Roßnagel, Alexander, Elektronische Signaturen mit der Bankkarte?, NJW 2005, S. 385–388 Ders., Selbst- oder Fremdbestimmung – Die Zukunft des Datenschutzes, in: Rossnagel, Alexander/Sommerlatte, Tom/Winand, Udo (Hrsg.), Digitale Visionen, 2008, Springer, Heidelberg Roßnagel, Alexander/Abel, Ralf Bernd, Handbuch Datenschutzrecht – Die neuen Grundlagen für Wirtschaft und Verwaltung, 2003, C. H. Beck, München Roßnagel, Alexander/Pfitzmann, Andreas/Garstka, Hansjürgen, Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Inneren, 2001 Rossnagel, Alexander/Sommerlatte, Tom/Winand, Udo, Digitale Visionen – Zur Gestaltung allgegenwärtiger Informationstechnologien, 2008, Springer, Heidelberg Rudin, Beat, Datenschutzgesetze – fit für Europa – Europarechtliche Anforderungen an die schweizerischen Datenschutzgesetze, 2007, Schulthess, Zürich Sachs, Michael/Thanner, Theodor/Bachler, Nikolaus, Verfahren vor Sonderbehörden – Praxisleitfaden und Muster, 2006, Manzsche Verlags- und Universitätsbuchhandlung, Wien Säcker, Franz Jürgen, Münchener Kommentar zum Bürgerlichen Gesetzbuch, Band 2, 7. Aufl. 2016, C. H. Beck, München Säcker, Franz Jürgen/Rixecker, Roland, Münchener Kommentar zum Bürgerlichen Gesetzbuch, 1. Aufl. 2006, C. H. Beck, München Schaar, Peter, Datenschutzrechtliche Einwilligung im Internet, MMR 2001, S. 644–648 Ders., Datenschutz im Internet – Die Grundlagen, 2002, C. H. Beck, München Schack, Haimo, Rezension Götting – Persönlichkeitsrechte als Vermögensrechte, AcP 1995, S. 594–600
Literaturverzeichnis
247
Ders., Anmerkung zu BGHZ 143, 214 – Marlene Dietrich, JZ 2000, S. 1060–1062 Schaffland, Hans-Jürgen/Wiltfang, Noeme, Bundesdatenschutzgesetz (BDSG) – Ergänz barer Kommentar nebst einschlägigen Rechtsvorschriften, 1977, Schmidt, Berlin Schafft, Thomas/Ruoff, Andreas, Nutzung von personenbezogenen Daten zu Werbezwecke zwischen Einwilligung und Vertragserfüllung, CR 2006, S. 499–504 Schanda, Reinhard, Gestattung der Namensverwendung wirkt auch gegenüber dritten Namensträgern, ecolex 2000, S. 808 Scheja, Gregor/Haag, Nils, Einführung in das Datenschutzrecht, 2. Aufl. 2006, OlWIR, Oldenburger Verl. für Wirtschaft, Informatik und Recht, Edewecht Schlechtriem, Peter/Schmidt-Kessel, Martin, Schuldrecht: Allgemeiner Teil, 6. Aufl. 2005, Mohr Siebeck, Tübingen Schleutermann, Markus, Datenverarbeitung im Konzern, CR 1995, S. 577–585 Schlüter, Maximilian, Durchbrechung des Abstraktionsprinzips über § 139 BGB und Heilung eines formnichtigen Erbteilkaufs durch Erfüllung, JuS 1969, S. 10–16 Schmid, Jörg, Die Inhaltskontrolle Allgemeiner Geschäftsbedingungen: Überlegungen zum neuen Art. 8 UWG, ZBJV 2012, S. 1–22 Schmidt, Nicole, Das Payback-Urteil des BGH, DuD 2009, S. 107–109 Schmidt, Walter, Die bedrohte Entscheidungsfreiheit, JZ 1974, S. 241–250 Schmidt-Kessel, Martin/Grimm, Anna, Unentgeltlich oder entgeltlich? – Der