117 64 4MB
German Pages 434 Year 2022
Internetrecht und Digitale Gesellschaft Band 33
Personenbezogene Daten als Gegenleistung Ein Beitrag zur rechtlichen Einordnung datengetriebener Austauschverhältnisse
Von
Andreas Scheibenpflug
Duncker & Humblot · Berlin
ANDREAS SCHEIBENPFLUG
Personenbezogene Daten als Gegenleistung
Internetrecht und Digitale Gesellschaft Herausgegeben von
Dirk Heckmann
Band 33
Personenbezogene Daten als Gegenleistung Ein Beitrag zur rechtlichen Einordnung datengetriebener Austauschverhältnisse
Von
Andreas Scheibenpflug
Duncker & Humblot · Berlin
Die Juristische Fakultät der Universität Passau hat diese Arbeit im Jahr 2021 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
D 739 Alle Rechte vorbehalten © 2022 Duncker & Humblot GmbH, Berlin Satz: TextFormA(r)t, Daniela Weiland, Göttingen Druck: CPI buchbücher.de GmbH, Birkach Printed in Germany ISSN 2363-5479 ISBN 978-3-428-18551-1 (Print) ISBN 978-3-428-58551-9 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de
Vorwort Die vorliegende Arbeit entstand während meiner Tätigkeit als wissenschaftlicher Mitarbeiter am Lehrstuhl für Bürgerliches Recht, Internationales Privatrecht und Rechtsvergleichung an der Universität Passau und wurde im Mai 2021 bei der Juristischen Fakultät der Universität Passau als Doktorarbeit eingereicht. Literatur und Rechtsprechung wurden bis zu diesem Zeitpunkt berücksichtigt. Besonders möchte ich an dieser Stelle meinem Doktorvater, Herrn Professor Dr. Dennis Solomon, für die Betreuung meiner Arbeit danken. Sowohl bei der Themenfindung als auch bei der Untersuchung der Thematik stand er mir stets beratend mit konstruktiven Anmerkungen und wertvollen Hinweisen zur Seite. Herrn Professor Dr. Thomas Riehm danke ich für seine Hilfe bei der Präzisierung des Untersuchungsthemas und für die Erstellung des Zweitgutachtens. Mein besonderer Dank gilt der Studienstiftung des deutschen Volkes für die finanzielle und ideelle Förderung, die mir als Stipendiat und Promotionsstipendiat zuteil wurde. Gewidmet ist diese Arbeit meinen Eltern, meinen Brüdern und meinen Freunden, die mich während der Promotion begleitet und mich mit dem Lesen des Manuskripts unterstützt haben. Hierfür bedanke ich mich herzlichst. Frankfurt, im Dezember 2021
Andreas Scheibenpflug
Inhaltsübersicht Teil 1
Einführung in die Thematik 25
§ 1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 § 2 Problemaufriss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 § 3 Gang der Untersuchung und Methodik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 § 4 Eingrenzung des Untersuchungsgegenstands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 § 5 Begriffsbestimmung wesentlicher Merkmale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Teil 2
Rahmenbedingungen der Austauschverhältnisse 40
§ 6 Wirtschaftliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 § 7 Technische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 § 8 Rechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
Teil 3
Die Einordnung der Austauschverhältnisse 156
§ 9 Vertragstypologie datengetriebener Austauschverhältnisse . . . . . . . . . . . . . . . . . . . 156 § 10 Qualifizierung der Austauschverhältnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 § 11 Erkenntnisse zur vertragstypologischen Einordnung . . . . . . . . . . . . . . . . . . . . . . . . 291
Teil 4
Konsequenzen der rechtlichen Qualifizierung 293
§ 12 Allgemeine Aspekte der Leistungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 § 13 Inhalt der datenbasierten Leistungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 § 14 Leistungsstörungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 § 15 Schranken der Vertragsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 § 16 Der Datenwert als ungerechtfertigte Bereicherung . . . . . . . . . . . . . . . . . . . . . . . . . . 378
8
Inhaltsübersicht Teil 5
Schlussbetrachtungen 392 § 17 Zusammenfassung der Ergebnisse der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 § 18 Befund der rechtlichen Qualifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 § 19 Kodifikationsbedarf und Ausblick de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Inhaltsverzeichnis Teil 1
Einführung in die Thematik 25
§ 1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 § 2 Problemaufriss . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 § 3 Gang der Untersuchung und Methodik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 § 4 Eingrenzung des Untersuchungsgegenstands . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 § 5 Begriffsbestimmung wesentlicher Merkmale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 A. Der Datenbegriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 I.
Information als Verringerung von Unbestimmtheit . . . . . . . . . . . . . . . . . . . 31
II. Information und Bedeutung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 III. Unterscheidbare Informationsebenen innerhalb von Daten . . . . . . . . . . . . 33 1. Strukturelle Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 2. Syntaktische Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 3. Semantische Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 IV. Speicherung, Verarbeitung und Erzeugung von Information . . . . . . . . . . . 35 V. Daten als maschinenlesbar codierte Information . . . . . . . . . . . . . . . . . . . . . 35 VI. Der juristische Datenbegriff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 B. Softwareüberlassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 C. Stationäre und mobile Endgeräte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Teil 2
Rahmenbedingungen der Austauschverhältnisse 40
§ 6 Wirtschaftliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 A. Personenbezogene Daten als Wirtschaftsgut . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 I.
Anfänge der Kommerzialisierung personenbezogener Daten . . . . . . . . . . . 41
II. Digitalisierung des Alltags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 III. Das Datensubjekt als Kunde und Rohstoffquelle . . . . . . . . . . . . . . . . . . . . 45 IV. Ökonomie der Privatsphäre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 1. Thesen der Chicago School . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 2. Aufkommen der elektronischen Datenverarbeitung . . . . . . . . . . . . . . . . 49
10
Inhaltsverzeichnis 3. Beginn des digitalen Zeitalters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 B. Geschäftsmodelle datengetriebener Austauschgeschäfte . . . . . . . . . . . . . . . . . . 51 I.
Personalisierte Online-Werbung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 1. Geschäftsmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 2. Akteure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 a) Werbetreibende . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 b) Werbeträger und Vermarkter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 3. Ablauf der Schaltung personalisierter Werbung . . . . . . . . . . . . . . . . . . . 54
II. Suchmaschinenmarketing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 1. Geschäftsmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 2. Akteure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 3. Ablauf der Werbeausspielung auf Suchmaschinen . . . . . . . . . . . . . . . . 57 III. Soziale Netzwerke und Medien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 1. Geschäftsmodell und Akteure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 2. Werbeschaltung in sozialen Medien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 IV. Telematik-Tarife . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 1. Geschäftsmodell und Akteure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 2. Ablauf der Datenerfassung und der Prämienberechnung . . . . . . . . . . . . 60 V. Resümee zu den wirtschaftlichen Rahmenbedingungen . . . . . . . . . . . . . . . 61 § 7 Technische Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 A. Übermittlung personenbezogener Daten im Internet . . . . . . . . . . . . . . . . . . . . . . 62 I.
Datenerzeugung in informationstechnologischen Systemen . . . . . . . . . . . . 62
II. Beteiligte informationstechnologische Systeme . . . . . . . . . . . . . . . . . . . . . 63 III. Die Verknüpfung von Endgeräten im Internet . . . . . . . . . . . . . . . . . . . . . . . 64 IV. Ablauf der Datenübermittlung über Netzwerkprotokolle . . . . . . . . . . . . . . 65 V. Übertragung auf das Untersuchungsmodell . . . . . . . . . . . . . . . . . . . . . . . . 67 B. Methoden der Datenerhebung und Datenverarbeitung . . . . . . . . . . . . . . . . . . . . 67 I.
Digital Analytics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 1. Logdateien-Analyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 2. Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 3. Zählpixel, JavaScript und Fingerprints . . . . . . . . . . . . . . . . . . . . . . . . . . 71 4. Netzwerkprotokollanalyse oder Data-Sniffing-Technologien . . . . . . . . 73 5. Mobile Advertising IDs (MAIDs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
II. Eingebettete Systeme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 1. In mobile Endgeräte eingebaute Sensorik . . . . . . . . . . . . . . . . . . . . . . . 74 2. Technologien zur Ortung des Datensubjekts . . . . . . . . . . . . . . . . . . . . . 76 3. Datenverarbeitung im Rahmen von Telematik-Tarifen . . . . . . . . . . . . . 78 III. Resümee zu den Methoden der Datenerhebung und -verarbeitung . . . . . . . 79
Inhaltsverzeichnis
11
§ 8 Rechtliche Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 A. Verfassungs- und europarechtlicher Rahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 I.
Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 1. Europarechtlicher Rahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 a) Primärrechtliche Quellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 b) Sekundärrechtliche Quellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 2. Quellen des Datenschutzes im Grundgesetz . . . . . . . . . . . . . . . . . . . . . 83
II. Das Austauschverhältnis ausgestaltende Grundrechtspositionen . . . . . . . . 83 1. Grundrechtspositionen des Datensubjekts . . . . . . . . . . . . . . . . . . . . . . . 84 a) Das Grundrecht auf informationelle Selbstbestimmung . . . . . . . . . . 84 b) Personenbezogene Daten als Eigentum . . . . . . . . . . . . . . . . . . . . . . 87 aa) Rechtsstellung an der strukturellen Informationsebene . . . . . . . 88 bb) Rechtsstellung an der syntaktischen Informationsebene . . . . . . 89 cc) Rechtsstellung an der semantischen Informationsebene . . . . . . 91 c) Allgemeine Handlungsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 d) Grundrechtliche Grenzen von Telematik-Versicherungen . . . . . . . . 94 2. Grundrechtspositionen der datenverarbeitenden Partei . . . . . . . . . . . . . 95 a) Informationsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 b) Berufsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 c) Kein Eigentumsrecht an personenbezogenen Daten . . . . . . . . . . . . . 97 d) Allgemeine Handlungsfreiheit nach Art. 2 Abs. 1 GG . . . . . . . . . . . 98 III. Resümee zum verfassungs- und europarechtlichen Rahmen . . . . . . . . . . . . 99 B. Vertragsrechtlicher Rahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 I.
Daten in zivilrechtlichen Rechtsverhältnissen . . . . . . . . . . . . . . . . . . . . . . . 100 1. Personenbezogene Daten als Gegenstand und Immaterialgut . . . . . . . . 100 2. Daten als Vertrags- und Leistungsgegenstand . . . . . . . . . . . . . . . . . . . . 101 3. Die datenschutzrechtliche Einwilligung im Zivilrecht . . . . . . . . . . . . . 104 4. Das zivilrechtliche allgemeine Persönlichkeitsrecht . . . . . . . . . . . . . . . 108
II. Besonderheiten des Urheber- und Versicherungsvertragsrechts . . . . . . . . . 110 1. Urheberrechtliche Besonderheiten der Softwareüberlassung . . . . . . . . . 110 a) Software als Immaterialgut nach dem Urheberrecht . . . . . . . . . . . . . 110 b) Urhebervertragliches Fundament . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 c) Konsequenzen für das Austauschverhältnis . . . . . . . . . . . . . . . . . . . 112 2. Versicherungsvertragliche Besonderheiten der Telematik . . . . . . . . . . . 113 a) Rechtliche Rahmenbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 aa) Zulässigkeit nach Versicherungszweigen . . . . . . . . . . . . . . . . . . 114 bb) Voraussetzungen und Folgen von Gefahrerhöhungen . . . . . . . . 115 b) Einfluss des VVG auf die vertragliche Ausgestaltung . . . . . . . . . . . 116
12
Inhaltsverzeichnis C. Datenschutzrechtlicher Rahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 I.
Zur Geschichte des europäischen Sekundärrechts . . . . . . . . . . . . . . . . . . . . 117
II. Umsetzung des europäischen Datenschutzrechts in Deutschland . . . . . . . . 118 III. Rahmenbedingungen der DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 1. Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 2. Personenbezogene Daten nach der DSGVO . . . . . . . . . . . . . . . . . . . . . 121 a) Identifizierte oder identifizierbare natürliche Person . . . . . . . . . . . . 121 b) Relativer oder absoluter Personenbezug . . . . . . . . . . . . . . . . . . . . . . 122 aa) Streitstand vor Einführung der DSGVO . . . . . . . . . . . . . . . . . . . 122 bb) Streitstand nach Einführung der DSGVO . . . . . . . . . . . . . . . . . 124 3. Wesentliche Datenkategorien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 a) Besondere personenbezogene Daten nach Art. 9 DSGVO . . . . . . . . 126 b) Sach- und Geodaten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 c) Pseudonymisierte Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 d) Anonymisierte Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 e) Personenbezug statischer und dynamischer IP-Adressen . . . . . . . . . 128 IV. Relevanz des Datenschutzrechts für das Austauschverhältnis . . . . . . . . . . . 129 V. Anforderungen an die datenschutzrechtliche Einwilligung . . . . . . . . . . . . . 130 1. Eindeutig bestätigende Handlung der betroffenen Person . . . . . . . . . . . 131 2. Bestimmtheit der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 3. Informiertheit des Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 4. Freiwilligkeit der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 5. Form der Einwilligung und formularmäßige Einwilligungen . . . . . . . . 135 VI. Kopplungsverbot nach Art. 7 Abs. 4 DSGVO . . . . . . . . . . . . . . . . . . . . . . . 136 1. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 2. Anwendung auf datengetriebene Austauschgeschäfte . . . . . . . . . . . . . . 137 VII. Widerruflichkeit der Einwilligung nach Art. 7 Abs. 3 DSGVO . . . . . . . . . . 141 1. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 2. Bedenken gegen die Uneinschränkbarkeit des Widerrufsrechts . . . . . . 143 3. Vorschläge zur Einschränkung des Widerrufsrechts . . . . . . . . . . . . . . . 145 a) Uneinschränkbarkeit des Widerrufsrechts . . . . . . . . . . . . . . . . . . . . 145 b) Einschränkbarkeit oder Ausschluss des Widerrufsrechts . . . . . . . . . 147 aa) Übersicht zum Meinungsstand . . . . . . . . . . . . . . . . . . . . . . . . . . 147 bb) Relevanz schützenswerter Datenverarbeitungsinteressen? . . . . . 149 c) Teleologische Reduzierung von Art. 7 Abs. 3 S. 1 DSGVO . . . . . . . 151 4. De lege lata: Uneinschränkbarkeit des Widerrufsrechts . . . . . . . . . . . . 153
Inhaltsverzeichnis
13
Teil 3
Die Einordnung der Austauschverhältnisse 156
§ 9 Vertragstypologie datengetriebener Austauschverhältnisse . . . . . . . . . . . . . . . . . . . 156 A. Einleitung und historischer Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 B. Grundlagen der Vertragstypologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 C. Notwendigkeit einer vertragstypologischen Einordnung . . . . . . . . . . . . . . . . . . 159 D. Das System der Vertragstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 I.
Typische und atypische Verträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
II. Kriterien der Qualifikation als gesetzlicher Vertragstypus . . . . . . . . . . . . . 162 E. Zur rechtlichen Behandlung atypischer Verträge . . . . . . . . . . . . . . . . . . . . . . . . . 162 I.
Theorien zur Rechtsnaturbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
II. Vorzüge eines faktisch teleologischen Vorgehens . . . . . . . . . . . . . . . . . . . . 163 § 10 Qualifizierung der Austauschverhältnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 A. Bestimmung der Einordnungskriterien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 I.
Zwecksetzung der Vertragsparteien und typische Interessenlage . . . . . . . . 165 1. Ausgangskonstellation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 2. Ausgestaltung datengetriebener Austauschgeschäfte . . . . . . . . . . . . . . . 166 a) Die Geschäftsbedingungen zur Google-Suche . . . . . . . . . . . . . . . . . 167 aa) Google-Nutzungsbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . 167 bb) Google-Datenschutzerklärung . . . . . . . . . . . . . . . . . . . . . . . . . . 168 b) Benutzung des sozialen Netzwerks von Facebook . . . . . . . . . . . . . . 170 aa) Facebook Nutzungsbedingungen . . . . . . . . . . . . . . . . . . . . . . . . 170 bb) Facebook-Datenrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 c) Allianz BonusDrive-Versicherung . . . . . . . . . . . . . . . . . . . . . . . . . . 171 d) Erkenntnisse aus der Gestaltung der Geschäftsbedingungen . . . . . . 172 3. Typische Interessenlage der Vertragsparteien . . . . . . . . . . . . . . . . . . . . . 173 a) Wesentliche Anbieterinteressen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 aa) Erhebung und Verarbeitung von personenbezogenen Daten . . . 175 bb) Richtigkeit der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 cc) Rechtmäßigkeit der Datenverarbeitung . . . . . . . . . . . . . . . . . . . 178 b) Wesentliche Interessen der Datensubjekte . . . . . . . . . . . . . . . . . . . . 179 aa) Erlangung der Anbieterleistung . . . . . . . . . . . . . . . . . . . . . . . . . 179 bb) Personalisierung von Werbung und Angeboten? . . . . . . . . . . . . 180 cc) Unentgeltlichkeit der Anbieterleistung? . . . . . . . . . . . . . . . . . . . 181 4. Relevanz und Einfluss des Privacy Paradox . . . . . . . . . . . . . . . . . . . . . 182 5. Resümee zu Interessen und Zwecksetzung . . . . . . . . . . . . . . . . . . . . . . 186
14
Inhaltsverzeichnis a) Interessen auf Seiten der Anbieter . . . . . . . . . . . . . . . . . . . . . . . . . . 186 b) Interessen auf Seiten der Datensubjekte . . . . . . . . . . . . . . . . . . . . . . 186 II. Ausgangspunkt der rechtlichen Bewertung . . . . . . . . . . . . . . . . . . . . . . . . . 187 1. Kein Vorliegen eines Gefälligkeitsverhältnisses . . . . . . . . . . . . . . . . . . . 187 2. Nutzungsbedingungen und Datenschutzerklärung als AGB . . . . . . . . . 190 3. Zustandekommen der Vertragsverhältnisse . . . . . . . . . . . . . . . . . . . . . . 191 III. Prägende Merkmale datengetriebener Austauschverhältnisse . . . . . . . . . . . 192 1. Beliebigkeit der Anbieterleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 2. Die Leistung des Datensubjekts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 a) Grundlagen und Konzeption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 b) Meinungsstand in Literatur und Rechtsprechung . . . . . . . . . . . . . . . 195 aa) Die bloße Datenübermittlung als Gegenleistung . . . . . . . . . . . . 197 bb) Die Ansicht von Linardatos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 cc) Die Einwilligung als Kern der Gegenleistung . . . . . . . . . . . . . . 199 dd) Vorzugswürdigkeit des Abstellens auf die Einwilligung . . . . . . 201 c) Dauerschuldcharakter der Leistungspflichten . . . . . . . . . . . . . . . . . 204 d) Resümee zur Leistung des Datensubjekts . . . . . . . . . . . . . . . . . . . . . 205 IV. Entgeltlichkeit datengetriebener Austauschverhältnisse . . . . . . . . . . . . . . . 206 1. Daten als Zahlungsgegenstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 2. Voraussetzungen der Entgeltlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 3. Bedeutung der Entgeltlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 4. Anwendung auf datengetriebene Austauschgeschäfte . . . . . . . . . . . . . . 210 a) Objektive Unentgeltlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 aa) Die Überlassung von Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 bb) Die datenschutzrechtliche Einwilligung . . . . . . . . . . . . . . . . . . . 212 cc) Die Möglichkeit einer Kommerzialisierung . . . . . . . . . . . . . . . . 212 b) Subjektive Unentgeltlichkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 aa) Meinungsstand in der Rechtswissenschaft . . . . . . . . . . . . . . . . . 213 bb) Unbeachtlichkeit einer (kommerziellen) Datenpreisgabe . . . . . 214 cc) Würdigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 5. Gegenleistungscharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 a) Vertragserfüllung und vorvertragliche Maßnahmen (lit. b) . . . . . . . . 219 aa) Zweck und Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . 219 bb) Relevanz für datengetriebene Austauschgeschäfte . . . . . . . . . . . 220 cc) Restriktive Auslegung des Erforderlichkeitskriteriums . . . . . . . 222 b) Erfüllung einer rechtlichen Verpflichtung (lit. c) . . . . . . . . . . . . . . . 226 aa) Untauglichkeit als Rechtsgrundlage im Ausgangspunkt . . . . . . 226 bb) Legitimierung über Art. 6 Abs. 2, Abs. 3 DSGVO . . . . . . . . . . . 226
Inhaltsverzeichnis
15
cc) Legitimierung über Art. 6 Abs. 4 DSGVO . . . . . . . . . . . . . . . . . 229 c) Wahrung berechtigter Interessen (lit. f) . . . . . . . . . . . . . . . . . . . . . . . 230 aa) Zwecksetzung von Art. 6 Abs. 1 lit. f DSGVO . . . . . . . . . . . . . . 230 bb) Rechtliche Vorgaben der Interessenabwägung . . . . . . . . . . . . . . 231 cc) Relevanz innerhalb datengetriebener Austauschgeschäfte . . . . . 233 d) Resümee zum Gegenleistungscharakter der Datenpreisgabe . . . . . . 235 6. Verknüpfung der Leistungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 a) Synallagmatische Verknüpfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 b) Konditionale Verknüpfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 c) Kausale Verknüpfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 7. Verknüpfungsform datengetriebener Austauschverhältnisse . . . . . . . . . 240 a) Grundsätzliche Ablehnung einer kausalen Verknüpfung . . . . . . . . . 240 b) Synallagmatische oder konditionale Verknüpfung . . . . . . . . . . . . . . 241 aa) Das Synallagma als etablierte Literaturmeinung . . . . . . . . . . . . 243 bb) Irrelevanz des Einwands der fehlenden Durchsetzbarkeit . . . . . 244 cc) Das konditionale Verknüpfungsmodell Hackers . . . . . . . . . . . . 246 c) Würdigung der Streitfrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 8. Ergebnisse der Untersuchung der Entgeltlichkeit . . . . . . . . . . . . . . . . . 251 V. Dogmatische Grundstruktur der Datenpreisgabe . . . . . . . . . . . . . . . . . . . . 252 1. Die Pflicht zur Einwilligungserteilung . . . . . . . . . . . . . . . . . . . . . . . . . . 253 a) Behaltensgrund und Leistensollen des Datensubjekts . . . . . . . . . . . 253 b) Eingeschränkte Durchsetzbarkeit der Leistungspflicht . . . . . . . . . . 254 aa) Unzulässigkeit der Leistungsdurchsetzung durch Rechtszwang 254 bb) Anwendbarkeit der Einrede des nichterfüllten Vertrags . . . . . . . 255 c) Erkenntnisse zur dogmatischen Grundstruktur . . . . . . . . . . . . . . . . 259 2. Die Pflicht zur Datenüberlassung zu kommerziellen Zwecken . . . . . . . 260 3. Die Überlassung notwendiger Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 a) Obliegenheit als Regelfall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 b) Nebenleistungspflicht als Ausnahme . . . . . . . . . . . . . . . . . . . . . . . . 263 VI. Resümee zu den festgestellten Einordnungskriterien . . . . . . . . . . . . . . . . . 265 B. Konkretisierung der vertragstypologischen Einordnung . . . . . . . . . . . . . . . . . . . 266 I.
Ausgangspunkt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
II. Datengetriebene Austauschgeschäfte gegen monetäres Entgelt . . . . . . . . . 267 1. Dauerhafte und vorübergehende Überlassung von Software . . . . . . . . . 269 2. Softwarebasierte Diensterbringung über das Internet . . . . . . . . . . . . . . 270 III. Rechtliche Einordnung der datenbasierten Gegenleistung . . . . . . . . . . . . . 272 1. Einordnung als Tausch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 2. Einordnung als Naturalobligation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
16
Inhaltsverzeichnis 3. Einordnung als Obliegenheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 a) Konzeption nach Riehm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 b) Würdigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 4. Lizenzvertragliche Einordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 a) Übersicht über den Meinungsstand . . . . . . . . . . . . . . . . . . . . . . . . . . 280 b) Vorzugswürdigkeit der lizenzvertraglichen Qualifizierung . . . . . . . . 282 aa) Typenprägender Charakter der datenbasierten Gegenleistung . . 283 bb) Vorliegen eines sachgerechten Regelungsregimes . . . . . . . . . . 284 cc) Gleichlauf mit der bestehenden Rechtspraxis . . . . . . . . . . . . . . 287 IV. Auswirkungen auf die vertragstyplogische Einordnung . . . . . . . . . . . . . . . 289 V. Datenschutzrechtliche Verortung des Austauschvertrags? . . . . . . . . . . . . . . 290
§ 11 Erkenntnisse zur vertragstypologischen Einordnung . . . . . . . . . . . . . . . . . . . . . . . . 291
Teil 4
Konsequenzen der rechtlichen Qualifizierung 293
§ 12 Allgemeine Aspekte der Leistungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 A. Anwendbarkeit des Trennungs- und Abstraktionsprinzips . . . . . . . . . . . . . . . . . 294 I.
Die Verpflichtung zur Datenüberlassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
II. Die Verpflichtung zur Einwilligungserteilung . . . . . . . . . . . . . . . . . . . . . . . 295 1. Trennungsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 2. Abstraktionsprinzip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 a) Argumente gegen die Geltung des Abstraktionsprinzips . . . . . . . . . 297 b) Vorzugswürdigkeit des Abstraktionsprinzips . . . . . . . . . . . . . . . . . . 297 B. Stellvertretungs- und Minderjährigenrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 C. Besonderheiten des Verbraucherschutzrechts . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 I.
Europäische Hintergründe der Verbraucherschutzvorschriften . . . . . . . . . . 300
II. Anwendbarkeit der Verbraucherschutzvorschriften . . . . . . . . . . . . . . . . . . . 301 1. Geltende Rechtslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 2. Änderungen infolge VerbRRL n. F. und BGB-E . . . . . . . . . . . . . . . . . . 302 III. Das verbraucherrechtliche Widerrufsrecht . . . . . . . . . . . . . . . . . . . . . . . . . 304 1. Voraussetzungen des Widerrufsrechts . . . . . . . . . . . . . . . . . . . . . . . . . . 304 a) Geltende Rechtslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 b) Änderungen infolge VerbRRL n. F. und BGB-E . . . . . . . . . . . . . . . . 306 2. Rückgewähr der datenbasierten Leistung . . . . . . . . . . . . . . . . . . . . . . . . 308 a) Geltende Rechtslage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 b) Änderungen infolge VerbRRL n. F. und BGB-E . . . . . . . . . . . . . . . . 310 IV. „Button-Lösung“ nach § 312j Abs. 2, 3 BGB . . . . . . . . . . . . . . . . . . . . . . . 310
Inhaltsverzeichnis
17
V. Erweiterung von § 312a Abs. 3 BGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 § 13 Inhalt der datenbasierten Leistungspflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 A. Leistungshandlung oder Leistungserfolg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 B. Leistungszeit und Leistungsort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 C. Richtigkeit der überlassenen Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 D. Anwendbarkeit von § 243 Abs. 1 BGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 § 14 Leistungsstörungsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 A. Die Leistung des Datensubjekts betreffende Störungen . . . . . . . . . . . . . . . . . . . 320 I.
Störungen der Pflicht zur Einwilligungserteilung . . . . . . . . . . . . . . . . . . . . 321 1. Verweigerung der Einwilligungserteilung . . . . . . . . . . . . . . . . . . . . . . . 321 a) Dogmatische Umsetzung der fehlenden Erzwingbarkeit . . . . . . . . . 322 aa) Vertretene Ansichten im Schrifttum . . . . . . . . . . . . . . . . . . . . . . 322 bb) Würdigung der Ansichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 b) Der Ausschluss von Sekundäransprüchen . . . . . . . . . . . . . . . . . . . . . 325 c) Zulässigkeit der Einrede nach § 320 Abs. 1 BGB . . . . . . . . . . . . . . . 325 d) Kündigungsrecht des Anbieters und § 313 BGB . . . . . . . . . . . . . . . . 326 2. Folgen des Widerrufs der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . 326 a) Auflösende Bedingung nach § 158 Abs. 2 BGB . . . . . . . . . . . . . . . . 327 b) Kündigungsrecht des Anbieters . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 c) Vertragsbeendigung durch das Datensubjekt . . . . . . . . . . . . . . . . . . 330 d) Störung der Geschäftsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 e) Nichtigkeit nach § 139 BGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332
II. Pflicht zur Datenüberlassung zu Kommerzialisierungszwecken . . . . . . . . . 333 1. Verweigerung der Datenüberlassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 2. Vertragswidrigkeit der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 III. Die Überlassung notwendiger Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 B. Auswirkungen von Störungen der Anbieterleistung . . . . . . . . . . . . . . . . . . . . . . 337 I.
Unmöglichkeit der Leistungserbringung durch den Anbieter . . . . . . . . . . . 338
II. Die Sekundärrechte nach der DIRL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 1. Ziel und Anwendungsbereich der Richtlinie . . . . . . . . . . . . . . . . . . . . . 339 2. Relevanz der Richtlinie für die datenbasierte Leistung . . . . . . . . . . . . . 340 a) Rechtsbehelfe des Verbrauchers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 b) Folgen der Vertragsbeendigung durch den Verbraucher . . . . . . . . . . 342 c) Umsetzung der DIRL durch den BGB-E . . . . . . . . . . . . . . . . . . . . . 343 aa) Anwendungsbereich und Regelungsinhalt . . . . . . . . . . . . . . . . . 343 bb) Bedeutung des BGB-E für die datenbasierte Leistung . . . . . . . . 344 cc) Kritik und Modifizierungsbedarf betreffend § 327q BGB-E . . . 347
18
Inhaltsverzeichnis
§ 15 Schranken der Vertragsfreiheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 A. Verstoß gegen ein gesetzliches Verbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 I.
Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
II. Anwendung auf datengetriebene Austauschverhältnisse . . . . . . . . . . . . . . . 351 B. Verstoß gegen die guten Sitten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 I.
Missbilligung der Kommerzialisierung von Daten . . . . . . . . . . . . . . . . . . . 358
II. Ausnutzen von Vormachtstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 III. Missverhältnis zwischen Leistung und Gegenleistung . . . . . . . . . . . . . . . . 360 IV. Konsequenzen der Sittenwidrigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 C. Das Recht der Allgemeinen Geschäftsbedingungen . . . . . . . . . . . . . . . . . . . . . . 363 I.
Anwendbarkeit des AGB-Rechts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
II. Einbeziehung von Klauseln in das Vertragsverhältnis . . . . . . . . . . . . . . . . . 364 III. Überraschende und mehrdeutige Klauseln . . . . . . . . . . . . . . . . . . . . . . . . . 365 IV. Kontrollfähigkeit der formularmäßigen Leistungspflichten . . . . . . . . . . . . 366 1. Ergänzung der oder Abweichung von der bestehenden Rechtslage . . . . 366 2. Leistungsbeschreibung und Preisvereinbarung . . . . . . . . . . . . . . . . . . . 368 a) Kontrollfestigkeit der datenbasierten Leistungspflichten . . . . . . . . . 368 b) Kontrollfähigkeit ergänzender Regelungen . . . . . . . . . . . . . . . . . . . 370 V. Inhaltskontrolle ergänzender Regelungen . . . . . . . . . . . . . . . . . . . . . . . . . 371 VI. Transparenzkontrolle der datenbasierten Leistungspflichten . . . . . . . . . . . 374 VII. Rechtsfolgen und UKlaG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 § 16 Der Datenwert als ungerechtfertigte Bereicherung . . . . . . . . . . . . . . . . . . . . . . . . . . 378 A. Kondiktion der datenbasierten Leistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 I.
Anforderungen der Leistungskondiktion . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
II. Anforderungen der Eingriffskondiktion . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 III. Anforderungen der condictio ob rem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383 B. Gegenstand und Umfang des Bereicherungsanspruchs . . . . . . . . . . . . . . . . . . . . 383 I.
Grundlagen des Wertersatzanspruchs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
II. Bemessung der Höhe des Wertersatzanspruchs . . . . . . . . . . . . . . . . . . . . . . 385 C. Der objektive Nutzungswert personenbezogener Daten . . . . . . . . . . . . . . . . . . . 386 I.
Ausgangspunkt der Wertbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
II. Bewertung der datenbasierten Leistung im konkreten Fall . . . . . . . . . . . . . 389
Inhaltsverzeichnis
19
Teil 5 Schlussbetrachtungen 392 § 17 Zusammenfassung der Ergebnisse der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 § 18 Befund der rechtlichen Qualifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 § 19 Kodifikationsbedarf und Ausblick de lege ferenda . . . . . . . . . . . . . . . . . . . . . . . . . . 410
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Abkürzungsverzeichnis A. A. Andere(r) Ansicht a. E. am Ende a. F. alte Fassung ABl. Amtsblatt der Europäischen Union AcP Archiv für die civilistische Praxis AEUV Vertrag über die Arbeitsweise der Europäischen Union AG Amtsgericht AGB Allgemeine Geschäftsbedingungen Anm. Anmerkung Art. Artikel ASP Application Service Providing Aufl. Auflage B2B Business-to-Business BB Betriebs-Berater BDSG Bundesdatenschutzgesetz BeckOGK beck-online.GROSSKOMMENTAR Beck’scher Online-Kommentar BeckOK BeckRS Beck-Rechtsprechung BGB Bürgerliches Gesetzbuch BGB-E Bürgerliches Gesetzbuch in der Fassung des Regierungsentwurfs vom 13. 01. 2021 BGBl. Bundesgesetzblatt BGH Bundesgerichtshof BGHZ Entscheidungen des Bundesgerichtshofes in Zivilsachen BReg Bundesregierung BT-Drucks. Drucksache des deutschen Bundestags BVerfG Bundesverfassungsgericht BVerfGE Entscheidungen des Bundesverfassungsgerichts bzw. beziehungsweise C2C Consumer-to-Consumer CD Compact Disc Christlich Demokratische Union CDU Computer und Recht CR Datenschutz-RL Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Deutscher Datenschutzrat Online-Werbung DDOW DIN Deutsches Institut für Normung DIRL Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte DSGVO Datenschutzgrundverordnung DSP Demand-Side-Plattform
Abkürzungsverzeichnis
21
Datenschutz und Datensicherheit edition / Edition Einführungsgesetz zum Bürgerlichen Gesetzbuche Einführungsgesetz zum Bürgerlichen Gesetzbuche in der Fassung des Regierungsentwurfs vom 13. 01. 2021 EGMR Europäischer Gerichtshof für Menschenrechte Einl. Einleitung EL Ergänzungslieferung Europäische Menschenrechtskonvention EMRK Electronic Product Code EPC ePrivacy-RL ePrivacy-Richtlinie ePrivacy-VO ePrivacy-Verordnung Europäische Union EU Journal of European Consumer and Market Law EuCML Europäischer Gerichtshof EuGH Statistisches Amt der Europäischen Union Eurostat Vertrag über die Europäische Union EUV folgende(r / s) f. ff. fortfolgende Fn. Fußnote File Transfer Protocol FTP Google Advertising ID GAID gen. genannt Gesellschaft für Konsumforschung GfK GG Grundgesetz Zeitschrift für das Privatrecht der Europäischen Union GPR Global Positioning System GPS Gewerblicher Rechtsschutz und Urheberrecht GRUR Gewerblicher Rechtsschutz und Urheberrecht International GRUR Int. GWB Gesetz gegen Wettbewerbsbeschränkungen herrschende(r / n) Lehre h. L. herrschende(r / n) Meinung h. M. HMD Praxis der Wirtschaftsinformatik HMD Hrsg. Herausgeber Hs. Halbsatz Hypertext Transfer Protocol HTTP Im Sinne von i. S. v. in Verbindung mit i. V. m. Infrastructur as a Service IaaS Identifier for Advertisers IDFA Internationale Elektrotechnische Kommission IEC Institute of Electrical and Electronics Engineers Potentials Magazine IEEE Potentials International Journal of Computer Science and Network Security IJCSNS International Journal of Engineering Research and Applications IJERA International Journal of Recent Technology and Engineering IJRTE InsO Insolvenzordnung Internet Protocol IP Internationale Organisation für Normung ISO DuD ed. / Ed. EGBGB EGBGB-E
22
Abkürzungsverzeichnis
Juristische Arbeitsblätter JA Juristische Rundschau JR Juristische Ausbildung JURA Juris PraxisReport IT-Recht jurisPR-ITR JZ Juristenzeitung K&R Kommunikation & Recht KG Kammergericht Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und KUG der Photographie LG Landgericht littera (Buchstabe) lit. LEGAL REVOLUTIONary LR Mit weiteren Nachweisen m. w. N. Media Access Control MAC Mobile Advertising ID MAID Zeitschrift für IT-Recht und Recht der Digitalisierung MMR Mrd. Milliarden Neue Fassung n. F. Network and Distributed System Security Symposium NDSS NFC Near-Field-Communication Neue Juristische Wochenschrift NJW NK NomosKommentar Neue Zeitschrift für Strafrecht NStZ Neue Zeitschrift für Versicherung und Recht NVersZ Neue Zeitschrift für Kartellrecht NZKart Organisation für wirtschaftliche Zusammenarbeit und Entwicklung OECD Oberster Gerichtshof OGH OLG Oberlandesgericht PAYD Pay-as-you-drive PinG Privacy in Germany PwC PricewaterhouseCoopers Recht und Schaden r+s Recht Digital RDi Recht der Datenverarbeitung RDV RFID Radio-Frequency-Identification RG Reichsgericht Entscheidungen des Rechtsgerichts in Zivilsachen RGZ Rn. Randnummer S. Seite Software as a Service SaaS SGB Sozialgesetzbuch sīc erat scriptum sic Subscriber Identity Module SIM Simple Mail Transfer Protocol SMTP sogenannt(e / er / es) sog. SSP Supply-Side-Plattform StGB Strafgesetzbuch StPO Strafprozessordnung
Abkürzungsverzeichnis
23
Transmission Control Protocol TCP TKG Telekommunikationsgesetz TMG Telemediengesetz Transactions on Internet Technology TOIT TTDSG Telekommunikation-Telemedien-Datenschutzgesetz Uabs. Unterabsatz UKlaG Unterlassungsklagengesetz Unterlassungsklagengesetz in der Fassung des Regierungsentwurfs vom UKlaG-E 13. 01. 2021 UrhG Urheberrechtsgesetz United States-Senator US-Senator Gesetz gegen den unlauteren Wettbewerb UWG Var. Variante VerbRRL Verbraucherrechte-Richtlinie vgl. vergleiche Vor. Vorbemerkung(en) Verbraucher und Recht VuR Gesetz über den Versicherungsvertrag VVG Richtlinie über bestimmte vertragsrechtliche Aspekte des Warenkaufs Warenkauf-RL World Intellectual Property Organization WIPO Wireless Local Area Network WLAN Zum Beispiel z. B. Zeitschrift für Datenschutz ZD Zeitschrift für Europäisches Privatrecht ZEuP Zeitschrift für die gesamte Privatrechtswissenschaft ZfPW Zeitschrift für Rechtspolitik ZRP Zeitschrift für die gesamte Versicherungswissenschaft ZVersWiss
Teil 1
Einführung in die Thematik § 1 Einleitung Wozu eine umfassende Verarbeitung personenbezogener Daten führen kann, ist bereits 1983 anschaulich durch das BVerfG in seinem Volkszählungsurteil mit dem Schlagwort vom „gläsernen Menschen“ umschrieben worden.1 Infolge des informationstechnologischen Wandels in der zweiten Hälfte des zwanzigsten Jahrhunderts ist es möglich geworden, riesige Datenbestände über natürliche Personen anzuhäufen, die miteinander, bis hin zur Erstellung eines umfassenden Bildes von der jeweiligen Person, verknüpft werden können.2 Dadurch sinkt „die Schwelle der Reidentifikation“, die hinter den Daten stehende Person wird identifizierbar.3 Nach der Jahrtausendwende scheint so das vom BVerfG aufgegriffene Schreckbild weitestgehend Realität geworden zu sein.4 Nicht nur für die öffentliche Hand, auch für die Privatwirtschaft haben personenbezogene Daten immens an Bedeutung gewonnen. Infolge der erzielbaren Wertschöpfung im Bereich der Verarbeitung personenbezogener Daten konnten sich ganze Industriezweige etablieren, welche, angetrieben durch die fortschreitende Digitalisierung, auf immer größere Datenberge zugreifen können.5 In Anspielung darauf werden Daten zuweilen als das „Öl des 21. Jahrhunderts“6 oder als der „Rohstoff der Zukunft“7 bezeichnet. Während sich auf Seiten der Wirtschaftsunternehmen personenbezogene Daten fest als Wirtschaftsgut etabliert haben, ist auf Seiten der Nutzer digitaler Angebote oftmals noch ein fehlendes Bewusstsein von der Werthaltigkeit der ihnen zugeordneten persönlichen Daten zu konstatieren.8 1
BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 94. Ebenda. 3 Ebenda. 4 So auch die gegenwärtige Einschätzung des Bundesverfassungsgerichts in einer Entscheidung vom November 2019 (Recht auf Vergessen I). Vgl. BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 85. 5 OECD, Exploring the Economics of Personal Data: A Survey of Methodologies for Meas uring Monetary Value, 2013, 7. Eingehend hierzu unten S. 43 ff. 6 Dieses Zitat hat seinen Ursprung im Jahr 2006 und wurde von dem Mathematiker Clive Humby geprägt. Vgl. https://towardsdatascience.com/data-is-not-the-new-oil-bdb31f61bc2d [zuletzt geprüft am 02. 05. 2021] sowie Kelber, DuD 2020, 226. 7 So Bundeskanzlerin Angela Merkel, Rede auf dem Digitalisierungskongress der CDU, 12. 09. 2015. 8 Metzger, AcP 2016, 817, 818, 826–831, thematisiert die Rationalitätsdefizite bei Nutzern scheinbar unentgeltlicher Leistungen und fordert eine Abkehr von der Vorstellung einer 2
26
Teil 1: Einführung in die Thematik
Symptomatisch zeigt dies die von US-Senator Orrin Hatch geführte Befragung von Mark Zuckerberg, dem Gründer des sozialen Netzwerks Facebook, bei dessen Kongressanhörung im Jahr 2018: Hatch wies Zuckerberg auf dessen früher getroffene Aussage hin, wonach Facebook immer kostenlos sein werde.9 Als Reaktion auf die bestätigende Antwort von Zuckerberg warf Hatch die Frage auf, wie Zuckerberg in der Lage sei, ein Geschäftsmodell aufrechtzuerhalten, bei dem die Benutzer nicht bezahlen. Überrascht hiervon erklärte Zuckerberg ihm daraufhin, dass Facebook sich über Werbeanzeigen finanziere. Der Austausch zwischen Zuckerberg und Hatch steht exemplarisch für die Kluft zwischen der Innovationsgeschwindigkeit der Wirtschaft einerseits und der verzögerten Rezeption disruptiver Technologien und neuartiger Geschäftsmodelle durch die Gesellschaft andererseits.10 Um diese Kluft ein weiteres Stück zu schließen, soll mit der Analyse und Qualifizierung datengetriebener Austauschverhältnisse durch die vorliegende Arbeit ein Beitrag zur rechtlichen Erfassung der Folgen der Digitalisierung geleistet werden.