vertragliche Austausch von digitalen Inhalten gegen personenbezogene Daten, ZfPW 2017, S. 84–108 Schulze, Götz, Die Naturalobligation – Rechtsfigur und Instrument des Rechtsverkehrs einst und heute – sogleich Grundlegung einer Forderungslehre im Zivilrecht, Jus Privatum, 1. Aufl. 2008, Mohr Siebeck, Tübingen Schulze, Reiner, Bürgerliches Gesetzbuch – Handkommentar, 8. Aufl. 2014, Nomos, Baden- Baden Schwab, Karin F., Die Übernahme von Allgemeinen Geschäftsbedingungen in elektronisch abgeschlossene Verträge, Publikationen aus dem Zentrum für Informations- und Kommunikationsrecht der Universität Zürich, Band 16, 2001, Schulthess, Zürich Schwartmann, Rolf/Hentsch, Christian-Henner, Eigentum an Daten – Das Urheberrecht als Pate für ein Datenverwertungsrecht, RDV 2015, S. 221–230 Schweizer, Rainer J., Die Rechtsprechung des Europäischen Gerichtshofes für Menschenrechte zum Persönlichkeits- und Datenschutz, DuD 2009, S. 462–468 Schweizer, Rainer J./Burkert, Herbert, Datenschutz in Europa – Schweizer Gesetzgebung entspricht europäischem Maßstab, DuD 1994, S. 422–427 Schwenke, Matthias Christoph, Individualisierung und Datenschutz – Rechtskonformer Umgang mit personenbezogenen Daten im Kontext der Individualisierung, DuD-Fachbeiträge, 1. Aufl. 2006, Deutscher Universitäts-Verlag, Wiesbaden Schwenzer, Ingeborg H., Schweizerisches Obligationenrecht – Allgemeiner Teil, Stämpflis juristische Lehrbücher, 5. Aufl. 2009, Stämpfli, Bern Schwimann, Michael, ABGB Praxiskommentar Band 4 – §§ 859–1089 ABGB, Vertragsrecht (inkl. Gewährleistungsrecht), WucherG, UN-Kaufrecht, 4. Aufl. 2014, LexisNexis ARD ORAC, Wien Schwintowski, Hans-Peter, Rechtliche Grenzen der Datenweitergabeklausel in Versicherungsverträgen, VuR 2004, S. 242–250 Seemann, Bruno, Prominenz als Eigentum – Parallele Rechtsentwicklungen einer Vermarktung der Persönlichkeit im amerikanischen, deutschen und schweizerischen Persönlichkeitsschutz, Schriftenreihe des Archivs für Urheber-, Film-, Funk- und Theaterrecht ( UFITA), Band 140, 1996, Nomos Verlagsgesellschaft, Baden-Baden
248
Literaturverzeichnis
Seidl, Barbara, Data-Mining und Datenschutz, 2003, Wien Simitis, Spiros, Die EU-Datenschutzrichtlinie – Stillstand oder Anreiz?, NJW 1997, S. 281– 288 Ders., Datenschutz – Rückschritt oder Neubeginn ?, NJW 1998, S. 2473–2479 Simon, Dieter/Kiesow, Rainer Maria/Ogorek, Regina/Simitis, Spiros, Summa – Dieter Simon zum 70. Geburtstag, Studien zur europäischen Rechtsgeschichte, Band 193, 2005, Klostermann, Frankfurt am Main Sokol, Bettina, Neue Instrumente im Datenschutz, 1999, Düsseldorf Sosnitza, Olaf, Die Zwangsvollstreckung in Persönlichkeitsrechte – Plädoyer für eine Neu orientierung, JZ 2004, S. 992–1002 Spindler, Gerald/Schuster, Fabian, Recht der elektronischen Medien, Grauer Kommentar, 3. Aufl. 2014, C. H. Beck, München Staudinger, Julius von, Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen, 2011, Band 1, Sellier; de Gruyter Ders., Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen, 2005, Band 2, Sellier; de Gruyter Steinmüller, W./Lutterbeck, B./Mallmann, C./Harbort, U./Kolb, G./Schneider, J., Grundfragen des Datenschutzes – Gutachten im Auftrag des Bundesministerium des Innern, Juli 1971 Stöckli, Hubert, Der neue Art. 8 UWG – offene Inhaltskontrolle, aber nicht für alle, BR 2011, S. 184–188 Stoffels, Markus, AGB-Recht, NJW-Praxis, Band 11, 2. Aufl. 2009, C. H. Beck, München Streinz, Rudolf, Europarecht, 8. Aufl. 2008, C. F. Müller, Heidelberg Taeger, Jürgen, Datenschutzrecht, Für die Praxis, 2014, Recht u. Wirtschaft, Frankfurt am Main Taeger, Jürgen/Gabel, Detlev, Kommentar zum BDSG, Band 27, 2010, Recht u. Wirtschaft, Frankfurt am Main Taeger, Jürgen/Wiebe, Andreas, Informatik – Wirtschaft – Recht – Regulierung in der Wissensgesellschaft; Festschrift für Wolfgang Kilian zum 65. Geburtstag, 1. Aufl. 2004, Nomos, Baden-Baden Thanner, Theodor, DSG, Stand: 01.01.2010, NWV, Neuer Wiss. Verl, Wien, Graz Thiele, Clemens, Ein Name ist nichts Geringes – Aktuelle Entwicklungen zur Namenslizenz, MuR 2010, S. 379–382 Ders., Rechtssichere Zustimmungserklärung in Online AGB – Eine Empfehlung der DSK, ZIR 2013, S. 16–18 Tinnefeld, Marie-Theres, Reformvertrag von Lissabon, Charta der Grundrechte und Rechtspraxis im Datenschutz, DuD 2009, S. 504 Tinnefeld, Marie-Theres/Buchner, Benedikt/Petri, Thomas, Einführung in das Datenschutzrecht – Datenschutz und Informationsfreiheit in europäischer Sicht, 5. Aufl. 2011, Oldenbourg, München Tinnefeld, Marie-Theres/Ehmann, Eugen/Gerling, Rainer W., Einführung in das Datenschutzrecht – Datenschutz und Informationsfreiheit in europäischer Sicht, 4. Aufl. 2005, Oldenbourg Wissenschaftsverlag, München Trute, Hans-Heinrich, Verfassungsrechtliche Grundlagen, in: Roßnagel, Alexander/Abel, Ralf Bernd (Hrsg.), Handbuch Datenschutzrecht, 2003, C. H. Beck, München ULD, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Kundenbindungssysteme und Datenschutz, Gutachten, 2003 Unger, Kaja, Grundzüge des Datenschutzrechts, 2012, Linde, Wien
Literaturverzeichnis
249
Unseld, Florian, Die Kommerzialisierung personenbezogener Daten, Rechtswissenschaft liche Forschung und Entwicklung, Band 769, 2010, Utz, München Ders., Die Übertragbarkeit von Persönlichkeitsrechten, GRUR 2011, S. 982–988 Van Raay, Anne/Meyer-van Raay, Oliver, Opt-in, Opt-out und (k)ein Ende der Diskussion, VuR 2009, S. 103–109 Viethen, Alexander, Datenschutz als Aufgabe der EG – Bestandsaufnahme des datenschutzspezifischen Sekundärrechts und Analyse anhand der Kompetenzordnung des EG-Vertrages, Kölner Schriften zum internationalen und europäischen Recht, Band 5, 2003, Lit Verlag, Münster, Hamburg, London Vogelgesang, Klaus, Grundrecht auf informationelle Selbstbestimmung? Studien