§ 2 Problemaufriss Die durch technische Entwicklungen in den Bereichen der Telekommunikation und Informationsverarbeitung ausgelöste Digitalisierung stellt den Gesetzgeber und die Rechtswissenschaft vor die Herausforderung, in immer kürzeren Zeitabständen moderne technologische Entwicklungen und ihre Auswirkungen sachgerecht in das Rechtssystem einzuordnen.11 Einhergehend mit dem Fortschritt in der Informationstechnologie etablierten und etablieren sich in der Wirtschaft beinahe zeitgleich Geschäftsmodelle, um diesen technischen Fortschritt kommerziell zu nutzen.12 Insbesondere durch die Digitalisierung des Alltags wurde es erheblich einfacher, Informationen zu erheben, zu sammeln, zu ordnen, zu ver„Kostenloskultur im Internet“. Vgl. auch Baumgartner / Ewald, Apps und Recht, 2. Aufl. 2016, Rn. 278–285, wonach Verstöße gegen den Datenschutz in der Praxis häufig vorkommen und eine Offenlegung der Geschäftspraxis seitens der Anbieter nur selten praktiziert wird und häufig nicht erwünscht ist. 9 https://www.washingtonpost.com/news/the-switch/wp/2018/04/10/transcript-of-markzuckerbergs-senate-hearing sowie https://www.youtube.com/watch?v=n2H8wx1aBiQ [beides zuletzt geprüft am 02. 05. 2021]. 10 Vgl. auch Grünberger, AcP 2018, 213, 214–223; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 85, 86. 11 Allgemein hierzu Martinek, Moderne Vertragstypen I, 1991, 9, 10; Bartsch, CR 2000, 3, 4. Vgl. zudem Bräutigam, MMR 2012, 635, betreffend den informationstechnologischen Fortschritt unter Bezugnahme auf soziale Netzwerke; Kirn / Müller-Hengstenberg, NJW 2017, 433, 434, im Hinblick auf das Cloud-Computing; ebenso Boehm, ZEuP 2016, 358, 359; weitere Beispiele finden sich bei Klein / Datta, CR 2016, 587; Datta / Klein, CR 2017, 174, 175; Wandtke, MMR 2017, 6. 12 Vgl. Heinemann, Der neue Online-Handel, 11. Aufl. 2020, 7 ff., 45 ff.; Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019 32–34.
§ 2 Problemaufriss
27
arbeiten und für eigene oder fremde Zwecke zu verwerten.13 Ein immer größeres Ausmaß nimmt hierbei die Verarbeitung von Informationen über Privatpersonen an.14 Typische Verwertungsfelder sind dabei unter anderem die Datenerhebung zur Produktevaluation und zur Schaltung personalisierter Werbung, zu Zwecken des Datenhandels oder zur dynamischen Bestimmung der Versicherungsprämie innerhalb von Telematik-Tarifen.15 Für die Verwertung personenbezogener Daten hat sich so ein beträchtlicher Wirtschaftszweig entwickelt, der auch Gefahren und Missbrauchspotenzial im Bereich der Erhebung und Verwertung dieser Daten in sich birgt.16 Gegenwärtig findet die Erhebung, Verarbeitung und Verwertung von Daten exponentiell wachsend im Internet statt.17 Vor allem im Bereich informationstechnologischer Endgeräte wie Computer, Smartphones oder Smartwatches konnten sich dabei Geschäftsmodelle etablieren, bei denen, anstelle eines monetären Entgeltes für digitale Inhalte, Zugriffsmöglichkeiten auf die personenbezogenen Daten der Nutzer zu Zwecken der kommerziellen Verarbeitung zu gewähren sind.18 Im Rahmen der Telematik wird dementsprechend eine Vergünstigung der zu zahlenden Versicherungsprämie auf der Basis der Analyse des individuellen Verhaltens gewährt.19 Solchen Geschäftsmodellen, wie der Preisgabe personenbezogener Daten für die Überlassung von Software, für die Rabattierung einer Versicherungsprämie oder für die Gewährung nichtmonetärer Vorteile, liegt die Problematik zugrunde, dass dabei verschiedene Rechtsbereiche betroffen sein können. Die Verflechtung der unterschiedlichen Rechtsgebiete des Datenschutzrechts, des Vertragsrechts, 13
Zur Digitalisierung und Datenerfassung durch Alltagsgegenstände wie Fahrzeuge, Unterhaltungs- und Multimediageräte oder Haushaltsgegenstände siehe Becker, JZ 2017, 170, 171. Weiterführend hierzu unten S. 43 ff. 14 Vgl. Becker, JZ 2017, 170, 171; Heuberger-Götsch, in: Fasel / Meier (Hrsg.), Big Data, 2016, 83, 84, 85. 15 Eingehend zum Begriff der Telematik und zur Funktionsweise von Telematik-Tarifen siehe unten bei Fn. 228 sowie S. 59 ff. Vgl. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 85, die Datenverarbeitung für die Erstellung von Personenprofilen, zur Produktevaluation und zur personalisierten Werbung hervorhebend; ebenso Hacker, ZfPW 2019, 148, 151, 152 sowie Baumgartner / Ewald, Apps und Recht, 2. Aufl. 2016 Rn. 280, für den Bereich der Apps; Grimm, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 47, 48–52, zur Telematik im Versicherungswesen. 16 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 314 ff., zu den Risiken des Profildiebstahls oder des Kontrollverlusts über die eigenen Daten. Zur Problematik der Preisdiskriminierung durch personalisierte Preise siehe unten bei Fn. 160. Zur Gefahr der Einflussnahme auf das Verhalten der betroffenen Person durch eine ausufernden Überwachung: Rudkowski, in: Koch / Werber et al. (Hrsg.), Der Forschung – der Lehre – der Bildung, 2016, 679, 684–686. 17 Hierzu unten S. 43 ff. Vgl. auch Europäische Kommission, Eine europäische Datenstrategie, COM(2020) 66 final, 2020, 2 ff.; Europäische Kommission, Aufbau einer Europäischen Datenwirtschaft, COM(2017) 9 final, 2017, 2 ff. 18 Eingehend hierzu unten S. 45 ff., 51 ff. 19 Weiterführend zur Telematik unten S. 59 ff., 78 f., 113 ff.
28
Teil 1: Einführung in die Thematik
des Urheberrechts sowie des Versicherungsvertragsrechts stellt eine zusätzliche Schwierigkeit der rechtlichen Erfassung dieser Geschäftsmodelle dar. Aufgrund der schnellen Entwicklung der technischen Möglichkeiten im Informationszeitalter und aufgrund der wachsenden Relevanz des Rechtsverkehrs über das Internet ist die rechtliche Behandlung von datenfinanzierten Geschäftsmodellen von erheblicher Bedeutung, jedoch rechtlich noch überwiegend unkodifiziert.20 Zu klären ist grundlegend die Einordnung der Austauschverhältnisse in die Vertragstypen des BGB.21 Anschlussfragen betreffen die Qualifizierung der Preisgabe personenbezogener Daten als vertragliche Leistungspflicht, die Bestimmung des Pflichtenprogramms der Parteien von Austauschverhältnissen, welche eine Preisgabe personenbezogener Daten vorsehen, sowie das hierauf anzuwendende Leistungsstörungsrecht. Im Folgenden werden entsprechende Geschäftsmodelle unter den Oberbegriffen „datengetriebene Geschäftsmodelle“ bzw. „datengetriebene Austauschgeschäfte“ oder „datengetriebene Austauschverhältnisse“ zusammengefasst.22
§ 3 Gang der Untersuchung und Methodik Grundlegend werden zu Beginn die faktischen Rahmenbedingungen datengetriebener Austauschgeschäfte untersucht und dargelegt. Hierfür werden die geschichtliche Entwicklung von personenbezogenen Daten als Wirtschaftsgut behandelt sowie das wirtschaftliche Umfeld, in dem sich die Rechtsgeschäfte typischerweise abspielen, untersucht. Der Fokus wird dabei auf in der Praxis bestehende und etablierte Geschäftsmodelle zur Erhebung und Verwertung von personenbezogenen Daten gelegt. Dem folgend wird die technische Abwicklung des Austausches von personenbezogenen Daten als Basis für die rechtliche Erfassung von datengetriebenen Austauschverhältnissen dargestellt. Im Bereich der rechtlichen Rahmenbedingungen wird, angesichts personenbezogener Daten als Austauschgegenstände und der zu ihrer Nutzung grundsätzlich erforderlichen datenschutzrechtlichen Einwilligung, 20 Speziell die Bereitstellung digitaler Inhalte regelnde Vorschriften existierten eine Zeit lang nur in Großbritannien und in den Niederlanden. Vgl. Wendland, GPR 2016, 8, 10; Europäische Kommission, Vorschlag für eine Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, COM(2015) 634 final, 3, 5. Zur derzeitigen Rechtslage und zu gegenwärtig im Legislativprozess befindlichen Rechtsvorhaben siehe unten S. 30 m. w. N. 21 Vgl. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 102–106. 22 Zum Begriff der „datengetriebene[n] Geschäftsmodelle“ siehe Roßnagel, DuD 2016, 561, 562. Zur Bezeichnung der Preisgabe personenbezogener Daten im Gegenzug für den Dienst eines Anbieters als „Austauschverhältnis“ siehe Metzger, AcP 2016, 817, 818. Zur Verwendung der inhaltsgleichen Begrifflichkeit des „datengetriebenen Austauschverhältnisses“ siehe Hacker, ZfPW 2019, 148, 159, 168.
§ 3 Gang der Untersuchung und Methodik
29
maßgeblich auf das Datenschutzrecht und auf dessen verfassungs- und europarechtliche Verankerung eingegangen. Infolge der verschiedenen Leistungsgegenstände werden neben dem Vertragsrecht zudem spezifische Regelungen, wie aus dem Urheberrecht für den Bereich der Softwareüberlassung oder aus dem Versicherungsvertragsrecht im Rahmen der Telematik, zur Bestimmung der sich aus dem Vertrag ergebenden Rechte und Pflichten berücksichtigt. Nach Klärung der rechtlichen, wirtschaftlichen und technischen Grundlagen datengetriebener Austauschverhältnisse wird deren Grundstruktur herausgearbeitet und versucht, diese in der Realität vorzufindenden Phänomene in die Vertragstypen des BGB einzuordnen. Neben der Einordnung in die kodifizierten Vertragstypen kommt dabei auch eine Qualifikation des Austauschverhältnisses als typengemischter Vertrag oder als Vertrag sui generis23 in Betracht.24 Mittels Verwendung einer abstrahierenden, vertragstypologischen Vorgehensweise sollen hierzu die wesentlichen Merkmale des Leistungsaustausches konkretisiert und sachgerechte Regelungen für dessen rechtliche Behandlung bestimmt werden.25 Ein Schwerpunkt wird dabei auf die Qualifizierung der Datenpreisgabe des Datensubjekts gelegt, um die Frage der Entgeltlichkeit26 der Austauschverhältnisse und deren Einordnung in das Vertragstypensystem des BGB zu klären. Entscheidend stellt sich insofern die Frage, wann bzw. ob die Preisgabe personenbezogener Daten seitens des Nutzers als entgeltliche Gegenleistung für die jeweilige Leistung des Anbieters zu qualifizieren ist.27 Daran anknüpfend wird das Pflichtenprogramm der Parteien charakterisiert und das anzuwendende Leistungsstörungsrecht behandelt. Im Vordergrund der Untersuchung stehen hierbei insbesondere die Durchsetzbarkeit einer auf der Datenpreisgabe basierenden Leistungspflicht und die Frage des Vorliegens von Ersatzansprüchen bei bereits kommerziell verarbeiteten personenbezogenen Daten.
23
Die Hervorhebung lateinischer Rechtsbegriffe erfolgt seitens des Verfassers. Vgl. Martinek, Moderne Vertragstypen I, 1991, 20, 21; Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 95, 99. 25 Hierzu ausführlich unten S. 156 ff. Einführend zum rechtlichen Typenbegriff sowie zur Vertragstypologie: Bartsch, CR 2000, 3, 5; Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 294 ff.; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 8–11, 193 ff. Umfassend hierzu Leenen, Typus und Rechtsfindung, 1971. 26 Diese Feststellung der Entgeltlichkeit ist maßgeblich für die Qualifikation von Rechtsverhältnissen, für die Rechtsfolgenbestimmung und die Verknüpfung etwaiger Leistungspflichten. Hierzu Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 41, 42 sowie Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 1 ff., 13 ff. Weiterführend hierzu unten S. 209 f. 27 Diese Einordnung weist erhebliche Bedeutung auf, da unentgeltlichen Verträgen ein abgeschwächtes Haftungsregime und ein besonderes Rechtsfolgenregime zwischen den Parteien und Dritten zugrunde liegen. Hierzu Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 1; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 95–101. 24
30
Teil 1: Einführung in die Thematik
§ 4 Eingrenzung des Untersuchungsgegenstands Untersuchungsgegenstand der Arbeit ist die rechtliche Einordnung von Austauschgeschäften mit personenbezogenen Daten als potenzieller Leistungsgegenstand unter Erschließung der maßgeblichen Rahmenbedingungen im Vertragsrecht, Datenschutzrecht, Versicherungsvertragsrecht und Urheberrecht. Der Schwerpunkt wird dabei auf datengetriebene Geschäftsmodelle gelegt, welche sich ausschließlich oder teilweise durch die kommerzielle Verarbeitung von personenbezogenen Daten finanzieren.28 Maßgeblich wird hierzu auf die bereits seit Mai 2018 geltende Datenschutzgrundverordnung (DSGVO) abgestellt.29 Miteinbezogen wird ferner die Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte (DIRL).30 Diese ist nach Art. 24 Abs. 1, 2 DIRL bis zum 01. 07. 2021 in nationales Recht umzusetzen und ab dem 01. 01. 2022 anzuwenden. Berücksichtigt wird zudem die Neufassung der Verbraucherrechte-Richtlinie (VerbRRL n. F.) durch die Richtlinie 2019/2161 des Europäischen Parlaments und des Rates vom 27. 11. 2019 (Änderungs-RL).31 Zur Umsetzung der DIRL sowie der ÄnderungsRL liegen bereits Gesetzesentwürfe der Bundesregierung (BReg) vom 13. 01. 2021 vor, welche diesbezüglich einbezogen werden.32 Ergänzend wird bei der rechtlichen Einordnung auf Besonderheiten spezifischer datengetriebener Geschäftsmodelle, wie der versicherungsrechtlichen Telematik und der urheberrechtlichen Softwareüberlassung, eingegangen.
28
Eingehend hierzu unten S. 51 ff. Verordnung (EU) 2016/679 vom 27. 04. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 119/1, abrufbar unter http://eurlex.europa.eu/legal-content/DE/TXT/?qid=1462345886854&uri=OJ:JOL_2016_119_R_0001 [zuletzt geprüft am 02. 05. 2021]. 30 Richtlinie 2019/770 des Europäischen Parlaments und des Rates vom 20. 05. 2019 über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte, ABl. L 136/1, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32019L0770& from=DE [zuletzt geprüft am 02. 05. 2021]. Ausführlich zur DIRL unten S. 339 ff. 31 Richtlinie 2019/2161 des Europäischen Parlaments und des Rates vom 27. 11. 2019 zur Änderung der Richtlinie 93/13/EWG des Rates und der Richtlinien 98/6/EG, 2005/29/EG und 2011/83/EU des Europäischen Parlaments und des Rates zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union, ABl. L 328/7, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32019L2161&from=DE [zuletzt geprüft am 02. 05. 2021]. Eingehend zur Verbraucherrechte-Richtlinie siehe unten S. 300 ff. 32 BReg, Gesetzesentwürfe zur Umsetzung der DIRL sowie der Änderungs-RL vom 13. 01. 2021. Diese können unter https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/ DE/Bereitsstellung_digitaler_Inhalte.html;jsessionid=6B470874502D5B27B1C5592A0A53 0F85.2_cid297 [zuletzt geprüft am 02. 05. 2021] abgerufen werden. Hierzu unten S. 302 ff., 343 ff. 29
§ 5 Begriffsbestimmung wesentlicher Merkmale
31
§ 5 Begriffsbestimmung wesentlicher Merkmale Im Rahmen der Arbeit wird das folgende Begriffsverständnis für die Qualifizierung datengetriebener Austauschverhältnisse zugrunde gelegt.
A. Der Datenbegriff Für den Datenbegriff wird als Ausgangspunkt das Begriffsverständnis des nunmehr unmittelbar anwendbaren Art. 4 Nr. 1 DSGVO zugrunde gelegt. Personenbezogene Daten sind hiernach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, welche als „betroffene Person“ bezeichnet wird. Synonym zum datenschutzrechtlichen Begriff des Betroffenen wird in dieser Arbeit primär der Begriff des Datensubjekts verwendet. Vom Wortlaut her weicht die DSGVO dabei von der früher gültigen Datenschutz-Richtlinie33 in Art. 2 lit. a Datenschutz-RL34 und dem darauf basierenden deutschen Datenschutzrecht nach § 3 Abs. 1 BDSG a. F.35 ab. Einheitliches Element aller Definitionen ist jedoch, dass es sich bei Daten im Ausgangspunkt um Informationen handelt.36 Der Begriff der Information als Kern des Begriffsverständnisses von Daten ist jedoch wiederum ausfüllungsbedürftig und zu konkretisieren. So wird in der Wissenschaft eine Vielzahl von Informationsbegriffen verwendet, die sich teils überschneiden und aufeinander aufbauen.37 I. Information als Verringerung von Unbestimmtheit So kann, einem weiten Verständnis gemäß, Information bereits als die Reduktion von Ungewissheit, den Zustand eines Systems betreffend, verstanden werden und damit als Vorgang „der Verringerung von Unbestimmtheit oder das Ergebnis dieses Vorgangs“ charakterisiert werden.38 Ein System lässt sich gemäß der Sys 33
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 281/31 (im Folgenden: Datenschutz-RL), abrufbar unter https://eur-lex. europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:31995L0046&from=DE [zuletzt geprüft am 02. 05. 2021]. 34 Nach Art. 2 lit. a Datenschutz-RL waren personenbezogene Daten alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“). 35 Personenbezogene Daten gemäß § 3 Abs. 1 BDSG a. F. waren Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). 36 Der Begriff der Einzelangabe ist dabei äquivalent zu dem der Information. Vgl. Schild, in: BeckOK Datenschutzrecht, 23. Ed. 2018, § 3 BDSG a. F., Rn. 1, 9; Gola / Klug / Körffer, in: Gola / Schomerus BDSG, 12. Aufl. 2015, § 3 BDSG 2003, Rn. 3. 37 Vgl. Zech, Information als Schutzgegenstand, 2012, 13 m. w. N. 38 Zech, Information als Schutzgegenstand, 2012, 14. Vgl. auch Ebeling et al., Komplexe Strukturen: Entropie und Information, 1998, 40; Schönfeld et al., Informations- und Kodierungstheorie, 4. Aufl. 2012, 11, 12.
32
Teil 1: Einführung in die Thematik
temtheorie als eine Menge von Elementen, die miteinander in Beziehung stehen, beschreiben, welches eine Struktur aufweist, die sich von der konkreten Zusammensetzung der Elemente ableiten und abstrahieren lässt.39 Information im naturwissenschaftlichen Sinne stellt hiernach eine „abstrahierbare Aussage über ein physikalisches System“ dar.40 Diese kann dabei sowohl das Ergebnis der konkreten Wahrnehmung eines Beobachters sein („faktische Information“) als auch hiervon unabhängig bestehen („potenzielle Information“).41 Als „freie Information“ wird Information des Weiteren bezeichnet, wenn sie von dem jeweiligen System losgelöst, übertragen und als Objekt wahrgenommen werden kann.42 Durch Interaktion von Systemen miteinander kann Information hiernach auch ausgetauscht werden und die Struktur eines Empfängersystems beeinflussen.43 Information besitzt damit eine (potenzielle) Wirkung auf die Struktur anderer Systeme.44 II. Information und Bedeutung Durch Zuordnung von Zeichen und Symbolen zur Kennzeichnung bestimmter Informationen kann Information durch diese verkörpert werden und von den jeweiligen Systemen verselbstständigt werden.45 Eine „Regel, nach der die Information durch die Zeichen repräsentiert wird“, wird dabei als Code bezeichnet.46 Nach der Wissenschaft über die Funktion der Zeichen (Semiotik) wird dabei zwischen der Information als dem Bezeichneten, dem Zeichen als abstrahierendem Repräsentanten der Information und dem Gegenstand als der konkreten Verkörperung der Information unterschieden.47
39
Krieger, Einführung in die allgemeine Systemtheorie, 2. Aufl. 1998, 12, 20, 21; Dieckmann, Einführung in die Systemtheorie, 2005, 190, 191; Zech, Information als Schutzgegenstand, 2012, 15. 40 Zech, Information als Schutzgegenstand, 2012, 16 (Hervorhebung im Original). 41 Zech, Information als Schutzgegenstand, 2012, 15, 16; Ebeling et al., Komplexe Strukturen: Entropie und Information, 1998, 40–42. 42 Zech, Information als Schutzgegenstand, 2012, 23; zu den Begriffen der gebundenen und freien Information: Ebeling et al., Komplexe Strukturen: Entropie und Information, 1998, 51 ff. 43 Zech, Information als Schutzgegenstand, 2012, 22, 23. Zur Interdependenz von Systemen und deren Umwelt: Luhmann, Einführung in die Systemtheorie, 7. Aufl. 2017, 64; Krieger, Einführung in die allgemeine Systemtheorie, 2. Aufl. 1998, 13. 44 Ebenda. Zur Veranschaulichung kann hierfür die Beobachtung, Wahrnehmung oder Verarbeitung von Information und die daraus folgende Zustandsveränderung eines beliebigen Empfangssystems (beispielsweise innerhalb des Gehirns eines Menschen oder des magnetischen Speichers eines Endgeräts) angeführt werden. Zum Datenspeicher innerhalb von (mobilen) Endgeräten siehe unten bei Fn. 243–248. 45 Zech, Information als Schutzgegenstand, 2012, 24, 25. 46 Zech, Information als Schutzgegenstand, 2012, 24. 47 Zum „triadischen Zeichenbegriff“ innerhalb der modernen Semiotik siehe Zech, Information als Schutzgegenstand, 2012, 25 m. w. N. Vgl. auch Amstutz, AcP 2018, 438, 448 ff. Eingehend zur Semiotik: Nöth, Handbuch der Semiotik, 2. Aufl. 2000, 131 ff.
§ 5 Begriffsbestimmung wesentlicher Merkmale
33
III. Unterscheidbare Informationsebenen innerhalb von Daten Relevant für die rechtliche Behandlung von Daten ist insbesondere die semiotische Unterscheidung zwischen der strukturellen, der syntaktischen und der semantischen Ebene von Information.48 Zur Veranschaulichung der Ebenen soll eine selbst aufgenommene Audiodatei auf dem Computer dienen, die dort abgespeichert ist und die Bewerbung eines arbeitssuchenden Interessenten auf ein Jobangebot enthält. 1. Strukturelle Information Wird Information durch eine physikalische Struktur verkörpert, so lässt sich von struktureller Information sprechen.49 Diese lässt sich als „diejenige Information bezeichne[n], die mit einer vorliegenden (materiellen) Struktur zu einer bestimmten Zeit an einem bestimmten Ort gegeben ist“.50 Strukturelle Information setzt folglich einen konkreten körperlichen Informationsträger voraus, mit dem sie unauflösbar verbunden ist.51 Die Audiodatei aus dem Beispiel existiert im Speichermedium des Computers als Informationsträger in Gestalt von elektrischen Ladungen, elektrischer Spannung oder einer magnetisierten Struktur.52 Die Verknüpfung eines konkreten, verkörperten Informationsträgers (vorliegend der Speicher des verwendeten Computers) und der darauf befindlichen Information (der aufgenommenen Vorstellung in Gestalt der Audiodatei) stellt ein Beispiel für strukturelle Information dar. Diese spezifische Verbindung von jener Information mit dieser konkreten Verkörperung lässt sich nicht vervielfältigen und ist einzigartig.53 48
Bei strukturellen Informationen lässt sich auch von der „Strukturebene“ oder „physical layer“ sprechen. Die syntaktische Ebene lässt sich auch als „Zeichenebene“ oder „code layer“ sowie die semantische Ebene von Information als „Bedeutungsebene“ oder „content layer“ bezeichnen. Vgl. Grünberger, AcP 2018, 213, 226, 227; Zech, Information als Schutzgegenstand, 2012, 35–43 (Hervorhebungen im Original). Vgl. auch Oster, JZ 2021, 167, 168, 175; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30 sowie Amstutz, AcP 2018, 438, 452, 453, welcher die Sinnhaftigkeit dieser Unterteilung unter Gesichtspunkten der Etablierung eines Dateneigentums in Frage stellt. 49 Grünberger, AcP 2018, 213, 227; Zech, Information als Schutzgegenstand, 2012, 16, 41; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30. 50 Schweitzer, Selbstorganisation und Information, 1997, 5; Ebeling et al., Komplexe Strukturen: Entropie und Information, 1998, 54; Zech, Information als Schutzgegenstand, 2012, 16. 51 Grünberger, AcP 2018, 213, 227; Zech, Information als Schutzgegenstand, 2012, 41, 42, wonach deshalb bei zwei verschiedenen Informationsträgern trotz identischen Informationsinhalts „nicht dieselbe strukturelle Information vorliegen“ kann. 52 Hierzu unten bei Fn. 244. 53 Grünberger, AcP 2018, 213, 227. Zu unterscheiden ist hiervon die Herstellung vieler Informationsträger mit derselben syntaktischen Information als Inhalt (Beispiel: Herstellung mehrerer CDs mit gleichem Inhalt). Hierdurch entstehen mehrere Objekte, die jeweils für sich strukturelle Informationen darstellen. Vgl. Zech, Information als Schutzgegenstand, 2012, 41, 59.
34
Teil 1: Einführung in die Thematik
2. Syntaktische Information Von dem spezifischen Informationsträger abstrahiert, kann Information durch Zeichen dargestellt werden.54 Nach Zech kann „die durch eine Menge von Zeichen und deren Beziehung zueinander bestimmte Information [..] als syntaktische Information bezeichnet werden“.55 Unter Zugrundelegung desselben Codes kann mit derselben Zeichenfolge damit identische Information geschaffen werden.56 Syntaktische Information kann damit übertragen, vervielfältigt oder mithilfe weiterer Codierung auch in andere Formen syntaktischer Information umgewandelt werden.57 Die Audiodatei im Speicher des Computers kann demnach nicht nur auf diesem Speichermedium existieren, sondern auf andere Informationsträger übertragen und vervielfältigt oder von einem Audioformat in ein anderes Audioformat übersetzt werden. Syntaktische Information existiert mithin unabhängig von einem konkreten Speichermedium.58 Syntaktischer Information muss zudem nicht zwingend eine inhaltliche Bedeutung zukommen oder sich entnehmen lassen.59 So lässt sich, unabhängig von einem Bedeutungsinhalt, die syntaktische Ebene im Hinblick auf Quantität, Neuigkeitswert oder anderweitig statistisch untersuchen, womit dieser stets ein eigenständiger Nutzen zugesprochen werden kann.60 3. Semantische Information Wird schließlich die Ebene der syntaktischen Information um eine inhaltliche Bedeutungsebene erweitert, sodass unter Benutzung eines Codes ein zusätzlicher Informationsgehalt den Zeichen entnommen werden kann, so spricht man dies bezüglich von semantischer Information.61 Entscheidendes Merkmal semantischer Information ist, dass sie grundsätzlich validierbar ist, also Information ausdrückt, „die richtig oder falsch sein kann“.62 Die Übertragung von Bedeutungsinhalten als 54 Zech, Information als Schutzgegenstand, 2012, 38, 39, 42; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30; Adam, NJW 2020, 2063, 2064. 55 Zech, Information als Schutzgegenstand, 2012, 38 (Hervorhebung im Original). 56 Ebenda. 57 Zech, Information als Schutzgegenstand, 2012, 38, 39. 58 Grünberger, AcP 2018, 213, 227. Jedoch hört auch syntaktische Information auf zu existieren, wenn alle Informationsträger vernichtet werden, auf denen sie enthalten ist. Zech, Information als Schutzgegenstand, 2012, 38. 59 Zech, Information als Schutzgegenstand, 2012, 39, 40; Grünberger, AcP 2018, 213, 227; Zech, CR 2015, 137, 138. 60 Sog. „nachrichtentechnische[r] Informationsbegriff“. Zech, Information als Schutzgegenstand, 2012, 26. Vgl. auch Steinrötter, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 17, 25. 61 Vgl. Zech, Information als Schutzgegenstand, 2012, 27; Adam, NJW 2020, 2063, 2064; Grünberger, AcP 2018, 213, 227; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30. 62 Zech, Information als Schutzgegenstand, 2012, 27, 37.
§ 5 Begriffsbestimmung wesentlicher Merkmale
35
semantische Information erfolgt über syntaktische Information in Form von Zeichen, deren Bedeutung mittels Code entschlüsselbar ist.63 Eine Bindung an eine bestimmte Form syntaktischer Information, wie einen bestimmten Code und bestimmte Zeichen, liegt wiederum nicht vor.64 Die Bedeutung, die dem Inhalt der Audiodatei beim Abspielen der aufgenommenen Worte zu entnehmen ist, stellt daher semantische Information dar, die Audiodatei allein an sich dagegen nicht.65 IV. Speicherung, Verarbeitung und Erzeugung von Information Die Übertragung von Information durch Zeichen zwischen Systemen ermöglicht die Aufnahme und Speicherung der empfangenen Information. Komplexe Systeme wie das menschliche Gehirn als natürliches System oder künstlich geschaffene Systeme wie im Rahmen der Informationstechnik sind in der Lage, diese Information zu verarbeiten und hieraus auch neue Information zu erzeugen.66 Als informationsverarbeitende Systeme dienen, aufgrund der Notwendigkeit der Speicherung von Information, verschiedene physikalische Systeme. Im Zeitalter der digitalen Informationstechnologie ist dies weitestgehend die körperliche Struktur der Speichermedien der Informationstechnik, wie die von Computern und den mit dem Internet verbundenen Servern.67 Die strukturelle Information wird im Rahmen informationsverarbeitender Computersysteme dabei durch Zeichen auf Codeebene als syntaktische Information übertragen, vervielfältigt und verarbeitet.68 V. Daten als maschinenlesbar codierte Information Durch Fortschritte in der computerbasierten Informationsverarbeitung etablierte sich schließlich ein spezieller Datenbegriff. Um durch informationstechnologische Systeme aufgenommen, gespeichert und verarbeitet werden zu können, müssen Informationen, wie dargelegt, in syntaktischer Form als Zeichen und verkörpert in einem Trägermedium als physikalische Struktur vorliegen.69 Entsprechende Daten können dabei zusätzlich als semantische Information eine Bedeutung beinhalten, müssen dies notwendigerweise aber nicht.70 Unter Zugrundelegung der normprägenden Definitionen der Regelwerke der International Organization for 63
Zech, Information als Schutzgegenstand, 2012, 27; Adam, NJW 2020, 2063, 2064. Zech, Information als Schutzgegenstand, 2012, 27; Specht, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 301, 303. 65 Vgl. Zech, Information als Schutzgegenstand, 2012, 37. 66 Zech, Information als Schutzgegenstand, 2012, 31; Ebeling, Chaos – Ordnung – Information, 1991, 57–59. 67 Hierzu unten S. 62 f. sowie bei Fn. 250. Zech, Information als Schutzgegenstand, 2012, 31. 68 Zech, Information als Schutzgegenstand, 2012, 31. 69 Zech, Information als Schutzgegenstand, 2012, 32; Adam, NJW 2020, 2063, 2064. 70 Zech, Information als Schutzgegenstand, 2012, 32, 33. 64
36
Teil 1: Einführung in die Thematik
Standardization (ISO) und des Deutschen Instituts für Normung (DIN) lassen sich Daten damit nach Zech allgemein als „maschinenlesbar codierte Information“ definieren.71 Daten bestehen somit aus syntaktischer Information, die, verkörpert in einem Informationsträger, als Bestandteil struktureller Information vorliegen muss und maschinenlesbar codiert ist.72 Ein Informationsträger, der Daten enthält, wird als Datenträger bezeichnet.73 VI. Der juristische Datenbegriff Im juristischen Sinne unterscheidet sich der Datenbegriff je nach Rechtsgebiet zum Teil erheblich. Soweit der Anwendungsbereich nach Art. 2, 3 DSGVO nicht eröffnet ist, kann das datenschutzrechtliche Begriffsverständnis von einem spezialgesetzlichen Verständnis abweichen.74 So wird im Strafrecht in § 202a Abs. 2 StGB für bestimmte Straftatbestände eine spezifische Legaldefinition aufgestellt, was unter Daten im Rahmen dieser Tatbestände zu verstehen ist.75 Für sonstige Straftatbestände ist dagegen auf einen weiten Datenbegriff nach dem allgemeinen Sprachgebrauch abzustellen, der grundlegend durch den Datenbegriff der DIN 44300 geprägt wird.76 Hiernach sind alle maschinenlesbar codierten Informationen umfasst, welche Gegenstand eines Datenverarbeitungsvorgangs sein können.77 Des Weiteren finden sich zahlreiche Rechtsvorschriften in anderen Rechtsgebieten, die sich auf die Verarbeitung von personenbezogenen wie auch nicht personenbezogenen Daten beziehen. Vor allem in den Verfahrensordnungen der Gerichtsbarkeiten, aber auch im materiellen Recht finden sich zahlreiche Beispiele für die Verwendung der Begriffe.78 Oftmals geht der Datenbegriff in dem 71
Zech, Information als Schutzgegenstand, 2012, 32 (Hervorhebung im Original) m. w. N. zu den Definitionen der Regelwerke der ISO / I EC 2328–1 aus 1993 sowie der DIN 44300 aus 1988. Ebenso Lahusen, AcP 2021, 1, 5. Ähnlich Klammer, Dateneigentum, 2019, 14; Denga, NJW 2018, 1371, 1372. Maßgeblich für diese Arbeit wird dabei von Daten in digitaler Form ausgegangen, welche zur Datenverarbeitung durch informationstechnologische Systeme entsprechend codiert sind. Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 29; Zech, CR 2015, 137, 138. 72 Zech, Information als Schutzgegenstand, 2012, 56. 73 Zech, Information als Schutzgegenstand, 2012, 42; Klammer, Dateneigentum, 2019, 15; Adam, NJW 2020, 2063, 2064. 74 Vgl. Zech, Information als Schutzgegenstand, 2012, 33. 75 §§ 202a, 202c, 274, 303a, 303b StGB. Eingehend hierzu Graf, in: Münchener Kommentar zum StGB, 3. Aufl. 2017, § 202a StGB, Rn. 12 ff.; Kargl, in: NK-StGB, 5. Aufl. 2017, § 202a StGB, Rn. 4 ff.; Zech, Information als Schutzgegenstand, 2012, 388 ff. 76 So beispielsweise bei § 263a StGB oder § 268 StGB. Schmidt, in: BeckOK StGB, 49. Ed. 2021, § 263a StGB, Rn. 6; Graf, in: Münchener Kommentar zum StGB, 3. Aufl. 2017, § 202a StGB, Rn. 12. 77 Schmidt, in: BeckOK StGB, 49. Ed. 2021, § 263a StGB, Rn. 6, Kargl, in: NK-StGB, 5. Aufl. 2017, § 202a StGB, Rn. 4. 78 Vgl. § 35a BVerfGG, § 67 Abs. 1, 2 SGB X, § 79 Abs. 2, 505b Abs. 1, 5, 651d Abs. 5 i. V. m. 651c Abs. 1 Nr. 2 BGB, § 46c Abs. 4 Nr. 4 ArbGG, §§ 298 Abs. 1, 882g Abs. 7 ZPO, §§ 68 Abs. 5, 98b, 98c StPO.
§ 5 Begriffsbestimmung wesentlicher Merkmale
37
jenigen der personenbezogenen Daten auf, welcher durch das Datenschutzrecht geprägt wird. Dem Anwendungsbereich des Datenschutzrechts unterfallen nach Art. 2 Abs. 1 DSGVO nur personenbezogene Daten.79 Dem Anwendungsbereich der DSGVO unterfallende Daten müssen mithin gemäß Art. 4 Nr. 1 DSGVO sich auf eine „identifizierte oder identifizierbare natürliche Person“ beziehen.80 Aus den Definitionen in der DSGVO und der davor maßgeblichen Datenschutz-RL sowie dem darauf beruhenden BDSG a. F. lässt sich übereinstimmend entnehmen, dass dem juristischen Datenbegriff im Kern Informationen bzw. – nach der Wortwahl des BDSG a. F. – Einzelangaben zugrunde liegen. Eine juristische Legaldefinition des Begriffsverständnisses von Information als Basis des Datenbegriffs existiert hingegen weder rechtsgebietsübergreifend noch spezialgesetzlich.81 Im Bereich des Datenschutzrechts weisen diese Informationen mit dem Personenbezug einen spezifischen Bedeutungsinhalt auf.82 Im Ergebnis lassen sich Daten für die Untersuchung folglich als maschinenlesbar codierte Informationen in syntaktischer Form mit einem semantischen Gehalt in Gestalt des Personenbezugs definieren.
B. Softwareüberlassung Unter dem Begriff der Softwareüberlassung sollen nachfolgend alle möglichen Konstellationen der Verschaffung von Computerprogrammen i. S. v. § 69a Abs. 1 UrhG abgedeckt werden. Der Begriff der Überlassung wird dabei rechtlich neutral verstanden, sodass durch die Verwendung des Begriffs nicht implizit von einem bestimmten Vertragstypus ausgegangen wird.83 Umfasst sind davon sowohl Rechtsgeschäfte im Rahmen der Einräumung urheberrechtlicher Nutzungsrechte für den rechtmäßigen Gebrauch von Computerprogrammen als auch solche zur Verschaffung des Eigentums und des Besitzes an dem Datenträger, welcher ein Computerprogramm beinhaltet. Für die Bestimmung des Begriffs Computerprogramm 79
Die Beschränkung auf nur personenbezogene Daten erfolgte ebenso für die früher anwendbare europäische Datenschutzrichtlinie in Art. 1 Abs. 1 Datenschutz-RL sowie dem darauf basierenden Bundesdatenschutzgesetz in § 2 Abs. 1 BSDG a. F. 80 Änderungen an der vorherig geltenden Rechtslage nach der Datenschutz-RL („Informationen über eine bestimmte oder bestimmbare natürliche Person“) sowie dem BDSG („Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“) liegen trotz abweichenden Wortlauts nicht vor. Vgl. Franzen, in: Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 4 DSGVO, Rn. 2; Schild, in: BeckOK Datenschutzrecht, 23. Ed. 2018, § 3 BDSG a. F., Rn. 1, 9. 81 Vgl. Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 43–47, dabei die synonyme Verwendung der Begriffe von Daten und Information innerhalb der Rechtswissenschaft hervorhebend. 82 Ausführlich zum Personenbezug siehe unten S. 121 ff. 83 Vgl. Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 7.
38
Teil 1: Einführung in die Thematik
wird im Rahmen der Arbeit auf § 1 lit. i der Mustervorschriften für den Schutz von Computersoftware der WIPO84 aus dem Jahr 1977 abgestellt.85 Ein Computerprogramm ist hiernach definiert als „eine Folge von Befehlen, die nach Aufnahme in einen maschinenlesbaren Träger fähig sind zu bewirken, daß eine Maschine mit informationsverarbeitenden Fähigkeiten eine bestimmte Funktion oder Aufgabe oder ein bestimmtes Ergebnis anzeigt, ausführt oder erzielt“.86
C. Stationäre und mobile Endgeräte Überwiegend und mit steigender Tendenz werden Austauschgeschäfte über das Internet abgewickelt. Der Austausch von Anbieterleistung und personenbezogenen Daten erfolgt in diesen Fällen über die miteinander über das Internet verbundenen informationstechnologischen Systeme des Anbieters und des Datensubjekts.87 Diese stehen, bildlich gesprochen, am Rand des Internets und besitzen grundsätzlich, neben der Anbindung an das Internet, keine weitergehende Funktion innerhalb des Internetnetzwerks.88 Auf diese Weise mit dem Internet verbundene Systeme können daher als Endgeräte oder Endsysteme bezeichnet werden.89 Besondere Relevanz für datengetriebene Geschäftsmodelle ist dabei insbesondere mobilen Endgeräten beizumessen.90 Unter mobilen Endgeräten werden in dieser Arbeit tragbare elektronische Geräte verstanden, welche Kommunikationssysteme besitzen und ortsunabhängig zur Sprach- und Datenkommunikation eingesetzt werden können.91 Hierunter fallen unter anderem Laptops, Notebooks, Tablets und Smartphones, aber auch zum Datenaustausch geeignete Systeme mit speziellem Einsatzgebiet, wie Spielekonsolen, technische Diagnosegeräte oder mit Informationstechnik ausgestattete moderne Fahrzeuge.92 Die Bedeutung des Vertriebswegs über mobile Endgeräte ist infolge des zahlenmäßigen Nutzeranstiegs für das gegenwärtige Wirtschaftsleben und auch im Hinblick auf die Erhebung und Verarbeitung personenbezogener Daten zu kommerziellen Zwecken exponen 84
World Intellectual Property Organization. Vgl. Kaboth / Spies, in: BeckOK UrhG, 30. Ed. 2021, § 69a UrhG, Rn. 2, mit Nachweisen zu den weitestgehend inhaltsgleichen Definitionen der Rechtsprechung und der DIN 44300; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 5. 86 Zur Entstehungsgeschichte und zum Text der Mustervorschriften: GRUR Int. 1978, 286– 291. Zur Sacheigenschaft von Daten und, hierauf aufbauend, auch von Software siehe unten S. 88 f. 87 Ausführlich hierzu siehe unten S. 62 ff. 88 Vgl. Kurose / Ross, Computer networking, 7. ed. 2017, 30–33, 37. 89 Kurose / Ross, Computer networking, 7. ed. 2017, 30, 37, 39. 90 Vgl. Heinemann, Der neue Online-Handel, 11. Aufl. 2020, 4 ff., 177 ff. 91 Vgl. Heinemann, Der neue Online-Handel, 11. Aufl. 2020, 180 ff.; siehe auch Bundesamt für Sicherheit in der Informationstechnik, Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen, 2006, 5. 92 Bundesamt für Sicherheit in der Informationstechnik, Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen, 2006, 6. 85
§ 5 Begriffsbestimmung wesentlicher Merkmale
39
tiell gestiegen.93 Aufgrund des wachsenden Marktes für Software für mobile End geräte94 und der voranschreitenden Etablierung des Datenhandels als lukratives Geschäftsmodell95 ist von der zunehmenden Relevanz datengetriebener Austauschverhältnisse auf mobilen Endgeräten auszugehen.
93 So stieg die Anzahl der Nutzer eines Smartphones von 2012 bis 2016 um 235 % auf 55,4 Millionen, wobei mehr als 77 % der Deutschen über 14 Jahre regelmäßig das Internet über mobile Endgeräte nutzen. 2018 stieg die Zahl der Smartphone-Nutzer bereits auf 82 % und die Zahl der regelmäßigen mobilen Internetnutzer auf 85 %. Nachweise hierzu jeweils bei Heinemann, Der neue Online-Handel, 8. Aufl. 2017, 5, 6; Heinemann, Der neue Online- Handel, 11. Aufl. 2020, 5. 94 Zwischen 2017 und 2018 war ein Anstieg der weltweiten Downloads von Software für mobile Endgeräte (Apps) von 178,1 Mrd. auf 205,4 Mrd. zu verzeichnen. Für 2022 werden bereits 258,2 Milliarden Downloads bei einer Wachstumsrate innerhalb von 5 Jahren von 7,7 % prognostiziert. Des Weiteren stiegen die Verbraucherausgaben weltweit für Apps von 81,7 Mrd. USD (2017) innerhalb eines Jahres auf 106,4 Mrd. USD (2018). Bei einer Wachstumsrate innerhalb von 5 Jahren von 13,9 % werden die Verbraucherausgaben für 2022 bereits 156,5 Mrd. USD betragen. Vgl. App Annie, Marktprognose für 2017–2022, 2018, Folie 8. 95 Der Handel mit persönlichen Daten durch Unternehmen ist schwer zu erfassen, stellt nach Studien jedoch ein stetig wachsendes Milliardengeschäft dar, welches „in Europa bis zum Jahr 2020 bis zu 330 Mrd. Euro betragen kann“. Vgl. Palmetshofer et al., Der Wert persönlicher Daten – Studien und Gutachten im Auftrag des Sachverständigenrates für Verbraucherfragen, 2017, 18 m. w. N.