und Materialien zur Verfassungsgerichtsbarkeit, Band 39, 1. Aufl. 1987, Nomos, Baden-Baden Voigt, Paul, Gesprächsaufzeichnungen im Servicecallcenter – Opt-In oder Opt-Out, DuD 2008, S. 780–784 von Tuhr, Andreas, Der Allgemeine Teil des Deutschen Bürgerlichen Rechts, Band 2, 1957, von Duncker & Humbolt, Berlin von Zimmermann, Georg, Die Einwilligung im Internet, 2014, epubli GmbH, Berlin Vulin, Danica, Ist das deutsche datenschutzrechtliche Schriftformerfordernis zu viel des Guten?, ZD 2012, S. 414–418 Wagner, Heinz, Die Rechtmäßigkeit der Amtsausübung, JuS 1975, S. 224–228 Wandtke, Artur-Axel, Doppelte Lizenzgebühr im Urheberrecht als Modell für den Vermögensschaden von Persönlichkeitsrechtsverletzungen im Internet?, GRUR 2000, S. 942–949 Ders., Ökonomischer Wert von persönlichen Daten – Diskussion des „Warencharakters“ von Daten aus persönlichkeits- und urheberrechtlicher Sicht, MMR 2017, S. 6 –12 Weber, Rolf H., Persönlichkeit als Immaterialgut?, in: Kramer, Ernst A./Honsell, Heinrich (Hrsg.), Privatrecht und Methode, Festschrift für Ernst A. Kramer, 2004, Helbing & Lichtenhahn, Basel Weber, Rolf H./Sommerhalder, Markus, Das Recht der personenbezogenen Information, 2007, Schulthess; Nomos, Zürich, Baden-Baden Weichert, Thilo, Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung, NJW 2001, S. 1463–1469 Weiler, Frank, Spamming – Wandel des europäischen Rechtsrahmens, MMR 2003, S. 223–229 Welser, Rudolf/Jud, Brigitta, Die neue Gewährleistung – Kurzkommentar zu sämtlichen gewährleistungsrechtlichen Bestimmungen des ABGB und des KSchG, Manzsche Kurzkommentare, Stand: 01.08.2001, Manz, Wien Wendehorst, Christiane, Die Digitalisierung und das BGB, NJW 2016, S. 2609–2613 Wermeling, Amédéo/Schweri, Daniel, Teilrevision des Eidgenössischen Datenschutzrechts – Es nützt nicht viel, schadet es was?, Jusletter, 03.03.2008, S. 1–12 Widmer, Esther, Missbräuchliche Geschäftsbedingungen nach Art. 8 UWG – Unter besonderer Berücksichtigung der Allgemeinen Geschäftsbedingungen von Banken, 2015, Dike, Zürich Wieacker, Franz, Leistungshandlung und Leistungserfolg im bürgerlichen Schuldrecht, in: Dietz, Rolf/Hübner, Heinz (Hrsg.), Festschrift für Carl Nipperdey zum 70. Geburtstag 1965, C. H. Beck, München Wiebe, Andreas, Datenschutz in Zeit von Web 2.0 und BIG DATA – dem Untergang geweiht oder auf dem Weg zum Immaterialgüterrecht, ZIR 2014, S. 35–60 Wiedmann, Thomas, Die Anwendung des europäischen Rechts – Unmittelbare Anwendbarkeit – Anwendungsvorrang – Rechtsfolgen, in: Gebauer, Martin/Wiedmann, Thomas (Hrsg.), Zivilrecht unter europäischem Einfluss, 2010, Boorberg, Stuttgart
250
Literaturverzeichnis