Teil 2
Rahmenbedingungen der Austauschverhältnisse Zur Qualifizierung der datengetriebenen Austauschgeschäfte wird als Grundlage zunächst der rechtliche und faktische Rahmen, innerhalb dessen diese Austauschgeschäfte stattfinden, herausgearbeitet. Da Geschäftsmodelle, welche auf der massenhaften Verarbeitung von personenbezogenen Daten zu kommerziellen Zwecken basieren, erst mit Aufkommen des Internetzeitalters in Erscheinung getreten sind und auf jüngeren Entwicklungen der Informationstechnologie basieren, besteht noch kein gefestigter Stand in Rechtsprechung und Rechtswissenschaft zu deren rechtlicher Einordnung.96 Unter der Devise der Schaffung eines Datenschuldrechts bilden sich in jüngster Zeit jedoch vermehrt Ansätze heraus, welche sich mit der zivilrechtlichen Behandlung des Einsatzes von personenbezogenen Daten innerhalb von Vertragsverhältnissen befassen.97 Für eine sachgerechte Erfassung und Bestimmung des Rechtsrahmens, für die Erarbeitung des Pflichtenprogramms der an dem Rechtsgeschäft beteiligten Parteien und für die Feststellung der Verknüpfungsform etwaiger Leistungspflichten sowie für die Erörterung des anzuwendenden Leistungsstörungsrechts ist es daher unentbehrlich, den wirtschaftlichen, technischen und rechtlichen Rahmen, in dem datengetriebene Austauschgeschäfte ablaufen, zu untersuchen. Der folgende Abschnitt zu den wirtschaftlichen Grundlagen dient vornehmlich der Ermittlung der den Austauschverhältnissen zugrundeliegenden Interessen der Parteien. Behandelt werden hierzu die geschichtliche Entwicklung von Daten als Wirtschaftsgut mit ökonomischem Wert sowie die darauf beruhende Entwicklung der Datenwirtschaft infolge der zunehmenden Digitalisierung der Gesellschaft. Daran anschließend werden in der Praxis etablierte Geschäftsmodelle und Vertriebsformen zur Erhebung, Verarbeitung und Verwertung personenbezogener Daten dargestellt. Im Abschnitt über die technischen Grundlagen wird die tech 96 Die Rechtsprechung zur Qualifizierung einer Datenpreisgabe eines Datensubjekts aus kommerziellen Zwecken befindet sich noch in den Kinderschuhen. Eine höchstrichterliche Rechtsprechung steht noch aus. Eingehend hierzu unten bei Fn. 1154, 1431. Legislative Ansätze eines Datenschuldrechts finden sich im europäischen Rechtsraum, mit Ausnahme der erst noch in nationales Recht umzusetzenden DIRL und der VerbRRL n. F., gegenwärtig nur vereinzelt. Hierzu siehe oben Fn. 30, 31. 97 Zum Begriff des Datenschuldrechts siehe Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 218, Fn. 12 m. w. N. Aspekte der zivilrechtlichen Relevanz von (personenbezogenen) Daten werden insbesondere auch durch die Monografien von Hacker, Datenprivatrecht, 2020; von Bunnenberg, Privates Datenschutzrecht, 2020 sowie von Schur, Die Lizenzierung von Daten, 2020 behandelt.
§ 6 Wirtschaftliche Grundlagen
41
nische Umsetzung der Erhebung und Verarbeitung personenbezogener Daten im Rahmen datengetriebener Austauschverhältnisse anhand der Praxis der vorherrschenden Geschäftsmodelle behandelt. Dargelegt werden dabei die technische Umsetzung der Softwareüberlassung im Austausch gegen personenbezogene Daten sowie die Methoden der Datenerhebung und Datenverarbeitung. Im Bereich der rechtlichen Rahmenbedingungen wird einleitend der verfassungsrechtliche Rahmen der Austauschverhältnisse dargestellt. Einfluss auf die Kommerzialisierung personenbezogener Daten besitzen gerade nicht nur die europarechtlichen und verfassungsrechtlichen Vorgaben des Datenschutzrechts, sondern auch die verfassungsrechtlich geschützte Privatautonomie und die grundrechtlich verbürgten Freiheitsrechte der sich bei datengetriebenen Austauschverhältnissen gegenüberstehenden Parteien. Anschließend wird die vertragsrechtliche und datenschutzrechtliche Einfassung der datengetriebenen Austauschverhältnisse dargestellt.
§ 6 Wirtschaftliche Grundlagen A. Personenbezogene Daten als Wirtschaftsgut I. Anfänge der Kommerzialisierung personenbezogener Daten Verträge über personenbezogene Daten existieren in verschiedenen Formen bereits seit mehreren Jahrhunderten.98 Die umfangreiche, kommerzielle Verarbeitung personenbezogener Informationen hatte ihre Ursprünge erst in der Mitte des 19. Jahrhunderts in den Bereichen Arbeitskräftevermittlung, Adresshandel und Direktmarketing als Vertriebsmodell für den Versandhandel.99 Unter Direktmarketing kann dabei die zielgerichtete Beeinflussung von potenziellen Kunden durch direkte Einzelansprache verstanden werden.100 Um eine individuelle Ansprache von Konsumenten und Arbeitskräften zu ermöglichen, wurde es erforderlich, deren Kontaktdaten sowie Informationen über ihre Interessen bzw. ihre Berufstätigkeit zu besitzen.101 Anfangs wurden die kommerziell nutzbaren Angaben von den Adressverlagen durch das Auswerten von Adressbüchern und sonstigen Quellen zusammengetragen und in Papierform (Listen, Selbstklebeetikette) vertrie 98 Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 217, 218 m. w. N. 99 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 27, 28; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 217. Einen prägnanten Überblick über den Versandhandel bietet: Wirtz / Sammerl, in: Zentes (Hrsg.), Handbuch Handel, 2006, 425. 100 Hilke, in: Hilke (Hrsg.), Direkt-Marketing, 1993, 5, 6, 10; Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 27. 101 Hilke, in: Hilke (Hrsg.), Direkt-Marketing, 1993, 5, 27, 28, wonach speziell für das Direkt-Marketing der Merksatz „Kunde kommt von Kennen“ gilt sowie Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 28.
42
Teil 2: Rahmenbedingungen der Austauschverhältnisse
ben.102 Mit Einführung der elektronischen Datenverarbeitung in den 50er Jahren war es schließlich möglich, bei sinkenden Kosten immer größere Mengen an Daten auf magnetischen Datenträgern zu speichern.103 Zudem eröffnete sich die Möglichkeit, die gespeicherten Daten nach selbst gesetzten Parametern durch Computerprogramme auszuwerten.104 Technologische Fortschritte im Hardware- und Softwarebereich führten in der Folgezeit zur Etablierung der computerbasierten Datenverarbeitung in allen Bereichen der Gesellschaft, von wirtschaftlichen Unternehmen bis hin zu Privatanwendern.105 Fand die elektronische Datenverarbeitung anfangs in den 70er Jahren noch in Rechenzentren statt, konnte sich später in den 80er Jahren mit der Entwicklung hin zu einzelnen PCs die elektronische Datenverarbeitung in der Wirtschaft durchsetzen und auch dem normalen Bürger zugänglich gemacht werden.106 Die Verbreitung des Internets in den 90er Jahren ermöglichte es schließlich, Datenverarbeitungssysteme global miteinander zu vernetzen und seit Beginn des neuen Jahrtausends vermehrt durch die Etablierung des Cloud Computing wesentliche Arbeitsvorgänge der Datenverarbeitung und Datenspeicherung dezentral auszulagern.107 Die Digitalisierung des Alltags und die Abwicklung zahlreicher Geschäfte über das Internet führten so zu einer Verschiebung eines erheblichen Teils der Erfassung und Verarbeitung personenbezogener Daten vom Offline- Bereich in den Online-Bereich sowie von einer manuellen zu einer automatisierten Datenverarbeitung.108 Personenbezogene Daten werden hierbei zunehmend 102
Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 29 m. w. N. 103 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 29; ein umfassender Überblick über die geschichtliche Entwicklung der Systemleistung von Prozessoren, der Speicherkapazität von Datenträgern sowie der Datenübertragungsrate findet sich bei Sandner / Spengler, Die Entwicklung der Datenverarbeitung, 2006, 31, 108, 109. Seit Beginn der elektronischen Datenverarbeitung in den 50er Jahren haben sich diese Leistungswerte in den Bereichen der Hardware „jährlich um 25 bis 30 Prozent erhöht“, während zugleich die Kosten sanken. 104 Zur wachsenden Bedeutung der „multivariablen Datenanalyse“ und des datenbankbasierten Marketings zu Beginn der 90er Jahre: Hilke, in: Hilke (Hrsg.), Direkt-Marketing, 1993, 5, 27, 28 m. w. N.; Schweiger / Wilde, in: Hilke (Hrsg.), Direkt-Marketing, 1993, 89 ff. Vgl. auch Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 29. 105 Vgl. Roßnagel, MMR 2005, 71, 72, welcher hierbei, angesichts der Entwicklungen im Rahmen der mobilen Endgeräte und der immer stärkeren Vernetzung von Sensor-, Kommunikations- und Rechnertechnik, von „allgegenwärtiger Datenverarbeitung“ spricht. 106 Umfassend hierzu Ceruzzi / Willner, Eine kleine Geschichte der EDV, 2003. Vgl. auch Roßnagel, MMR 2005, 71. 107 Zur Entwicklung des Internets: Meinel / Sack, Internetworking, 2013, 6 ff.; Ceruzzi / Willner, Eine kleine Geschichte der EDV, 2003, 344 ff. Zum Cloud Computing: Schuster / Reichl, CR 2010, 38, 39, 40; Boehm, ZEuP 2016, 358, 361, 362; Kirn / Müller-Hengstenberg, NJW 2017, 433, 434. 108 Vgl. Wirtz / Sammerl, in: Zentes (Hrsg.), Handbuch Handel, 2006, 425, 426, wonach der Online-Versandhandel und die individuelle Kundenansprache für Unternehmen immer bedeutender geworden sind. Ebenso Becker, JZ 2017, 170, 171, welcher anschaulich die wachsende Vernetzung von Alltagsgegenständen und den Trend zum datenerhebenden Produkt beschreibt. Ebenso Kirn / Müller-Hengstenberg, NJW 2017, 433, 434.
§ 6 Wirtschaftliche Grundlagen
43
als Informationskapital kommerzialisiert und haben erhebliche Bedeutung für die Gesamtwirtschaft erlangt.109 Insbesondere im Dienstleistungssektor, dem verarbeitenden Gewerbe und dem Einzelhandel sowie bei Rechtsgeschäften im Rahmen des E-Commerce und im Kommunikationssektor werden personenbezogene Daten zur Vorbereitung von Vertragsverhandlungen, bei der Vertragsdurchführung sowie bei der Abwicklung von Verträgen erhoben und verarbeitet.110 Daneben bestehen zahlreiche kommerzielle Verwendungszwecke, etwa die Verarbeitung personen bezogener Daten zur Feststellung der Bonität von Vertragspartnern, zur Schaltung individualisierter Werbung, zur Berechnung von Vertragsrisiken wie bei der versicherungsrechtlichen Telematik, zur Marktforschung, zur Evaluation und Optimierung des eigenen wie auch eines fremden Angebots oder zu statistischen Zwecken.111 Prominente natürliche Personen sind in der Lage, im Rahmen des „Personality Merchandising“ die sie betreffenden personenbezogenen Daten eigenständig zu kommerzialisieren.112 Auch sind Geschäftsmodelle entstanden, mit denen nicht prominente natürliche Personen ihre Daten gezielt kommerzialisieren können.113 II. Digitalisierung des Alltags Infolge des technologischen Fortschritts, insbesondere durch die Vernetzung von informationstechnologischen Systemen und durch die Digitalisierung des Alltags, werden immer größere Mengen an Daten erzeugt, erfasst und verarbeitet.114 Bereits für das Jahr 2006 wurde berechnet, dass weltweit 161 Exabyte115 an Daten erzeugt wurden.116 Bis 2012 erhöhte sich dieser Wert auf 2,8 Zettabyte.117 2018 109
Vgl. Unseld, Die Kommerzialisierung personenbezogener Daten, 2010, 3–5; Europäische Kommission, Eine europäische Datenstrategie, COM(2020) 66 final, 2020, 2–4; Europäische Kommission, Aufbau einer Europäischen Datenwirtschaft, COM(2017) 9 final, 2017, 4; Hess / Schreiner, DuD 2012, 105, 108. 110 Vgl. IDC, European Data Market Studie, Smart 2013/0063, Final Report, 2017, 77, 78, 91, 92; Grimm et al., in: Bäumler (Hrsg.), E-Privacy, 2000, 133; Bull, CR 2018, 425, 426. 111 Unseld, Die Kommerzialisierung personenbezogener Daten, 2010, 3; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 218–220. 112 Unter Personality Merchandising wird die Verwertung spezifischer Persönlichkeitsmerkmale von prominenten Personen verstanden. Unseld, Die Kommerzialisierung personenbezogener Daten, 2010, 2 ff. (Hervorhebung im Original). 113 So können Verbraucher im Rahmen von Gewinnspielen oder Marktforschungsumfragen für ihre Teilnahme Sachgeschenke, Rabatte oder eine monetäre Gegenleistung erhalten. Des Weiteren bestehen Geschäftsmodelle, bei denen das Datensubjekt einwilligt, dass seine Daten zu kommerziellen Zwecken verarbeitet werden dürfen – und hierfür einen Teil der Lizenzgebühren erhält. Vgl. Unseld, Die Kommerzialisierung personenbezogener Daten, 2010, 8, 9 m. w. N. 114 Einen prägnanten chronologischen Überblick hierzu bietet Press, A Very Short History Of Big Data, 2013. 115 Ein Exabyte beträgt eine Milliarde Gigabyte oder eine Million Terrabyte. 116 ALzyadat / Alhroob, IJRTE 2019, 884 m. w. N. zu der nicht mehr abrufbaren Studie des IDC aus dem Jahr 2007. Hierzu auch Mearian, Study: Digital universe and its impact bigger than we thought, 11. 03. 2008. 117 Nachweise hierzu bei Horchert, Das digitale Universum schwillt an, Spiegel Netzwelt, 11. 12. 2012.
44
Teil 2: Rahmenbedingungen der Austauschverhältnisse
lag das Volumen der jährlich generierten digitalen Datenmenge weltweit schon bei 33 Zettabyte und wird für das Jahr 2025 auf 175 Zettabyte prognostiziert.118 Es ist davon auszugehen, dass 2015 bereits mehr als 10 Milliarden und 2018 über 22 Milliarden internetfähige Gegenstände mit dem Internet verbunden waren und diese Zahl bis 2030 auf 50 Milliarden ansteigen wird.119 Als Ausgangslage kann konstatiert werden, dass man sich als Datensubjekt in einer vernetzten Welt bewegt, in der über Sensoren oder Softwareanwendungen in stationären und mobilen Endgeräten mehr personenbezogene Daten erhoben, gespeichert und verarbeitet werden als jemals zuvor.120 Aufgrund der zunehmenden Verdrängung datenerhebungsfreier Waren ist es zudem für Datensubjekte schwieriger geworden zu verhindern, dass Daten von ihnen erhoben werden.121 Insbesondere ist die Nutzung des Internets zunehmend alternativlos geworden, falls Unannehmlichkeiten im Berufsleben, im gesellschaftlichen Leben oder bei der Bewältigung alltäglich anfallender Aufgaben vermieden werden sollen. Statistisch lässt sich folgendes Bild der Nutzung des Internets in Deutschland zeichnen: Seit Etablierung des Internets stieg die Zahl der Internetnutzer von 4,1 Millionen in 1997 auf 66,4 Millionen in 2020,122 zugleich stieg die durchschnittliche tägliche Nutzungsdauer von 17 Minuten im Jahr 2000 auf 196 Minuten im Jahr 2018.123 Der Anteil der mobilen Internetnutzer stieg bis 2020 daneben auf 80 %,124 wobei diese 2018 eine durchschnittliche tägliche Nutzungsdauer von 240 Minuten aufweisen.125 Der Anteil der Deutschen, die noch nie das Internet genutzt haben, wird im Jahr 2019 auf nur noch 4 % geschätzt.126 Die Nutzung des Internets erfolgt des Weiteren ortsunabhängig und allgegenwärtig. Demografisch ist eine bedeutsame Abnahme der Internetnutzung erst ab einem höheren Alter der Studienteilnehmer 118 IDC, Prognose zum Volumen der jährlich generierten digitalen Datenmenge weltweit in den Jahren 2018 und 2025, zitiert nach Statista, 2018. 119 Siehe Nitsche / Gründig, in: Schwarz (Hrsg.), Big Data im Marketing, 2015, 19; Strategy Analytics, Number of internet of things (IoT) connected devices worldwide in 2018, 2025 and 2030, zitiert nach Statista, 2019. 120 Heuberger-Götsch, in: Fasel / Meier (Hrsg.), Big Data, 2016, 83, 85, 86. Hierzu auch Hacker, Datenprivatrecht, 2020, 43 ff., 47 ff. 121 Becker, JZ 2017, 170, 171. Hierzu auch Hacker, Datenprivatrecht, 2020, 73, 74. Anschauliche Beispiele der zunehmenden Vernetzung finden sich bei: Nitsche / Gründig, in: Schwarz (Hrsg.), Big Data im Marketing, 2015, 19–22 sowie Gottfried, in: Schwarz (Hrsg.), Big Data im Marketing, 2015, 35, 39–42. 122 Kantar, Anzahl der Internetnutzer in Deutschland in den Jahren 1997 bis 2020, zitiert nach Statista, 2020. 123 GfK Media and Communication Research, Entwicklung der durchschnittlichen täglichen Nutzungsdauer des Internets in Deutschland in den Jahren 2000 bis 2018, zitiert nach Statista, 2018. 124 Kantar, Anteil der mobilen Internetnutzer in Deutschland in den Jahren 2015 bis 2020, zitiert nach Statista, 2021. 125 GfK Media and Communication Research, Durchschnittliche tägliche Nutzungsdauer des Internets unter mobilen Internetnutzern in Deutschland in den Jahren 2016 bis 2018, 2018. 126 Eurostat, Anteil der Deutschen, die noch nie das Internet genutzt haben in den Jahren 2005 bis 2020, zitiert nach Statista, 2021.
§ 6 Wirtschaftliche Grundlagen
45
zu erkennen.127 Im Hinblick auf im Internet vorgenommene Aktivitäten ist festzustellen, dass sich zahlreiche private und geschäftliche Aktivitäten im Online- Bereich etabliert haben. So nutzten 2020 circa 87 % der Internetnutzer das Internet für das Empfangen und Senden von E-Mails.128 Mehr als 80 % der Internetnutzer verwenden nach einer Studie aus 2017 zudem das Internet zur Recherche in Suchmaschinen, zum Online-Shopping, für Instant-Messaging Dienste, zum OnlineBanking oder zum Lesen von Nachrichten.129 Soziale Netzwerke und Portale für Videos und Musik werden daneben noch von mehr als 70 % der Internetnutzer genutzt.130 Aufgrund der demografischen Entwicklung und des andauernden technischen Fortschritts kann davon ausgegangen werden, dass diese Entwicklung noch nicht abgeschlossen ist und die Internetnutzung wie auch die im Internet vorgenommenen Aktivitäten noch weiter ansteigen werden.131 III. Das Datensubjekt als Kunde und Rohstoffquelle Paradoxerweise ist festzustellen, dass das Datensubjekt im Rahmen daten getriebener Geschäftsmodelle zwei Positionen gleichzeitig einnimmt: Begehrt ist es als Kunde, welcher Angebote und Leistungen in Anspruch nimmt, also beispielsweise E-Mail-Konten eines Anbieters nutzt, Webseiten besucht, Produkte erwirbt, sich in soziale Medien einbringt oder sonstige Dienstleistungen nutzt. Zugleich ermöglicht das Datensubjekt durch die Preisgabe seiner personenbezogenen Daten es den Anbietern, seine Daten auf verschiedene Weise für sich und dritte Personen kommerziell nutzbar zu machen; es wird dadurch auch zu deren „Rohstoffquelle“. Es ist davon auszugehen, dass bei der Nutzung des Internets oder damit verbundener Gegenstände nahezu alle anfallenden Daten eines Verbrauchers erfasst werden können und auch erfasst werden.132 Der Umfang der gesammelten Daten ist dabei nahezu grenzenlos und die Methoden, wie diese Daten erhoben und verarbeitet werden können, sind äußerst vielfältig.133 Die erfassten Daten reichen von 127
Jedoch wächst auch der Anteil der über 60-jährigen Internetnutzer stetig. Vgl. Kantar, Anteil der Internetnutzer nach Altersgruppen in Deutschland in den Jahren 2014 bis 2020, zitiert nach Statista, 2021. 128 Eurostat, Anteil der Bevölkerung in Deutschland, die das Internet für das Versenden und Empfangen von E-Mails nutzen in den Jahren 2002 bis 2020, zitiert nach Statista, 2021. 129 DCORE, Anteil der Befragten, die folgende Internetaktivitäten ausüben, in Deutschland im Jahr 2017, zitiert nach Statista, 2018. 130 Ebenda. 131 Zu diesem Schluss kommt auch die IDC, European Data Market Studie, Smart 2013/0063, Final Report, 2017, 45, 194, wonach im Grundszenario bei gleichbleibender Entwicklung bis 2020 eine nahezu vollständig vernetzte Gesellschaft („‚hyperconnected‘ society“) zu erwarten ist, in der Informationstechnologie ein wesentlicher Bestandteil des Alltags sein wird. 132 Vgl. Heuberger-Götsch, in: Fasel / Meier (Hrsg.), Big Data, 2016, 83, 85, 86; Becker, JZ 2017, 170, 171; Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 29, 30. 133 Über die Methoden mehr im technischen Abschnitt. Hierzu siehe unten S. 67 ff.
46
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Angaben über die Identität einer Person, über deren Umfeld, Interessen, Vorlieben, Charaktereigenschaften, über die seitens der Person genutzten Inhalte und die getätigte Kommunikation sowie deren aktuellen Aufenthaltsort bis hin zu Angaben über den Suchverlauf im Webbrowser, der Verweildauer auf Webseiten, zu mit dem Mauszeiger angeklickten Objekten oder auch nur, wie lange der Mauszeiger in bestimmten Bereichen einer Webseite geblieben ist.134 Die Analyse ausreichender Datenmengen ermöglicht es dabei, hochkomplexe Profile von einzelnen Personen zu erstellen und bis zu einem gewissen Grad vorherzusagen, wie sich diese Person oder eine Gruppe vergleichbarer Personen verhalten werde, wodurch insbesondere aus der Kombination personenbezogener Daten ein wirtschaftlicher Wert geschöpft werden kann.135 Die bedeutendsten Geschäftsfelder, in denen personenbezogene Daten – abgesehen von Personality Merchandising136 – kommerzialisiert werden, stellen die Bereiche der personalisierten Online-Werbung, des Suchmaschinenmarketings sowie der Werbeschaltung im Rahmen sozialer Netzwerke und sozialer Medien dar.137 Parallel zu den Entwicklungen infolge der Digitalisierung des Alltags ist ein erhebliches Wachstum bei den Ausgaben und Umsätzen dieser datengetriebenen Geschäftsmodelle zu verzeichnen. So stiegen die Ausgaben für Online-Werbung weltweit zwischen 2013 und 2019 von 121 Mrd. USD auf 325 Mrd. USD, wobei für das Jahr 2024 ein Anstieg auf 526 Mrd. USD prognostiziert wird.138 Personalisierte Online-Werbung in Form des Programmatic Advertising139 stellt dabei bereits seit 2020 mehr als 80 % der weltweit geschalteten Internetwerbung dar und wird, so die Prognose, klassische Online-Werbung immer weiter verdrängen.140 Auch gewinnt die Werbeschaltung im Internet im Rahmen datengetriebener Geschäftsmodelle immer größere Bedeutung. So sind zwischen
134
Heuberger-Götsch, in: Fasel / Meier (Hrsg.), Big Data, 2016, 83, 84–87. Weiterführend hierzu unten bei Fn. 296, 978. 135 Der Einsatz von Methoden des Profilings ermöglicht es, basierend auf vorangegangenem Verhalten von Datensubjekten, das Eintreten von zukünftigen Ereignissen vorherzusagen. Im Kern wird hierfür das sogenannte „Data Mining“ eingesetzt, bei dem umfangreiche Datenmengen gesammelt und zu wirtschaftlichen Zwecken verarbeitet werden. Durch analytische Verfahren – wie Algorithmen – wird dabei versucht, Korrelationen zwischen den vorhandenen Daten aufzuzeigen und hieraus nutzbare Informationen zu gewinnen. Hierzu HeubergerGötsch, in: Fasel / Meier (Hrsg.), Big Data, 2016, 83, 86–89; Hacker, Datenprivatrecht, 2020, 36, 37, 49 m. w. N. 136 Hierunter werden vorliegend auch das auf Sponsoring basierende Influencer-Marketing und die provisionsbasierten Affiliate-Systeme auf sozialen Medien gezählt. Hierzu unten Fn. 304. 137 Genauer zu den einzelnen Geschäftsmodellen sowie deren Einsatz von personenbezogenen Daten als Bestandteil der Wertschöpfung datengetriebener Geschäftsmodelle siehe unten S. 51 ff. Einen Überblick über verschiedene Geschäftsmodelle bietet zudem Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 218–220. 138 eMarketer, Ausgaben für Online-Werbung weltweit in den Jahren 2013 bis 2019 sowie eine Prognose bis 2024, zitiert nach Statista, 2020. 139 Zum Programmatic Advertising siehe unten Fn. 197 sowie S. 54 ff. 140 Vgl. Statista Digital Market Outlook, Digital Advertising Report 2020, 2020, 13, 14.
§ 6 Wirtschaftliche Grundlagen
47
2017 und 2019 die weltweiten Ausgaben für Suchmaschinenwerbung von 97 Mrd. Euro auf 128 Mrd. Euro gestiegen, während im Bereich der Werbung innerhalb sozialer Medien ein Anstieg im gleichen Zeitraum von 52 Mrd. Euro auf 82 Mrd. Euro zu verzeichnen war.141 Die Werbeschaltung auf mobilen Endgeräten nimmt dabei einen immer größeren Anteil ein.142 Der Anteil von Versicherungstarifen in Deutschland, die auf der Telematik basieren, war dagegen zwar im Jahr 2018 noch verschwindend gering, jedoch wurde bereits für das Jahr 2025 ein Marktanteil von etwa 20 % prognostiziert.143 Die kommerzielle Nutzung von Konsumentendaten, als Teil der Datenwirtschaft144, stellt einen Hauptbestandteil der digitalen Wirtschaft dar.145 Angesichts des anhaltenden technologischen Fortschritts und der wachsenden Akzeptanz und Affinität der Gesellschaft für digitale Medien ist in naher Zukunft nicht von einem Nachlassen dieser Entwicklung auszugehen.146 Vielmehr kann angenommen werden, dass die gestiegene Bedeutung der Verarbeitung personenbezogener Daten für die Gesamtwirtschaft noch weiter zunehmen wird. IV. Ökonomie der Privatsphäre Aus wirtschaftswissenschaftlicher Perspektive hat man sich mit dem Schutz bzw. der Preisgabe von Privatsphäre im Zusammenhang mit personenbezogenen Daten und den dahinterstehenden Prozessen erst spät, nämlich im Laufe des Aufkommens der Informationsökonomik nach dem Zweiten Weltkrieg, gegen Ende der 70er Jahre befasst.147 Hier sind drei bedeutende Phasen des Diskurses auszumachen:
141 Vgl. Statista Digital Market Outlook, Ausgaben für Suchmaschinenwerbung weltweit in den Jahren 2017 bis 2019 sowie eine Prognose bis 2025, 2020 und Statista Digital Market Outlook, Ausgaben für Social-Media-Werbung weltweit in den Jahren 2017 bis 2019 sowie eine Prognose bis 2025, 2020. 142 Ebenda. Rieber, Mobile Marketing, 2017, 36–38, spricht dabei von einer „disruptive[n] Technologie“, welche neben klassischen Marketingdisziplinen eine herausragende Bedeutung eingenommen hat. Eingehend zur Suchmaschinenwerbung bzw. zum Suchwortmarketing: L ewandowski, Suchmaschinen verstehen, 2018, 161. 143 Streich et al., HMD 2018, 1086, 1091 m. w. N. 144 Die Datenwirtschaft befasst sich mit den Auswirkungen des Datenmarktes, in welchem aus Rohdaten gewonnene digitale Daten als Produkte und Dienstleistungen gehandelt werden, auf die Gesamtwirtschaft. Vgl. IDC, European Data Market Studie, Smart 2013/0063, Final Report, 2017, 123. 145 Vgl. Acquisti et al., Journal of Economic Literature 2016, 442, 454. 146 Vgl. Kirn / Müller-Hengstenberg, NJW 2017, 433, 434. 147 Dewenter / Lüth, in: Immenga / Körber (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, 2017, 9, 15, 16; Brandimarte / Acquisti, in: Peitz / Waldfogel (Hrsg.), The Oxford handbook of the digital economy, 2012, 547, 551 ff.
48
Teil 2: Rahmenbedingungen der Austauschverhältnisse
1. Thesen der Chicago School Die ökonomische Betrachtung des Datenschutzes begann in den USA gegen Ende der 70er Jahre mit den Analysen der Chicago School.148 Im Vordergrund der Untersuchungen standen insbesondere die Auswirkungen des Datenschutzes auf Marktteilnehmer und die Gesellschaft.149 Ökonomisch wurde der Schutz personenbezogener Daten für die Wirtschaft als überwiegend nachteilig angesehen, da die Preisgabe von Daten der Reduzierung von Informationsasymmetrien diene und mithin als positiv zu bewerten sei.150 Die wesentliche These besagte, dass bei einer Verweigerung des Zugangs zu potenziell abwägungsrelevanten Informationen es für Marktteilnehmer nicht möglich sei, rationale Entscheidungen auf vollständiger Informationsbasis zu treffen.151 Durch eine gesetzliche Regulierung des Zugangs zu Daten würden ökonomische Kosten negativer Merkmale einer Person zu deren Vorteil auf die jeweiligen Vertragspartner übertragen werden.152 Eine Stärkung des Datenschutzes, welche den Informationsaustausch verhindert oder erschwert, wurde deswegen als ineffizient angesehen, da dann als Folge übermäßig in die Erlangung von Information investiert werden müsse.153 In diesem Fall fände nur eine Umverteilung von Wohlstand von uninformierten hin zu informierten Marktteilnehmern statt.154 Auch in Erwägung gezogen wurden bereits die Auswirkungen des Fehlens oder des Bestehens eines regulierenden Datenschutzsystems.155 Bei Fehlen eines Datenschutzregimes sei anzunehmen, dass Individuen gezielt reputationsfördernde Verhaltensweisen einnehmen würden, um ihre gegenwärtige Situation zu verbessern oder zu erhalten. Besteht hingegen ein Regime, welches die Privatsphäre schützt, würde dieser Druck, das Verhalten nach gesellschaftlichen Erwartungen auszurichten, entfallen, wodurch sich die Individuen stärker an eigenen Maßstäben orientieren würden.
148
Prägend: Posner, Georgia Law Review 1978, 393, 394 ff.; Stigler, The Journal of Legal Studies 1980, 623; Posner, The American Economic Review 1981, 405. Vgl. Brandimarte / Acquisti, in: Peitz / Waldfogel (Hrsg.), The Oxford handbook of the digital economy, 2012, 547, 551, 552. 149 Vgl. Acquisti et al., Journal of Economic Literature 2016, 442, 450. Stigler, The Journal of Legal Studies 1980, 623, 628 ff. 150 Dewenter / Lüth, in: Immenga / Körber (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, 2017, 9, 15, 16; Acquisti et al., Journal of Economic Literature 2016, 442, 450, 451. 151 Posner, Georgia Law Review 1978, 393, 404, 405, 422; Stigler, The Journal of Legal Studies 1980, 623, 629, 632. 152 Stigler, The Journal of Legal Studies 1980, 623, 629–632. 153 Vgl. Dewenter / Lüth, in: Immenga / Körber (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, 2017, 9, 16; Stigler, The Journal of Legal Studies 1980, 623, 628, 629. 154 Acquisti et al., Journal of Economic Literature 2016, 442, 450. 155 Vgl. Acquisti et al., Journal of Economic Literature 2016, 442, 450, 451 m. w. N. zu den nachfolgenden Thesen.
§ 6 Wirtschaftliche Grundlagen
49
2. Aufkommen der elektronischen Datenverarbeitung Mit dem Fortschritt in der Informationsverarbeitung Mitte der 90er Jahre begannen sich Ökonomen verstärkt mit dem Schutz bzw. der Preisgabe personenbezogener Daten zu befassen.156 In den Fokus der Forschung rückten dabei neue Fragen, z. B. wie sich die Interessen von Datensubjekten mit den Bedürfnissen des Marktes und der datenverarbeitenden Unternehmen in Einklang bringen lassen, wie ein Markt für personenbezogene Daten etabliert und ausgestaltet werden könnte oder wie sich die kommerzielle Sekundärnutzung von Daten, unabhängig vom ursprünglichen Verwendungszweck, wirtschaftlich auswirkt.157 Hervorgehoben wurden wiederum die effizienzsteigernden Auswirkungen des Austausches von Daten durch sinkende Transaktionskosten.158 Für den Verbraucher wurde dagegen die vereinfachte Verarbeitung personenbezogener Daten ambivalent bewertet: Einerseits würden den Datensubjekten passende Angebote entgehen, wenn zu wenig Daten über sie zugänglich seien, weswegen ihnen stattdessen oft unpassende Angebote unterbreitet würden.159 Andererseits eröffne die Preisgabe zu vieler Daten neue Risiken für das Datensubjekt, wie beispielsweise Informationsasymmetrien, Preisdiskriminierung160 oder unerwünschte Nachrichten.161 Thematisiert wurde zu dieser Zeit in den 90er Jahren zudem bereits, wem personenbezogene Informationen und der in ihnen verkörperte Wert wirtschaftlich zugeordnet werden könnten.162 Der Zuordnung von Rechten an personenbezogenen Daten wäre dabei primär die Funktion zugekommen, den Wert entsprechender Informationen bestimmten Personen zuzuweisen, was aber, aus rein ökonomischer Perspektive be 156 Acquisti et al., Journal of Economic Literature 2016, 442, 451, 452; Dewenter / Lüth, in: Immenga / Körber (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, 2017, 9, 16. 157 Vgl. Acquisti et al., Journal of Economic Literature 2016, 442, 452 m. w. N. 158 Dewenter / Lüth, in: Immenga / Körber (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, 2017, 9, 16; Varian, in: Lehr / P upillo (Hrsg.), Internet Policy and Economics, 2. ed. 2009, 101, 102, 107, 108. 159 Varian, in: Lehr / P upillo (Hrsg.), Internet Policy and Economics, 2. ed. 2009, 101, 102. 160 Hierzu Dewenter / Lüth, in: Immenga / Körber (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, 2017, 9, 16 m. w. N. Ausführlich zur Preisdiskriminierung durch personalisierte Preise im Internet: Volmar, Digitale Marktmacht, 2019, 401 ff. Vgl. auch Gleixner, VuR 2020, 417, 418, 421. Preisdiskriminierung stellt das Fordern unterschiedlicher Preise gegenüber verschiedenen Kunden für ein identisches Produkt oder eine identische Leistung dar. Vgl. Kunkel-Razum, Duden – Die deutsche Rechtschreibung, 28. Aufl. 2020, „Preisdiskriminierung“ sowie Schäfers, AcP 2021, 32, 34–36 m. w. N. 161 Varian, Economic Aspects of Personal Privacy, in: Lehr / P upillo (Hrsg.), Internet Policy and Economics, 2. ed. 2009, 101, 103, 107, 108; Noam, in: US Department of Commerce (Hrsg.), Privacy and Self-Regulation in the Information Age, 1997, Abschnitt: „Selling the Right of Privacy“. Vgl. auch Acquisti et al., Journal of Economic Literature 2016, 442, 452 m. w. N. 162 Diesbezüglich wurden auch Erwägungen angestellt, einen Markt für personenbezogene Daten mit Datenverarbeitern und Datensubjekten als Akteuren zu etablieren. Nachweise hierzu bei Acquisti et al., Journal of Economic Literature 2016, 442, 452, 453.
50
Teil 2: Rahmenbedingungen der Austauschverhältnisse
trachtet, für die Gesellschaft als Ganzes keinen spezifischen Mehrwert aufweisen würde.163 3. Beginn des digitalen Zeitalters Die aktuelle Phase des wirtschaftswissenschaftlichen Diskurses über die Ökonomie der Privatsphäre begann zu Beginn des neuen Jahrtausends mit dem Erfolgszug des Internets und der Möglichkeit, großangelegt unstrukturierte Daten zu erheben und wirtschaftlich nutzbar zu machen.164 Positiv an dieser Entwicklung wurde bewertet, dass mit der breiten Erfassung und Analyse von Daten eine weitere Senkung von Transaktionskosten einherging und Leistungen interessengerechter als davor auf Kunden abgestimmt werden konnten.165 Prägend für diese Phase ist zudem die höhere Gewichtung der Privatsphäre der Internetnutzer und die Fokussierung auf eine Interessenabwägung, diese zu schützen oder preiszu geben.166 Eine wesentliche Rolle in den Untersuchungen nehmen dabei große datenverarbeitende Unternehmen wie Alphabet (Google), Amazon oder Facebook ein. Diese fungieren nicht mehr nur als Vermittler zwischen den Datensubjekten als Konsumenten und den Werbetreibenden, sondern gestalten durch ihre Dominanz und Reichweite bei der Erhebung, Verarbeitung und Verwertung personenbezogener Daten als Plattformen die Internetlandschaft.167 Ausführlich behandelt wird in dieser Phase weiter die Dynamik zwischen der Preisgabe von Daten, der Identifizierung und Nachverfolgbarkeit einzelner Nutzer über das Internet und der da rauf beruhenden Schaltung personalisierter Werbung bzw. die Ermöglichung von personalisierten Angeboten und Preisdiskriminierung.168 Besondere Beachtung finden Geschäftsmodelle, die auf der Monetarisierung von personenbezogenen Daten basieren, wobei Internetnutzer für die Inanspruchnahme der Angebote und zum scheinbar kostenlosen Erhalt der Anbieterleistung nur noch personenbezogene Daten bereitstellen müssen, welche etwa zur Personalisierung von Werbung verwendet werden.169 163 Vgl. Varian, in: Lehr / P upillo (Hrsg.), Internet Policy and Economics, 2. ed. 2009, 101, 107, 108; Noam, in: US Department of Commerce (Hrsg.), Privacy and Self-Regulation in the Information Age, 1997, Abschnitt: „Assignment of Rights“. 164 Acquisti et al., Journal of Economic Literature 2016, 442, 454; Dewenter / Lüth, in: Immenga / Körber (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, 2017, 9, 10 ff. 165 Acquisti et al., Journal of Economic Literature 2016, 442, 445, 461, 479 ff., 483 m. w. N. 166 Vgl. Acquisti et al., Journal of Economic Literature 2016, 442, 454, 483, 484. 167 Dewenter / Lüth, in: Immenga / Körber (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, 2017, 9, 17, 19–24; Acquisti et al., Journal of Economic Literature 2016, 442, 457–459. 168 Acquisti et al., Journal of Economic Literature 2016, 442, 454 ff. m. w. N. 169 Siehe Eling, Der Wert von Nutzerinformationen aus Anbieter- und Nutzerperspektive, 2017, 129–132, 136–147, 198, welche zu dem Ergebnis, dass sich der Großteil der untersuchten Literatur auf die Erlösmodelle kostenloser Online-Dienste bezieht und die Verwendung von Nutzerdaten zu kommerziellen Zwecken zunehmen an Bedeutung gewinnt. Vgl. auch Acquisti et al., Journal of Economic Literature 2016, 442, 454.
§ 6 Wirtschaftliche Grundlagen
51
Dem geschichtlichen Überblick über die Ökonomie der Privatsphäre ist zu entnehmen, dass auch in der Wirtschaftswissenschaft zunehmend Fragestellungen in den Fokus der Forschung rückten und Studien durchgeführt wurden, die sich empirisch mit datenschutzspezifischen Abwägungsentscheidungen von Datensubjekten und Anbietern im Rahmen datengetriebener Geschäftsmodelle befassen. Ergebnisse dieses Diskurses lassen sich für die nachfolgende Untersuchung der typischen Interessenlage der Parteien entsprechender Austauschgeschäfte fruchtbar machen.170
B. Geschäftsmodelle datengetriebener Austauschgeschäfte Datengetriebene Geschäftsmodelle, bei denen personenbezogene Daten anstelle eines monetären Entgelts für den Erhalt der Leistung preisgegeben werden, können nach Eling unter den Begriff des „Austauschmodell[s]“ gefasst werden.171 Abgestellt wird hierbei auf Geschäftsmodelle, die auf der Nutzung personenbezogener Daten im Austausch gegen eine Anbieterleistung basieren, welche nicht durch eine monetäre Gegenleistung des Datensubjekts vergütet wird. Nach Hacker kann dieses Geschäftsmodell auch als „vollkommen datenfinanziertes Modell“ bezeichnet werden.172 Es zeichnet sich dadurch aus, dass „auf jegliche monetäre Entlohnung verzichtet“ wird.173 Auf diesem Geschäftsmodell liegt der Schwerpunkt der Arbeit. Als Varianten dieses Grundmodells werden im Folgenden die bedeutendsten Geschäftsmodelle der Schaltung personalisierter Online-Werbung auf Webseiten und innerhalb von Softwareanwendungen, das Suchmaschinenmarketing sowie das Marketing im Rahmen sozialer Medien und sozialer Netzwerke herausgegriffen und der Untersuchung zugrunde gelegt.174 Abzugrenzen sind diese vollkommen datenfinanzierten Geschäftsmodelle von Geschäftsmodellen, welche nicht ausschließlich auf der kommerziellen Verarbeitung von personenbezogenen Daten beruhen. Ist nur die Basisversion eines Dienstes datenfinanziert und ohne monetäre Gegenleistung durch das Datensubjekt nutzbar, während für eine erweiterte oder vollständige Version des Dienstes ein Aufpreis in Geld zu zahlen ist (sog. „Freemium-Modell“),175 so beziehen sich die 170
Eingehend hierzu unten S. 173 ff. Eling, Der Wert von Nutzerinformationen aus Anbieter- und Nutzerperspektive, 2017, 139. 172 Als bedeutende Beispiele hierfür lassen sich Facebook, WhatsApp, Instagram, Google, Twitter sowie eine Vielzahl von Softwareanwendungen für mobile Endgeräte wie Smartphones anführen. Vgl. Hacker, ZfPW 2019, 148, 153, 154; Hacker, Datenprivatrecht, 2020, 53. 173 Hacker, ZfPW 2019, 148, 153; vgl. auch Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 176–179. 174 Weiter können alle Ausprägungen der Gewährung von Diensten und materiellen Vorteilen zu diesem Geschäftsmodell gezählt werden, wenn hierfür allein personenbezogene Daten preiszugeben sind. Beispielsweise Rabattaktionen, Kundenwerbungs- und Bonuspunkteprogramme oder Marktforschungsuntersuchungen. 175 Hierzu Eling, Der Wert von Nutzerinformationen aus Anbieter- und Nutzerperspektive, 2017, 137–139. Als Beispiele hierfür können LinkedIn, Dropbox, Google Drive sowie 171
52
Teil 2: Rahmenbedingungen der Austauschverhältnisse
folgenden Ausführungen in der Regel nur auf die ausschließlich datenfinanzierte Basisversion. Ebenso hiervon abzugrenzen sind Geschäftsmodelle, bei denen die Verarbeitung personenbezogener Daten nur ergänzend zu der Erbringung einer monetären Gegenleistung des Datensubjekts vorgesehen ist. So kann die Anbieterleistung im Grunde monetär zu vergüten sein, jedoch für die Preisgabe personenbezogener Daten ein Rabatt gewährt werden (sog. „Rabattmodell“).176 Schließlich kann die Verarbeitung von Daten zu kommerziellen Zwecken durch den Anbieter neben einer monetären Gegenleistung des Datensubjekts vorgesehen sein, wobei die Datenverarbeitung keinen Einfluss auf die Höhe der monetären Gegenleistung besitzt (sog. „data on top-Modell“).177 All diese datengetriebenen Geschäftsmodelle stellen einen Kernbereich der digitalen Wirtschaft dar, ihre zivilrechtliche Behandlung nimmt aufgrund ihrer datenverarbeitenden Komponente eine besondere Bedeutung ein. Die folgende Untersuchung orientiert sich dabei weitestgehend an ausschließlich datengetriebenen Geschäftsmodellen.178 Die Ausführungen zu vollkommen datenfinanzierten Geschäftsmodellen lassen sich auf Freemium-Modelle übertragen, solange keine Nutzung der kostenpflichtigen Premiumversion stattfindet. Neben den oben bereits angeführten, überwiegend als vollkommen datenfinanzierte Modelle ausgestalteten datenbasierten Geschäftsmodellen wird, als aufkommendes versicherungsrechtliches Geschäftsmodell in Gestalt eines Rabatt-Modells, im Folgenden noch die Funktionsweise versicherungsrechtlicher Telematik-Tarife dargestellt werden. I. Personalisierte Online-Werbung 1. Geschäftsmodell Unter Online-Werbung wird das Platzieren von Werbemitteln auf internetbasierten Werbeflächen, wie z. B. einer Webseite oder innerhalb einer Software, verstanden, um „Marketing- und Kommunikationsziele“ eines Werbetreibenden zu unterSoftwareanwendungen oder Webseiten angeführt werden, die für eine Nutzung ohne Werbung oder für zusätzliche Funktionen eine Geldzahlung erfordern. Vgl. Hacker, ZfPW 2019, 148, 153, 154; Hacker, Datenprivatrecht, 2020, 53, 54. 176 Hierzu sind insbesondere alle personalisierten Versicherungstarife i. S. v. Telematik- Versicherungen zu zählen. Siehe Hacker, ZfPW 2019, 148, 154–156; Hacker, Datenprivatrecht, 2020, 54. Vgl. auch Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 178. 177 Hierunter fallen insbesondere Vermittlungsplattformen wie AirBnB und Expedia oder Handelsplattformen wie Amazon. Siehe Hacker, ZfPW 2019, 148, 156, 157 (Hervorhebung im Original). Hierzu auch Hacker, Datenprivatrecht, 2020, 54, 55. 178 Auf data-on-top-Modelle wird aufgrund der vernachlässigbaren Bedeutung der Preisgabe von personenbezogenen Daten im Rahmen von entsprechenden Geschäftsmodellen, neben der vom Nutzer zu erbringenden monetären Gegenleistung, nicht weiter eingegangen.
§ 6 Wirtschaftliche Grundlagen
53
stützen.179 Das Geschäftsmodell gründet auf dem Bedürfnis von Werbetreibenden, ihre Produkte, Dienstleistungen oder sonstigen Angebote optimal zu vermarkten und absatzrelevante Einstellungen von Kunden zu beeinflussen.180 Personalisierte Online-Werbung stellt dabei eine Form des Direktmarketings dar.181 Der Adressat soll als Teil der anvisierten Zielgruppe ausfindig gemacht werden und durch die Schaltung der Werbung unmittelbar und gezielt angesprochen werden.182 Dies erfolgt im Wesentlichen durch die Erfassung und Analyse des Internetnutzers, durch die Erstellung eines Persönlichkeitsprofils, schließlich dessen Identifizierung, Nachverfolgung und Wiedererkennung anhand seiner personenbezogenen Daten.183 2. Akteure Vom Entschluss zur Schaltung einer Werbekampagne bis zu deren Durchführung und der Schaltung personalisierter Online-Werbung für die anvisierte Zielgruppe sind, neben dem Internetnutzer als Adressaten der Werbekampagne, als weitere Akteure im Wesentlichen die Werbetreibenden, die Werbeträger sowie die Vermarkter beteiligt. a) Werbetreibende Werbetreibende sind die Initiatoren der Werbekampagnen und definieren die Kommunikations- und Marketingziele ihrer Werbevorhaben.184 Sie legen die Ausrichtung der Werbekampagne für die Vermarktung eines Produktes, einer Dienstleistung oder zur Bewerbung einer sonstigen Werbebotschaft fest und entscheiden letztendlich über das Budget.185 Werbeziele können dabei sowohl konkrete Interaktionen und Geschäftsabschlüsse mit Kunden als auch die Beeinflussung der Produktwahrnehmung, des Markenimages oder der Markenpräsenz im Hinblick auf die anvisierte Zielgruppe sein.186 Regelmäßig erfolgt die Beauftragung einer
179
Vgl. Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 332; Kopp, Behavioral Targeting, 2014, 16. 180 Eingehend hierzu Kloss, Werbung, 5. Aufl. 2012, 6–9. 181 Zum Online-Direktmarketing und dem Einsatz des Database-Marketings zur individualisierten Kundenansprache im Internet siehe Holland, Direktmarketing, 3. Aufl. 2009, 64 ff., 196 ff. 182 Vgl. Kopp, Behavioral Targeting, 2014, 10, 12; Holland, Direktmarketing, 3. Aufl. 2009, 64, 65. 183 Vgl. Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 357–359; Rieber, Mobile Marketing, 2017, 76–79, 82–84. 184 Kopp, Behavioral Targeting, 2014, 24, 29. 185 Ebenda. 186 Vgl. Rieber, Mobile Marketing, 2017, 69; Kopp, Behavioral Targeting, 2014, 23, 24.
54
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Werbeagentur187 mit der Konzeption der Kampagne und einer Mediaagentur188 mit der Planung und Durchführung der Kampagne.189
b) Werbeträger und Vermarkter Werbeträger „bieten […] Werbeflächen zur Platzierung von Werbemitteln [innerhalb ihrer Internetauftritte] an“.190 Sie können dabei mit einem externen Vermarkter kooperieren, der zwischen ihnen und den Werbetreibenden als Intermediär vermittelt, oder übernehmen diese Rolle selbst.191 Unterschieden werden kann zwischen drei Formen: Vermarkter, die ihr Webangebot selbst verwalten, Vermarkter mit eigenem und externem Webangebot sowie Vermarkter mit ausschließlich externen Webangeboten. Etabliert haben sich in dem Bereich vor allem Vermarktungsorganisationen in Form von Werbenetzwerken (Ad Networks), die Werbeflächen aufkaufen, bündeln und weiter an Werbetreibende vertreiben.192
3. Ablauf der Schaltung personalisierter Werbung Die Schaltung personalisierter Werbung erfolgt ausgerichtet an Zielgruppen. Im Rahmen der Zielgruppenaussteuerung („Targeting“) werden hierzu bestimmte Parameter193 festgelegt und es wird entschieden, welche Nutzergruppen die Werbe 187 Werbeagenturen beraten „den Werbetreibenden bezüglich der Möglichkeiten, Ziele und Kosten einer Kampagne“ und entwickeln, in Absprache mit dem Werbetreibenden, die Werbemittel sowie eine Werbestrategie. Kopp, Behavioral Targeting, 2014, 29. 188 Mediaagenturen übernehmen üblicherweise die Durchführung der Werbekampagne, wie die Auswahl der Werbeträger, die Buchung der Werbeplätze sowie die laufende Verwaltung und Erfolgskontrolle der Werbekampagne. Kopp, Behavioral Targeting, 2014, 29, 30. 189 Vgl. Kopp, Behavioral Targeting, 2014, 29, 30; Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 346, 347. Hierzu zählen beispielsweise Betreiber von Webseiten, die Anbieter von Computersoftware oder von sonstigen Internetdienstleistungen, die eine Werbeschaltung gegenüber dem Nutzer ermöglichen. 190 Kopp, Behavioral Targeting, 2014, 30. Es ist davon auszugehen, dass mehr als jede dritte deutsche Webseite eine kommerzielle Internetseite darstellt und als Werbeträger für die Schaltung von Werbung fungiert. Vgl. Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 336, 337 m. w. N. 191 Kopp, Behavioral Targeting, 2014, 30, 72, 73. 192 Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 345, Rieber, Mobile Marketing, 2017, 76; Kopp, Behavioral Targeting, 2014, 73, 74. 193 Eingehend zum Targeting: Europäischer Datenschutzausschuss, Guidelines 8/2020 on the targeting of social media users, 2020, Rn. 37 ff.; Länderarbeitsgruppe, „Digitaler Neustart“ – Berichte vom 01. 10. 2018 und 15. 04. 2019, 19 ff. Als klassische Targeting-Parameter haben sich anbieterübergreifend für den Bereich der Online-Werbung auf moblilen Endgeräten das genutzte Endgerät, das Betriebssystem des Nutzers, der Mobilfunkanbieter, das genutzte WLAN, der Standort, die Uhrzeit, die Demografie sowie das Umfeld des Nutzers etabliert. Hierzu Rieber, Mobile Marketing, 2017, 77.
§ 6 Wirtschaftliche Grundlagen
55
kampagne erhalten.194 Der Einsatz von Daten über den Adressaten ermöglicht es dabei, diesen als Mitglied der anvisierten Zielgruppe zu identifizieren, wodurch die Wirkung der Werbung optimiert und Streuverluste minimiert werden sollen.195 Die Werbeschaltung erfolgt im Gegensatz zu der klassischen Zielgruppenaussteuerung nicht auf der Basis statistischer Erhebungen, sondern stellt direkt auf den im Internet befindlichen Nutzer ab und richtet die Werbung anhand des aktuellen Kontexts aus.196 Veranschaulichen lässt sich die Schaltung personalisierter Werbung am Modell der Zielgruppenaussteuerung des Programmatic Advertising.197 Bei der Werbeschaltung im Rahmen des Programmatic Advertising versteigern Werbeträger oder Vermarkter über digitale Plattformen198 ihre Werbeflächen ähnlich wie in einem automatischen Auktionsverfahren an die meistbietenden Werbetreibenden.199 Chronologisch lässt sich der Ablauf der Werbeschaltung im Programmatic Advertising folgendermaßen nachzeichnen: Nach der Konzeption der Werbemittel, der Festlegung der gewünschten Zielgruppe und eines Maximal gebots für die Schaltung der Werbung werden diese Angaben von Werbetreibenden an die digitale Plattform für Werbetreibende weitergeleitet.200 Um die Aussteue 194 Dabei wird davon ausgegangen, dass, je spezifischer die Adressatengruppe eingegrenzt ist, desto effektiver die Kundenansprache erfolgt, diese aber auch umso technisch aufwendiger und teurer ist. Kopp, Behavioral Targeting, 2014, 12. Vgl. aber auch Heinemann, Der neue Online-Handel, 11. Aufl. 2020, 68, 69, wonach das „Target-Marketing“ immer kosteneffizienter wird. 195 Vgl. Heinemann, Der neue Online-Handel, 11. Aufl. 2020, 69; Rieber, Mobile Marketing, 2017, 76, 77; vgl. auch Lewandowski, Suchmaschinen verstehen, 2018, 193, am Beispiel der kontextbezogenen Suchmaschinenwerbung. 196 Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, Rn. 357, 358; Rieber, Mobile Marketing, 2017, 77–79. 197 „Programmatic Advertising bezeichnet […] die automatisierte Aussteuerung einzelner Werbekontaktchancen in Echtzeit.“ Bundesverband digitale Wirtschaft, Programmatic Advertising Kompass 2017/2018, 2017, 1, 87 „Programmatic Advertising“. Basierend auf Daten der anvisierten Werbezielgruppe werden dabei softwarebasiert der Kauf und die Anzeige von Werbeflächen sowie deren Optimierung unter Berücksichtigung der Empfänger der Werbung in Sekundenbruchteilen durchgeführt. Vgl. Statista Digital Market Outlook, Digital Advertising Report 2020, 2020, 25. 198 Die größten Plattformen beim Programmatic Advertising sind FacebookAds (im Rahmen des sozialen Netzwerks) und Google AdWords (im Rahmen des Suchwortmarketings). Anbieter von Werbeflächen können personalisierte Werbung auf ihren Internetauftritten über Plattformen wie Google AdSense einbinden lassen. Rieber, Mobile Marketing, 2017, 81. Hall, in: Bundesverband digitale Wirtschaft (Hrsg.), Programmatic Advertising Kompass 2017/2018, 2017, 6, 11. 199 Rieber, Mobile Marketing, 2017, 79–81. Bundesverband digitale Wirtschaft, Programmatic Advertising Kompass 2017/2018, 2017, 1, 87 „Programmatic Advertising“. 200 Die für Werbetreibende existierende Plattformseite oder Plattformen werden dabei als „Demand-Side-Plattformen“ oder „DSP“ bezeichnet, die für Werbeträger als „Supply-SidePlattformen“ oder „SSP“. Rieber, Mobile Marketing, 2017, 79. Hierzu auch Becker, CR 2021, 87, 89–91; Eine Übersicht über die in Deutschland etablierten Plattformen findet sich bei Hall, in: Bundesverband digitale Wirtschaft (Hrsg.), Programmatic Advertising Kompass 2017/2018, 2017, 6, 16, 17.
56
Teil 2: Rahmenbedingungen der Austauschverhältnisse
rung der Werbeschaltung zu erhöhen, können bereits vorhandene Daten über die anvisierte Zielgruppe mit dem Gebot mitgeliefert werden.201 Am anderen Ende der Wertschöpfungskette werden seitens des Werbeträgers Werbeflächen angeboten. Ruft ein Internetnutzer eine Webseite oder eine Software auf, welche eine Werbefläche beinhaltet, so werden dieser Aufruf und die über den Internetnutzer vorhandenen Daten unmittelbar an die digitale Plattform für Werbeträger weitergeleitet.202 Die Menge und Qualität der übermittelten Informationen über den Nutzer stellen die Grundlage für die Wertbestimmung der angebotenen Werbefläche dar.203 Der gesamte Prozess der Versteigerung läuft dabei in Echtzeit ab. Zwischen dem Angebot des Werbeträgers, dem Internetnutzer Werbung einzublenden, der Versteigerung dieses Angebots an den Höchstbietenden und der Auslieferung der Werbung an den Internetnutzer vergehen weniger als 0,1 Sekunden.204 II. Suchmaschinenmarketing 1. Geschäftsmodell Suchmaschinen können als computerbasierte Suchsysteme beschrieben werden, die im Internet verteilte Inhalte erfassen und durchsuchbar machen, wobei die Ergebnisse in einer nach Relevanz geordneten Darstellung aufgeführt werden.205 Das zentrale Geschäftsmodell von Suchmaschinen stellt die Schaltung kontextbezogener Werbung im Rahmen der Suchergebnisse von Suchanfragen dar („Suchwortvermarktung“).206 Suchmaschinenmarketing bezeichnet hierbei die Möglichkeit von Werbetreibenden, potenzielle Kunden über die Ergebnisse einer Suchanfrage einer Suchmaschine auf das eigene Webangebot hinzuweisen und werblich anzu 201
Rieber, Mobile Marketing, 2017, 80, 81. Rieber, Mobile Marketing, 2017, 80, 82. 203 Rieber, Mobile Marketing, 2017, 82, 83. Die Kosten für eine individualisierte Werbeschaltung sind dementsprechend auch regelmäßig höher als bei klassischer Streuwerbung. Hierzu Riehm, in: Specht-Riemenschneider / Buchner et al. (Hrsg.), Festschrift für Jürgen Taeger, 2020, 55, 57. 204 Vgl. Rieber, Mobile Marketing, 2017, 80; Statista Digital Market Outlook, Digital Advertising Report 2020, 2020, 25. 205 Vgl. Lewandowski, Suchmaschinen verstehen, 2018, 29–33. Statistisch nutzen 86 Prozent aller Internetnutzer Internetsuchmaschinen, was damit die am häufigsten nachgefragte Aktivität darstellt. Aus europäischer Sicht existieren drei Anbieter von Suchmaschinen, die den Markt unter sich aufteilen und 99 % aller täglichen Suchanfragen abdecken. Diese Suchmaschinen sind Google, Yahoo und Bing von Microsoft, wobei Yahoo die Suchergebnisse von Bing erhält und Google mit etwa 90 % der Suchanfragen den Markt dominiert. Vgl. Lewandowski, Suchmaschinen verstehen, 2018, 166, 167; Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 32–34. 206 Lewandowski, Suchmaschinen verstehen, 2018, 159–161; Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 183. Sonstige Einnahmen von Suchmaschinenbetreibern aus anderen Geschäftsmodellen stellen nur einen vergleichsweise geringen Anteil am Gesamtumsatz dar. 202
§ 6 Wirtschaftliche Grundlagen
57
sprechen.207 Besonderheit und Stärke des Suchmaschinenmarketings sind, dass der Internetnutzer durch die Eingabe einer Suchanfrage seine Interessen oder sein Informationsbedürfnis bereits konkret offengelegt hat und die Werbung damit kontextbezogen an den Nutzer in den Suchergebnissen ausgeliefert werden kann.208 2. Akteure Als relevante Akteure im Suchmaschinenmarketing lassen sich, wie auf dem Gebiet der Schaltung personalisierter Online-Werbung, neben den Datensubjekten als Zielgruppe, die Suchmaschinenbetreiber als Werbeträger sowie die Inhalteanbieter als Werbetreibende ausmachen.209 3. Ablauf der Werbeausspielung auf Suchmaschinen Die Darstellung der Anzeigen der Werbetreibenden erfolgt bei der Suchmaschinenwerbung in den Suchergebnissen einer Suchanfrage.210 Die Suchergebnisse bestehen aus zwei unterscheidbaren Ergebnisblöcken.211 In einem Block werden die nach Relevanz für den Nutzer sortierten Ergebnisse aus der Datenbank der Suchmaschine dargestellt.212 Das Ranking der Suchergebnisse erfolgt hierbei für alle erfassbaren Internetinhalte zu gleichen Bedingungen, unabhängig von der Zahlung eines Entgeltes, weshalb in diesem Fall von einem organischen Ergebnisblock gesprochen wird.213 Prominent wird daneben ein weiterer Block dargestellt, welcher aus Werbeanzeigen besteht und in den nur Suchergebnisse gegen Entgelt aufgenommen werden.214 Als Resultat einer Suchanfrage eines Nutzers werden sowohl der organische als auch der bezahlte Ergebnisblock dargestellt. Bei der Schaltung ihrer Anzeigen stehen Werbetreibenden zahlreiche Optionen offen, bestimmte Parameter für die Schaltung ihrer Werbeanzeigen festzulegen. Neben der Auswahl von Suchwörtern können unter anderem geografische, de 207
Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 29, 30. Zur Anbieterstruktur in Deutschland, siehe Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 195. 208 Lewandowski, Suchmaschinen verstehen, 2018, 193; Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 51–54. 209 Lewandowski, Suchmaschinen verstehen, 2018, 4, 5, mit weitergehenden Ausführungen zu den beteiligten Interessengruppen im Rahmen von Suchmaschinen. 210 Lewandowski, Suchmaschinen verstehen, 2018, 193. 211 Umfangreiche Erläuterungen hierzu finden sich bei Lewandowski, Suchmaschinen verstehen, 2018, 189 ff. sowie bei Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 35, 36, 46–57. 212 Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 36. 213 Lewandowski, Suchmaschinen verstehen, 2018, 133, 134; Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 36. 214 Lewandowski, Suchmaschinen verstehen, 2018, 135, 189; Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 55 ff.
58
Teil 2: Rahmenbedingungen der Austauschverhältnisse
mografische und zeitliche Kriterien festgelegt werden, um eine gewünschte Zielgruppe mit der Anzeige zu erreichen.215 Die Ausspielung der Anzeigen in dem bezahlten Ergebnisblock erfolgt dabei in einem Versteigerungsverfahren, in dem grundsätzlich das höchste Gebot pro Klick auf eine Anzeige zu den festgelegten Werbeparametern und den konkreten Suchwörtern die beste Position erreicht.216 Diese Auktion erfolgt in Echtzeit und beginnt mit jeder Suchanfrage eines Internetnutzers aufs Neue.217 Nutzerdaten werden im Rahmen der Nutzung von Suchmaschinen dabei in vielfältiger Hinsicht erfasst und verwendet. Neben den eingegebenen Suchbegriffen des verwendeten Geräts, der IP-Adresse sowie der individuellen Gerätekennung beim mobilen Endgerät218 kann eine Vielzahl weiterer Daten über den konkreten Nutzer erfasst werden.219 III. Soziale Netzwerke und Medien 1. Geschäftsmodell und Akteure Internetbasierte soziale Netzwerke und soziale Medien sind computergestützte Systeme im Internet, in denen es den Nutzern ermöglicht wird, miteinander zu kommunizieren.220 Soziale Medien können hierzu als „digitale Medien und Technologien“ definiert werden, „die es den Nutzern ermöglichen, sich untereinander in einem Netz, z. B. im Internet, auszutauschen und mediale Inhalte einzeln oder in Gemeinschaft zu erstellen und weiterzuleiten“.221 Soziale Netzwerke stellen ebenfalls eine besondere Form sozialer Medien dar, bei der verstärkt die lose Verbindung von Menschen in einer Online-Community im Vordergrund steht.222 Das Geschäftsmodell datengetriebener sozialer Medien beruht im Wesentlichen auf der Schaltung von personalisierter Online-Werbung im Rahmen des Vertriebs von Werbeflächen an Werbetreibende durch den Betreiber des sozialen Mediums 215 Lewandowski, Suchmaschinen verstehen, 2018, 194; Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 297 ff. mit einer plastischen Darstellung der Spezifizierungsmöglichkeiten in Google AdWords. Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 191. 216 Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 186; Lewandowski, Suchmaschinen verstehen, 2018, 195; Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 55–60, 63, 64. Im Fall von Google geschieht dies über das Werbeprogramm AdWords. Die Abrechnung erfolgt hierbei grundsätzlich nach dem Pay-per-Click-Modell. Hiernach wird noch nicht für die Einblendung der Werbung ein Entgelt verlangt, sondern erst für den Klick auf die Werbeanzeige. 217 Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 64. 218 Mit der individuellen Gerätekennung des Betriebssystems (Android / iOS) eines Smartphones lässt sich ein Gerät dauerhaft und eindeutig identifizieren. Hierzu unten S. 73. 219 Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 222; Lewandowski, Suchmaschinen verstehen, 2018, 123–125 m. w. N. 220 Vgl. Gabriel / Röhrs, Social Media, 2017, 12. 221 Gabriel / Röhrs, Social Media, 2017, 12. 222 Gabriel / Röhrs, Social Media, 2017, 12, 15.
§ 6 Wirtschaftliche Grundlagen
59
als Werbeträger.223 Ein besonderes Merkmal des Marketings in sozialen Medien und Netzwerken stellt die Möglichkeit der Ausrichtung von Werbekampagnen nach konkretisierten Nutzerprofilen dar, wo in erheblichem Maße personen bezogene Daten verarbeitet und eingesetzt werden, um Streuverluste noch weiter zu verringern.224 2. Werbeschaltung in sozialen Medien Der Ablauf der Werbeschaltung findet üblicherweise im Rahmen des Programmatic Advertising über ein auktionsähnliches Verfahren statt, in dem die maximale Gebotshöhe für die Schaltung einer Anzeige oder die Vornahme einer gewünschten Handlung seitens des Internetnutzers und die Relevanz für die festgelegte Zielgruppe berücksichtigt werden.225 Die anvisierte Zielgruppe kann hierbei erheblich durch verschiedenste Parameter – so z. B. hinsichtlich Alter, Geschlecht, aktuellem Wohnort, verwendetem Gerät, Interessen und Vorlieben der Zielpersonen sowie ihren früheren Handlungen – spezifiziert werden.226 Es ist davon auszugehen, dass bei der Nutzung sozialer Netzwerke und sozialer Medien, neben den persönlichen Informationen zur Identifikation der Nutzer, alle nutzerbezogenen Daten, wie die Inhalte ihrer Konversationen, ihre Kontakte, ihr persönliches Umfeld, erfasst und durch umfangreiche Analysen hochkomplexe Nutzerprofile erstellt und genutzt werden können.227 IV. Telematik-Tarife 1. Geschäftsmodell und Akteure Telematik umschreibt den Einsatz von Technologien zur Informationsverarbeitung in Bereichen der Telekommunikation zur Erreichung bestimmter Zwecke.228 Als Folge des technologischen Fortschritts in der Datenverarbeitung konnten in der Versicherungswirtschaft spezielle Tarife eingeführt werden, die auf dem risiko 223
Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 367 ff., 427, 428, 431 ff. Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 367, 369 ff.; Grabs et al., Follow me!, 4. Aufl. 2018, 67, 182–184; Levy, Facebook Marketing, 2012, 113, 114; Ebers, MMR 2018, 423, 424. 225 Rieber, Mobile Marketing, 2017, 81; eine Übersicht über die verschiedenen Kampagnentypen findet sich bei Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 367 ff. 226 Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 369–371, mit konkreten Beispielen zur Zielgruppenaussteuerung auf Facebook. Hierzu auch unten S. 171. 227 So bereits Karg / T homsen, DuD 2012, 729, 730, 731, 736; Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 345, 346, 367. 228 Telematik stellt ein „Kurzwort aus Telekommunikation und Informatik“ dar. Kunkel- Razum, Duden – Die deutsche Rechtschreibung, 28. Aufl. 2020, „Telematik“. Weitere Nachweise bei Kraft, Telematik im Gesundheitswesen, 2003, 2; Rubin, r+s 2018, 337, 343. 224
60
Teil 2: Rahmenbedingungen der Austauschverhältnisse
relevanten Verhalten des Versicherungsnehmers oder der jeweiligen versicherten Person basieren.229 Diese personalisierten Tarife, die auf der Bewertung des individuellen Verhaltens des Versicherten basieren, werden auch als „Self-Tracking- [Tarife] oder Telematik-Tarife“ bezeichnet.230 Als Grundmodell dieser Tarife werden, im Unterschied zu Standardtarifen, personenbezogene Daten über das risikobestimmende Verhalten des Versicherten erhoben und als Ausgangspunkt für eine vom Verhalten abhängige Gestaltung der Versicherungsprämie genutzt.231 Für das Versicherungsgewerbe bieten Telematik-Tarife ein modernes Prämienmodell, mit welchem Versicherer sich Wettbewerbsvorteile verschaffen können. So ist es möglich, einerseits dem Kunden attraktivere Konditionen als bei Standardtarifen anzubieten, zudem andererseits das übernommene Risiko an die zu zahlende Prämie anzupassen.232 Als typische Akteure sind an Telematik-Tarifen der Versicherer, der Versicherungsnehmer und, für den Fall der Fremdversicherung, zudem die jeweils versicherte Person beteiligt.233 Zusätzlich können noch Datenverarbeitungsunternehmen dazwischengeschaltet sein, um aus Datenschutzgründen eine getrennte Verarbeitung der erhobenen risikorelevanten Daten und der hieraus errechneten Scorewerte zu gewährleisten.234 2. Ablauf der Datenerfassung und der Prämienberechnung Die praktische Umsetzung des Telematik-Tarifs lässt sich verallgemeinernd wie folgt darstellen. Die Erfassung der risikorelevanten Daten des Versicherungsnehmers findet über ein mitgeführtes technisches Gerät statt. Dies erfolgt im Rahmen der Kfz-Versicherung (PAYD-Tarife) in der Regel235 über eine in das Fahrzeug eingebaute Telematik-Box oder, wie im Fall der Erwerbsunfähigkeits 229 Telematik-Tarife werden bereits in verschiedenen Versicherungsbereichen, wie der KfzVersicherung, der Berufsunfähigkeitsversicherung sowie der Risikolebensversicherung, angeboten. Hierzu und m. w. N. zu entsprechenden Tarifen: Grimm, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 47, 50 ff.; Brömmelmeyer, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 117, 118, 121 ff.; Schumann, Pay as you drive, 2017; 7, 8. Vgl. auch Schwichtenberg, DuD 2015, 378; Lüdemann et al., RDV 2014, 302; Klimke, r+s 2015, 217. Im Grunde ist der Einsatz von Telematik-Tarifen in nahezu allen Versicherungsbereichen denkbar. Vgl. Rubin, r+s 2018, 337, 338, wonach „die Möglichkeiten von ‚Big Data‘ im Versicherungswesen [fast unbegrenzt] erscheinen“. 230 Rubin, r+s 2018, 337, 343. 231 Vgl. Rudkowski, ZVersWiss 2017, 453, 454, 455; Lüdemann et al., RDV 2014, 302. 232 Schwichtenberg, DuD 2015, 378. Vgl. auch Schumann, Pay as you drive, 2017, 1–6. 233 Im Rahmen dieser Arbeit wird folgend davon ausgegangen, dass Versicherungsnehmer und versicherte Person identisch sind und ausschließlich der Begriff des Versicherungsnehmers verwendet. 234 Vgl. Schwichtenberg, DuD 2015, 378, 379, dies am Beispiel des Modells der „zwei getrennten ‚Datenkreise‘“ bei dem Pay-as-you-drive-Tarif der S-Direkt darlegend. 235 Grimm, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 47, 53, 54; Klimke, r+s 2015, 217, 218. Eine Alternative zur Telematik-
§ 6 Wirtschaftliche Grundlagen
61
versicherung, der Risikolebensversicherung und sonstiger Vitalitäts-Tarife, über eine Softwareanwendung auf einem mobilen Endgerät wie einem Smartphone oder einem Fitness-Tracker.236 Die erfassten Daten werden im nächsten Schritt durch die Telematik-Box oder die Softwareanwendung mittels einer Anbindung an das Internet über das Mobilfunknetzwerk an einen zur Analyse und Aufbereitung der Daten vorgesehenen Dienstleister oder direkt an den Versicherer übertragen.237 Die Versicherung erhält von dem Dienstleister schließlich noch den aus den Daten errechneten Scorewert oder errechnet diesen selbst.238 Anhand des Scorewerts und des damit festgestellten Risikos kann daraufhin die Versicherungsprämie dynamisch angepasst und festgesetzt werden.239 Die bei Telematik-Tarifen zur Scorewertberechnung erfassten Daten reichen dabei über Fahrdaten, wie zur Fahrzeit, zur Fahrweise, zu den genutzten Wegen, bis hin zu bei Vitalitätstarifen erfassten Daten, welche die körperliche und mentale gesundheitliche Verfassung betreffen.240 Der Scorewert wie auch eine Vielzahl der übermittelten Daten sind daher im Ausgangspunkt als personenbezogene Daten zu qualifizieren.241 V. Resümee zu den wirtschaftlichen Rahmenbedingungen Die aufgeführten datengetriebenen Geschäftsmodelle weisen die Gemeinsamkeit auf, dass sie grundsätzlich auf der Nutzung personenbezogener Daten zu wirtschaftlichen Zwecken basieren, soweit keine Anonymisierung der erfassten Daten
Box stellt die Nutzung eines Diagnosesteckers oder einer Smartphone-App für die Erfassung von Daten wie zur Geschwindigkeit oder zum Standort dar. Die Datenerhebung per Smartphone ist jedoch ungenauer als die über eine direkt in das Fahrzeug integrierte Telematik-Box. Vgl. Streich et al., HMD 2018, 1086, 1091, 1092. 236 Vgl. Holland, Dialogmarketing und Kundenbindung mit Connected Cars, 2019, 69, 149, 150; Bitter / Uphues, Big Data und die Versichertengemeinschaft – „Entsolidarisierung“ durch Digitalisierung?, 2017, 2. Vgl. auch Brömmelmeyer, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 117, 121 ff. 237 Streich et al., HMD 2018, 1086, 1091, 1092 m. w. N. Vgl. auch Holland, Dialogmarketing und Kundenbindung mit Connected Cars, 2019, 149, 150; Schumann, Pay as you drive, 2017, 11–15; Schwichtenberg, DuD 2015, 378, 379; Klimke, r+s 2015, 217, 218. 238 Klimke, r+s 2015, 217, 218, 219; Brömmelmeyer, r+s 2017, 225, 228; Bitter / Uphues, Big Data und die Versichertengemeinschaft – „Entsolidarisierung“ durch Digitalisierung?, 2017, 4; Holland, Dialogmarketing und Kundenbindung mit Connected Cars, 2019, 149, 150. 239 Vgl. Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 81, 75–78; Streich et al., HMD 2018, 1086, 1087, 1091, 1093; Brömmelmeyer, r+s 2017, 225, 227, 228; Lüdemann et al., RDV 2014, 302, 304, 305. 240 Vgl. Holland, Dialogmarketing und Kundenbindung mit Connected Cars, 2019, 149, 150; Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 77, 78; Schumann, Pay as you drive, 2017, 12–14; Rubin, r+s 2018, 337, 343, 344. 241 Schumann, Pay as you drive, 2017, 38, 39; Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 81.
62
Teil 2: Rahmenbedingungen der Austauschverhältnisse
vorgenommen wird.242 So ist im Bereich der personalisierten Online-Werbung maßgeblich, dass der identifizierte Nutzer zur anvisierten Zielgruppe gehört, für die eine Werbefläche sich wertsteigernd vermarkten lässt, was über die Verarbeitung personenbezogener Daten gewährleistet wird. Ebenso bestimmen die Suchanfragen und sonstige potenziell personenbezogene Daten des Suchenden die Anzeigen des bezahlten Werbeblocks im Suchmaschinenmarketing. Im Rahmen von sozialen Medien und sozialen Netzwerken fußt die Vermarktung von Werbeflächen in besonderem Maße auf den gesammelten Informationen über die Datensubjekte und deren Zugehörigkeit zu der anvisierten Zielgruppe. Im Bereich der versicherungsrechtlichen Telematik wird es über die Erfassung der Daten über das risikorelevante Verhalten des Versicherungsnehmers möglich, die zu zahlende Versicherungsprämie dynamisch zu bestimmen und anzupassen. Auch wenn an datengetriebenen Geschäftsmodellen eine Vielzahl von Akteuren beteiligt ist, so ist vorliegend ausschließlich das rechtliche Verhältnis zwischen dem Datensubjekt und dem Anbieter, welcher im Rahmen datengetriebener Geschäftsmodelle häufig auch als Werbeträger fungiert, von Relevanz.
§ 7 Technische Grundlagen Im folgenden Abschnitt werden die technische Umsetzung datengetriebener Austauschmodelle und in der Praxis etablierte Methoden zur Erhebung und Verarbeitung personenbezogener Daten behandelt. Die Darstellung ist auf den technischen Ablauf typischer internetbasierter datengetriebener Austauschgeschäfte zugeschnitten und erfolgt stark vereinfacht. Der Schwerpunkt wird diesbezüglich auf die Übermittlung personenbezogener Daten vom Datensubjekt zum Anbieter über das Internet sowie auf die angewendeten Methoden der Datenerhebung und Datenverarbeitung gelegt.
A. Übermittlung personenbezogener Daten im Internet I. Datenerzeugung in informationstechnologischen Systemen Ausgangspunkt der Datenübermittlung ist das verwendete Computersystem des Datensubjekts, in welchem die personenbezogenen Daten erstmalig generiert werden. Informationstechnologische Systeme wie mobile und stationäre Endgeräte werden hierbei physisch durch ihre Hardware verkörpert.243 Über den Prozessor als Kernstück des jeweiligen Computersystems werden Informationen als Daten
242
Zum fehlenden Personenbezug anonymisierter Daten siehe unten S. 128. Vgl. Gumm / Sommer, Programmierung, Algorithmen und Datenstrukturen, 2016, 39, 48 ff.
243
§ 7 Technische Grundlagen
63
verarbeitet, die in dessen Speicher als Bits verkörpert sind.244 Datenverarbeitungsvorgänge können dadurch nachvollzogen werden, da sie Veränderungen in der Struktur des Speichermediums bewirken.245 Werden Computerprogramme verwendet, um damit beispielsweise Inhalte im Internet aufzurufen, so wird diesen Programmen ein Speicherbereich im Arbeitsspeicher des Systems fest zugewiesen.246 Werden Daten durch die Nutzung eines Computersystems erzeugt, so werden diese zuerst an diesem Ort abgelegt und bei Bedarf dauerhaft in einem Festspeicher gespeichert.247 Ausgehend von dem Speicher in dem System erfolgt die Übermittlung der durch die Verwendung eines Programms oder Internetdienstes anfallenden Daten in ein anderes System.248 II. Beteiligte informationstechnologische Systeme Im Rahmen datengetriebener Austauschgeschäfte sind typischerweise die informationstechnologischen Systeme des Datensubjekts und des Anbieters beteiligt, welche über das Telekommunikationsnetzwerk des Internets miteinander verbunden sind. Diese Systeme sind grundsätzlich als Endsysteme zu qualifizieren, da diese, mit Ausnahme der Anbindung des Verwenders an das Internet, keine darüber hinausgehende Funktion innerhalb des Netzwerks besitzen.249 Hierzu zählen Computer, mobile Endgeräte wie Smartphones, die Telematik-Box im Auto des Versicherungsnehmers und alle anderen elektronischen Geräte, die mit dem Internet verbunden sind. Elektronische Geräte zur Diensterbringung und Datenübermittlung seitens der Anbieter, wie mit dem Internet verbundene Server, welche oftmals in großen Rechenzentren untergebracht werden, sind ebenfalls den Endgeräten zuzuordnen.250
244 Bits sind die technische Verkörperung von Informationen in Computersystemen in Gestalt ihrer elektrischen Ladung, elektrischen Spannung oder Magnetisierung und stellen die Grundstruktur von Daten dar. Gumm / Sommer, Programmierung, Algorithmen und Datenstrukturen, 2016, 5–9, 52, 53. 245 Gumm / Sommer, Programmierung, Algorithmen und Datenstrukturen, 2016, 58–62. 246 Gumm / Sommer, Programmierung, Algorithmen und Datenstrukturen, 2016, 69. 247 Gumm / Sommer, Programmierung, Algorithmen und Datenstrukturen, 2016, 50, 56 ff., 69. Der Arbeitsspeicher dient dabei nicht der dauerhaften Speicherung von Daten, da sein Inhalt sich beständig mit den aufgerufenen Programmen ändert. Deswegen verfügen viele informationstechnologische Systeme zusätzlich über Festspeicher, auf denen Daten langfristig abgelegt werden können. 248 Vereinfacht dargestellt lässt sich die Benutzung von Software, die eine Kommunikation mit dem Internet erfordert, als ein stetiger Austausch von Daten zwischen den beteiligten Systemen in Form eines Ping-Pong-Verfahrens umschreiben. Vgl. Kurose / Ross, Computer networking, 7. ed. 2017, 35–37; 116 ff.; Meinel / Sack, Internetworking, 2013, 668 ff. 249 Siehe oben S. 38 f. 250 Kurose / Ross, Computer networking, 7. ed. 2017, 39; Meinel / Sack, Internetworking, 2013, 668, 669.
64
Teil 2: Rahmenbedingungen der Austauschverhältnisse
III. Die Verknüpfung von Endgeräten im Internet Die Spitze der Hierarchie und das Rückgrat des Internetnetzwerks bilden die Internetserviceprovider ersten Grades.251 Diese besitzen ein weitreichendes Telekommunikationsnetzwerk und sind als gleichrangige autonome Systeme über ein globales Kabelnetz zur Datenübertragung miteinander verbunden.252 Der Datenaustausch erfolgt zwischen diesen Serviceprovidern ohne die Verrechnung von Kosten nach dem Peering Modell.253 Internetserviceprovider zweiten Grades realisieren die Anbindung ihrer kleineren, meist überregionalen Netzwerke an das globale Internetnetzwerk über das Netzwerk von Internetserviceprovidern ersten Grades gegen Entgelt im Rahmen von Transitverträgen oder durch Peering mit gleichrangigen Providern, wodurch Internet-Knotenpunkte wie der DE-CIX in Frankfurt entstanden sind.254 Internetserviceprovider dritten Grades verwirklichen die Anbindung ihrer eher regionalen und lokalen Netzwerke hingegen nur noch über Transitverträge mit Providern höheren Grades oder Internet-Knoten.255 Die am Austauschverhältnis beteiligten Endsysteme von Datensubjekt und Anbieter stehen in der physischen Struktur des Internets am Ende dieser Hierarchie und beziehen ihre Anbindung an das Internetnetzwerk über Internetzugangsprovider der zweiten oder dritten Stufe.256 Die Möglichkeiten, wie Endgeräte technologisch mit dem Internet konkret verbunden sind und welche Intermediäre dazwischen geschaltet sein können, sind dabei äußerst vielfältig.257 Die Verknüpfung aller Netzstrukturen untereinander ergibt, dass Endsysteme als Teil des Internetnetzwerks miteinander verbunden sind.258
251
Meinel / Sack, Internetworking, 2013, 482, 483; Kurose / Ross, Computer networking, 7. ed. 2017, 60. 252 Meinel / Sack, Internetworking, 2013, 482, 483; Kurose / Ross, Computer networking, 7. ed. 2017, 60–62. 253 Vgl. Kurose / Ross, Computer networking, 7. ed. 2017, 60, 61. Beim Peering Modell verbinden gleichrangige Internetserviceprovider zur Reichweitenvergrößerung ihre Kabelnetze miteinander und ermöglichen einander unter Verzicht auf ein Entgelt den Austausch von Daten. 254 Kurose / Ross, Computer networking, 7. ed. 2017, 60–62. Vgl. https://www.de-cix.net [zuletzt geprüft am 02. 05. 2021]. 255 Kurose / Ross, Computer networking, 7. ed. 2017, 61, 62. 256 Kurose / Ross, Computer networking, 7. ed. 2017, 32, 33. 257 Eingehend zu den Möglichkeiten, wie Endsysteme, drahtlos wie drahtgebunden, an das Netzwerk der Internetzugangsprovider angeschlossen sein können, siehe Kurose / Ross, Computer networking, 7. ed. 2017, 40 ff. 258 Treffend kann das Internet daher nach Kurose / Ross, Computer networking, 7. ed. 2017, 59–62, als ein Netzwerk aus Netzwerken bezeichnet werden.