Wiegand, Wolfgang, Arzt und Recht, 1985, Stämpfli, Bern Winkler, Günther, Rechtsfragen der Bildung eines Klubs im Nationalrat, JBl 1993, S. 279–292 Wohlgemuth, Hans H./Gerloff, Jürgen, Datenschutzrecht – Eine Einführung mit praktischen Fällen, 3. Aufl. 2005, Luchterhand, München Wolf, Manfred/Lindacher, Walter F./Pfeiffer, Thomas, AGB-Recht – Kommentar, 5. Aufl. 2009, C. H. Beck, München Wolff, Heinrich Amadeus/Brink, Stefan, Datenschutzrecht in Bund und Ländern, 2013, C. H. Beck, München Wuermeling, Ulrich, Handelshemmnis Datenschutz – Die Drittländerregelung der Europäischen Datenschutzrichtlinie, Ius informationis, Band 14, 2000, Heymann, Köln Zeder, Marianne, Haftungsbefreiung durch Einwilligung des Geschädigten – Eine rechtsvergleichende Betrachtung unter Einschluss des Handelns auf eigene Gefahr im Bereich des Sports, Schriftenreihe zum Obligationenrecht, Band 62, 1999, Schulthess, Zürich Zilkens, Martin, Europäisches Datenschutzrecht – Ein Überblick, RDV 2007, S. 196–201 Zitelmann, Ernst, Ausschluß der Widerruflichkeit, AcP 1906, S. 1–130 Zscherpe, Kerstin A., Anforderungen an die datenschutzrechtliche Einwilligung im Internet, MMR 2004, S. 723–727 Zweigert, Konrad/Kötz, Hein, Einführung in die Rechtsvergleichung auf dem Gebiete des Privatrechts, 3. Aufl. 1996, Mohr Siebeck, Tübingen
Sachregister Abhängigkeitsverhältnisse 75, 81, 87, 134, 145, 229 Abstraktionsprinzip 150, 163 ff., 180 f., 230 Adresshandel 56, 61 f., 77, 87, 131, 229 Allgemeine Geschäftsbedingungen (AGB) 43, 57, 80 f., 183 ff., 232 ff. – Anwendbarkeit 202 ff., 222, 233 – Einbeziehung 187, 188 ff., 193, 204 ff., 232 – Inhaltskontrolle 185, 187, 194, 195 ff., 205 f., 208 ff., 218, 221 ff., 233 ff. – Überraschungssituationen 193 ff., 218 Bilaterale Abkommen 21 f. Datenschutzgrundrecht 13 ff. Datenschutzgrundverordnung 2016/679 17, 19, 21, 48, 52, 83, 91, 119, 136, 145, 208 Datenschutzkommission 34, 57, 76, 80, 87, 106, 134 Datenschutzkontrolle 33 ff. Datenschutzrichtlinie 95/46/EG 17 f., 19 f., 21 ff., 33, 37 ff., 42, 44 f., 48, 53 f., 56, 59, 69, 72 ff., 83 f., 86, 88, 90, 99 f., 208, 226 ff. Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG 17 f., 21, 25, 66, 68, 226 Dauerschuldverhältnis 118, 120, 129 f., 139, 145, 169, 229 dolo agit 127 Dublin-Assoziierungsabkommen 24 ff., 226 Durchsetzbarkeit 125, 127, 138, 144 Einwilligung – Abgabe 45 ff., 61, 71, 80 ff., 87, 98, 104, 108, 135, 203, 227 – Autonomie 73, 86, 228
– elektronische 53, 61 ff., 119 – Freiwilligkeit 73 ff., 78, 80 ff., 86 f., 103, 133 ff., 145, 228 f. – Höchstpersönlichkeit 45 ff., 71 – Kenntnis der Sachlage 38 f., 83, 85, 87, 213 – konkludente 57 ff., 88 – mündliche 56 – ohne Zwang 38, 73 ff. – schlüssiges Handeln 56, 72, 227 – Schriftform 45, 47, 52 ff., 59 ff., 72, 227 – Schweigen 56, 58 ff., 71 f., 89, 227 – Rechtsnatur 37, 40 ff., 150, 226 Erfüllung 83, 97, 99 ff., 105, 107 f., 119, 123 f., 126 f., 129, 136, 139 f., 143 f., 150, 166 f., 169, 207, 210, 223, 235 Gesetzliches Verbot 110 ff. Gestattungsvertrag 148 f., 168 f., 173 ff., 180 f., 224, 230 Informationelles Selbstbestimmungsrecht 