§ 7 Technische Grundlagen
65
IV. Ablauf der Datenübermittlung über Netzwerkprotokolle Innerhalb von Netzwerken aus informationstechnologischen Systemen wird die Kommunikation durch Netzwerkprotokolle umgesetzt.259 Für das Internetnetzwerk setzt dies im Regelfall die TCP / IP-Protokollfamilie um, die standardisiert den Austausch und die Übermittlung von Daten, über lokale Computernetzwerke hinaus, sowohl für Endsysteme als auch unter Internetzugangsprovidern regelt.260 Die Übermittlung von Daten erfolgt hiernach über ein Zusammenspiel mehrerer Protokolle, welche in aufeinander aufbauenden Schichten gegliedert werden und unterschiedliche Aufgaben bewältigen.261 Je nach wissenschaftlicher Darstellung wird zwischen unterschiedlichen Schichten unterschieden. Die vorliegende Darstellung folgt dem Modell von Kurose / Ross, nach dem der Datenaustausch über das Internet in fünf Schichten unterteilt werden kann.262 Die „physical layer“ stellt dabei die unterste Protokollschicht im Schichtenmodell dar.263 Diese regelt den Datentransport innerhalb des jeweiligen Übertragungsmediums264 durch die Umwandlung von Daten in elektronische Signale, abhängig von den physischen und technischen Eigenschaften der Hardware und dem Übertragungsmedium.265 Aufbauend auf der Bitübertragungsschicht wird in der „link layer“ geregelt, wie ein Datenübertragungsblock auf der Route zum Zielort zwischen den einzelnen Netzwerkknotenpunkten übertragen wird.266 Während die Bitübertragungsschicht die Kommunikation zwischen der Netzwerkkomponente eines Systems und dem Übertragungsmedium (beispielsweise einem Glasfaser kabel) reguliert, gewährleistet die Sicherungsschicht die korrekte Übertragung
259 Protokolle stellen gemeinsame, feste Regeln auf, nach denen der Austausch von Informationen in Computersystemen abläuft, um Kommunikation, beispielsweise innerhalb von Netzwerken, zu ermöglichen. Vgl. Meinel / Sack, Internetworking, 2013, 29–31; Kurose / Ross, Computer networking, 7. ed. 2017, 36, 37. 260 Baun, Computernetze kompakt, 2020, 36; Gumm / Sommer, Rechnerarchitektur, Betriebssysteme, Rechnernetze, 2017, 250 ff.; Kurose / Ross, Computer networking, 7. ed. 2017, 32–34; Meinel / Sack, Internetworking, 2013, 29, 38 ff. 261 Kurose / Ross, Computer networking, 7. ed. 2017, 77, 78; Meinel / Sack, Internetworking, 2013, 38, 39. 262 Kurose / Ross, Computer networking, 7. ed. 2017, 77 ff. Hierzu auch Baun, Computernetze kompakt, 2020, 36, 37. 263 Kurose / Ross, Computer networking, 7. ed. 2017, 80. Die physical layer wird auch als „Bitübertragungsschicht“ bezeichnet. Baun, Computernetze kompakt, 2020, 45. 264 Meinel / Sack, Internetworking, 2013, 39, 40; Kurose / Ross, Computer networking, 7. ed. 2017, 80. So finden beispielsweise unterschiedliche Protokolle der physikalischen Schicht Anwendung, je nachdem das Übertragungsmedium aus Kupferkabel, Koaxialkabel oder Glasfaserkabel besteht. 265 Ebenda. Die Auswahl des jeweiligen Protokolls ist mithin davon abhängig, mit welchem Medium das Endgerät mit dem nächsten System, wie dem Netzwerk eines lokalen Internetserviceproviders, verbunden ist. 266 Kurose / Ross, Computer networking, 7. ed. 2017, 79, 80. Die link layer wird auch als „Sicherungsschicht“ bezeichnet. Baun, Computernetze kompakt, 2020, 95.
66
Teil 2: Rahmenbedingungen der Austauschverhältnisse
zwischen den Netzwerkkomponenten der involvierten Systeme auf dem Weg durch die einzelnen Knotenpunkte zum Zielsystem.267 Auf einer weiteren Ebene wird durch die „network layer“ der Pfad von Datenpaketen innerhalb der verschiedenen Netzwerke im Internet vom Ausgangssystem zum Zielsystem festgelegt.268 Datenpakete können aufgrund unterschiedlicher Netzwerkstrukturen auf der Route dabei aufgespalten und wieder zusammengefügt werden.269 In der Vermittlungsschicht findet sich mit dem Internet Protocol (IP) auch eine der Grundlagen des Internets.270 Geräten, die an das Netz angebunden sind, wird hierdurch eine Adresse zugewiesen, die sie identifizierbar und erreichbar macht.271 Die „transport layer“ unterstützt den Datenaustausch zwischen Endsystemen, indem sie gewährleistet, dass die Daten vollständig und fehlerfrei übertragen werden.272 Sie stellt übergreifend die Verbindung von Ausgangs- und Endsystem für die Datenpakete her, die an die Vermittlungsschicht weitergegeben werden, durch welche die Route zum Endsystem bestimmt wird.273 Die oberste Protokollschicht stellt schließlich die „application layer“ dar.274 Diese umfasst alle Protokolle, die Anwendungsprogramme für die Ausführung ihrer Tätigkeiten nutzen.275 Insbesondere sind hierbei das HTTP-Protocol, welches für den Aufruf und das Laden von Webseiten in einem Webbrowser zuständig ist, das SMTP-Protocol, welches zum Austausch von E-Mails eingesetzt wird, und das für die Übertragung von Dateien eingesetzte FTP-Protocol hervorzuheben.276
267
Baun, Computernetze kompakt, 2020, 95; Kurose / Ross, Computer networking, 7. ed. 2017, 79, 80; Meinel / Sack, Internetworking, 2013, 40. 268 Kurose / Ross, Computer networking, 7. ed. 2017, 79; Meinel / Sack, Internetworking, 2013, 41. Die Wegwahl durch die Netzwerke zum Zielsystem wird als Routing bezeichnet. Die network layer wird auch als „Vermittlungsschicht“ bezeichnet. Baun, Computernetze kompakt, 2020, 141. 269 Meinel / Sack, Internetworking, 2013, 41. 270 Kurose / Ross, Computer networking, 7. ed. 2017, 79. Früher gab es neben dem Internet Protocol auch noch andere Verbindungsprotokolle, welche aber nicht mehr von Bedeutung sind. Hierzu Baun, Computernetze kompakt, 2020, 141. 271 Gumm / Sommer, Rechnerarchitektur, Betriebssysteme, Rechnernetze, 2017, 256 ff.; Kurose / Ross, Computer networking, 7. ed. 2017, 357 ff. 272 Hierzu werden die Datenströme in kleinere Segmente zerteilt und über Portnummern an bestimmte Dienste innerhalb eines Endsystems adressiert. Baun, Computernetze kompakt, 2020, 183, 184, wonach die transport layer auch als „Transportschicht“ bezeichnet wird; Kurose / Ross, Computer networking, 7. ed. 2017, 79; Meinel / Sack, Internetworking, 2013, 41. 273 Kurose / Ross, Computer networking, 7. ed. 2017, 79; Meinel / Sack, Internetworking, 2013, 41. Baun, Computernetze kompakt, 2020, 183. 274 Kurose / Ross, Computer networking, 7. ed. 2017, 78. Die application layer wird auch als „Anwendungsschicht“ bezeichnet. Baun, Computernetze kompakt, 2020, 207. 275 Baun, Computernetze kompakt, 2020, 207; Kurose / Ross, Computer networking, 7. ed. 2017, 78; Meinel / Sack, Internetworking, 2013, 42. 276 Kurose / Ross, Computer networking, 7. ed. 2017, 78; Gumm / Sommer, Rechnerarchitektur, Betriebssysteme, Rechnernetze, 2017, 271, 275, 276, 280.
§ 7 Technische Grundlagen
67
V. Übertragung auf das Untersuchungsmodell Für datengetriebene Austauschgeschäfte lässt sich festhalten, dass – bei der Nutzung eines Endgerätes durch das Datensubjekt – anfallende personenbezogene Daten zuerst auf dem vom Datensubjekt verwendeten Endgerät erzeugt und in dem Speicher des Geräts abgelegt werden. Softwareanwendungen übermitteln diese Daten in der Folge vom Endsystem des Datensubjekts auf das Endsystem des Anbieters. Die Datenübermittlung erfolgt über das Internet, welches ein globales Netzwerkgeflecht darstellt, dem beide Endsysteme zugehörig sind. Maßgebliches Mittel der Übertragung ist die TCP / IP-Protokollfamilie, welche, ausgehend von der Anwendungsschicht, den Datenaustausch über das Internet initiiert. Das Ausgangssystem und das Zielsystem sind dabei zum Zeitpunkt des Austausches eindeutig über die ihnen zugeordnete IP-Adresse identifizierbar, wodurch, in Abwesenheit einer Anonymisierung, diesen Daten regelmäßig Personenbezug zukommen wird.277 Ihren Abschluss findet die Erhebung eines personenbezogenen Datums mit dessen Ablage im Speicher des seitens des Anbieters verwendeten Endsystems. Die internetbasierte Erbringung einer digitalen Anbieterleistung innerhalb der beschriebenen internetbasierten Geschäftsmodelle erfolgt auf die gleiche Weise.278 So werden für den Aufruf einer Webseite die benötigten Daten in den Webbrowser des Nutzers von dem Speicher des Endgeräts des Anbieters auf den Speicher des Endgeräts des Datensubjekts übertragen. Dasselbe gilt für die internetbasierte Bereitstellung eines erworbenen Computerprogramms, für die Ausgabe der Ergebnisse einer Suchmaschine oder für die Kommunikation innerhalb sozialer Medien und Netzwerke.
B. Methoden der Datenerhebung und Datenverarbeitung Es ist davon auszugehen, dass von einem mit dem Internet verbundenen Datensubjekt theoretisch alle anfallenden Daten erfasst werden können. Die technischen Möglichkeiten zur Erhebung, Verarbeitung und Verwertung sind nahezu endlos und nicht abschließend aufführbar. Die folgende Darstellung beschränkt sich deswegen auf häufig im Rahmen der dargestellten Geschäftsmodelle eingesetzte Methoden und Technologien zur Verarbeitung personenbezogener Daten. Bei der Datenverarbeitung im Internet kann zwischen zwei Formen unterschieden werden: der Verarbeitung expliziter oder impliziter Nutzerdaten.279 Ausgangspunkt 277
Siehe unten S. 124 ff. Mit Ausnahme der Erbringung der Versicherungsleistung und der Dynamisierung der Versicherungsprämie im Rahmen von Telematik-Tarifen. 279 Kopp, Behavioral Targeting, 2014, 41–47; Lanzer, Information – Wissenschaft & Praxis 2010, 293, 295. Eine vergleichbare Unterteilung findet in der Marktforschung mit der Einordnung in reaktiver und nichtreaktiver oder auch aktiver und passiver Datenerhebung statt. Vgl. Döring / Bortz, Forschungsmethoden und Evaluation in den Sozial- und Humanwissenschaften, 5. Aufl. 2016, 323; Kopp, Behavioral Targeting, 2014, 41; Buxel, Science Factory, Ausgabe 1/2002, 1, 2. 278
68
Teil 2: Rahmenbedingungen der Austauschverhältnisse
der Unterscheidung sind die Mitwirkung und das Bewusstsein des Datensubjekts bezüglich der Preisgabe seiner Daten.280 Im Fall expliziter Nutzerdaten wirkt das Datensubjekt an der Entstehung der personenbezogenen Daten mit und ist sich der Datengenerierung wie auch der Datenübermittlung an den Anbieter bewusst.281 Hierunter fallen insbesondere die Preisgabe von Daten durch eine manuelle Übermittlung der Daten seitens des Datensubjekts, wie z. B. die Eingabe von Daten in offene oder geschlossene Formularfelder auf Webseiten, die Auswahl von Antworten innerhalb eines Wahlmenüs, die Kommunikation innerhalb sozialer Medien oder sonstige wissentlich ausgeführte Datenübertragungen.282 Weitere bedeutsame Beispiele hierfür sind das Anlegen von Benutzerkonten auf Webseiten oder Softwareanwendungen, die Eingabe von Suchbegriffen, das Klicken von Schaltflächen wie Buttons oder das Teilen von Inhalten in sozialen Netzwerken.283 Im Fall von Telematik-Tarifen werden hierzu auch die Angaben des Versicherungsnehmers bei Abschluss des Versicherungsvertrags zu zählen sein. Dagegen stehen bei der Verarbeitung impliziter Nutzerdaten vor allem Verfahren im Mittelpunkt, bei denen das Datensubjekt nur passiv an der Entstehung der personenbezogenen Daten beteiligt ist und sich in der Regel der Aufzeichnung seines Verhaltens nicht bewusst ist.284 Hierzu zählen Verfahren, die speziell für die Erhebung von Daten im Internet konzipiert worden sind und neben der Erfassung umfangreicher Datenmengen auch die Identifizierung, Nachverfolgung und Wiedererkennung von Datensubjekten im Internet ermöglichen.285 Vor allem durch die softwarebasierte Auswertung einer großen Anzahl an Daten können Muster und Zusammenhänge offengelegt werden, die Aussagen zum Verhalten von Datensubjekten ermöglichen, wodurch wiederum weitere Daten generiert werden.286 Unterteilt wird folgend zwischen der Datenerhebung im Rahmen von Digital Analytics sowie im Rahmen eingebetteter Systeme, welche für datengetriebene Austauschverhältnisse besondere Relevanz aufweisen.
280 Kopp, Behavioral Targeting, 2014, 41, 42; Döring / Bortz, Forschungsmethoden und Evaluation in den Sozial- und Humanwissenschaften, 5. Aufl. 2016, 323; Buxel, Science Factory, Ausgabe 1/2002, 1, 2. 281 Kopp, Behavioral Targeting, 2014, 41, 42, 46. Vgl. auch Döring / Bortz, Forschungsmethoden und Evaluation in den Sozial- und Humanwissenschaften, 5. Aufl. 2016, 323, 325; Buxel, Science Factory, Ausgabe 1/2002, 1, 2. 282 Vgl. Kopp, Behavioral Targeting, 2014, 46, 47; Lanzer, Information – Wissenschaft & Praxis 2010, 293, 295; Buxel, Science Factory, Ausgabe 1/2002, 1, 3. 283 Kopp, Behavioral Targeting, 2014, 46; Buxel, Science Factory, Ausgabe 1/2002, 1, 3. 284 Kopp, Behavioral Targeting, 2014, 41, 42; Döring / Bortz, Forschungsmethoden und Evaluation in den Sozial- und Humanwissenschaften, 5. Aufl. 2016, 323, 325; Buxel, Science Factory, Ausgabe 1/2002, 1, 2. Siehe auch Hacker, Datenprivatrecht, 2020, 28, 29. 285 Lanzer, Information – Wissenschaft & Praxis 2010, 293, 295. 286 Dieses Vorgehen wird auch als „Data-Mining“ bezeichnet. Vgl. Kunkel-Razum, Duden – Die deutsche Rechtschreibung, 28. Aufl. 2020, „Data-Mining“.
§ 7 Technische Grundlagen
69
I. Digital Analytics Mit Digital Analytics oder Web Analytics wird „die Gesamtheit des Prozesses von der Erhebung der Daten bis zur […] Zielgruppenanalyse“ innerhalb des Internets bezeichnet.287 Der Begriff Digital Analytics wird vorliegend weit verstanden und umfasst sowohl Verfahren zur Erhebung und Verarbeitung von personen bezogenen Daten im Rahmen von Webangeboten – wie Webseiten, Suchmaschinen oder soziale Medien – als auch von entsprechenden Computerprogrammen.288 Zur Erfassung des Datenverkehrs zwischen den Endsystemen von Datensubjekt und Anbieter existiert dabei eine Vielzahl von Möglichkeiten, die softwarebasiert individuell angepasst werden können und, kombiniert mit anderen Methoden, zu einer umfassenden Verarbeitung personenbezogener Daten führen.289 Nach einer Studie von 2017 wurden Methoden zur Nachverfolgung von Internetnutzern bei 77,4 Prozent aller aufgerufenen Webseiten im Internet eingesetzt.290 Im Folgenden werden die wichtigsten Methoden datengetriebener Geschäftsmodelle zur Datenerhebung und Identifizierung von Nutzern im Internet aufgeführt.
1. Logdateien-Analyse Logdateien enthalten ein automatisch geführtes Protokoll aller oder bestimmter Aktionen, die auf einem Computersystem stattgefunden haben.291 Im Internet werden Logdateien bei der Benutzung von Anwendungen oder Webseiten im Wesentlichen an drei Stellen zur Datenerfassung eingesetzt: Als Logdatei eines Webservers des Anbieters bei Abruf eines Webangebots, als Logdatei eines vermittelnden Webservers (sog. „proxy server“) oder als Logdatei innerhalb des Endsystems des
287
Reese, Web Analytics – damit aus Traffic Umsatz wird, 2. Aufl. 2009, 16; Vgl. auch Haberich, in: Schwarz (Hrsg.), Big Data im Marketing, 2015, 66. Im Bereich der Web Analytics dominieren wenige Unternehmen mit ihren Trackingprodukten den Markt. Insbesondere ist dabei Google Analytics zu finden, welches laut einer Studie auf 64,4 % von über 144 Millionen Webseiten – welche von 850.000 Internetnutzer geladenen wurden – eingesetzt wird und ein erhebliches Potenzial zur Nachverfolgung von Internetnutzern entfaltet. Vgl. Ghostery, Sie wissen, was du letzten Sommer geklickt hast, zitiert nach Statista, 2017. 288 Bei den meisten datengetriebenen Geschäftsmodellen existiert heutzutage sowohl ein Webangebot als auch eine Softwareversion im Hinblick auf die Bereitstellung der Anbieterleistung. 289 Reese, Web Analytics – damit aus Traffic Umsatz wird, 2. Aufl. 2009, 216. Vgl. hierzu die Beschreibung des Trackings von Internetnutzern bei Facebook bei Karg / T homsen, DuD 2012, 729, 730 ff., wonach dieses auf einer Kombination von Datenerhebungsmethoden basiert und damit wohl auch die Nachverfolgung des Verhaltens nicht angemeldeter Nutzer ermöglicht. 290 Ghostery, Sie wissen, was du letzten Sommer geklickt hast, zitiert nach Statista, 2017. 291 Vgl. Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 497; Mandl et al., Information – Wissenschaft & Praxis 2011, 29, 30; Kopp, Behavioral Targeting, 2014, 42.
70
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Datensubjekts als Nutzer.292 Jeder Aufruf einer Webseite oder die Nutzung eines Programms wird in der Logdatei festgehalten.293 Für übertragene Elemente, wie z. B. Texte, ebenso für Medien wie Bilder, Audio- oder Videodateien, wird jeweils ein Eintrag angelegt.294 Als Informationen werden dabei typischerweise erfasst: die IP-Adresse, Identifikationsdaten im Fall einer vorgesehenen Authentifizierung des Nutzers, der Zeitpunkt des Aufrufes, die Verweildauer und der Zeitpunkt des Verlassens der Software oder Webseite sowie die übertragenen Daten.295 Registriert werden kann jeder Download, jeder Klick, die Verweildauer in einzelnen Bereichen einer Website, die Registrierung und das Einloggen des Internetnutzers, welche Waren in einen Warenkorb gelegt wurden oder die Position des Maus zeigers des Nutzers.296 Durch Logdateien von Webseiten wird festgehalten, wer etwas wann, in welchem Umfang, von woher, mit welchen Suchbegriffen, mittels welcher Software und in welcher Reihenfolge auf einer Webseite angefordert hat.297 Für die Identifikation und Wiedererkennung einzelner Nutzer eignen sich Logdateien nur bedingt, da sie nicht alle Tätigkeiten registrieren und die Zuordnung einer dynamischen IP-Adresse eines Webseitenaufrufes zu einem konkreten Datensubjekt häufig nicht eindeutig ist.298 Zur Aufbereitung von Logdateien werden deswegen mehrere Parameter herangezogen – oder es kommen ergänzend zusätzliche Trackingmethoden zum Einsatz.299
292
Um Logdateien auf Nutzerseite zu führen, müssen auf deren Systemen dabei entweder ein eigenes Programm installiert, welches den Webbrowser des Nutzers modifiziert, oder Cookies integriert worden sein. Suneetha / Krishnamoorthi, IJCSNS 2009, 327, 328. Eingehend zur Logdateien-Analyse bei einem Webserver: Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 497. 293 Kopp, Behavioral Targeting, 2014, 42; Suneetha / Krishnamoorthi, IJCSNS 2009, 327, 328. 294 Vgl. Kopp, Behavioral Targeting, 2014, 42; Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 497. 295 Kopp, Behavioral Targeting, 2014, 42, 43; Mandl et al., Information – Wissenschaft & Praxis 2011, 29, 30; Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 497. 296 Kopp, Behavioral Targeting, 2014, 42–44; Heuberger-Götsch, in: Fasel / Meier (Hrsg.), Big Data, 2016, 83, 87; Suneetha / Krishnamoorthi, IJCSNS 2009, 327, 328; Lewandowski, Suchmaschinen verstehen, 2018, 109 ff., 245; Pelzer / Gerigk, Google AdWords, 2. Aufl. 2018, 768, 769. 297 Vgl. Kopp, Behavioral Targeting, 2014, 44. 298 Siehe Kopp, Behavioral Targeting, 2014, 44; Mandl et al., Information – Wissenschaft & Praxis 2011, 29; dies liegt unter anderem an der Vergabe dynamischer IP-Adressen, die einem Nutzer nur für eine bestimmte Zeit zugeordnet werden oder daran, dass sich mehrere Internetnutzer einen Anschluss teilen. Zum Personenbezug dynamischer IP-Adressen siehe unten S. 128 ff. 299 Kopp, Behavioral Targeting, 2014, 44; Mandl et al., Information – Wissenschaft & Praxis 2011, 29, 30; Buxel, Science Factory, Ausgabe 1/2002, 1, 3. Beispiele hierfür sind die nachfolgend erörterten Cookies und Zählpixel. Zum Einsatz von Log-Dateien innerhalb von Datenanalysen: Heuberger-Götsch, in: Fasel / Meier (Hrsg.), Big Data, 2016, 83; 87–89.
§ 7 Technische Grundlagen
71
2. Cookies Cookies sind „kleine Textdateien“, die Informationen zur Wiedererkennung eines Internetnutzers im Rahmen eines Webangebotes enthalten.300 Sie stellen eine Technik zur Identifikation von Nutzern über verschiedene Webangebote dar, welche auch das Tracking des Datensubjekts über längere Zeiträume ermöglicht.301 Cookies werden von Webservern in der Regel im Rahmen des ersten Aufrufes eines Webangebots in den Computersystemen der Nutzer abgelegt und machen diese dadurch wiedererkennbar.302 Wird der Cookie vom Webangebotsbetreiber selbst gesetzt, so wird von einem „First-Party-Cookie“ gesprochen, setzen Dritte wie Werbedienstleister den Cookie, so liegt dagegen ein „Third-Party-Cookie“ vor.303 Neben Informationen zur Wiedererkennung, wie der einem Internetnutzer zugeordneten Kennung oder ein Datenbankeintrag, enthalten Cookies häufig Identifizierungskennungen von Werbepartnern, wie beispielsweise im Affiliate- Marketing, um Transaktionen nachträglich zuordnen zu können.304 3. Zählpixel, JavaScript und Fingerprints Zählpixel305 stellen nicht sichtbare Bilder dar, die innerhalb von Webangeboten oder Werbeanzeigen auf Webseiten platziert sind und einen Code enthalten.306 Durch den Kontakt eines Internetnutzers mit einem Webangebot oder einem Werbemittel wird der Pixel mit abgerufen, wodurch Nutzerdaten gesammelt, gespeichert und im Nachhinein ausgewertet werden können.307 Die Erhebung und Übermittlung der über den Zählpixel erfassten Daten muss nicht über den gleichen Webserver erfolgen, der das Webangebot bedient, sondern kann auch über unab-
300
Rieber, Mobile Marketing, 2017, 73, 74; Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 65, 66; Kopp, Behavioral Targeting, 2014, 45. Hierzu auch Hacker, Datenprivatrecht, 2020, 26, 27. Vgl. auch EuGH, Urteil vom 01. 10. 2019 – C-673/17, juris, Rn. 31. Zum Inhalt von Cookies siehe zudem Kristol, TOIT 2001, 151, 153, 154. 301 Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 65; Rieber, Mobile Marketing, 2017, 59. 302 Ebenda. 303 Rieber, Mobile Marketing, 2017, 74; Kopp, Behavioral Targeting, 2014, 45. 304 Affiliate Marketing stellt eine provisionsbasierte Vertriebsform im Internet dar, bei der ein Partner („Affiliate“) für jede Transaktion einer anderen Person, die auf der Werbeleistung des Partners beruht, eine Provision erhält. Siehe Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 63–65. 305 Andere Bezeichnungen für den Zählpixel sind auch „Web Bug“, „Web Wanze“ oder „Web Beacon“. Siehe Kopp, Behavioral Targeting, 2014, 45. 306 Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 61, 62; Buxel, Science Factory, Ausgabe 1/2002, 1, 3; Kopp, Behavioral Targeting, 2014, 45, 46; Acquisti et al., Journal of Economic Literature 2016, 442, 463, 464. 307 In der Regel wird „ein 1 × 1 Pixel großes [..] Bild“ verwendet. Kopp, Behavioral Targeting, 2014, 45, 46; Acquisti et al., Journal of Economic Literature 2016, 442, 463, 464.
72
Teil 2: Rahmenbedingungen der Austauschverhältnisse
hängige Server stattfinden.308 Auch Dritten, die selbst keinen Zugriff auf die Logdateien des Webservers des genutzten Webangebotes haben, ist es dadurch möglich, Informationen über die Nutzer zu erhalten, die mit einem Webangebot oder einem Werbemittel in Kontakt gekommen sind.309 Zählpixel werden häufig spezifisch auf eine Datenerhebung ausgerichtet, die auf eine bestimmte Fragestellung optimiert ist und zur Aufbereitung von Logdateien genutzt wird.310 Infolge des Abrufes des Pixels werden Einträge in den Logdateien des ausliefernden Webservers angelegt, wodurch unter anderem darauf geschlossen werden kann, zu welchem Zeitpunkt ein Nutzer ein Webangebot genutzt hat oder ob dieser mit einer Werbeanzeige in Kontakt gekommen ist.311 In Kombination mit anderen Trackingmethoden können hierdurch konkrete Nutzer wiedererkannt und einzelne Transaktionen im Internet nachverfolgt und zugeordnet werden.312 Die Funktionsweise des Trackings mittels JavaScript ähnelt dem Pixeltracking. JavaScript wird bei der Programmierung von Webangeboten eingesetzt und ermöglicht deren Darstellung im Webbrowser des Nutzers.313 Wie Zählpixel wird JavaScript in die Code-Struktur eines Webangebots, wie z. B. einer Webseite, integriert und kann über Zählpixel hinausgehende Informationen über den abrufenden Client sammeln.314 Erfasst werden können hierüber, unter anderem, die Auflösung des benutzten Monitors, die im Webbrowser installierten Plugins, aber auch Mausbewegungen und Tastatureingaben der Nutzer.315 Über JavaScript können zudem Cookies im System des Nutzers abgelegt und gelesen werden.316 Eine präzise Nutzeridentifikation ist weiter über sogenannte Fingerprints möglich, welche in der Regel ebenfalls auf JavaScript basieren.317 Aus verschiedenen Variablen, wie der IP-Adresse, dem Betriebssystem, dem Browser und weiteren Spezifikationen der Textdarstellung im Client-System, wird eine individuelle Zeichenkombination erstellt und einem Nutzer bei Aufruf des Webangebots zugeordnet.318 308
Kopp, Behavioral Targeting, 2014, 45, 46. Vgl. Kopp, Behavioral Targeting, 2014, 45, 46; Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 67; Acquisti et al., Journal of Economic Literature 2016, 442, 463, 464 m. w. N. 310 Kopp, Behavioral Targeting, 2014, 45, 46. 311 Vgl. Lammenett, Praxiswissen Online-Marketing, 7. Aufl. 2019, 67; Buxel, Science Factory, Ausgabe 1/2002, 1, 3. 312 Kopp, Behavioral Targeting, 2014, 46; Buxel, Science Factory, Ausgabe 1/2002, 1, 3. 313 Vgl. Reese, Web Analytics – damit aus Traffic Umsatz wird, 2. Aufl. 2009, 208. 314 Reese, Web Analytics – damit aus Traffic Umsatz wird, 2. Aufl. 2009, 208 ff.; Kopp, Behavioral Targeting, 2014, 46. 315 Reese, Web Analytics – damit aus Traffic Umsatz wird, 2. Aufl. 2009, 188, 208, 209; Kopp, Behavioral Targeting, 2014, 46. 316 Siehe Reese, Web Analytics – damit aus Traffic Umsatz wird, 2. Aufl. 2009, 220. 317 Hacker, Datenprivatrecht, 2020, 28. Siehe auch Upathilake et al., in: NTMS (Hrsg.), 7th International Conference on New Technologies, Mobility and Security, 2015, 1, 2 m. w. N. zu den verschiedenen Methoden zur Erzeugung von (digitalen) Fingerprints. 318 Reese, Web Analytics – damit aus Traffic Umsatz wird, 2. Aufl. 2009, 228; Upathilake et al., in: NTMS (Hrsg.), 7th International Conference on New Technologies, Mobility and Security, 2015, 1, 2, 3. 309
§ 7 Technische Grundlagen
73
Der hierdurch gekennzeichnete Nutzer kann mit einer Wahrscheinlichkeit von über 90 Prozent wiedererkannt und dessen Internetnutzungsverhalten fortlaufend analysiert werden.319 4. Netzwerkprotokollanalyse oder Data-Sniffing-Technologien Bei der Netzwerkprotokollanalyse findet die Datenerfassung mittels einer Box statt, die zwischen einem Webserver und seiner Anbindung an das Internet geschaltet ist und alle hindurchfließenden Daten aufzeichnet.320 Durch Programme werden dabei Datenpakete, die über die Internetprotokollfamilie von einem Endsystem zum anderen Endsystem verschickt werden, gespeichert, lesbar gemacht und ausgelesen.321 Diesen Datenpaketen können verschiedenste Informationen „hinsichtlich Inhalt, Ankunftsort und Zielort“ entnommen und, vergleichbar mit der Logdateien-Analyse, in Dateien festgehalten werden.322 5. Mobile Advertising IDs (MAIDs) Für mobile Endgeräte wie Smartphones existieren zur Identifizierung konkreter Nutzer weitere spezielle Kennungen, die einem mobilen Endgerät grundsätzlich dauerhaft auf Basis des Betriebssystems zugeordnet sind.323 Für die dominierenden Betriebssysteme von Smartphones sind dies die Google Advertising ID (GAID) für Android und der Identifier for Advertisers (IDFA) für iOS.324 Durch die MAID ist es möglich, den Nutzer über verschiedene Webangebote oder Apps wiederzuerkennen und eine Werbung gezielt auszusteuern.325 II. Eingebettete Systeme Unter eingebetteten Systemen sind Rechensysteme zu verstehen, die „in ein übergeordnetes System eingebunden sind“ und zur Erfüllung „vordefinierter Auf 319
Einer Studie von 2014 zufolge verwenden ungefähr 5,5 % der 100.000 größten Webseiten im Internet Fingerprinting. Upathilake et al., in: NTMS (Hrsg.), 7th International Conference on New Technologies, Mobility and Security, 2015, 1, 2 m. w. N. 320 Reese, Web Analytics – damit aus Traffic Umsatz wird, 2. Aufl. 2009, 216. Vgl. auch Asrodia / Patel, IJERA 2012, 854, 856; Ansari et al., IEEE Potentials 2002, 17. 321 Ansari et al., IEEE Potentials 2002, 17; Asrodia / Patel, IJERA 2012, 854, 856. 322 Buxel, Science Factory, Ausgabe 1/2002, 1, 3; Reese, Web Analytics – damit aus Traffic Umsatz wird, 2. Aufl. 2009, 216. 323 Rieber, Mobile Marketing, 2017, 74, Polajner, in: Ternès / Englert (Hrsg.), Digitale Unternehmensführung, 2019, 213. 324 Rieber, Mobile Marketing, 2017, 74. 325 Rieber, Mobile Marketing, 2017, 74, 80; Polajner, in: Ternès / Englert (Hrsg.), Digitale Unternehmensführung, 2019, 213, 214.
74
Teil 2: Rahmenbedingungen der Austauschverhältnisse
gaben“ eingesetzt werden.326 Als Bestandteil eines übergeordneten Systems oder Produkts, wie bei mobilen Endgeräten im Bereich der Telekommunikation, liegen eingebettete Systeme häufig miniaturisiert vor und können „normalerweise nicht direkt vom Benutzer wahrgenommen werden“.327 Regelmäßig sind eingebettete Systeme mit der physikalischen Umwelt über Sensoren verbunden, die Informationen aus ihrer Umgebung sammeln, verarbeiten und mit einem Netzwerk wie dem Internet verbunden sind.328 Die Verwendung eingebetteter Systeme innerhalb stationärer und mobiler Endgeräte lässt sich unter den Gesichtspunkten ihrer zunehmenden Miniaturisierung und der Entwicklung hin zu einer allgegenwärtigen Informationsverarbeitung treffend den Schlagwörtern „Ubiquitous Computing“, „Pervasive Computing“, „Internet of Things (IoT)“ bzw. „Internet der Dinge“ und der „Industrie 4.0“ zuordnen.329 Umschrieben wird durch diese Begriffe die Vernetzung von Alltagsgegenständen, von informationstechnologischen Geräten und sonstigen Objekten, die zur Datenerfassung eingesetzt werden und zunehmend alle Arbeits- und Lebensbereiche durchdringen.330 Durch die Integrierung in ein übergeordnetes Produkt ermöglichen eingebettete Systeme die Erhebung, Verarbeitung und Übertragung von Daten, die zur Profilbildung und zur Identifizierung des Nutzers im Rahmen der beschriebenen datengetriebenen Geschäftsmodelle eingesetzt werden können. Hierzu zählen insbesondere in mobile Endgeräte verbaute Sensorik, der Einsatz von Technologien zur Ortung des Datensubjekts sowie die Datenerhebung im Rahmen von Telematik-Tarifen über das Smartphone oder eine Telematik-Box. 1. In mobile Endgeräte eingebaute Sensorik Sensoren in technischen Systemen sind Entwicklungen der Mikro- und Nano systemtechnik und haben es ermöglicht, erfassbare Parameter der Umwelt aufzuzeichnen und in elektrischer Form als Informationen zu verarbeiten.331 Als Bestand 326
Siehe Bringmann et al., Eingebettete Systeme, 3. Aufl. 2018, 1. Vgl. auch Marwedel, Eingebettete Systeme, 2008, 1, wonach eingebettete Systeme als „informationsverarbeitende Systeme [definiert werden], die in ein größeres Produkt integriert sind“. 327 Marwedel, Eingebettete Systeme, 2008, 1; Bringmann et al., Eingebettete Systeme, 3. Aufl. 2018, 1–3, mit zahlreichen Praxisbeispielen. 328 Marwedel, Eingebettete Systeme, 2008, 2; Linnhoff-Popien, in: Eberspächer / Reden (Hrsg.), Umhegt oder abhängig?, 2006, 35, 39. Vgl. auch Bringmann et al., Eingebettete Systeme, 3. Aufl. 2018, 3, 9, 10. 329 Bringmann et al., Eingebettete Systeme, 3. Aufl. 2018, 2, 10, 11 m. w. N. Vgl. auch Hacker, Datenprivatrecht, 2020, 37 ff.; Becker, JZ 2017, 170. Eingehend zu den technischen Grundlagen der allgegenwärtigen Datenverarbeitung: Fleisch / Mattern, Das Internet der Dinge, 2005, 39 ff.; 61–63. 330 Bringmann et al., Eingebettete Systeme, 3. Aufl. 2018, 2, 3; Marwedel, Eingebettete Systeme, 2008, 1; Linnhoff-Popien, in: Eberspächer / Reden (Hrsg.), Umhegt oder abhängig?, 2006, 35, 48. 331 Fleisch / Mattern, Das Internet der Dinge, 2005, 46, 47.
§ 7 Technische Grundlagen
75
teil eines Produkts können Sensoren, je nach individueller Spezifikation, Elemente ihrer Umgebung registrieren und als Daten festhalten.332 Über die Sensortechnik lassen sich so unter anderem Informationen über die Helligkeit, die Temperatur, den Standort eines Geräts, die Feuchtigkeit in dessen Umgebung oder den Aufenthalt innerhalb eines Magnetfeldes gewinnen.333 Weiter ist es über die Sensorik möglich, Stoffe und Substanzen wie Flüssigkeiten oder Gase zu analysieren und Funkwellen oder Druck zu messen.334 Die Möglichkeiten, über Sensoren innerhalb von technischen Gegenständen die Umwelt zu erfassen, sind vielfältig und nicht abschließend aufzählbar.335 Insbesondere in mobile Endgeräte wie Smartphones wird eine Vielzahl von Sensoren verbaut, auf die Anbieter datengetriebener Geschäftsmodelle über das Betriebssystem potenziell zugreifen können.336 Als bedeutende Sensoren sind hier Mikrofone, Kameras und der Touchscreen eines mobilen Endgerätes zu erwähnen.337 Die Übertragung erfasster Daten, von mobilen Endgeräten ausgehend, kann mittels verschiedener Methoden erfolgen. Neben Antennen für den Empfang von Mobilfunk und WLAN, mit denen eine Verbindung zum Internetnetzwerk hergestellt werden kann, existiert mit Antennen für Bluetooth und NFC338 in zahlreichen Endgeräten zusätzlich Funktechnik für den Empfang und das Senden von Daten im Nahbereich.339 Ein Einbau eines RFID-Chips340 in ein Endgerät ermöglicht schließlich die Zuteilung und das Auslesen einer eindeutig einem Gerät zuzuordnenden Kennung.341
332
Marwedel, Eingebettete Systeme, 2008, 1, 2. Vgl. Fleisch / Mattern, Das Internet der Dinge, 2005, 46, 47; Biermann, Smartphone: Mächtige Sensoren, Zeit Online, 28. 05. 2014. 334 Fleisch / Mattern, Das Internet der Dinge, 2005, 46, 47. 335 Vgl. Müller, Auto-ID-Verfahren im Kontext allgegenwärtiger Datenverarbeitung, 2018, 18 ff.; Fleisch / Mattern, Das Internet der Dinge, 2005, 58 ff. 336 Vgl. Bringmann et al., Eingebettete Systeme, 3. Aufl. 2018, 6, 7; Biermann, Smartphone: Mächtige Sensoren, Zeit Online, 28. 05. 2014. 337 Ebenda. 338 „Near-Field-Communication“. Hierzu Rieber, Mobile Marketing, 2017, 93, 94; Hilty et al., Lokalisiert und identifiziert, 2012, 28. 339 Biermann, Smartphone: Mächtige Sensoren, Zeit Online, 28. 05. 2014; Bringmann et al., Eingebettete Systeme, 3. Aufl. 2018, 7; Fleisch / Mattern, Das Internet der Dinge, 2005, 48–50. 340 „Radio-Frequency-Identification“. Umfassend diesbezüglich Müller, Auto-ID-Verfahren im Kontext allgegenwärtiger Datenverarbeitung, 2018, 30, 33 ff. 341 Müller, Auto-ID-Verfahren im Kontext allgegenwärtiger Datenverarbeitung, 2018, 2, 11, 12, 27 ff.; Hilty et al., Lokalisiert und identifiziert, 2012, 17, Fn. 15, die genaue Zuordnung findet über die „Seriennummer des Chips“ oder den EPC („Electronic Product Code“) statt, der „den Standard zur weltweit eindeutigen Kennzeichnung von Produktexemplaren durch RFID“ darstellt. 333
76
Teil 2: Rahmenbedingungen der Austauschverhältnisse
2. Technologien zur Ortung des Datensubjekts Technologien zur Ermittlung des Aufenthaltsortes von Endgeräten oder von mit eingebetteten Systemen versehenen Objekten arbeiten nach dem Prinzip, die Lage des zu ortenden Objekts zu einem bekannten Referenzobjekt zu messen und daraus dessen konkrete Position zu bestimmen.342 Verfahren zur Ortung lassen sich kombinieren, um eine präzise Lokalisierung zu erreichen.343 Neben der Lokalisierung der Objekte ist dadurch auch eine Identifikation des Objekts und eine Zuordnung zu einem Datensubjekt möglich.344 Über die SIM-Karte345 eingeschalteter, mobiler Endgeräte ermöglichen Mobilfunknetze eine Bestimmung von deren Position.346 Neben der Eingrenzung des Ortes über die Funkzelle, in der sich das Gerät befindet, ist eine noch genauere Lokalisierung möglich, wenn das Endgerät sich in der Funkreichweite mehrerer Sendemasten für Mobilfunk befindet.347 Dadurch kann eine zielgenaue Positionsbestimmung vorgenommen und das jeweilige Gerät über die SIM-Karte einem Nutzer zugeordnet werden.348 Eine Positionsbestimmung von Endgeräten ist daneben auch über WLAN349 möglich. Die Verbindung des Endgeräts mit dem Internetnetzwerk erfolgt hierfür über eine WLAN-Basisstation, die ihre Anbindung an das Netzwerk über einen Internetserviceprovider erhält.350 Internetserviceprovider besitzen dabei einen fest zugewiesenen Bereich an IP-Adressen, der ihnen zur Vergabe zugeteilt wurde und dadurch das geografische Gebiet eingrenzt, in dem sich ein Endgerät mit entsprechender IP-Adresse befinden kann.351 Bei einer dem Gerät fest zugeteilten Adresse wird von einer statischen IP-Adresse gesprochen, wogegen wechselnde Adressen, die aktiven Geräten zugeteilt werden, als dynamische IP-Adressen bezeichnet werden.352 Liegen neben der IP-Adresse zusätzliche Verbindungsdaten vor, so ist es möglich, die WLAN-Basisstation eindeutig zu identifizieren und zu lokalisieren.353 Über die Basisstation verbundene Endgeräte werden dabei eindeutig über deren MAC-Adresse identifiziert.354 Durch eine größere Abdeckung von Gebieten mit öffentlichen und privaten WLAN- 342
Hilty et al., Lokalisiert und identifiziert, 2012, 15, 16. Hilty et al., Lokalisiert und identifiziert, 2012, 16. 344 Ebenda. 345 „Subscriber Identity Module“. Eine SIM-Karte identifiziert den Nutzer eines Mobilfunkgerätes. Siehe Hilty et al., Lokalisiert und identifiziert, 2012, 16, Fn. 13. 346 Hilty et al., Lokalisiert und identifiziert, 2012, 18, 19. 347 Ebenda. 348 Hilty et al., Lokalisiert und identifiziert, 2012, 16, 18 m. w. N. 349 „Wireless Local Area Network“. Hilty et al., Lokalisiert und identifiziert, 2012, 19; Kurose / Ross, Computer networking, 7. ed. 2017, 45, 46 m. w. N. 350 Hilty et al., Lokalisiert und identifiziert, 2012, 16, 19, 27, 28. 351 Hilty et al., Lokalisiert und identifiziert, 2012, 27, 28. 352 Vgl. Schantz / Wolff, Das neue Datenschutzrecht, 2017, Rn. 285, 286; Hilty et al., Lokalisiert und identifiziert, 2012, 27, 28. Weiterführend hierzu unten S. 128. 353 Ebenda. 354 „Media Access Control“. Die Mac-Adresse ermöglicht die Identifizierung eines Geräts innerhalb eines Computernetzwerks. Siehe Hilty et al., Lokalisiert und identifiziert, 2012, 16, Fn. 14. 343
§ 7 Technische Grundlagen
77
Stationen ist über die Auswertung von überlappenden Netzwerken, Signalstärken und Signallaufzeiten auch hier eine präzise Ortsbestimmung eines Endgerätes möglich.355 Besonders stark etabliert hat sich die Satellitenortung von Endgeräten über GPS.356 Durch eingebaute GPS-Empfänger ist eine Selbstortung mit bis zu 10 Metern Genauigkeit möglich.357 Die ermittelte Position kann dann über Mobilfunk oder einen anderen Übertragungsweg auch von Dritten erfasst werden.358 Eine Ortung von Geräten ist weiter über Bluetooth möglich. Eine Lokalisierung erfolgt über ein Netzwerk aus Geräten, die sich in Funkreichweite befinden und bei denen Bluetooth eingeschaltet ist.359 Befindet sich ein zu ortendes Endgerät in Reichweite von Geräten, die mit dem Internet verbunden sind und eine Ortung anderer Geräte über Bluetooth ermöglichen, so können die Bewegung und die Position des zu ortenden Gerätes von einer Zelle in die nächste Zelle nachverfolgt werden.360 Das Gerät ist dabei weltweit anhand der individuellen Bluetooth-Geräteadresse identifizierbar.361 Auch über RFID oder NFC ist eine Ortung eines Gerätes möglich, in welchem entsprechende Chips integriert sind. Voraussetzung ist, dass sich das Objekt in Reichweite eines entsprechenden Lesegerätes befindet.362 Hierbei kann das Gerät eindeutig weltweit identifiziert werden.363 Schließlich ermöglicht es die Verbreitung von Bildern im Internet, wie beim Hochladen von Bildern auf sozialen Medien, dass durch Verfahren wie Geotagging oder der inhaltsbasierten Bildersuche Rückschlüsse auf den Aufenthaltsort von Objekten und Personen gezogen werden können.364 Die Ortung des Endgeräts ist aus Sicht datengetriebener Geschäftsmodelle vor allem unter den Gesichtspunkten des Targetings und der Profilbildung von Bedeutung. Insbesondere wird hierdurch die ortsbezogene Zielgruppenaussteuerung 355
Vgl. Hilty et al., Lokalisiert und identifiziert, 2012, 19, 20. „Global Positioning System“. Hierzu Hilty et al., Lokalisiert und identifiziert, 2012, 17; Rieber, Mobile Marketing, 2017, 88. 357 Hilty et al., Lokalisiert und identifiziert, 2012, 16, 17; Rieber, Mobile Marketing, 2017, 88. 358 Hilty et al., Lokalisiert und identifiziert, 2012, 18; Rieber, Mobile Marketing, 2017, 88, 89. 359 Vgl. Hilty et al., Lokalisiert und identifiziert, 2012, 20, 21; Heinemann, Die Neuausrichtung des App- und Smartphone-Shopping, 2018, 109. 360 Sogenanntes „Bluetooth Tracking“. Hierzu Hilty et al., Lokalisiert und identifiziert, 2012, 21; Rieber, Mobile Marketing, 2017, 91, 92. Über Beacons, die Bluetooth-Signale aussenden, lassen sich damit Kunden präzise innerhalb eines Geschäfts orten. 361 Hilty et al., Lokalisiert und identifiziert, 2012, 21 m. w. N. 362 Hilty et al., Lokalisiert und identifiziert, 2012, 22, 28; Rieber, Mobile Marketing, 2017, 93, 94. 363 Hilty et al., Lokalisiert und identifiziert, 2012, 17, 21, 22, 28; Heinemann, Die Neuausrichtung des App- und Smartphone-Shopping, 2018, 111 m. w. N. 364 Geotagging findet durch moderne digitale Foto- oder Videokameras statt. Bilder werden dabei mit Metadaten versehen, die Informationen über die Position und den Zeitpunkt der Aufnahme enthalten und Rückschlüsse auf den Ort der Aufnahme zulassen. Mit inhaltsbasierter Bildersuche werden hier Verfahren bezeichnet, mit denen die Bildbestände nach bestimmten Parametern wie z. B. Gesichtsformen durchsucht werden können. Hierzu Hilty et al., Lokalisiert und identifiziert, 2012, 16, 17, 24 ff. mit Nachweisen zu weiteren Technologien zur Lokalisierung von Geräten oder Personen. 356
78
Teil 2: Rahmenbedingungen der Austauschverhältnisse
ermöglicht, wodurch Werbung aufgrund der festgestellten Position kontextabhängig, auf die derzeitige Position des Datensubjekts ausgerichtet, geschaltet werden kann.365 Zudem lassen sich Rückschlüsse auf den Wohnort oder regelmäßigen Aufenthaltsort des Datensubjekts ziehen, welches als demografisches Merkmal von besonderer Relevanz für die Zielgruppenbestimmung ist. 3. Datenverarbeitung im Rahmen von Telematik-Tarifen Die technische Umsetzung der Datenerfassung bei Telematik-Tarifen findet derzeit über ein mitgeführtes technisches Gerät statt. Im Rahmen von PAYD-Tarifen erfolgt dies gegenwärtig über die Ausrüstung von Fahrzeugen mit speziellen Telematik-Geräten oder einem mitgeführten Smartphone, auf dem hierzu ein spezielles Programm zur Datenerhebung installiert ist.366 Bei Vitalitätstarifen werden spezielle Softwareanwendungen auf mobilen Endgeräten wie einem Smartphone oder einem Fitness-Tracker eingesetzt.367 Zur Erhebung risikorelevanter Daten bei PAYD-Tarifen wird dabei auf verschiedene Technologien, auf Steuerungsgeräte der Fahrzeuge und Sensoren zurückgegriffen.368 So verfügen die Telematik-Geräte über ein GPS-Modul, mit dem die Fahrzeugposition, die zurückgelegte Strecke sowie die Geschwindigkeit bestimmt werden können.369 Weiter kann teilweise auf „das fahrzeugeigene On-Board-Diagnosesystem“ zugegriffen werden, wodurch Informationen, wie z. B. der Lenkeinschlag, die Motordrehzahl, der Reifendruck, die Reifendrehzahl, die Außentemperatur, das Brems- und Beschleunigungsverhalten oder, über GPS, die Fahrzeugposition erfasst werden können.370 Daneben werden auch die Fahrzeit, die Fahrdauer und der Typus der befahrenen Straßen ermittelt.371 Die gesammelten Daten werden schließlich über die Mobilfunkverbindung des Smartphones oder des Telematik-Geräts dem jeweiligen Datenverarbeiter übermittelt.372 Im Bereich sonstiger Telematik-Tarife, so beispielsweise bei Vitalitätstarifen, werden personenbezogene Daten ebenfalls über Endgeräte 365
Eingehend hierzu Rieber, Mobile Marketing, 2017, 88 ff.; Heinemann, Die Neuausrichtung des App- und Smartphone-Shopping, 2018, 95 ff.; Heinemann, Der neue Online-Handel, 11. Aufl. 2020, 187 ff. 366 Grimm, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 47, 54–58 m. w. N. Schumann, Pay as you drive, 2017, 8–11. 367 Hierzu oben Fn. 236. 368 Vgl. Schumann, Pay as you drive, 2017, 9–11; Lüdemann et al., RDV 2014, 302. 369 Schumann, Pay as you drive, 2017, 9, 10; Grimm, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 47, 53, zu den am häufigsten verwendeten Parametern. 370 Schumann, Pay as you drive, 2017, 9, 10. 371 Schumann, Pay as you drive, 2017, 9, 13; Holland, Dialogmarketing und Kundenbindung mit Connected Cars, 2019, 149, 150; Schwichtenberg, DuD 2015, 378, 379. 372 Schumann, Pay as you drive, 2017 9, 11–14; Holland, Dialogmarketing und Kundenbindung mit Connected Cars, 2019, 149, 150; Schwichtenberg, DuD 2015, 378, 379; Lüdemann et al., RDV 2014, 302, 303.
§ 7 Technische Grundlagen
79
durch Zugriff auf deren Speicherinhalte und auf die in diesen verbauten Sensoren erfasst.373 Hierfür eignen sich insbesondere mobile Endgeräte wie Smartphones oder Fitness-Tracker, die mit einer Vielzahl unterschiedlicher Sensoren ausgestattet sein können, wobei die Datenerhebung bereits durch die Installation einer entsprechenden Software ermöglicht wird.374 Die Datenverarbeitung und die Berechnung des Scorewerts erfolgen schließlich unter Berücksichtigung der gewonnenen Datenlage und der risikorelevanten Faktoren durch einen externen Dienstleister oder durch den Versicherer.375 III. Resümee zu den Methoden der Datenerhebung und -verarbeitung Festhalten lässt sich, dass Informationen über ein Datensubjekt in erheblichem Maße und auf vielfältige Art und Weise erhoben werden können. Neben der bewussten Preisgabe von Daten existieren im Rahmen der Informationsverarbeitung im Internet zahlreiche Methoden, das individuelle Nutzungsverhalten über implizit erhobene Daten zu erfassen, geräteübergreifend zu identifizieren und zu verarbeiten. Eine spezielle Rolle spielen hierbei die aufgezeigten Entwicklungen in den Bereichen der Digital Analytics und der Erfassung von Informationen über Sensoren in eingebetteten Systemen. Über den Zugriff auf in Endgeräte verbaute Sensoren können detaillierte Informationen über das Umfeld des Datensubjekts generiert werden, die das Bild des Datensubjekts weiter komplettieren. Durch die Kombination verschiedener Verfahren zur Gewinnung von Daten können Internetnutzer lokalisiert, komplexe Profile von ihnen automatisiert gebildet376 und Rückschlüsse auf ihre Identität, bis hin zu ihrer Identifizierung, gezogen werden, wodurch typischerweise von einem Personenbezug der erhobenen Daten auszugehen sein wird.377
373
Rubin, r+s 2018, 337, 343. Hierzu bereits oben bei Fn. 336, 337. Vgl. auch Schumann, Pay as you drive, 2017, 11, 12; Rubin, r+s 2018, 337, 343. Nach Andelfinger, 2025 – Die Versicherung der Zukunft, 2018, 29, 30, 33–35, sind die Möglichkeiten dabei nicht auf technische Geräte beschränkt, auch Alltagsgegenstände wie Kleidung lassen sich mit Sensoren ausstatten, die gesundheitsrelevante Daten sammeln könnten. 375 Siehe oben bei Fn. 237–239. 376 Die automatisierte Profilbildung wird nach Art. 4 Nr. 4 DSGVO auch als „Profiling“ bezeichnet. Hierunter ist jede Art der automatisierten Verarbeitung personenbezogener Daten zu verstehen, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. 377 Vgl. Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 19–21; Böhm / Halim, CR 2020, 651, 652. 374
80
Teil 2: Rahmenbedingungen der Austauschverhältnisse
§ 8 Rechtliche Grundlagen Zur Bestimmung der rechtlichen Rahmenbedingungen wird zunächst der verfassungs- und europarechtliche Rechtsrahmen untersucht, innerhalb dessen sich datengetriebene Austauschverhältnisse bewegen. Im Anschluss daran wird der einfachgesetzliche Rechtsrahmen behandelt, welcher die Zulässigkeit und die Modalitäten der Kommerzialisierung personenbezogener Daten durch Datensubjekte innerhalb datengetriebener Austauschgeschäfte rechtlich ausformt.
A. Verfassungs- und europarechtlicher Rahmen I. Datenschutzrecht Grenzen werden der Kommerzialisierung personenbezogener Daten und deren Einsatz als Vertragsgegenstände maßgeblich durch das Datenschutzrecht gezogen. Bereits zu Beginn der Digitalisierung und der zunehmenden Globalisierung von Datenverarbeitungsvorgängen in den 70er Jahren wurde die Dringlichkeit erkannt, spezifische Vorgaben für den Umgang mit personenbezogenen Daten zu erarbeiten.378 Deshalb wurden durch die OECD, den Europarat und die Vereinten Nationen erste datenschutzrelevante Regelungen auf internationaler Ebene getroffen.379 In Deutschland ist 1977 die erste Fassung des Bundesdatenschutzgesetzes (BDSG) verabschiedet worden.380 Auf europäischer Ebene sind ebenso seit der Schaffung des europäischen Binnenmarkts eine Vielzahl datenschutzrechtlicher Rechtsakte auf sekundärrechtlicher Ebene ergangen, welche gegenwärtig einen verbindlichen Rechtsrahmen für die Mitgliedstaaten bilden.381
378 Einen Überblick hierzu bieten: Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 222–224; Langhanke, Daten als Leistung, 2018, 6–9 m. w. N. 379 Langhanke, Daten als Leistung, 2018, 8–13; Jöns, Daten als Handelsware, 2019, 58, 59. Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 92–132. So verabschiedete die OECD am 23. 09. 1980 die „Leitlinien für den Schutz des Persönlichkeitsbereiches und den grenzüberschreitenden Verkehr personenbezogener Daten“, der Europarat am 28. 01. 1981 das „Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten“ und die Vereinten Nationen am 04. 12. 1990 die „Richtlinien betreffend personenbezogene Daten in automatisierten Dateien“. 380 Langhanke, Daten als Leistung, 2018, 7 m. w. N. 381 Hierzu Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 133–154; Langhanke, Daten als Leistung, 2018, 17.
§ 8 Rechtliche Grundlagen
81
1. Europarechtlicher Rahmen a) Primärrechtliche Quellen Das primärrechtliche Grundgerüst des europäischen Datenschutzrechts ist in Art. 16 AEUV und in Art. 8 Abs. 1 Grundrechte-Charta verankert. Diese Verbürgungen des Datenschutzes weisen denselben Wortlaut auf und garantieren das Recht jeder Person auf den Schutz der sie betreffenden personenbezogenen Daten.382 Zur Gewährleistung eines einheitlichen Schutzniveaus wird ihnen der gleiche Inhalt beigemessen.383 Ein Eingriff in die primärrechtlichen Verbürgungen liegt bei jeder Verarbeitung personenbezogener Daten vor und bedarf einer gesonderten Rechtfertigung.384 In den Schutzbereich fallen als personenbezogene Daten „alle Informationen über eine bestimmte oder bestimmbare Person“.385 Als Schranke des Rechts auf Datenschutz fungiert Art. 52 Abs. 1 S. 1 GrundrechteCharta. Jede Einschränkung des Rechts auf Datenschutz muss demnach gesetzlich vorgesehen sein und den Wesensgehalt des Grundrechts achten.386 Konkretisierend wird durch Art. 8 Abs. 2 S. 1 Grundrechte-Charta bestimmt, dass personenbezogene Daten nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden dürfen. Verpflichtet werden durch die primärrechtlichen Bestimmungen nach Art. 51 Abs. 1 Grundrechte-Charta die Union und die Mitgliedstaaten, wenn diese Unionsrecht ausführen.387 Mangels unmittelbarer Drittwirkung der europäischen Grundrechte-Charta stellt dagegen eine Datenverarbeitung durch Private keinen Grundrechtseingriff dar.388 Jedoch entfalten auch gegenüber Privatpersonen die primärrechtlichen Verbürgungen mittelbar Wirkung, da diese sowohl beim Erlass als auch bei der Auslegung von unionsrechtlichem Sekundärrecht und den darauf beruhenden nationalen Umsetzungsakten zu berücksichtigen sind.389 Daneben wird der Schutz personenbezogener Daten über Art. 8 Abs. 1 EMRK gewährleistet. Das Menschenrecht verbürgt das Recht auf Achtung des Privatund Familienlebens und gewährleistet nach Rechtsprechung des EGMR auch den
382 Schneider, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Völker- und unionsrechtliche Grundlagen, Rn. 22; Langhanke, Daten als Leistung, 2018, 15. 383 Schneider, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Völker- und unionsrechtliche Grundlagen, Rn. 22; Langhanke, Daten als Leistung, 2018, 15, 16. Art. 6 Abs. 1 EUV postuliert diesbezüglich, dass die Grundrechte-Charta und die Verträge gleichrangig sind. 384 Langhanke, Daten als Leistung, 2018, 14 m. w. N. 385 Ebenda. 386 EuGH, Urteil vom 08. 04. 2014 – C-293/12, C-594/12, juris, Rn. 38, 40; Langhanke, Daten als Leistung, 2018, 14, 15. 387 Vgl. auch Langhanke, Daten als Leistung, 2018, 15. 388 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 21. 389 Tinnefeld, DuD 2009, 504; Langhanke, Daten als Leistung, 2018, 15.
82
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Schutz personenbezogener Daten.390 Der nach Art. 6 Abs. 2 EUV vorgesehene Beitritt der Europäischen Union zur EMRK ist gegenwärtig noch nicht erfolgt.391 Die EU-Mitgliedstaaten haben jedoch bei der Schaffung und Umsetzung von Unionsrecht die Gewährleistungen der Konvention auch bei der Regelung des Verhältnisses zwischen Privatpersonen zu beachten.392 Ein rechtfertigungsbedürftiger Eingriff in den Schutzbereich von Art. 8 Abs. 1 EMRK ist anzunehmen, wenn personenbezogene Daten eines Menschen „erhoben, gespeichert oder verarbeitet werden und dieser dadurch in seinem Privatleben beeinträchtigt wird“.393 Gemäß Art. 1 EMRK werden nur die Mitgliedstaaten als Vertragsparteien durch die Konvention verpflichtet. Die Bestimmungen der EMRK sind bei der Auslegung europäischen wie nationalen Rechts zu berücksichtigen.394 Eine Verpflichtung privater Personen in Form einer unmittelbaren Drittwirkung ist hingegen wiederum nicht anerkannt.395 b) Sekundärrechtliche Quellen Von wesentlicher Bedeutung für den zivilrechtlichen Rechtsrahmen des Umgangs mit personenbezogenen Daten sind die europäische Datenschutzgrundverordnung396 und die ePrivacy-Richtlinie (im Folgenden: ePrivacy-RL).397 Die DSGVO ist seit dem 25. 05. 2018 nach Art. 99 Abs. 2 DSGVO unmittelbar anzuwendendes Recht.398 Auf diese Rechtsakte wird näher im Hauptteil eingegangen.399 390
EGMR, Urteil vom 30. 01. 2020 – 50001/12, juris, Rn. 75, 76; Jöns, Daten als Handelsware, 2019, 62; Langhanke, Daten als Leistung, 2018, 16; Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 163. 391 Rechtspolitisch wird ein Beitritt weiterhin angestrebt. Siehe Deutsche Präsidentschaft im Rat der Europäischen Union, Gemeinsam. Europa wieder stark machen, 2020, 18. 392 EGMR, Urteil vom 30. 01. 2020 – 50001/12, juris, Rn. 74–76, 92, 93; Langhanke, Daten als Leistung, 2018, 17; Lohse / Jakobs, in: Karlsruher Kommentar zur StPO, 8. Aufl. 2019, Art. 1 EMRK, Rn. 4 m. w. N. zur Rechtsprechung. 393 Langhanke, Daten als Leistung, 2018, 16 m. w. N. 394 EGMR, Urteil vom 30. 01. 2020 – 50001/12, juris, Rn. 78, 79; Lohse / Jakobs, in: Karlsruher Kommentar zur StPO, 8. Aufl. 2019, Art. 1 EMRK, Rn. 5; Tinnefeld, DuD 2009, 504; Langhanke, Daten als Leistung, 2018, 17. 395 Lohse / Jakobs, in: Karlsruher Kommentar zur StPO, 8. Aufl. 2019, Art. 1 EMRK, Rn. 5; Langhanke, Daten als Leistung, 2018, 16. 396 Siehe oben Fn. 29. Mit Inkrafttreten der DSGVO am 24. 05. 2016 und dem Ablauf der Übergangsfrist zum 25. 05. 2018 wurde die früher geltende europäische Datenschutzrichtlinie abgelöst. Ausführlich zur Datenschutz-RL: Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 133–147. 397 Richtlinie 2002/58/EG vom 12. 07. 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl. L 201/37, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=celex:32002L0058 [zuletzt geprüft am 02. 05. 2021]. 398 Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 202. 399 Siehe unten S. 117 ff.
§ 8 Rechtliche Grundlagen
83
2. Quellen des Datenschutzes im Grundgesetz Im nationalen Verfassungsrecht ist der Schutz personenbezogener Daten in verschiedenen Grundrechten verankert. Primär wird hierfür auf das Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG abgestellt.400 Das Grundrecht beinhaltet „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“.401 Daneben gewährleisten spezielle Freiheitsrechte wie das Brief-, Post- und Fernmeldegeheimnis aus Art. 10 GG sowie das Grundrecht auf Unverletzlichkeit der Wohnung aus Art. 13 GG innerhalb ihrer Schutzbereiche den Schutz personenbezogener Daten.402 In Abgrenzung zur informationellen Selbstbestimmung ist der Schutzbereich von Art. 10 GG jedoch auf die Vertraulichkeit spezifischer Telekommunikationsvorgänge beschränkt, während Art. 13 GG auf den raumbezogenen Bereich der Wohnung begrenzt ist.403 Ebenso gewährleisten Grundrechte wie die Berufsfreiheit aus Art. 12 GG, die Eigentumsgarantie aus Art. 14 GG sowie die Versammlungs- und Vereinigungsfreiheit aus Art. 8 GG und Art. 9 GG innerhalb ihrer Schutzbereiche den Schutz von Geheimhaltungsinteressen als Annex.404 Die zu beobachtende Entwicklung zeigt diesbezüglich, dass im Rahmen des Datenschutzes zunehmend allein auf das Grundrecht auf informationelle Selbstbestimmung abgestellt wird.405 II. Das Austauschverhältnis ausgestaltende Grundrechtspositionen Der Schwerpunkt wird folgend auf die Grundrechtspositionen der Beteiligten aus dem Grundgesetz gelegt, wobei von dem Bestehen eines vergleichbaren Schutzniveaus der Grundrechte des Grundgesetzes und der Grundrechte der GrundrechteCharta auszugehen ist.406 400
Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 173–174; Jöns, Daten als Handelsware, 2019, 71, 72. Das Recht auf informationelle Selbstbestimmung wurde durch das BVerfG in dessen Volkszählungsurteil als Ausprägung des allgemeinen Persönlichkeitsrechts entwickelt. Hierzu BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, BVerfGE 65, 1–71. 401 BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 149. Vgl. auch BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 84; Jöns, Daten als Handelsware, 2019, 72; Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 175. 402 Jöns, Daten als Handelsware, 2019, 67, 68 m. w. N. 403 Jöns, Daten als Handelsware, 2019, 68; Michl, NJW 2019, 2729, 2733; Papier, in: Maunz / Dürig GG, 93. EL. 2020, Art. 13 GG, Rn. 145; Durner, in: Maunz / Dürig GG, 93. EL. 2020, Art. 10 GG, Rn. 77, 287. 404 Jöns, Daten als Handelsware, 2019, 68. 405 Vgl. Jöns, Daten als Handelsware, 2019, 68, 69; Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 25. 406 Vgl. BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 154. Nachweise zu den entsprechenden grundrechtlichen Verbürgungen der Grundrechte-Charta finden sich jeweils in den Fußnoten der einzelnen Abschnitte.
84
Teil 2: Rahmenbedingungen der Austauschverhältnisse
1. Grundrechtspositionen des Datensubjekts a) Das Grundrecht auf informationelle Selbstbestimmung Die Rechtsstellung des Datensubjekts bei der Verarbeitung von personenbezogenen Daten im Rahmen von datengetriebenen Austauschgeschäften beruht maßgeblich auf dem Grundrecht auf informationelle Selbstbestimmung. Dieses vermittelt dem Einzelnen die Befugnis, „grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden“.407 Gewährleistet wird dementsprechend „ein individuelles Entscheidungsrecht hinsichtlich des Umgangs mit Daten, die sich auf die eigene Person beziehen“.408 Der Einzelne soll grundsätzlich selbst über die Offenbarung, Verarbeitung und Verwertung seiner personenbezogenen Daten bestimmen können.409 Aufgrund der vielfältigen „Verarbeitungsmöglichkeiten und Verwendungsmöglichkeiten“ von potenziell personenbezogenen Daten wurde der Schutzbereich vom BVerfG weit gefasst.410 Jedes Datum ist grundsätzlich von Belang und vom Schutzbereich der informationellen Selbstbestimmung umfasst.411 Eine Beschränkung auf besonders sensible Daten findet nicht statt.412 Stattdessen ist auf den konkreten Verwendungszusammenhang des jeweiligen Datums abzustellen.413 Die informationelle Selbstbestimmung verfolgt damit den Zweck, „eine selbstbestimmte Lebensgestaltung, einschließlich einer selbstbestimmten Kommunikationsteilhabe des Individuums im Zeitalter der modernen Datenverarbeitung“ zu gewährleisten.414 Ziel ist es, Gefahren zu begegnen, die eine unkontrollierte und automatisierte Datenverarbeitung, wie z. B. die Verknüpfung von Daten zu einem Persönlichkeitsprofil, mit sich bringt.415 Insbesondere sollen dadurch die Verhaltens- und die Entscheidungsfreiheit des Menschen geschützt werden, die durch den Verlust der Kontrolle über die eigenen Daten und das Fehlen einer Privatsphäre bedroht werden.416 Infolge des weiten Schutzbereichs ist jede Erhebung, Verarbeitung und Verwertung personenbezogener Daten bereits als Eingriff in das Grundrecht zu 407
BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 146. Jöns, Daten als Handelsware, 2019, 73. 409 Siehe oben bei Fn. 401. 410 Vgl. BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 152, 153, 161. 411 Siehe BVerfG, Beschluss vom 18. 12. 2018 – 1 BvR 142/15, juris, Rn. 38; BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 152, 153; Lang, in: BeckOK GG, 46. Ed. 2021, Art. 2 GG, Rn. 45a. 412 BVerfG, Beschluss vom 18. 12. 2018 – 1 BvR 142/15, juris, Rn. 38; Lang, in: BeckOK GG, 46. Ed. 2021, Art. 2 GG, Rn. 45a; Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 174. 413 BVerfG, Beschluss vom 18. 12. 2018 – 1 BvR 142/15, juris, Rn. 38. Vgl. auch Jöns, Daten als Handelsware, 2019, 74. 414 Jöns, Daten als Handelsware, 2019, 73, 74. Vgl. BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 84, 85; BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, 121, 148. 415 BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 94, 147 ff. 416 BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 148. Vgl. auch oben bei Fn. 155. 408
§ 8 Rechtliche Grundlagen
85
werten.417 Grenzen werden dem Recht auf informationelle Selbstbestimmung durch den Gemeinschaftsbezug des Individuums und die Bedeutung von Informationen für Kommunikationsprozesse in einer Demokratie gezogen.418 Ein umfassendes Herrschaftsrecht des Einzelnen an Daten, die sich auf seine Person beziehen, wird seitens des BVerfG daher abgelehnt.419 Insbesondere werden dem Grundrecht auf informationelle Selbstbestimmung Grenzen durch die Grundrechte anderer Privatrechtssubjekte sowie durch verfassungsrechtlich verbürgte Rechte des Staates in Bezug auf den Umgang mit personenbezogenen Daten gesetzt.420 Eine ausschließliche Zuordnung personenbezogener Daten zugunsten des betroffenen Datensubjekts ist somit nicht möglich.421 Die informationelle Selbstbestimmung beinhaltet nicht die Befugnis des Datensubjekts, allein über den Gebrauch der es betreffenden Daten zu entscheiden und andere Rechtssubjekte von jeglicher Einwirkung auszuschließen.422 Schranken werden dem Grundrecht auf informationelle Selbstbestimmung „im Rahmen einer Güter- und Interessenabwägung in [..] Wechselwirkung mit den Rechten anderer und den Bedürfnissen der sozialen Gemeinschaft“ gezogen.423 Staatliche Eingriffe in das Recht auf informationelle Selbstbestimmung bedürfen einer gesetzlichen Grundlage und sind nur im überwiegenden Allgemeininteresse zulässig.424 Das Erheben, Verarbeiten, Verwerten und Weitergeben von personenbezogenen Daten durch private Personen bedarf dagegen keiner gesetzlichen Ermächtigungsnorm als Grundlage, sondern wird bereits eigenständig grundrechtlich durch die Kommunikationsgrundrechte (Art. 5 Abs. 1 GG), durch die Kunst- oder Wissenschaftsfreiheit (Art. 5 Abs. 3 GG) und subsidiär durch die allgemeine Handlungsfreiheit (Art. 2 Abs. 1 GG) gewährleistet.425 Dennoch schränkt das Recht auf informationelle Selbstbestimmung auch Aktivitäten von Privatpersonen ein.426 So 417
Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 176 m. w. N.; Jöns, Daten als Handelsware, 2019, 73. 418 Vgl. Jöns, Daten als Handelsware, 2019, 75, 76. 419 BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 87; BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 150. 420 Vgl. BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, 150, 151; Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 189; Jöns, Daten als Handelsware, 2019, 75. 421 BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 87; Jöns, Daten als Handelsware, 2019, 75. Ebenso kann ein personenbezogenes Datum über mehrere natürliche Personen eine Aussage enthalten und deren Identifikation ermöglichen. Ausführlich zur Mehrrelationalität personenbezogener Daten: Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 293–298; Sattler, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 49, 65; Hacker, Datenprivatrecht, 2020, 55, 56, 659 ff. 422 Jöns, Daten als Handelsware, 2019, 78, 79. 423 Jöns, Daten als Handelsware, 2019, 77, 78. 424 BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 150, 151; Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 179, 181. 425 Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 189. Hierzu auch Jöns, Daten als Handelsware, 2019, 80, 81. 426 Ebenda.
86
Teil 2: Rahmenbedingungen der Austauschverhältnisse
muss der Staat zur Wahrung verfassungsrechtlicher Schutzpflichten das Recht auf informationelle Selbstbestimmung auch vor Beeinträchtigungen von privater Seite bewahren und ist diesbezüglich ermächtigt, einschränkende Regelungen zu schaffen.427 Solange jedoch keine einschränkende Regelung vorliegt, ist es Privaten gestattet, personenbezogene Daten zu erheben und zu verarbeiten.428 Ferner ist nach der Theorie der mittelbaren Drittwirkung anerkannt, dass die Grundrechte in ihrer Bedeutung „als verfassungsrechtliche Wertentscheidungen“ auch in privat rechtlichen Beziehungen zu beachten sind.429 Einfaches Gesetzesrecht ist daher grundrechtskonform auszulegen.430 Über Einbruchstellen wie Generalklauseln und sonstige ausfüllungsbedürftige unbestimmte Rechtsbegriffe im Zivilrecht findet die grundrechtliche Wertordnung damit auch Einzug in privatrechtliche Beziehungen.431 Insbesondere darf infolge des Menschenwürdegehalts der informationellen Selbstbestimmung „der Einzelne nicht zum bloßen Objekt“ von Datenverarbeitungsvorgängen herabgewürdigt werden und sprichwörtlich als gläserner Bürger der Fremdbestimmung durch andere ausgeliefert sein.432 Die informationelle Selbstbestimmung setzt damit auch der Datenverarbeitung durch nichtstaatliche Stellen Grenzen. In Übereinstimmung mit der Ablehnung eines umfassenden Herrschaftsrechts an personenbezogenen Daten wird der verfassungsrechtliche Schutz kommerzieller Vermögensinteressen im Zusammenhang mit der Verwertung der eigenen personenbezogenen Daten verneint.433 Das BVerfG sieht bislang den Schutz der materiellen Bestandteile des allgemeinen Persönlichkeitsrechts nicht als vom Grundrecht des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG geschützt an.434 Eine Kommerzialisierung des eigenen privaten Lebensbereiches und auch eine Statuierung einer Pflicht zur Datenpreisgabe werden durch das Verfassungsrecht damit zwar nicht verboten, jedoch ist ein solches Kommerzialisierungsinteresse nicht vom Schutzumfang des allgemeinen Persönlichkeitsrechts und des darauf aufbauenden Rechts auf informationelle Selbstbestimmung umfasst.435 427
Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 189, 190. Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 189. 429 BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 85 ff.; Jöns, Daten als Handelsware, 2019, 98, 99; Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 138, 191 m. w. N. 430 BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 76, 78, 86. 431 BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 76–78; Lang, in: BeckOK GG, 46. Ed. 2021, Art. 2 GG, Rn. 45; Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 138. 432 Vgl. Jöns, Daten als Handelsware, 2019, 83, 84. Zum Schlagwort des „gläsernen Menschen“ siehe oben bei Fn. 1. 433 Vgl. BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 87; BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 150; Jöns, Daten als Handelsware, 2019, 89, 154. 434 So explizit BVerfG, Urteil vom 15. 12. 1999 – 1 BvR 653/96, juris, Rn. 80. Vgl. auch Jöns, Daten als Handelsware, 2019, 89, 154. 435 Vgl. BVerfG, Urteil vom 15. 12. 1999 – 1 BvR 653/96, juris, Rn. 80. Ebenso Jöns, Daten als Handelsware, 2019, 89, 154; Riechert, DuD 2019, 353. A. A. wohl Leinemann, Personenbezogene Daten als Entgelt, 2020, 43. 428
§ 8 Rechtliche Grundlagen
87
b) Personenbezogene Daten als Eigentum Die Werthaltigkeit personenbezogener Daten und die Etablierung datengetriebener Geschäftsmodelle lösten eine weitreichende und noch nicht abgeschlossene Diskussion darüber aus, ob an personenbezogenen Daten ein materielles Vermögensrecht existiert, welches durch die Eigentumsgarantie nach Art. 14 GG geschützt wird, und wem dieses Recht zuzuordnen wäre.436 Grundlegend verbürgt Art. 14 GG den Schutz aller vermögenswerten Rechtsgüter und Rechtspositionen, „die Berechtigten von der Rechtsordnung in der Weise zugeordnet sind, dass sie die damit verbundenen Befugnisse nach eigenverantwortlicher Entscheidung zum privaten Nutzen ausüben dürfen“.437 Es muss sich um eine vermögenswerte Position rechtlicher Art handeln, die von der Rechtsordnung anerkannt wurde und dem Rechtsträger bereits zusteht.438 Vermögenswerte Positionen rein wirtschaftlicher oder faktischer Art sind dagegen nicht vom verfassungsrechtlichen Eigentumsschutz umfasst.439 Vorliegend ist zu klären, inwieweit personenbezogene Daten der Eigentumsgarantie des Art. 14 Abs. 1 GG unterfallen. Hierfür ist insbesondere das bürgerlich-rechtliche Eigentum des einfachgesetzlichen Rechts heranzuziehen, welches den grundrechtlichen Eigentumsbegriff prägt und Leitbildfunktion besitzt.440 Abzustellen ist in dieser Hinsicht auf die Besonderheit personenbezogener Daten als maschinenlesbar codierte Informationen in syntaktischer Form mit dem Personenbezug als semantischem Gehalt.441 Wie aufgezeigt, ist diesbezüglich zwischen den Ebenen der strukturellen, der syntaktischen und der semantischen Information zu unterscheiden.442 436
Zum Stand der Diskussion: Schur, Die Lizenzierung von Daten, 2020, 242 ff.; Hoeren, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 37, 38–41; Riechert, DuD 2019, 353, 355 ff.; Esken, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 73, 77 ff. Hierzu auch: Richter / Hilty, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 241; Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 85; Fezer, MMR 2017, 3; Metzger, AcP 2016, 817; Wandtke, MMR 2017, 6; Bisges, MMR 2017, 301; Becker, JZ 2017, 170; Roßnagel, NJW 2017, 10; Bräutigam, MMR 2012, 635; Dix, ZEuP 2017, 1; Schwartmann / Hentsch, RDV 2015, 221. 437 BVerfG, Beschluss vom 08. 05. 2012 – 1 BvR 1065/03, juris, Rn. 41; BVerfG, Beschluss vom 18. 01. 2006 – 2 BvR 2194/99, juris, Rn. 33; Papier / Shirvani, in: Maunz / Dürig GG, 93. EL. 2020, Art. 14 GG, Rn. 160 m. w. N.; Axer, in: BeckOK GG, 46. Ed. 2021, Art. 14 GG, Rn. 11, 42. 438 BVerfG, Beschluss vom 07. 10. 2003 – 1 BvR 1712/01, juris, Rn. 61; Papier / Shirvani, in: Maunz / Dürig GG, 93. EL. 2020, Art. 14 GG, Rn. 148, 160. 439 Papier / Shirvani, in: Maunz / Dürig GG, 93. EL. 2020, Art. 14 GG, Rn. 148, 160 m. w. N. 440 Der verfassungsrechtliche Eigentumsbegriff ist damit zwar nicht mit dem privatrecht lichen Begriff des Sacheigentums gleichzusetzen, orientiert sich aber an der inhaltlichen Ausgestaltung durch den Gesetzgeber im einfachgesetzlichen Recht. Art. 14 GG kann mithin als ein „normgeprägtes Grundrecht“ bezeichnet werden. Axer, in: BeckOK GG, 46. Ed. 2021, Art. 14 GG, Rn. 7, 10, 11. Hierzu auch Papier / Shirvani, in: Maunz / Dürig GG, 93. EL. 2020, Art. 14 GG, Rn. 160. 441 Hierzu oben S. 36 f. 442 Einführend hierzu oben S. 33 ff.