1, 27 ff., 43, 45, 47, 59, 63, 84, 92 f., 98, 103, 113, 116 ff., 128 f., 138, 147, 151 ff., 155 ff., 168, 174, 176, 179, 182, 208, 225, 231 Koppelungsverbot 76 ff., 83, 87, 104, 130 f., 133 f., 136, 145, 229 Leistung 2 f., 28, 76 ff., 83, 95 ff., 108, 110 ff., 116 ff., 123 ff., 136 ff., 142 ff., 147, 161, 165, 174, 176, 192, 195 ff., 200 f., 203, 205, 207, 209, 222 f., 225 f., 228 f., 234 – Leistungsgegenstand 97, 99, 109, 133, 145, 161 – Leistungspflicht 105, 108 ff., 113, 117, 119, 124 ff., 130 f., 133, 137 f., 144 f., 150, 165, 197, 207, 223, 228
252
Sachregister
Lizenz 116, 121 f., 131, 144, 159, 168 ff., 174 ff., 179 f. Minderjährige 43, 45, 48 ff., 71 f., 97, 150, 163 ff., 227 Nutzungsbefugnis 109, 130, 136 ff., 145, 154, 175, 180, 228 Nutzungsrecht 154, 157 f., 160 f., 169, 171 f., 175 OECD-Richtlinien 11 ff. Opt-in / Opt-out 65 ff., 206, 227 f. Persönlichkeitsrecht 8, 18, 29, 33, 35, 40, 43, 46, 48, 71, 84, 90, 93, 110, 112 f., 115 f., 118, 121 f., 128 f., 135, 138, 144, 147, 149, 151 ff., 170 ff., 204 ff., 225, 227, 230 f. – allgemeines 113, 118, 151 f., 157 f., 168, 176 – Verletzung 8, 33, 35, 115, 135, 177, 180, 182, 207, 230 Pflichtverletzung 137 f., 142 property-right 155 f. Recht am eigenen Bild 118, 149, 162, 166, 169, 177, 182, 231 Schadensersatz 35 f., 94, 123, 127, 138 ff., 146, 177, 180, 182, 229 f. Schengen-Assoziierung 4, 21 ff., 226 Schmerzensgeld 163 Schufa 84, 183, 203, 211 Stufenleiter der Gestattungen 147 f., 154 Subjektives Recht 127, 159, 168, 182 Synallagma 131, 145, 229 Trennungsprinzip 147 ff., 155, 163, 166 ff., 173, 177, 180 f., 208, 230
Übertragbarkeit 46, 50, 151 f., 155, 157 ff., 170, 173 f., 176 ff., 230 Unvollkommene Verbindlichkeit 126 Urheberpersönlichkeitsrecht 151, 161, 170 f. Verbot mit Erlaubnisvorbehalt 31 f., 107 Verfügungsgeschäft 151 f., 155, 159, 164 f., 168 f., 173, 176 Verfügungsmacht 159, 163, 168, 179, 182, 231 Verstoß gegen die guten Sitten 112 ff., 192 Vertragsfreiheit 79 f., 110 ff., 115, 134 Vollharmonisierung 20, 54, 226 Werbung 2 f., 10, 56, 61 f., 64 ff., 70 f., 77, 87, 101, 131, 190, 203, 212, 215 f., 229 Widerruf 52, 55, 61 f., 79, 81, 90 ff., 103, 110, 116 ff., 127, 137 ff., 145 f., 148, 214 ff., 228 f., 231 Widerspruchslösung 68 ff., 228 Zustimmung 7, 37 ff., 44 ff., 50, 57, 59, 64, 69, 71 f., 74 f., 79 ff., 85, 87, 89 f., 92 f., 105, 107, 120, 127, 134, 139, 145 f., 154, 168 f., 173 f., 181, 206 f., 209, 212 ff., 219, 222 f., 226, 230, 234 – Abgabe 45 ff., 48 ff., 61 ff., 71, 80, 87, 108, 227 – Autonomie 73, 86, 228 – elektronische 60 ff. – Höchstpersönlichkeit 45 ff., 71 – Kenntnis der Sachlage 38 f., 83, 85, 87, 213 – konkludente 57 ff., 88 – mündliche 56 – ohne Zwang 38, 73 ff. – schlüssiges Handeln 57 – Schriftform 52, 72, 227 – Schweigen 56, 58 ff., 71 f., 89, 227 – Rechtsnatur 37, 41 f., 44 f., 226 Zwangsvollstreckung 126, 128, 159