88
Teil 2: Rahmenbedingungen der Austauschverhältnisse
aa) Rechtsstellung an der strukturellen Informationsebene Die Rechtsstellung an den jeweiligen verkörperten Informationsträgern betrifft die strukturelle Informationsebene.443 Der Datenträger, auf dem die Daten gespeichert sind, stellt als körperlicher Gegenstand eine Sache i. S. v. § 90 BGB dar und unterfällt damit dem Sacheigentum nach § 903 S. 1 BGB.444 Die darauf befindlichen Daten gelten jedoch nicht entsprechend § 93 BGB als wesentlicher Bestandteil des Datenträgers als Speichermedium.445 Die Rechtsstellung an den im Datenträger gespeicherten Daten ist daher unabhängig von der dinglichen Berechtigung am Speichermedium und folgt dieser nicht.446 Nicht abschließend geklärt ist, ob – unabhängig von der körperlichen Struktur der jeweiligen Datenträger – an den physikalischen Erscheinungsformen der Daten überhaupt Sacheigentum bestehen kann. Daten existieren je nach Speichermedium als Magnetisierung, elektrische Ladung oder elektrische Spannung innerhalb eines Datenträgers sowie in anderen Formen, wie Löchern auf Lochkarten, Vertiefungen auf CDs, oder gar nur als elektromagnetische Wellen im Fall der kabellosen Übermittlung oder bei ihrer visuellen Darstellung auf einem Bildschirm.447 Zwar muss dabei eine Sache keine feste Form aufweisen, solange sie „technisch beherrschbar und einer sinnlichen Wahrnehmung zugänglich ist“, nach herrschender Auffassung sind die Existenzformen von Daten jedoch zu flüchtig und nicht hinreichend genug verfestigt, um einen körperlichen Gegenstand entsprechend § 90 BGB darzustellen.448 Insbesondere aufgrund des technischen Fortschritts sind die Formen, auf welche Art und Weise personenbezogene Daten gespeichert und übertragen werden, einem ständigen Wandel ausgesetzt. Abgrenzungsschwierigkeiten ergeben sich, wie genannt, insbesondere durch die unterschiedlichen physikalischen Erscheinungsformen von Daten.449 Auch aus Gründen der Rechtssicherheit ist es deswegen überzeugend, die Sacheigenschaft von Daten zu verneinen.450 Die Ebene der strukturellen Information betrifft allein die Rechtsstellung am Speichermedium. Eine Rechtsstellung an 443
Siehe oben S. 33. Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 83, 84; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30; Grünberger, AcP 2018, 213, 227; Auer, ZfPW 2019, 132, 137. 445 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30, 31. 446 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 31; Steinrötter, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 17, 23. 447 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 32, 33; Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 84. Hierzu bereits oben Fn. 244. 448 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 32, 33 m. w. N. Vgl. auch BGH, Urteil vom 13. 10. 2015 – VI ZR 271/14, juris, Rn. 20; Stresemann, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 90 BGB, Rn. 25. Zahlreiche Nachweise hierzu finden sich auch bei Lahusen, AcP 2021, 1, 7–9. 449 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 32, 33. 450 Ebenso: Zech, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 91, 99, dabei jedoch primär auf die fehlende Rivalität von Daten abstellend. Im Ergebnis so auch die Rechtsprechung am Beispiel der Einordnung von Software: BGH, Urteil vom 13. 10. 2015 – VI ZR 271/14, juris, Rn. 20; BGH, Urteil vom 15. 11. 2006 – XII ZR 120/04, juris, Rn. 14 ff. 444
§ 8 Rechtliche Grundlagen
89
darauf befindlichen semantischen Informationen, wie einem urheberrechtlich geschützten Werk oder personenbezogenen Daten, lässt sich daraus nicht ableiten.451 Das Recht an den Daten folgt also nicht dem Recht am Speichermedium, auf dem die Daten gespeichert sind. bb) Rechtsstellung an der syntaktischen Informationsebene Personenbezogenen Daten liegt eine maschinenlesbar codierte Aneinanderreihung von Zeichen in Form syntaktischer Information zugrunde.452 Wird in der Rechtswissenschaft von Zuweisungsrechten an Daten gesprochen, ist die Streitfrage entscheidend, ob die syntaktische Informationsebene von Daten – abstrahiert vom jeweiligen Speichermedium – jemandem rechtlich zugeordnet werden kann oder zugeordnet werden sollte. Personenbezogene Daten weisen hierbei für die rechtliche Behandlung bedeutsame ökonomische Merkmale auf, welche sie als Gegenstände des Rechtsverkehrs prägen. So mangelt es Daten als Form syntaktischer Information an Abnutzbarkeit, Rivalität und Exklusivität.453 Die Nicht-Abnutzbarkeit folgt aus der unveränderlichen Existenz der codierten Zeichenfolge, aus der sich der Informationsgehalt von Daten ergibt.454 Sie unterliegen, anders als körperliche Gegenstände, weder Alterung, Verschleiß oder sonstigen natürlichen Einflüssen auf ihr Bestehen.455 Ebenso können Daten problemlos vervielfältigt und von einer unbegrenzten Anzahl von Personen verwendet werden, ohne andere Personen hierdurch in ihrer Nutzung zu beeinträchtigen.456 Sie weisen damit keine Rivalität auf.457 Zudem lassen sich Daten ohne besonderen finanziellen Aufwand beliebig kopieren und unterliegen, sobald sie einmal unverschlüsselt in die Öffentlichkeit gelangt sind, grundsätzlich keinerlei Zugriffsschranken.458 Sie weisen damit – abgesehen von (technischen) Maßnahmen zur Geheimhaltung – in faktischer Hinsicht keine oder nur geringe Exklusivität auf.459 Daten als immaterielles Wirtschaftsgut könnten jedoch als Immaterialgüter unter 451
Vgl. BGH, Urteil vom 15. 11. 2006 – XII ZR 120/04, juris, Rn. 17. Eingehend hierzu oben S. 34. 453 Hoeren, MMR 2019, 5, 6, 7; Zech, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 91, 93, 94; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30; Sattler, CR 2020, 145, 148, 149. 454 Vgl. Zech, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 91, 93; Grünberger, AcP 2018, 213, 232; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30. 455 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30; Hoeren, MMR 2019, 5, 6. 456 Hoeren, MMR 2019, 5, 6; Zech, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 91, 93; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30. 457 Ebenda. 458 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 30; Zech, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 91, 93. 459 Ebenda. 452
90
Teil 2: Rahmenbedingungen der Austauschverhältnisse
den Schutz von Art. 14 GG fallen und durch die Schaffung von Ausschließlichkeitsrechten rechtliche Exklusivität erlangen.460 Diskutiert wird insbesondere, ein absolutes Recht an Daten nach dem Vorbild des Urheberrechts auszugestalten und dadurch auch materielle Interessen der Dateninhaber zu schützen.461 Vom Standpunkt des geltenden Rechts aus genießen Daten als Form syntaktischer Information – unabhängig vom semantischen Gehalt – jedoch nur in den Sonderfällen von § 4 Abs. 2 UrhG als Datenbankwerk und gemäß §§ 87a–87e UrhG als Datenbank urheberrechtlichen Schutz.462 Geschützt werden hierdurch aber nur im Fall von § 4 Abs. 2, Abs. 1 UrhG „die Auswahl und Anordnung der einzelnen Elemente“ einer Datenbank als persönliche geistige Leistung sowie im Fall der §§ 87a ff. UrhG die Investition in eine Datenbank und deren Kommerzialisierung.463 Ein Recht an einzelnen Daten in Form rein syntaktischer Information hingegen gewährleisten beide Institute nicht.464 Eine Zuweisung von Daten in Form syntaktischer Information als solche an einen Rechtsträger findet nicht statt. Ebenso unterfallen Daten als solche aufgrund der fehlenden Körperlichkeit nicht dem Sacheigentum. Infolge ihrer Nicht-Abnutzbarkeit und ihrer Unabhängigkeit vom jeweiligen Datenträger ist es nicht gerechtfertigt, die syntaktische und die strukturelle Informationsebene von Daten gleich zu behandeln.465 Erschwert wird die Anerkennung von absoluten Rechten an der syntaktischen Informationsebene von Daten dabei insbesondere durch das Fehlen der charakteristischen Rivalität ihrer Nutzung, wodurch keinem Rechtssubjekt eine sachherrschaftsähnliche Einwirkungsmöglichkeit auf die syntaktische Informationsebene zugesprochen werden kann.466 Die fehlende Rivalität von Daten steht dadurch einer umfassenden Anerkennung absoluter Rechte an Daten entgegen und wäre nur schwerlich mit der Systematik des Zivilrechts in Einklang zu bringen.467 An Daten in Form syntaktischer Information – losgelöst von ihrer semantischen 460
Ebenda. Siehe oben Fn. 436. 462 Steinrötter, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 17, 39; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 57. Vgl. auch Auer, ZfPW 2019, 132, 137, 138; Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 85, 92. 463 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 57, 58; Steinrötter, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 17, 39. 464 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 57, 58. Vgl. auch Riechert, DuD 2019, 353, 354. 465 Vgl. Zech, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 91, 94 ff.; Grünberger, AcP 2018, 213, 227. 466 Hierzu Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 85, 97; Zech, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 91, 98, 99. 467 Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 85, 97; Zech, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 91, 99. Vgl. auch Riechert, DuD 2019, 353, 354, 357 m. w. N., wonach aus ökonomischer Perspektive eine Zuweisung des Rechts an Daten zugunsten einer Seite aufgrund der fehlenden Rivalität und verschiedenen Nutzungsmöglichkeiten im Rahmen mehrseitiger Märkte zu Problemen führen würde. 461
§ 8 Rechtliche Grundlagen
91
und strukturellen Ebene – bestehen gegenwärtig keine absoluten Rechte. De lege lata fallen Daten in Form rein syntaktischer Information damit nicht unter den Schutzumfang der Eigentumsgarantie. cc) Rechtsstellung an der semantischen Informationsebene Eine Rechtsstellung kann sich jedoch noch aus dem Bedeutungsinhalt von Daten als semantische Information ergeben.468 So unterfallen Daten, die codiert als Inhalt ein geschütztes Werk der Literatur, Wissenschaft oder Kunst verkörpern und auf persönlicher geistiger Schöpfung beruhen, nach § 2 UrhG dem Urheberrecht. Umfasst sind hiervon nach den §§ 69a ff. UrhG auch Computerprogramme.469 Daneben kann der Dateninhalt auch als Marke, Design, Patent oder als Geschäftsoder Betriebsgeheimnis geschützt sein.470 Ideelle wie auch materielle Interessen der Rechtsträger des Immaterialgüterrechts werden diesbezüglich von Art. 14 GG gewährleistet.471 Personenbezogene Daten im Sinne der DSGVO weisen den semantischen Gehalt auf, dass ihnen Informationen zu entnehmen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dieser Bedeutungsinhalt verkörpert maßgeblich den wirtschaftlichen Wert personenbezogener Daten.472 Daneben unterfallen entsprechende Daten aufgrund ihres Personenbezugs dem grundrecht lichen Schutz der informationellen Selbstbestimmung nach Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG. Geschützt werden hiernach aber nur die ideellen Bestandteile des Persönlichkeitsrechts.473 Vermögensrechtliche Bestandteile des allgemeinen Persönlichkeitsrechts zählen lediglich dann zu den von der Eigentumsgarantie umfassten vermögenswerten Rechten, wenn sie zivilrechtlich anerkannt sind. Das zivilrechtliche allgemeine Persönlichkeitsrecht kann dabei anders ausgestaltet sein als das verfassungsrechtliche allgemeine Persönlichkeitsrecht.474 So erkannte der Bundesgerichtshof in Rechtsfortbildung die vermögenswerten Bestandteile des zivilrechtlichen allgemeinen Persönlichkeitsrechts an, wodurch diese potenziell 468
Hierzu oben S. 34 f. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 57. 470 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 58; Auer, ZfPW 2019, 132, 137. 471 Zur umstrittenen Frage, ob und inwieweit Betriebs- und Geschäftsgeheimnisse unter den Schutz von Art. 14 GG fallen, siehe Axer, in: BeckOK GG, 46. Ed. 2021, Art. 14 GG, Rn. 50 m. w. N. 472 Sattler, CR 2020, 145, 148; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 213; Steinrötter, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 17, 21; Zech, CR 2015, 137, 138, 139. 473 Siehe oben bei Fn. 435. 474 Vgl. BVerfG, Nichtannahmebeschluss vom 05. 03. 2009 – 1 BvR 127/09, juris, Rn. 11; BGH, Urteil vom 05. 06. 2008 – I ZR 96/07, juris, Rn. 14; BGH, Urteil vom 26. 10. 2006 – I ZR 182/04, juris, Rn. 21; Jöns, Daten als Handelsware, 2019, 154. 469
92
Teil 2: Rahmenbedingungen der Austauschverhältnisse
auch dem Schutzumfang von Art. 14 GG unterfallen können.475 Eine abschließend klärende Entscheidung seitens des BVerfG und des BGH zu dieser Frage steht noch aus.476 Zu konstatieren ist jedoch, dass aktuell weder in der Rechtsprechung noch im Schrifttum ein eigentumsähnliches oder immaterialgüterrechtliches Ausschließlichkeitsrecht an personenbezogenen Daten ausdrücklich anerkannt wird.477 Mit der Einschätzung von Buchner übereinstimmend ist diese Anerkennung als „genuin rechtspolitische Entscheidung“ dem Gesetzgeber zu überlassen.478 So ist es dem Datensubjekt mangels gesetzlicher Normierung infolge des Numerus Clausus der immaterialgüterrechtlichen Ausschließlichkeitsrechte nicht möglich, anderen Rechtssubjekten an seinen personenbezogenen Daten als Persönlichkeitsmerkmalen dinglich wirkende Nutzungsrechte gegen Entgelt einzuräumen.479 Eine vollständige Entäußerung der Persönlichkeitsbestandteile und auch eine translative Rechtsübertragung sind überdies aufgrund des Bezugs personenbezogener Daten nicht mit dem allgemeinen Persönlichkeitsrecht und der Menschenwürdegarantie zu vereinbaren.480 Ein umfassendes Herrschaftsrecht des Einzelnen an Daten, die sich auf seine Person beziehen, wird auch seitens des BVerfG abgelehnt.481 So lässt sich aufgrund des Bestehens verschiedener Rechte dritter Personen an personenbezogenen Daten als Abbildung der sozialen Realität kein umfassendes Herrschaftsrecht des Einzelnen an Daten etablieren, die sich (auch) auf seine Person beziehen.482 Hervorzuheben ist, dass sich das BVerfG damit nicht per se gegen die Möglichkeit ausspricht, dass dem Einzelnen ein Recht an seinen Daten zustehen kann, sondern nur, dass ein solches Recht nicht ohne Einschränkungen bestehen kann.483 Auf eine Anerkennung von personenbezogenen Daten im Sinne eines eigentumsähnlichen oder immaterialgüterrechtlichen Ausschließlichkeitsrechts kann gegenwärtig damit nicht geschlossen werden. Seitens des Gesetzgebers liegt keine spezialgesetzliche Zuordnung vor, die eine entsprechende materielle Rechts 475
Hierzu BVerfG, Nichtannahmebeschluss vom 05. 03. 2009 – 1 BvR 127/09, juris, Rn. 11; Jöns, Daten als Handelsware, 2019, 157. Dies vertretend Unseld, Die Kommerzialisierung personenbezogener Daten, 2010, 131 ff. 476 BGH, Urteil vom 01. 12. 1999 – I ZR 49/97, juris, Rn. 55; BVerfG, Nichtannahmebeschluss vom 05. 03. 2009 – 1 BvR 127/09, juris, Rn. 12; Jöns, Daten als Handelsware, 2019, 157, welche jedoch eine positive Tendenz der Rechtsprechung hierzu betont. Vgl. zudem Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 213. 477 Schur, GRUR 2020, 1142, 1144; Jöns, Daten als Handelsware, 2019, 157, 158; Specht, CR 2016, 288, 289; Zech, CR 2015, 137, 141, 144–146; Dorner, CR 2014, 617, 626; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 210–213; Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 90. 478 Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 211. 479 Vgl. Riechert, DuD 2019, 353, 354; Specht, CR 2016, 288, 291; Dorner, CR 2014, 617, 620. 480 BGH, Urteil vom 01. 12. 1999 – I ZR 49/97, juris, Rn. 53; Specht, CR 2016, 288, 291. Hierzu auch oben bei Fn. 432. 481 Siehe oben Fn. 433. 482 BVerfG, Urteil vom 15. 12. 1983 – 1 BvR 209/83, juris, Rn. 150. Vgl. auch Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 189, 190. 483 Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 223.
§ 8 Rechtliche Grundlagen
93
position an personenbezogenen Daten an sich konstituieren würde. Eine eigentumsähnliche Zuordnung personenbezogener Daten zugunsten konkreter Rechtssubjekte ist de lege lata daher nicht anerkannt.484 c) Allgemeine Handlungsfreiheit Der Schutz kommerzieller Interessen bei der Verwertung personenbezogener Daten des Datensubjekts wird daher verfassungsrechtlich ausschließlich über Art. 2 Abs. 1 GG gewährleistet.485 Das Grundrecht auf allgemeine Handlungsfreiheit garantiert die Privatautonomie und, mit der daraus fließenden Vertragsfreiheit, das Recht des Einzelnen, „seine Rechtsverhältnisse nach seinem Willen selbst und eigenverantwortlich gestalten [zu] können“.486 Die Vertragsfreiheit gewährleistet den Willen der Vertragsparteien hinsichtlich des Abschlusses und der inhaltlichen Gestaltung eines Rechtsgeschäfts.487 (Staatliche) Eingriffe in den Bestand des Rechtsgeschäfts, der ausgehandelten Vertragspflichten, sowie eine Umgestaltung bestehender Vertragsbeziehungen sind am verfassungsrechtlichen Rechtmäßigkeitsmaßstab der Grundverbürgung zu messen.488 Das Interesse eines Datensubjekts, die es betreffenden personenbezogenen Daten zu kommerzialisieren und als Gegenstand eines Rechtsgeschäfts zu vereinbaren, fällt damit in den Schutzbereich des die Vertragsfreiheit gewährleistenden Art. 2 Abs. 1 GG. Begrenzt wird das Grundrecht nach Art. 2 Abs. 1 Hs. 2 GG durch die Rechte anderer, das Sitten gesetz und die verfassungsmäßige Ordnung. Maßgeblich ist die verfassungsmäßige Ordnung von Bedeutung, die alle Rechtsnormen beinhaltet, „die formell und materiell mit der Verfassung in Einklang stehen“.489 Auch im Rahmen richterlicher Rechtsfortbildung zulässig getroffene Entscheidungen sind hiervon umfasst.490 In dieser Hinsicht ist das Interesse des Datensubjekts an der Kommerzialisierung seiner personenbezogenen Daten insbesondere mit kollidierenden Grundrechten 484
Hierfür spricht auch die gewählte Wortwahl in BVerfG, Beschluss vom 06. 11. 2019 – 1 BvR 16/13, juris, Rn. 87, wonach das Recht auf informationelle Selbstbestimmung zwar kein „allgemeines oder gar umfassendes Selbstbestimmungsrecht über die Nutzung der eigenen Daten [enthält] […][,] den Einzelnen aber die Möglichkeit [gewährleistet], in differenzierter Weise darauf Einfluss zu nehmen, in welchem Kontext und auf welche Weise die eigenen Daten anderen zugänglich und von ihnen genutzt werden“. 485 Ebenso Jöns, Daten als Handelsware, 2019, 89. 486 Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 12, 19, 101 m. w. N. 487 Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 101. Umfasst ist hiervon auch die Freiheit, innerhalb einer vertraglichen Vereinbarung die Gegenleistung nach den Vorstellungen der Parteien zu bestimmen. Vgl. BVerfG, Nichtannahmebeschluss vom 18. 07. 2019 – 1 BvL 1/18, juris, Rn. 90. 488 Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 102. 489 BVerfG, Nichtannahmebeschluss vom 05. 08. 2020 – 2 BvR 1985/19, juris, Rn. 34; BVerfG, Beschluss vom 09. 03. 1994 – 2 BvL 43/92, juris, Rn. 119; Lang, in: BeckOK GG, 46. Ed. 2021, Art. 2 GG, Rn. 24. Vgl. auch Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 37, 38, 104. 490 Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 38 m. w. N.
94
Teil 2: Rahmenbedingungen der Austauschverhältnisse
dritter Personen in Ausgleich zu bringen und wird bei Daten, die Personenbezug zu mehreren natürlichen Personen aufweisen, durch das Datenschutzrecht begrenzt.491 Die Vertragsfreiheit verbürgt im Grunde damit die Kommerzialisierung von personenbezogenen Daten seitens des Datensubjekts im Rahmen von datengetriebenen Austauschgeschäften wie auch deren Einsatz im Bereich der versicherungsrechtlichen Telematik. d) Grundrechtliche Grenzen von Telematik-Versicherungen Die grundrechtliche Problematik von Telematik-Tarifen beruht auf deren Spezifikum, dass der Versicherungsnehmer im risikorelevanten Bereich einer andauernden Überwachung ausgesetzt sein kann, deren Umfang nur schwer abschätzbar ist. Die Datenerfassung zum Zweck der Selbstoptimierung und Prämienreduzierung im Rahmen von Self-Tracking-Tarifen basiert in diesen Konstellationen auf dem freiwilligem Entschluss des Versicherungsnehmers, welcher hierzu mit dem Versicherer eine vertragliche Abrede trifft und diesem in der Regel auch eine datenschutzrechtliche Einwilligung erteilt.492 Aus Sicht der informationellen Selbstbestimmung ist dies zulässig, solange die Datenverarbeitung die datenschutzrechtlichen Anforderungen erfüllt, die von der DSGVO aufgestellt werden, und die Datenpreisgabe auf der freien Entscheidung des Versicherungsnehmers beruht.493 Grenzen werden der freiwilligen Selbstüberwachung durch den unverzichtbaren Gehalt der Menschenwürde gemäß Art. 1 Abs. 1 GG im Rahmen des allgemeinen Persönlichkeitsrechts und der informationellen Selbstbestimmung gesetzt. Droht dem Versicherungsnehmer durch die vertragliche Gestaltung eines Telematik-Tarifs eine Totalüberwachung, der er sich auch nicht zu entziehen vermag und die erheblichen Druck auf ihn ausübt, so besteht die Gefahr, den Versicherungsnehmer zu einem bloßen Objekt der Datenverarbeitung zu degradieren.494 Ob dies vorliegt, ist im Einzelfall anhand des Umfangs der zeitlichen, örtlichen und gegenständlichen Überwachung im Rahmen eines Telematik-Tarifs zu bestimmen.495 So wäre die Vereinbarung einer sanktionsbewehrten vertraglichen Pflicht des Versicherungsnehmers, dem Versicherer stets Meldung erstatten zu müssen, inwieweit dessen Verhaltensempfehlungen befolgt wurden, dazu imstande, in die per 491
Vgl. Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 189. Rudkowski, in: Koch / Werber et al. (Hrsg.), Der Forschung – der Lehre – der Bildung, 2016, 679, 680. Weiterführend hierzu unten S. 113 ff., 171 f. 493 Vgl. Rudkowski, in: Koch / Werber et al. (Hrsg.), Der Forschung – der Lehre – der Bildung, 2016, 679, 680. Eingehend zum Erfordernis eines Erlaubnistatbestands zur Verarbeitung personenbezogener Daten nach der DSGVO siehe unten S. 217 ff. 494 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Berichte vom 01. 10. 2018 und 15. 04. 2019, 118. Ausführlich hierzu Rudkowski, in: Koch / Werber et al. (Hrsg.), Der Forschung – der Lehre – der Bildung, 2016, 679, 682 ff. Siehe auch oben bei Fn. 432. 495 Rudkowski, in: Koch / Werber et al. (Hrsg.), Der Forschung – der Lehre – der Bildung, 2016, 679, 683–687. Vgl. auch Länderarbeitsgruppe, „Digitaler Neustart“ – Berichte vom 01. 10. 2018 und 15. 04. 2019, 114–116 m. w. N. zur Rechtsprechung. 492
§ 8 Rechtliche Grundlagen
95
sönliche Lebensgestaltung des Versicherungsnehmers erheblich einzugreifen und eine selbstbestimmte Lebensgestaltung zu beeinträchtigen.496 In entsprechenden Konstellationen werden der Vereinbarung von Telematik-Tarifen bereits durch die Menschenwürdegarantie Grenzen gesetzt. Weiter lässt sich in Betracht ziehen, ob Telematik-Tarife, die, im Gegenzug zu herkömmlichen Versicherungstarifen, eine Verringerung der zu zahlenden Versicherungsprämie nach individueller Risikoneigung vorsehen, gegen den Gleichbehandlungsgrundsatz nach Art. 3 Abs. 1 GG oder das versicherungsrechtliche Solidaritätsprinzip verstoßen könnten.497 Aus verfassungsrechtlicher Sicht liegen grundsätzlich jedoch keine grundlegenden Bedenken gegen die Vereinbarung von Telematik-Tarifen vor.498 2. Grundrechtspositionen der datenverarbeitenden Partei a) Informationsfreiheit Art. 5 Abs. 1 S. 1 Hs. 2 GG wie auch Art. 11 Abs. 1 Grundrechte-Charta beinhalten das Recht, sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten.499 Die Informationsfreiheit ist hinsichtlich des Informationsbegehrens vom Schutzumfang nicht auf besondere Zwecke beschränkt.500 Vom Schutzumfang des Grundrechts erfasst ist damit im Ausgangspunkt auch die aktive Erhebung und Verarbeitung von Informationen zu rein kommerziellen Zwecken.501 Verfassungsrechtlich gibt es keine Einschränkungen in Bezug auf bestimmte Arten von Information; diese können dem öffentlichen wie auch dem privaten Bereich zuzuordnen sein und Tatsachen wie auch Meinungen beinhalten.502 Träger des Grundrechts sind neben natürlichen Personen auch juristische Personen des Privatrechts.503 Die Sammlung und Verarbeitung von personenbezogenen Daten im Rahmen von 496 Rudkowski, in: Koch / Werber et al. (Hrsg.), Der Forschung – der Lehre – der Bildung, 2016, 679, 686, 687. 497 Länderarbeitsgruppe, „Digitaler Neustart“ – Berichte vom 01. 10. 2018 und 15. 04. 2019, 120 ff. Zum Solidaritätsprinzip: Bitter / Uphues, Big Data und die Versichertengemeinschaft – „Entsolidarisierung“ durch Digitalisierung?, 2017, 1, 3, 5. Telematik-Tarife entsprechen in ihrer Struktur „dem individuellen versicherungstechnischen Äquivalenzprinzips [sic], nach dem jedes Risiko mit seiner Versicherungsprämie den eigenen Schadenerwartungswert finanzieren soll“. Siehe Stadler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 169, 172. 498 Ebenso Länderarbeitsgruppe, „Digitaler Neustart“ – Berichte vom 01. 10. 2018 und 15. 04. 2019, 118. 499 Zu Art. 11 Abs. 1 Grundrechte-Charta: Hornung / Gilga, CR 2020, 367, 373, 375 ff. 500 Grabenwarter, in: Maunz / Dürig GG, 93. EL. 2020, Art. 5 GG, Rn. 993, 1004, 1029. 501 Grabenwarter, in: Maunz / Dürig GG, 93. EL. 2020, Art. 5 GG, Rn. 993, 1014–1017. Vgl. auch BVerfG, Beschluss vom 03. 10. 1969 – 1 BvR 46/65, juris, Rn. 33, wonach „ein aktives Handeln zur Informationsverschaffung“ durch Art. 5 Abs. 1 S. 1 GG geschützt wird. 502 Schemmer, in: BeckOK GG, 46. Ed. 2021, Art. 5 GG, Rn. 25 m. w. N. 503 Grabenwarter, in: Maunz / Dürig GG, 93. EL. 2020, Art. 5 GG, Rn. 993; Schemmer, in: BeckOK GG, 46. Ed. 2021, Art. 5 GG, Rn. 24.
96
Teil 2: Rahmenbedingungen der Austauschverhältnisse
datengetriebenen Geschäftsmodellen ist daher auch durch die Informationsfreiheit geschützt, wenn diese Daten aus allgemein zugänglichen Quellen stammen.504 Das Kriterium der allgemeinen Zugänglichkeit liegt bei Informationsquellen vor, die geeignet und dazu bestimmt sind, „einem individuell nicht bestimmbaren Personenkreis, Informationen zu verschaffen“.505 Grundsätzlich stellt auch das Internet eine allgemein zugängliche Informationsquelle dar.506 Dass die Praxis der Datenerhebung und -verarbeitung im Rahmen datengetriebener Geschäftsmodelle dem Schutz der Informationsfreiheit unterfällt, wird allerdings nur in wenigen Fällen anzunehmen sein. Denn die Qualifizierung einer Informationsquelle als für die Allgemeinheit zugänglich, ist zusätzlich von dem Bestimmungsrecht des Informationsberechtigten abhängig.507 Dieser legt sowohl den Adressatenkreis als auch die Modalitäten des Informationszugangs fest.508 Als nicht allgemein zugänglich sind danach alle schriftlichen und mündlichen Äußerungen einzustufen, die rechtswidrig erlangt wurden oder für einzelne oder einen eingegrenzten Kreis von Personen bestimmt waren.509 Die Erhebung und Verarbeitung von personenbezogenen Daten für kommerzielle Zwecke ist damit nur in den Fällen von der Informationsfreiheit geschützt, in denen das Datensubjekt, als datenschutzrechtlich entscheidungsbefugte Person, diese im Rahmen einer allgemein zugänglichen Informationsquelle veröffentlicht hat.510 Dies ist im Internet beispielsweise bei Äußerungen in öffentlichen Foren, beim Betreiben einer Webseite oder dem Teilen von Inhalten in uneingeschränkt abrufbaren Webangeboten der Fall. Bei der bloßen Benutzung des Internets, der Inanspruchnahme internetbasierter Dienste, wie z. B. einer Suchmaschine oder cloudbasierter Software, kann hiervon jedoch nicht ausgegangen werden. Auch innerhalb von sozialen Medien richten sich die veröffentlichten Informationen in der Regel nur an einen eingeschränkten Personenkreis. Der Informationsfreiheit unterfällt die kommerzielle Verarbeitung von Daten im Ergebnis daher nur in geringfügigem Umfang.
504 Vgl. Grabenwarter, in: Maunz / Dürig GG, 93. EL. 2020, Art. 5 GG, Rn. 993, 996, 1016, 1017. 505 BVerfG, Beschluss vom 20. 06. 2017 – 1 BvR 1978/13, juris, Rn. 20; BVerfG, Beschluss vom 03. 10. 1969 – 1 BvR 46/65, juris, Rn. 35; Grabenwarter, in: Maunz / Dürig GG, 93. EL. 2020, Art. 5 GG, Rn. 1007. 506 Grabenwarter, in: Maunz / Dürig GG, 93. EL. 2020, Art. 5 GG, Rn. 1008; Schemmer, in: BeckOK GG, 46. Ed. 2021, Art. 5 GG, Rn. 26. 507 Grabenwarter, in: Maunz / Dürig GG, 93. EL. 2020, Art. 5 GG, Rn. 1007 m. w. N. 508 Ebenda. 509 BVerfG, Beschluss vom 25. 01. 1984 – 1 BvR 272/81, juris, Rn. 54; Grabenwarter, in: Maunz / Dürig GG, 93. EL. 2020, Art. 5 GG, Rn. 1009. 510 Vgl. auch Hornung / Gilga, CR 2020, 367, 373, 374 m. w. N. zu Art. 11 Grundrechte-Charta sowie Michl, NJW 2019, 2729, 2733.
§ 8 Rechtliche Grundlagen
97
b) Berufsfreiheit Umfassend wird die Tätigkeit der datenverarbeitenden Partei durch die Berufsfreiheit nach Art. 12 GG geschützt.511 Diese gewährleistet sowohl die Freiheit der Berufswahl als auch der Berufsausübung.512 Ein Beruf stellt „jede auf Erwerb gerichtete Tätigkeit […] [dar], die auf Dauer angelegt ist und der Schaffung und Aufrechterhaltung einer Lebensgrundlage dient“.513 Das Grundrecht der Berufsfreiheit gilt dabei sowohl für natürliche als auch juristische Personen des Privatrechts.514 Gerade juristische Personen eröffnen natürlichen Personen dabei bedeutende Möglichkeiten, für sich in organisierter Form das Grundrecht zu verwirklichen.515 In dieser Hinsicht gewährleistet Art. 12 Abs. 1 GG im Sinne einer Freiheit, sich unternehmerisch betätigen zu können, ein Recht auf die ungehinderte „Gründung und Führung von Unternehmen“ zur Ausübung einer wirtschaftlichen Tätigkeit.516 Ebenso ist die Wettbewerbsfreiheit, als ein grundsätzlich freier „Wettbewerb der als Anbieter und Nachfrager auf dem Markt auftretenden Unternehmer“, soweit deren Verhalten „sich in erlaubten Formen bewegt, durch Art. 12 Abs. 1 GG geschützt“.517 Die Kommerzialisierung von personenbezogenen Daten durch die Anbieter von datengetriebenen Geschäftsmodellen als natürliche oder juristische Personen des Privatrechts erfüllt diese Anforderungen.518 Die seitens der Gesetze gestattete Sammlung, Verarbeitung und Verwertung personenbezogener Daten dritter Personen zu kommerziellen Zwecken ist daher im Rahmen der Berufsfreiheit geschützt. c) Kein Eigentumsrecht an personenbezogenen Daten Hinsichtlich des Eigentumsrechts ist ebenfalls auf Seiten der Anbieter daten getriebener Geschäftsmodelle zu konstatieren, dass vermögenswerte Rechtspositionen in Form eines kommerzialisierbaren absoluten Rechts an personenbezogenen Daten aktuell nicht anerkannt werden und eine Entscheidung des Gesetzgebers 511
Zu den Wirtschaftsgrundrechten der Grundrechte-Charta: Leinemann, Personenbezogene Daten als Entgelt, 2020, 50–52. 512 BVerfG, Beschluss vom 19. 07. 2000 – 1 BvR 539/96, juris, Rn. 63. 513 BVerfG, Beschluss vom 19. 07. 2000 – 1 BvR 539/96, juris, Rn. 63; Ruffert, in: BeckOK GG, 46. Ed. 2021, Art. 12 GG, Rn. 40 m. w. N. 514 BVerfG, Beschluss vom 19. 07. 2000 – 1 BvR 539/96, juris, Rn. 63; BVerfG, Urteil vom 01. 03. 1979 – 1 BvR 532/77, juris, Rn. 172; BVerfG, Beschluss vom 16. 03. 1971 – 1 BvR 52/66, juris, Rn. 55; Ruffert, in: BeckOK GG, 46. Ed. 2021, Art. 12 GG, Rn. 38. 515 Vgl. Scholz, in: Maunz / Dürig GG, 93. EL. 2020, Art. 12 GG, Rn. 106 m. w. N. 516 Hierzu BVerfG, Urteil vom 01. 03. 1979 – 1 BvR 532/77, juris, Rn. 173; Scholz, in: Maunz / Dürig GG, 93. EL. 2020, Art. 12 GG, Rn. 123. 517 BVerfG, Beschluss vom 08. 02. 1972 – 1 BvR 170/71, juris, Rn. 19; Scholz, in: Maunz / Dürig GG, 93. EL. 2020, Art. 12 GG, Rn. 123. 518 Ebenso Leinemann, Personenbezogene Daten als Entgelt, 2020, 48, 49; Michl, NJW 2019, 2729, 2733.
98
Teil 2: Rahmenbedingungen der Austauschverhältnisse
abzuwarten ist.519 Personenbezogene Daten stellen im Ausgangspunkt damit nur faktische Positionen mit wirtschaftlichem Wert dar, an denen keine eigentumsähnlichen oder immaterialgüterrechtsähnlichen Ausschließlichkeitsrechte bestehen.520 In der Literatur wird aktuell eine Vielzahl von Vorschlägen diskutiert, die eine Zuordnung von personenbezogenen und auch von nicht personenbezogenen Daten wie Maschinendaten vorsehen.521 Auch Zugangsrechte im Hinblick auf Daten bestände werden erwogen.522 Das Datenschutzrecht als rein ideell zum Schutz der informationellen Selbstbestimmung ausgestaltetes Abwehrrecht trifft hierüber keine Aussage.523 Bestehende Bestände personenbezogener Daten bei Anbietern datengetriebener Geschäftsmodelle sind – abgesehen von den Datenträgern, auf denen sie gespeichert sind sowie in den Fällen der §§ 4, 87a ff. UrhG – nicht vom Schutzbereich der Eigentumsgarantie umfasst. d) Allgemeine Handlungsfreiheit nach Art. 2 Abs. 1 GG Fällt die Sammlung, Verarbeitung und Verwertung personenbezogener Daten als Tätigkeit schon unter die Berufsfreiheit nach Art. 12 Abs. 1 GG, ist ein Rückgriff auf die allgemeine Handlungsfreiheit aus Subsidiaritätsgründen ausgeschlossen.524 Funktionale Eigenständigkeit wird dem Freiheitsrecht aus Art. 2 Abs. 1 GG gegenüber Art. 12 Abs. 1 GG jedoch noch in Bezug auf die Gewährleistungen der unternehmerischen Betätigungsfreiheit sowie der Privatautonomie und der daraus abgeleiteten Vertragsfreiheit beigemessen.525 Geschützt ist damit durch die Berufsfreiheit die Entscheidung, datengetriebene Geschäftsmodelle als Tätigkeit anzubieten und abzuwickeln, während die allgemeine Handlungsfreiheit die Vereinbarung und die inhaltliche Ausgestaltung eines datengetriebenen Austauschverhältnisses durch die Privatautonomie und die Vertragsfreiheit gewährleistet. Auf Seiten der Anbieter wird die kommerzielle Verarbeitung personenbezogener Daten daneben durch die Berufsfreiheit und, abhängig vom Einzelfall, auch durch die Informationsfreiheit gewährleistet. 519
Siehe oben Fn. 477, 478 sowie Wandtke, MMR 2017, 6, 11. Hierzu oben bei Fn. 477. 521 Vgl. oben Fn. 436 sowie Steinrötter, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 17, 18 ff. m. w. N. 522 Siehe Hennemann, RDi 2021, 61, 62, 63; Wischmeyer / Herzog, NJW 2020, 288, 289; Zech, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 91, 100–102; Hoeren, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 37, 42; Wendehorst et al., in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 103, 119–121; Hoeren, MMR 2019, 5, 7, 8; Steinrötter, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 17, 50, 53–55. Vgl. auch Louven, NZKart 2018, 217, 221, 222; Schweitzer, GRUR 2019, 569, 575 ff.; Riechert, DuD 2019, 353, 356, 358, 359, aus kartellrechtlicher Perspektive. 523 Siehe oben bei Fn. 433–435. 524 Vgl. Scholz, in: Maunz / Dürig GG, 93. EL. 2020, Art. 12 GG, Rn. 122. 525 Scholz, in: Maunz / Dürig GG, 93. EL. 2020, Art. 12 GG, Rn. 123; Di Fabio, in: Maunz / Dürig GG, 93. EL. 2020, Art. 2 Abs. 1 GG, Rn. 101, 126. Vgl. auch BVerfG, Urteil vom 01. 03. 1979 – 1 BvR 532/77, juris, Rn. 179. 520
§ 8 Rechtliche Grundlagen
99
III. Resümee zum verfassungs- und europarechtlichen Rahmen Festgehalten werden kann, dass datengetriebene Austauschverhältnisse in ihrer derzeitigen Form verfassungsrechtlich geschützt sind und Datensubjekte wie auch Anbieter entsprechender Austauschgeschäfte in Ausübung ihrer grundrechtlich verbürgten Vertragsfreiheit handeln. Nach geltender Rechtslage können weder aus dem Grundrecht auf informationelle Selbstbestimmung noch aus der Eigentumsgarantie aus Art. 14 Abs. 1 GG eigentumsähnliche oder immaterialgüterrechtliche Ausschließlichkeitsrechte an personenbezogenen Daten abgeleitet werden. Das Datensubjekt handelt bei der Preisgabe und Kommerzialisierung personenbezogener Daten daher ausschließlich in Ausübung seiner grundrechtlich geschützten Vertragsfreiheit als Ausfluss der Privatautonomie. Auf Seiten der Anbieter datengetriebener Austauschgeschäfte steht die Verarbeitung personenbezogener Daten im Rahmen ihres Geschäftsmodells darüber hinaus unter dem Schutz der Berufsfreiheit sowie, im Fall der Verarbeitung von Informationen aus allgemein zugänglichen Quellen, unter dem Schutz der Informationsfreiheit.
B. Vertragsrechtlicher Rahmen Die vertragsrechtlichen Rahmenbedingungen datengetriebener Austauschgeschäfte werden durch die Privatautonomie und die daraus fließende Vertragsfreiheit geprägt. Datengetriebene Geschäftsmodelle können unterschiedliche Erscheinungsformen annehmen und aufgrund der Vielfältigkeit der seitens der Anbieter geschuldeten Leistungsgegenstände verschiedenen einfachgesetzlichen Regelungskomplexen unterliegen. Im Bereich der internetbasierten datengetriebenen Austauschverhältnisse können dementsprechend urheberrechtliche Vorgaben zu beachten sein, wenn personenbezogene Daten im Austausch für die Überlassung eines Computerprogramms oder für die Erbringung einer sonstigen urheberrechtlich geschützten Dienstleistung preisgegeben werden. Bei Telematik-Tarifen sind dagegen die Vorschriften des Versicherungsvertragsrechts bei der rechtlichen Behandlung des Austauschverhältnisses zu berücksichtigen, wenn die Datenpreisgabe zur dynamischen Bestimmung der Versicherungsprämie erfolgt. Als Gemeinsamkeit liegt datengetriebenen Austauschverhältnissen, trotz wechselnder Anbieterleistung, die Preisgabe personenbezogener Daten durch das Datensubjekt zugrunde. Datengetriebene Austauschverhältnisse sind dabei von Verträgen abzugrenzen, welche ausschließlich den kommerziellen Datenhandel betreffen. Unter Letztere sind alle Vertragskonstellationen ohne Beteiligung von Datensubjekten zu fassen, „in denen Daten für ein Entgelt überlassen bzw. bereitgestellt und – untechnisch gesprochen – von einem Vertragsteil erworben werden sollen“.526 Diese Verträge 526 Rank-Haedler, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 489, 490 m. w. N.
100
Teil 2: Rahmenbedingungen der Austauschverhältnisse
können auch als „Datenüberlassungsverträge“ bezeichnet werden und betreffen primär den kommerziellen Handel mit (personenbezogenen) Daten und das „Vertragsverhältnis zwischen der datenerhebenden Stelle und dem Datenerwerber“.527 Datengetriebene Austauschverhältnisse bilden hingegen das rechtliche Verhältnis zwischen betroffenem Datensubjekt und dem Anbieter als datenerhebende und datenverarbeitende Stelle ab.528 Entsprechende Austauschgeschäfte, in denen die Preisgabe personenbezogener Daten durch Datensubjekte die Funktion eines Entgelts für die Leistung des Anbieters einnimmt, können auch als „Datenerhebungsverträge“ bezeichnet werden.529 Auf diesen Vertragskonstellationen im Rahmen datenfinanzierter Geschäftsmodelle liegt der Untersuchungsschwerpunkt dieser Arbeit.530 Im Folgenden wird auf die rechtliche Behandlung personenbezogener Daten innerhalb von zivilrechtlichen Rechtsverhältnissen eingegangen werden. Besonderheiten, die sich aus dem Gegenstand der Anbieterleistung ergeben können, werden exemplarisch anhand von Softwareüberlassungsverträgen sowie versicherungsrechtlichen Telematik-Tarifen dargestellt. I. Daten in zivilrechtlichen Rechtsverhältnissen 1. Personenbezogene Daten als Gegenstand und Immaterialgut Mangels Körperlichkeit der, vom jeweiligen Datenträger zu abstrahierenden, personenbezogenen Daten sind diese als Rechtsobjekte den unkörperlichen Gegenständen i. S. v. § 453 Abs. 1 Var. 2 bzw. § 581 Abs. 1 S. 1 BGB zuzuordnen.531 Diesem – weiten – materialen Gegenstandsbegriff unterfallen „alle individualisierbaren vermögenswerten Objekte der natürlichen Welt“, welche „beherrschbar, ökonomisch wertvoll und wirtschaftlich nutzbar sind“.532 Neben Sachen und Rech 527
Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 15, 52; Rank-Haedler, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 489, 490. Eingehend hierzu Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, Rn. 341 ff. 528 Vgl. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 15. 529 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 15. Rank-Haedler, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 489. 530 Zur Unterscheidung zwischen vollständig und teilweise datenfinanzierten Geschäfts modellen siehe oben S. 51 f. 531 Eine Definition des Gegenstandsbegriffs wurde durch den Zivilrechtsgesetzgeber nicht getroffen. Eine einheitliche Begriffsbestimmung konnte sich in der Rechtswissenschaft bislang noch nicht durchsetzen, was insbesondere dadurch erschwert wird, dass der Oberbegriff des Gegenstands im BGB – je nach Rechtsvorschrift – mit unterschiedlicher Bedeutung verwendet wird. Eingehend hierzu m. w. N. Stresemann, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 90 BGB, Rn. 1; Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 10– 12.5; Stieper, in: Staudinger BGB, Neubearbeitung 2017, Vor. zu §§ 90–103 BGB, 4–6. 532 Stieper, in: Staudinger BGB, Neubearbeitung 2017, Vor. zu §§ 90–103 BGB, Rn. 4; Fritzsche, in: Bamberger / Roth / Hau / Poseck BGB, 4. Aufl. 2019, § 90 BGB, Rn. 4, jeweils m. w. N. Der engere – sich an § 90 BGB orientierende – Gegenstandsbegriff umfasst hingegen
§ 8 Rechtliche Grundlagen
101
ten umfasst dieser Gegenstandsbegriff auch Vermögenswerte rein tatsächlicher Art, worunter unter anderem Know-How, Kundenbeziehungen, Ideen und Informationen sowie Energie, wie Wärme oder Strom, gezählt werden.533 Vergleichbar mit elektrischer Energie in Stromleitungen, sind Daten räumlich abgrenzbar und technisch beherrschbar, wenn sie in einer zur Datenverarbeitung tauglichen Form fassbar sind.534 Grundsätzlich können Daten als immaterielle Wirtschaftsgüter damit den unkörperlichen Gegenständen zugeordnet werden.535 2. Daten als Vertrags- und Leistungsgegenstand Aus der Verbürgung der Vertragsfreiheit folgt ein weites Verständnis des Leistungsbegriffs nach § 241 Abs. 1 BGB. Leistungsinhalt eines Schuldverhältnisses kann demnach jegliches Verhalten des Schuldners sein.536 Als eines der Grundprinzipien des Zivilrechts gewährleistet die schuldrechtliche Vertragsfreiheit den Parteien, ihre Rechtsbeziehungen einvernehmlich und frei, also eigenständig – unter Befolgung der Regeln über Willenserklärungen – zu begründen und verbindlich auszugestalten.537 Den Vorschriften der §§ 241, 305 BGB lässt sich entnehmen, dass es den Vertragsparteien möglich sein soll, innerhalb der Grenzen des zwingenden Rechts den Inhalt und das Pflichtenprogramm eines schuldrechtlichen Vertrags grundsätzlich ohne Rücksicht auf gesetzlich normierte Vertragstypen zu verein„alle individualisierbaren, vermögenswerten Objekte und Güter, über die Rechtsmacht i. S. v. Herrschafts- oder Nutzungsrechten ausgeübt werden kann“. Stresemann, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 90 BGB, Rn. 1 m. w. N.; Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 10, 12. Mangels der Anerkennung absoluter Rechte an der syntaktischen und semantischen Informationsebene von personenbezogenen Daten wird zumindest der enge Gegenstandsbegriff de lege lata nicht erfüllt sein. Hierzu oben S. 89 f., 91 ff. 533 Beckmann, in: Staudinger BGB, Neubearbeitung 2013, § 453 BGB, Rn. 37. Zur schuldrechtlichen Prägung dieses Gegenstandsbegriffs siehe Stresemann, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 90 BGB, Rn. 1; Berberich, in: Große Ruse-Khan / K lass et al. (Hrsg.), Nutzergenerierte Inhalte als Gegenstand des Privatrechts, 2010, 165, 175 m. w. N. 534 Hierzu Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 33, 34 m. w. N. zu eher theoretischen Ausnahmefällen, bei welchen die Einordnung von Daten als Rechtsobjekte angezweifelt werden kann. 535 Ebenso Berberich, in: Große Ruse-Khan / K lass et al. (Hrsg.), Nutzergenerierte Inhalte als Gegenstand des Privatrechts, 2010, 165, 175; Fritzsche, in: Bamberger / Roth / Hau / Poseck BGB, 4. Aufl. 2019, § 90 BGB, Rn. 27; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 33, 34, dabei jedoch auch den engen Gegenstandsbegriff als erfüllt ansehend. Zur Einordnung als Immaterialgut siehe Zech, CR 2015, 137, 138; Dorner, CR 2014, 617, 621. 536 Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 133, wonach als potenzieller Inhalt einer Leistungspflicht sowohl die Vornahme oder Unterlassung eines tatsächlichen Verhaltens als auch die Abgabe einer Willenserklärung bzw. spezifisch die Erteilung einer Einwilligung geschuldet werden kann. Vgl. auch Mugdan, Die gesamten Materialien zum Bürgerlichen Gesetzbuch für das Deutsche Reich, Neudruck der Ausgabe Berlin 1899, 1979, Band 2 – Recht der Schuldverhältnisse, 3. 537 Martinek, Moderne Vertragstypen I, 1991, 17, 18. Eingehend Larenz, Lehrbuch des Schuldrechts AT, 14. Aufl. 1987, 40 ff.
102
Teil 2: Rahmenbedingungen der Austauschverhältnisse
baren.538 Der spezifische Inhalt des Schuldverhältnisses, welcher entscheidet, was konkret geschuldet wird, ist dabei durch Auslegung zu ermitteln.539 Als immaterielle Wirtschaftsgüter sind personenbezogene Daten, wie auch die Erteilung einer datenschutzrechtlichen Einwilligung, taugliche Gegenstände von Ansprüchen (§ 194 Abs. 1 BGB) und Schuldverhältnissen (§ 311 Abs. 1 BGB).540 Für die Einbeziehung in Vertragsverhältnisse im Zivilrecht stellen die fehlende Sachqualität und die fehlende Anerkennung absoluter Rechte an Daten damit kein Hindernis dar.541 Zwar sieht das geltende Recht keine Rechte an Daten vor, die einen zivilrechtlichen Schutz gegenüber jedermann gewähren. Verträge mit Daten als Gegenleistung begründen jedoch relative Rechtspositionen, welche im Verhältnis der Vertragsparteien zueinander Wirkung entfalten.542 Im Rahmen datengetriebener Austauschverhältnisse kann daher auch ein rein faktisches Verhalten des Datensubjekts, wie die bloße Übermittlung personenbezogener Daten oder das Dulden der Erhebung und Verarbeitung von personenbezogenen Daten, dessen vertraglich geschuldete Leistung ausmachen.543 Stellt dagegen die Erteilung einer daten schutzrechtlichen Einwilligung die geschuldete Leistung des Datensubjekts dar, so ist seitens des Datensubjekts, abhängig von der Qualifizierung der Rechtsnatur der Einwilligung, entweder die Abgabe einer Willenserklärung oder die Vornahme eines entsprechenden geschäftsähnlichen Verhaltens oder eines Realakts geschuldet.544 Kein Einfluss auf die Tauglichkeit der Preisgabe personenbezogener Daten, eine vertragliche Leistung darzustellen, ist EG 24 S. 3 DIRL545 zuzusprechen, wonach, im Hinblick auf den ideellen Datenschutzgedanken der DSGVO, personenbezogene 538
Martinek, Moderne Vertragstypen I, 1991, 17, 18. Die Gestaltungs- und Typenfreiheit schuldrechtlicher Rechtsverhältnisse stellen Ausprägungen der Vertragsfreiheit dar. Vgl. auch Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 27; Larenz, Lehrbuch des Schuldrechts AT, 14. Aufl. 1987, 51–53. 539 Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 17; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 134; Langhanke, Daten als Leistung, 2018, 97, 98. 540 Ebenso Langhanke, Daten als Leistung, 2018, 98, 108; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 34, 35; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 89, 90; Leinemann, Personenbezogene Daten als Entgelt, 2020, 82–84. 541 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 34, 35. 542 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 35. 543 Vgl. Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 133. Zum Inhalt der Leistung des Datensubjekts siehe unten S. 193 ff. A. A. Bull, CR 2018, 425, 430, erst eine gesetzliche Anerkennung der Preisgabe personenbezogener Daten durch den Gesetzgeber fordernd. 544 Eingehend hierzu und zur Rechtsnatur der datenschutzrechtlichen Einwilligung unten S. 104 ff. 545 EG 24 S. 3 DIRL besagt: Obwohl in vollem Umfang anerkannt wird, dass der Schutz personenbezogener Daten ein Grundrecht ist und daher personenbezogene Daten nicht als Ware betrachtet werden können, sollte mit dieser Richtlinie sichergestellt werden, dass die Verbraucher im Zusammenhang mit solchen Geschäftsmodellen Anspruch auf vertragliche Rechtsbehelfe haben.
§ 8 Rechtliche Grundlagen
103
Daten nicht als Ware zu betrachten sind.546 Der Europäische Datenschutzbeauftragte äußerte im Konsultationsverfahren zur Richtlinie Bedenken, dass eine Einordnung der Preisgabe personenbezogener Daten als Gegenleistung im Rahmen des früheren Richtlinienentwurfs der DIRL eine Gleichsetzung der Datenpreisgabe mit einer Geldzahlung impliziere und gerade personenbezogene Daten nicht als bloße Ware marginalisiert werden dürften.547 Diese Bedenken lassen sich bereits dadurch entkräften, dass personenbezogene Daten nicht die wesentlichen Funktionen von Geld erfüllen und dies auch zukünftig nicht zu erwarten ist.548 Der Leistungsbegriff nach § 241 Abs. 1 BGB erfordert zudem nicht, dass der Leistungsgegenstand einen Geldwert besitzt.549 Zudem wird gerade durch die DSGVO als höherrangiges Recht garantiert, dass die Preisgabe personenbezogener Daten als geschuldete Leistung eines Datensubjekts sich ausschließlich innerhalb des datenschutzrechtlich zulässigen Rechtsrahmens bewegt.550 Gerade die DSGVO als öffentliches Ordnungsrecht dient nicht dem Zweck, zivilrechtliche Rechtsbeziehungen zu regeln und steht der Zulässigkeit einer auf personenbezogenen Daten basierenden Leistungspflicht nicht entgegen.551 Ob und gegebenenfalls inwieweit personenbezogene Daten eine Gegenleistung darstellen und ein synallagmatisches Rechtsverhältnis begründen können, unterfällt damit dem nationalen Recht.552 Nach Art. 3 Abs. 10 DIRL i. V. m. 546
Eingeführt wurde der Erwägungsgrund infolge der Kritik des Europäischen Datenschutzbeauftragten, wonach durch die DIRL zwar datengetriebene Austauschverhältnisse rechtlich anerkennt werden, es aber nicht Zweck der DIRL sein dürfe, diese zu fördern. Eingehend hierzu: Mischau, ZEuP 2020, 335, 339, 340; Sattler, CR 2020, 145, 152; Staudenmayer, ZEuP 2019, 663, 668, 669; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 221, 231. 547 Europäischer Datenschutzbeauftragter, Stellungnahme des Europäischen Datenschutzbeauftragen, 2017, Rn. 23–28. Ebenso kritisch diesbezüglich: Härting, CR 2016, 735, 738; Czajkowski / Müller-ter Jung, CR 2018, 157, 161. Als Konsequenz wurde auf die Verwendung des Begriffs der Datenpreisgabe als „Gegenleistung“ im Rahmen der DIRL verzichtet. Hierzu Kumkar, ZfPW 2020, 306, 324 sowie Fn. 546 m. w. N. Zur Fassung des Richtlinienentwurfs zur DIRL siehe unten Fn. 879, 885. 548 Zur fehlenden Vergleichbarkeit von personenbezogenen Daten und Geld siehe unten S. 206 f. Die Bedenken des Europäischen Datenschutzbeauftragten stehen der Qualifizierung der Datenpreisgabe als vertragliche Gegenleistung insbesondere dann nicht entgegen, wenn die datenschutzrechtliche Einwilligung als maßgeblicher Leistungsgegenstand qualifiziert wird. Siehe Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 201, 202. 549 Leinemann, Personenbezogene Daten als Entgelt, 2020, 80–82; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 16–18; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 200. 550 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 201, 203. Umfassend zum datenschutzrechtlichen Rechtsrahmen und den daraus folgenden Konsequenzen für die rechtliche Qualifizierung der Preisgabe personenbezogener Daten siehe unten S. 117 ff., 217 ff., 254 ff. 551 Ebenso Riehm, in: Specht-Riemenschneider / Buchner et al. (Hrsg.), Festschrift für Jürgen Taeger, 2020, 55, 56; Kumkar, ZfPW 2020, 306, 325; Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 85, 89, 92; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 202, 203. Hierzu auch Hacker, Datenprivatrecht, 2020, 352, 353. 552 Hierzu Mischau, ZEuP 2020, 335, 339; Kumkar, ZfPW 2020, 306, 326; Staudenmayer, ZEuP 2019, 663, 670, 677; Spindler / Sein, MMR 2019, 415; Hacker, ZfPW 2019, 148, 165; Metzger, AcP 2016, 817, 833, 837.
104
Teil 2: Rahmenbedingungen der Austauschverhältnisse
EG 12 DIRL werden Aspekte des allgemeinen Vertragsrechts gerade nicht durch die Richtlinie geregelt und unterliegen dem Recht der Mitgliedstaaten.553 Für die umfassende Anerkennung der rechtlichen Relevanz einer Preisgabe personen bezogener Daten spricht darüber hinaus, dass das Konzept der DIRL nunmehr auch auf die VerbRRL n. F. übertragen wurde.554 3. Die datenschutzrechtliche Einwilligung im Zivilrecht Über die Rechtsnatur der datenschutzrechtlichen Einwilligung herrscht keine Einigkeit. In der Rechtswissenschaft finden sich jeweils Vertreter für eine Qualifizierung als rechtsgeschäftliche Willenserklärung, als geschäftsähnliche Handlung sowie als Realakt.555 Von Bedeutung ist die Qualifizierung der Einwilligung im Hinblick auf die (uneingeschränkte) Anwendbarkeit der Vorschriften über Willenserklärungen, insbesondere der Regelungen über die Geschäftsfähigkeit (§§ 104 ff. BGB), über Willensmängel (§§ 116 ff. BGB), zur Auslegung (§§ 133, 157, 242 BGB), zum Wirksamwerden von Willenserklärungen (§§ 130 ff. BGB) sowie zur Stellvertretung (§§ 164 ff. BGB).556 Umstritten ist bereits, ob seit Inkrafttreten der DSGVO aufgrund des Anwendungsvorrangs des Unionsrechts überhaupt eine Qualifizierung der datenschutzrechtlichen Einwilligung anhand nationaler Rechtsfiguren und ein Abstellen auf Vorschriften im nationalen Recht noch erforderlich oder überhaupt zulässig sind.557 Dies verneinend wird argumentiert, dass ein materielles Bedürfnis für einen Rückgriff auf nationales Recht nicht mehr bestehe, sondern vielmehr die datenschutzrechtliche Einwilligung autonom anhand der seitens der DSGVO aufgestellten Wirksamkeitsvoraussetzungen (Art. 4 Nr. 11, Art. 7, Art. 8 DSGVO) zu behandeln sei.558 Ein Rückgriff auf nationales Recht wäre mithin nur zulässig, wo 553 Weitere Verweise auf das nationale Recht finden sich diesbezüglich unter anderem in EG 24, 25 sowie 40 DIRL. 554 Siehe unten bei Fn. 1745 sowie S. 302 ff. sowie Mischau, ZEuP 2020, 335, 365. 555 Nachweise bei Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 28; Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 13; Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 29. Langhanke, Daten als Leistung, 2018, 42, 43; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 236 ff. 556 Siehe Langhanke, Daten als Leistung, 2018, 43. Vgl. auch Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 28. 557 Bejahend: Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 28 m. w. N. zu beiden Auffassungen; verneinend: Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 13; Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 29; Franzen, in: Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 4 DSGVO, Rn. 18. 558 So Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 13. Ähnlich Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, Rn. 32.
§ 8 Rechtliche Grundlagen
105
die DSGVO diesen selbst – wie im Fall von Art. 8 Abs. 3 DSGVO – anordnet.559 Überzeugender ist es jedoch, aufgrund des Fehlens eines ausdifferenzierten, rechtsaktübergreifenden europäischen Zivilrechtsregimes weiterhin den Rückgriff auf nationales Recht zuzulassen und dieses im Anwendungsfall anhand der Wertungen der DSGVO unionskonform auszulegen.560 Dies gilt umso mehr im Bereich der datengetriebenen Austauschgeschäfte, in dem personenbezogene Daten als Wirtschaftsgut kommerzialisiert werden, da deren zivilrechtliche Behandlung nicht von der DSGVO berücksichtigt wurde.561 Im Hinblick auf die Rechtsnaturbestimmung der Einwilligung wird – aufbauend auf Ohly – die (datenschutzrechtliche) Einwilligung im Schrifttum häufig weiter unterteilt und zwischen der schlichten, einseitigen Einwilligung und der schuldvertraglichen Einwilligung unterschieden.562 Die einseitige, stets widerrufliche Einwilligung stelle die schwächste Gestattungsform auf der Stufenleiter der Gestattungen dar.563 Diese bewirkt ausschließlich die Rechtmäßigkeit der jeweiligen Handlung und ihr Bestand ist allein vom Willen des Einwilligenden abhängig.564 Ihr mangele es damit an der Tauglichkeit, dem Empfänger ein durchsetzbares subjektives Recht zu verschaffen und dient der Gestattung von Eingriffen in Rechtsgüter, die nicht Gegenstand einer vertraglichen Vereinbarung sein können.565 Als Rechtfertigung einer Datenverarbeitung wäre eine einseitige Einwilligung demnach anzunehmen, wenn diese „einen isolierten, eigenständigen Vorgang darstellt“ und nicht als Bestandteil einer vertraglichen Abrede in Form einer Leistungspflicht fungiert.566 Die schuldvertragliche Einwilligung basiere hingegen auf einer 559
Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 30. Hierzu bereits oben bei Fn. 551. Dies ist von Relevanz insbesondere für die Zulässigkeit einer Anfechtung der Einwilligung wegen Irrtums nach den §§ 119, 120 BGB mit der Rechtsfolge einer Nichtigkeit ex tunc (§ 142 Abs. 1 BGB), für die Anwendbarkeit der Fiktion nach § 142 Abs. 2 BGB sowie für die Anwendbarkeit von § 122 BGB. Siehe Hacker, Datenprivatrecht, 2020, 364 ff., 370; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 28, 29 m. w. N. Weiterführend hierzu unten bei Fn. 752, 756. 561 Vgl. Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 30. 562 Begriffsprägend und grundlegend hierzu, eine „Stufenleiter der Gestattungen“ etablierend: Ohly, „Volenti non fit iniuria“, 2002, 141 ff. Dieses Modell übernehmend: Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 36 ff.; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 232 ff.; Metzger, AcP 2016, 817, 840, Fn. 102; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 34 ff.; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 232, 233. 563 Ohly, „Volenti non fit iniuria“, 2002, 176; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 37–40. Zur umstrittenen Rechtsnatur der einseitigen Einwilligung siehe Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 236–239. 564 Ohly, „Volenti non fit iniuria“, 2002, 176. 565 Ohly, „Volenti non fit iniuria“, 2002, 176, 177. Anzutreffen sind einseitige Einwilligungen daher insbesondere im Medizinrecht, wo eine unwiderrufliche Disposition über die körperliche Unversehrtheit bei Eingriffen ausgeschlossen ist. 566 Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 232. Vgl. auch Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 37. 560
106
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Vereinbarung zur Erteilung einer Einwilligung, welche der vertraglichen Abrede entspricht.567 Die Einwilligungserteilung stellt in diesen Fällen als Vertragsinhalt keinen hiervon isolierten Vorgang dar, sondern ist Bestandteil des Pflichtenprogramms des jeweiligen Vertrags und dessen Erfüllung.568 Grundsätzlich überzeugt diese Unterscheidung. Wird die datenschutzrechtliche Einwilligung nicht ausschließlich zur Rechtfertigung eigenständiger Datenverarbeitungsvorgänge erteilt, sondern erfolgt die Einwilligungserteilung im Rahmen eines rechtsgeschäftlichen Schuldverhältnisses, so kann die Einwilligung nicht isoliert hiervon betrachtet werden. In Abgrenzung zu Rogosch und Buchner wird in dieser Arbeit aber nicht darauf abgestellt, dass die schuldvertragliche Einwilligung zum zwingenden Inhalt des Vertrags gehören muss, welcher nicht ohne die Erteilung der Einwilligung zustandekommen würde.569 Vielmehr können die Erteilung der Einwilligung und der zugrundeliegende schuldrechtliche Gestattungsvertrag auseinanderfallen, weshalb bereits die Verpflichtung zur Erteilung einer Einwilligung genügt, um terminologisch eine schuldvertragliche Einwilligung zu konstituieren.570 Hierfür lässt sich anführen, dass die Eingehung der Pflicht zur Einwilligungserteilung und deren Vollzug zeitlich auseinanderfallen können.571 Zudem wäre eine Verschmelzung von Verpflichtungsgeschäft und datenschutzrechtlicher Einwilligung nur schwer mit den europarechtlichen Vorgaben der DSGVO zu vereinbaren.572 Im Hinblick auf die Rechtsnatur der datenschutzrechtlichen Einwilligung in datengetriebenen Austauschverhältnissen ist zu konstatieren, dass einzig die rechtsgeschäftliche Einordnung der herrschenden Meinung zu überzeugen vermag.573 Die 567
Eingehend hierzu Ohly, „Volenti non fit iniuria“, 2002, 165 ff. Ohly, „Volenti non fit iniuria“, 2002, 168, 169 m. w. N. zum Meinungsstand; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 44, 45; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 253. 569 Vgl. Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 253; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 44, 45. Kritisch hierzu Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 70–72. Weitere Nachweise zu dieser – abzulehnenden – Ansicht finden sich bei Ohly, „Volenti non fit iniuria“, 2002, 168. 570 Ebenso Langhanke, Daten als Leistung, 2018, 150; Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 72; Ohly, „Volenti non fit iniuria“, 2002, 168–170 m. w. N. 571 Vgl. Langhanke, Daten als Leistung, 2018, 150; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 17; Ohly, „Volenti non fit iniuria“, 2002, 169. Dies wird gerade in Fällen einer erst nach Vertragsschluss vom Anbieter geforderten Einwilligungserteilung oder bei einer zunächst unwirksam erteilten Einwilligung anzunehmen sein. 572 Hierzu auch Hacker, Datenprivatrecht, 2020, 163. Zur Anwendbarkeit des Trennungs- und Abstraktionsprinzips unter Berücksichtigung der europarechtlichen Vorgaben der DSGVO auf die Einwilligung siehe unten S. 295 ff. 573 Im Ergebnis ebenso: Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 180; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 45; Ohly, „Volenti non fit iniuria“, 2002, 178; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 237; 568
§ 8 Rechtliche Grundlagen
107
Eingehung einer Verpflichtung zur Erteilung einer datenschutzrechtlichen Einwilligung wie auch deren Vollzug beruhen nämlich auf dem Willen des Datensubjekts zur Begründung bzw. Erfüllung dieser Pflicht und besitzen rechtsgeschäftlichen Charakter.574 Die Erteilung einer datenschutzrechtlichen Einwilligung im Rahmen datengetriebener Austauschverhältnisse ist als Willenserklärung zu qualifizieren, wenn sie eine Willensäußerung darstellt, die unmittelbar auf die Herbeiführung von konkreten Rechtsfolgen gerichtet ist.575 Das Datensubjekt will in diesen Fällen seine datenschutzrechtliche Einwilligung zur Legitimierung eines konkreten Datenverarbeitungsvorgangs gerade im Hinblick auf Umfang und Zwecksetzung vereinbarungsgemäß erteilen, um dadurch seine vertragliche Verpflichtung zu erfüllen und die Leistung des Anbieters zu erhalten.576 Die erteilte Einwilligung stellt eine Rechtsposition dar, welche es dem Einwilligungsempfänger gestattet, in die informationelle Selbstbestimmung des Einwilligenden einzugreifen.577 Der Bezug der datenschutzrechtlichen Einwilligung innerhalb datengetriebener Austauschgeschäfte zum wirtschaftsrechtlich geprägten Begriff des Rechtsgeschäfts578 wie auch eine rechtsgeschäftliche Einordnung der zu diesen Zwecken erteilten Einwilligung lassen sich damit nur schwer von der Hand weisen.579 Die Erteilung der datenschutzrechtlichen Einwilligung unterliegt damit als Willenserklärung den Regelungen des BGB.580
Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 528; a. A. Hacker, Datenprivatrecht, 2020, 163, 350, die datenschutzrechtliche Einwilligung als geschäftsähnliche Handlung einordnend; Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 7 DSGVO, 13, welcher jedoch generell aufgrund des Vorrangs der DSGVO eine Einpassung in nationale zivilrechtliche Rechtsformen ablehnt. 574 Vgl. Ohly, „Volenti non fit iniuria“, 2002, 165, 167; Buchner, Informationelle Selbst bestimmung im Privatrecht, 2006, 237; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 39. 575 Zur Begriffsbestimmung der Willenserklärung: BGH, Urteil vom 17. 10. 2000 – X ZR 97/99, juris, Rn. 17; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, 566. 576 Langhanke, Daten als Leistung, 2018, 43, 44. Zur Zwecksetzung und der Interessenlage der Parteien siehe unten S. 186 f. 577 Hierzu ausführlich Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 82–85 m. w. N. Ähnlich Lahusen, AcP 2021, 1, 14. 578 Unter einem Rechtsgeschäft wird im Rahmen dieser Arbeit eine Willenserklärung auf dem Gebiet des Privatrechts verstanden, die auf die Herbeiführung eines rechtlichen Erfolges gerichtet ist, welcher, soweit die Rechtsordnung diesen anerkennt, unmittelbar eintritt, da er gewollt ist. Statt aller: Köhler, BGB AT, 44. Aufl. 2020, § 5, Rn. 5; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 395. 579 Vgl. Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 44, 45; Ohly, „Volenti non fit iniuria“, 2002, 213, 214; Langhanke, Daten als Leistung, 2018, 43, 44; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 237. 580 Dies gilt jedoch nur insoweit, als die DSGVO keine Spezialvorschriften wie beispielsweise Art. 8 Abs. 1 DSGVO im Hinblick auf die Einwilligungsfähigkeit und Geschäftsfähigkeit von Minderjährigen enthält. Hierzu Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 180, Fn. 12; eingehend zu Art. 8 Abs. 3 DSGVO: Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 225 ff.
108
Teil 2: Rahmenbedingungen der Austauschverhältnisse
4. Das zivilrechtliche allgemeine Persönlichkeitsrecht Von der Problematik der verfassungsrechtlichen Anerkennung der Kommerzialisierung personenbezogener Daten als vermögensrechtliche Bestandteile des allgemeinen Persönlichkeitsrechts ist zu trennen, ob dieser Schutz durch das zivilrechtliche allgemeine Persönlichkeitsrecht gewährleistet wird. So sind von dem vom BGH ausgeformten zivilrechtlichen allgemeinen Persönlichkeitsrecht und dessen eigenständig kodifizierten Ausprägungen auch kommerzielle Interessen des Persönlichkeitsrechtsinhabers umfasst.581 Als besondere Ausprägungen des allgemeinen Persönlichkeitsrechts sind insbesondere das kodifizierte Recht am eigenen Bild (§§ 22 ff. KUG) und das Namensrecht (§ 12 BGB) anzuführen.582 Der Schutz kommerzieller Interessen gilt dabei auch für sonstige Persönlichkeitsmerkmale, welche für Werbezwecke kommerzialisiert werden können und denen dementsprechend ein wirtschaftlicher Wert zukommen kann.583 Auch wenn der BGH – anders als für die Vererbbarkeit vermögensrechtlicher Bestandteile der Persönlichkeit – offen ließ, inwieweit diese Bestandteile des Persönlichkeitsrechts unter Lebenden übertragen werden oder an ihnen Nutzungsrechte eingeräumt werden können, so wurde doch eine vermögensrechtliche Struktur des allgemeinen Persönlichkeitsrechts höchstrichterlich anerkannt, was auch seitens des BVerfG gebilligt wurde.584 Geschützt wird „danach die allein dem Berechtigten zustehende freie Entscheidung […], ob und unter welchen Voraussetzungen sein Bildnis oder sein Name – entsprechendes gilt für andere kennzeichnende Persönlichkeitsmerkmale – den Geschäftsinteressen Dritter dienstbar gemacht“ werden dürfen.585 Von den vermögensrechtlichen Bestandteilen des zivilrechtlichen Persönlichkeitsrechts wird speziell dadurch auch der Schutz vor einer unberechtigten Vereinnahmung der Persönlichkeitsmerkmale anderer Personen für Werbezwecke gewährleistet.586 Eine unberechtigte Verwertung von Persönlichkeitsmerkmalen kann dementsprechend nicht nur Abwehransprüche, sondern ebenfalls Schadensersatzansprüche und sonstige Ersatzansprüche, wie einen Bereicherungsausgleich, nach sich ziehen.587 581
BGH, Urteil vom 20. 03. 2012 – VI ZR 123/11, juris, Rn. 23. Die Anerkennung vermögenswerter Bestandteile des allgemeinen Persönlichkeitsrechts durch den BGH erfolgte in seiner Marlene-Dietrich-Entscheidung. BGH, Urteil vom 01. 12. 1999 – I ZR 49/97, juris, Rn. 50. 582 Vgl. BGH, Urteil vom 01. 12. 1999 – I ZR 49/97, juris, Rn. 48 ff. 583 BGH, Urteil vom 20. 03. 2012 – VI ZR 123/11, juris, Rn. 23; BGH, Urteil vom 01. 12. 1999 – I ZR 49/97, juris, Rn. 50, 51; Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 325 m. w. N. 584 BVerfG, Nichtannahmebeschluss vom 05. 03. 2009 – 1 BvR 127/09, juris, Rn. 11. Ausführlich hierzu Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 49 ff.; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 215, 216. 585 BGH, Urteil vom 01. 12. 1999 – I ZR 49/97, juris, Rn. 51.Vgl. auch BGH, Urteil vom 31. 05. 2012 – I ZR 234/10, juris, Rn. 15. 586 BGH, Urteil vom 21. 01. 2021 – I ZR 120/19, juris, Rn. 26; BGH, Urteil vom 31. 05. 2012 – I ZR 234/10, juris, Rn. 14 ff., 30; Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 51, 163 m. w. N. 587 BGH, Urteil vom 20. 03. 2012 – VI ZR 123/11, juris, Rn. 24; BGH, Urteil vom 01. 12. 1999 – I ZR 49/97, juris, Rn. 49, 51; Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 51, 52 m. w. N.
§ 8 Rechtliche Grundlagen
109
Die Rechtsprechung zu den vermögensrechtlichen Bestandteilen des allgemeinen Persönlichkeitsrechts befasst sich hierbei größtenteils mit Persönlichkeitsgütern prominenter Personen.588 Für personenbezogene Daten von nicht prominenten Personen, welche als Persönlichkeitsgüter durch das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts geschützt sind, darf jedoch im Kontext privater Datenverarbeitungen zu kommerziellen Zwecken – wie im Falle der Werbung – nichts anderes gelten.589 Ähnlich wie Prominente ihre Persönlichkeitsmerkmale im Rahmen des Personality Merchandising verwerten, so kommerzialisieren im Rahmen datengetriebener Austauschgeschäfte auch nicht prominente Personen ihre Persönlichkeitsmerkmale.590 Werden personenbezogene Daten durch Anbieter datengetriebener Geschäftsmodelle ohne Wissen und Wollen der Datensubjekte wirtschaftlich verwertet, so ist diese Situation vergleichbar mit der Zwangskommerzialisierung einer berühmten Persönlichkeit durch die Presse oder Marketingunternehmen mittels rechtswidriger Veröffentlichungen oder Inanspruchnahme ihrer personenbezogenen Daten für Werbeaktionen.591 Aufgrund der zunehmenden Kommerzialisierung personen bezogener Daten ist richtigerweise allein darauf abzustellen, ob das jeweilige Persönlichkeitsgut einer kommerziellen Verwertung zugänglich ist.592 Dies ist angesichts der mittlerweile alltäglich gewordenen kommerziellen Verarbeitung von personenbezogenen Daten unzweifelhaft und unabhängig von der Prominenz des 588 Vgl. BGH, Urteil vom 08. 05. 1956 – I ZR 62/54, juris, Rn. 1 (Paul Dahlke / Schauspieler); BGH, Urteil vom 14. 02. 1958 – I ZR 151/56, juris, Rn. 1 (Herrenreiter / Turnierreiter); BGH, Urteil vom 18. 03. 1959 – IV ZR 182/58, juris, Rn. 4 (Caterina Valente / Künstlerin); BGH, Urteil vom 26. 06. 1979 – VI ZR 108/78, juris Rn. 2 (Fußballtorwart / Lizenzfußballspieler); BGH, Urteil vom 15. 11. 1994 – VI ZR 56/94, juris, Rn. 1 (Caroline von Monaco / Adelsprominenz); BGH, Urteil vom 01. 12. 1999 – I ZR 49/97, juris, Rn. 1, 2 (Marlene Dietrich / Schauspielerin); BGH, Urteil vom 26. 10. 2006 – I ZR 182/04, juris, Rn. 1 (Rücktritt des Finanzministers / Bundespolitiker); BGH, Urteil vom 11. 03. 2009 – I ZR 8/07, juris, Rn. 1 (Wer wird Millionär?/Fernsehmoderator); BGH, Urteil vom 31. 05. 2012 – I ZR 234/10, juris, Rn. 1 (Playboy am Sonntag / Unternehmer); BGH, Urteil vom 21. 01. 2021 – I ZR 120/19, juris, Rn. 1 (Clickbaiting / Fernsehmoderator); Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 64. Eingehend hierzu bereits von Bar, NJW 1980, 1724, 1725– 1727. 589 Ebenso Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 217. Vgl. auch Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 322, 326 m. w. N. zur Ungleichbehandlung von prominenten und nicht prominenten Personen bei Eingriffen in das allgemeine Persönlichkeitsrechts. 590 Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 217. 591 Ausführlich hierzu unten S. 287 ff., 380 ff. Ebenso Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 217. Vgl. auch LG Hamburg, Urteil vom 28. 05. 2010 – 324 O 690/09, juris Rn. 20 ff., wonach auch die werbliche Nutzung des Hochzeitsfotos eines nicht prominenten Paares, die beiden Personen in ihrem jeweiligen allgemeinen Persönlichkeitsrecht verletzt und ihnen daher ein Anspruch auf Zahlung fiktiver Lizenzgebühren zugesprochen wurde. 592 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 53; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 105; Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 325 m. w. N. zu dieser Meinung.
110
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Datensubjekts zu bejahen.593 Zwar trifft das durch die DSGVO ausgeformte Recht auf informationelle Selbstbestimmung keine Aussage darüber, ob das Datensubjekt seine personenbezogenen Daten zu kommerziellen Zwecken einsetzen darf, jedoch ermächtigt dieses das Datensubjekt dazu, zu entscheiden, ob es seine personenbezogenen Daten einer dritten Person gegen Entgelt zur Verwertung überlässt oder nicht. Indem zur kommerziellen Verarbeitung zwingend eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich ist, besitzt das Datensubjekt faktisch die ausschließliche Verwertungsbefugnis im Hinblick auf die es betreffenden personenbezogenen Daten zu kommerziellen Zwecken.594 Personenbezogene Daten in sämtlichen Erscheinungsformen sind damit, wie deren speziell normierten Ausprägungen des bürgerlichen Namens nach § 12 BGB und des eigenen Bildnisses nach §§ 22, 23 KUG, aufgrund ihres persönlichkeitsrelevanten Personenbezugs zu den vermögensrechtlichen Bestandteilen des zivilrechtlichen Persönlichkeitsrechts zu zählen.595 Gestützt wird dieses Ergebnis durch die in der Rechtsprechung anzutreffende Haltung, auch nicht prominenten Personen für die rechtswidrige Nutzung von Persönlichkeitsmerkmalen oder von personenbezogenen Daten einen Ersatzanspruch zuzusprechen oder dies zu erwägen.596 II. Besonderheiten des Urheber- und Versicherungsvertragsrechts 1. Urheberrechtliche Besonderheiten der Softwareüberlassung a) Software als Immaterialgut nach dem Urheberrecht Software i. S. v. Computerprogrammen nach § 69a Abs. 1 UrhG existiert, losgelöst vom Trägermedium, in Form von Daten auf der syntaktischen und semantischen Informationsebene und stellt folglich keine Sache gemäß § 90 BGB dar.597 593
Ebenso Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 217. Zu unterscheiden ist hiervon selbstverständlich die Frage der Höhe des Vermögenswerts, welcher von den Umständen des Einzelfalls abhängig anzusetzen ist und durch die gesellschaftliche Stellung des Einzelnen beeinflusst wird. Vgl. Körner, NJW 2000, 241, 246. Kritisch diesbezüglich: von Bar, NJW 1980, 1724, 1727–1729; Knieper, ZRP 1974, 137, 139. 594 Eingehend zur Notwendigkeit der Einwilligungserteilung zur Legitimierung der kommerziellen Verarbeitung personenbezogener Daten siehe unten S. 217 ff., 235 f. 595 Eingehend hierzu unten S. 287 ff. 596 Vgl. OLG Dresden, Beschluss vom 11. 06. 2019 – 4 U 760/19, juris, Rn. 9, welches dieser Frage jedoch nicht weiter nachgegangen ist, da eine wirksame Einwilligung des Datensubjekts vorlag, welche die Rechtmäßigkeit der Datenverarbeitung begründete; OLG Karlsruhe, Urteil vom 18. 11. 1988 – 14 U 285/87, GRUR 1989, 73, 74, wonach für die unberechtigte Verwendung eines Fotos für ein Werbeblatt zwar kein Schadensersatz infolge einer schweren Verletzung des Persönlichkeitsrechts bestehen würde, jedoch ein Anspruch aus § 812 Abs. 1 S. 1 Alt. 2 BGB. Weiterführend hierzu siehe unten S. 380 ff. 597 Eingehend hierzu oben S. 88 ff., 91 ff. Vgl. auch BGH, Urteil vom 13. 10. 2015 – VI ZR 271/14, juris, Rn. 20; BGH, Urteil vom 15. 11. 2006 – XII ZR 120/04, juris, Rn. 14 ff.; L enhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 26.
§ 8 Rechtliche Grundlagen
111
Als Immaterialgut genießt es jedoch, mit Ausnahme von banalen Programmen mit zu geringer Schöpfungshöhe, urheberrechtlichen Schutz nach den §§ 69a ff. UrhG.598 Gemäß § 69c Nr. 1–4 UrhG steht als Grundsatz dem Rechtsinhaber das ausschließliche Recht an der Vervielfältigung, Umarbeitung, Verbreitung und öffentlichen Wiedergabe eines Computerprogramms zu.599 Finden bei Inbetriebnahme und Gebrauch einer dem Datensubjekt überlassenen Software zustimmungsbedürftige Handlungen nach § 69c UrhG statt, so ist die Zustimmung des Urhebers als Rechtsinhaber erforderlich.600 b) Urhebervertragliches Fundament Die Gestattung erforderlicher zustimmungspflichtiger Handlungen bei der Benutzung von Computerprogrammen wird durch die Erteilung von einfachen oder ausschließlichen Nutzungsrechten seitens des Rechtsinhabers nach §§ 69a Abs. 4, 31 Abs. 1 UrhG vollzogen. Die Einräumung von Nutzungsrechten erfolgt entweder kraft Gesetzes oder im Wege eines Rechtsgeschäfts (§§ 69a Abs. 4, 29 Abs. 2 UrhG).601 Im Fall internetbasierter Austauschgeschäfte als häufigster Form datengetriebener Austauschverhältnisse liegt in der Regel eine zustimmungsbedürftige Vervielfältigung nach § 69c Nr. 1 UrhG vor. Zustimmungsbedürftig sind dauerhafte Vervielfältigungen von Computerprogrammen in Form von Kopien der aus Daten bestehenden Software auf Speichermedien, wie CDs, Festplatten oder Servern.602 Daneben sind auch vorübergehende Vervielfältigungen zustimmungsbedürftig, die nach § 69c Abs. 1 Nr. 1 S. 2 UrhG beim Laden, Anzeigen, Ablaufen, Übertragen oder Speichern eines Computerprogramms notwendig sind.603 Dies ist in der Regel gegeben, wenn die heruntergeladenen Computerprogramme oder die verwendete Software in den Arbeitsspeicher des Datensubjekts geladen und ausgeführt werden.604 Das Recht zur Vervielfältigung, um die Software auszuführen, wird typischerweise als urheberrechtliches, aus § 69c Abs. 1 Nr. 1 UrhG abgeleitetes Nutzungsrecht zur Vervielfältigung rechtsgeschäftlich dem Datensubjekt nach §§ 69a Abs. 4, 31 Abs. 1 UrhG eingeräumt.605 Nach § 69d Abs. 1 UrhG weist dieses 598
Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 81, 83; Kaboth / Spies, in: BeckOK UrhG, 30. Ed. 2021, § 69a UrhG, Rn. 13–16. 599 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 42. Die Vorschrift des § 69c UrhG ist dabei lex specialis zu den allgemeinen Vorschriften über die Verwertungsrechte nach den §§ 15 ff. UrhG. Kaboth / Spies, in: BeckOK UrhG, 30. Ed. 2021, § 69c UrhG, Rn. 1, 2. 600 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 42. 601 Vgl. auch Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 71. 602 Kaboth / Spies, in: BeckOK UrhG, 30. Ed. 2021, § 69c UrhG, Rn. 5. 603 Kaboth / Spies, in: BeckOK UrhG, 30. Ed. 2021, § 69c UrhG, Rn. 6. 604 Vgl. Kuschel / Rostam, CR 2020, 393, 394; Druschel / Oehmichen, CR 2015, 173, 176; Kaboth / Spies, in: BeckOK UrhG, 30. Ed. 2021, § 69c UrhG, Rn. 7; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 71, 72, 113. 605 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 91, 96, 113.
112
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Nutzungsrecht einen „zwingenden Kern“ von Befugnissen auf, der nicht abbedungen werden kann.606 Hiernach bedürfen die in § 69c Nr. 1 und 2 UrhG genannten Handlungen nicht der Zustimmung des Rechtsinhabers, wenn sie für eine bestimmungsgemäße Benutzung des Computerprogramms notwendig sind. Allgemein anerkannt ist, dass das Speichern des Computerprogramms im Arbeitsspeicher, das Laden sowie die Ausführung eines Computerprogramms als unverzichtbarer Kern der bestimmungsgemäßen Benutzung nach § 69d Abs. 1 UrhG vertraglich nicht ausgeschlossen werden können.607 Für die rechtmäßige Nutzung einer Software ist ein Nutzungsrecht jedenfalls stets zwingend erforderlich.608 c) Konsequenzen für das Austauschverhältnis An der Notwendigkeit der Einräumung eines urheberrechtlichen Nutzungsrechts wird die Problematik des Vorliegens und der Verknüpfung mehrerer Rechtsgeschäfte im Rahmen datengetriebener Austauschgeschäfte wie der Softwareüberlassung im Internet deutlich. Zur rechtmäßigen Nutzung einer softwarebasierten Anbieterleistung ist, neben der Verschaffung des Computerprogramms auf einem Trägermedium oder in digitaler Form, dem Datensubjekt ein Nutzungsrecht an der urheberrechtlich geschützten Software einzuräumen.609 Unterschieden werden kann hier zwischen der Konstellation, dass die datenverarbeitende Partei auch Inhaberin des urheberrechtlich geschützten Werkes im Rahmen der Softwareüberlassung ist (sog. „direkter Softwarevertrieb“), sowie dem Fall, dass die datenverarbeitende Partei und der Werkinhaber auseinanderfallen (sog. „indirekter Softwarevertrieb“).610 In der Konstellation des direkten Softwarevertriebs besteht zwischen dem Datensubjekt und dem Anbieter im Rahmen des Austauschgeschäfts nur ein Verpflichtungsgeschäft, in dem sowohl die Verschaffung des Computerprogramms als auch die Einräumung eines urheberrechtlichen Nutzungsrechts durch den Anbieter selbst gegen die Preisgabe von Daten seitens des Datensubjekts – bei teilweise datenfinanzierten Geschäftsmodellen zusätzlich zu einer Geldzahlung – geschul 606
BGH, Urteil vom 24. 10. 2002 – I ZR 3/00, juris, Rn. 40; Kaboth / Spies, in: BeckOK UrhG, 30. Ed. 2021, § 69d UrhG, Rn. 10. Übereinstimmend mit Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 85 ff., 109, wird ein urhebervertragsrechtliches Normverständnis von § 69d Abs. 1 UrhG zugrunde gelegt, wonach stets ein rechtsgeschäftlich eingeräumtes Nutzungsrecht erforderlich ist, an welches § 69d Abs. 1 UrhG als Inhaltsnorm mit zwingendem Kerninhalt anknüpft. 607 Druschel / Oehmichen, CR 2015, 173, 176; Kaboth / Spies, in: BeckOK UrhG, 30. Ed. 2021, § 69d UrhG, Rn. 11. 608 Kuschel / Rostam, CR 2020, 393, 394; Druschel / Oehmichen, CR 2015, 173, 176; Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 85. 609 Kuschel / Rostam, CR 2020, 393, 394; Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 85. 610 Umfassend hierzu und zu den Folgen für den Vertragsschluss Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 91–109. Vgl. auch Kuschel / Rostam, CR 2020, 393, 394.
§ 8 Rechtliche Grundlagen
113
det sein wird. Mit der Erteilung eines Nutzungsrechts zum Gebrauch der Software oder der Verschaffung des Computerprogramms auf einem Datenträger durch den Anbieter sowie der noch zu untersuchenden Datenpreisgabe durch das Datensubjekt liegen verschiedene, über das Verpflichtungsgeschäft miteinander verbundene Rechtsgeschäfte vor.611 In der Konstellation des indirekten Softwarevertriebs besteht zusätzlich ein weiteres Verpflichtungsgeschäft zwischen dem Datensubjekt und dem Inhaber des Urheberrechts zur Einräumung des Nutzungsrechts.612 Für datengetriebene Austauschgeschäfte weist das Vorliegen eines urheberrechtlichen Rechtsrahmens infolge der Anbieterleistung insbesondere Konsequenzen für deren vertragsrechtliche Qualifizierung, für das vertragliche Pflichtenprogramm des Anbieters und das einschlägige Leistungsstörungsrecht auf.613 So kann das Fehlen der wirksamen Erteilung eines zur Nutzung der Anbieterleistung notwendigen urheberrechtlichen Nutzungsrechts auf schuldrechtlicher Ebene einen Rechtsmangel darstellen, welcher unter Umständen zur Rückabwicklung des Austauschgeschäftes führen kann.614 Darüber hinaus stellen sich verschiedene urheberrechtliche Fragen mit Auswirkungen auf das zugrundeliegende Vertragsverhältnis: Sie betreffen die Anwendbarkeit des Erschöpfungsgrundsatzes beim Softwarevertrieb über das Internet, die Ausübung von Gewährleistungsrechten bei der Inanspruchnahme von digitalen Inhalten und digitalen Dienstleistungen sowie die AGB-rechtliche Kontrolle von Weiterveräußerungsverboten oder von Klauseln, welche den Nutzungsumfang einer überlassenen Software begrenzen.615 2. Versicherungsvertragliche Besonderheiten der Telematik Self-Tracking-Tarife besitzen das Charakteristikum, dass sie eine variable Prämienhöhe aufweisen, welche anhand der über den Versicherungsnehmer erfassten, risikorelevanten Daten bestimmt wird.616 Die Telematik-Abrede kann sowohl innerhalb eines einheitlichen Versicherungsvertrags, aber auch unabhängig hier 611
Zum verfügungsähnlichen Charakter der Einwilligungserteilung siehe unten S. 295 f. Hierzu Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 94–105. 613 Druschel / Oehmichen, CR 2015, 173, 178–180; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, am Beispiel der vertragstypologischen Einordnung von Geschäftsmodellen des Cloud-Computing in Form von SaaS (Software as a Service): 139 ff., 160, des Streamings: 168 ff. sowie des Erwerbs von Software in digitaler Form: 227, 244 ff. 614 Kuschel / Rostam, CR 2020, 393, 395 ff.; Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 85; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 30, 31. Vgl. auch Art. 10 DIRL, wonach dem Verbraucher bei Rechtsmängeln, welche sich insbesondere aus der Verletzung von Rechten des geistigen Eigentums dritter Personen ergeben können, die Abhilfen aus Art. 14 DIRL zustehen. Hierzu unten Fn. 1976 sowie BReg, Gesetzesentwurf zur Umsetzung der DIRL, 70. Nach Art. 3 Abs. 9 DIRL lässt die Richtlinie das geltende Urheberrecht unberührt. 615 Weiterführend Kuschel / Rostam, CR 2020, 393, 394 ff.; Druschel / Oehmichen, CR 2015, 173, 178, 179. 616 Hierzu oben S. 59 ff. 612
114
Teil 2: Rahmenbedingungen der Austauschverhältnisse
von, als separate Individualvereinbarung oder in Form einer AGB-rechtlichen Klausel, getroffen werden.617 Regelungsinhalt ist typischerweise, dass positive Daten zu einer Prämienreduktion führen, während negative Daten zum Verlust des eingeräumten Rabatts führen.618 Eine Prämienreduktion infolge günstig ausfallender Risikomerkmale und eines positiven Scorewerts wird grundsätzlich als vertragsrechtlich zulässig angesehen und ähnelt der Vereinbarung „weicher“ Tarif merkmale.619 Charakteristisch für „weiche“ Tarifmerkmale ist, dass diese dem Einfluss des Versicherungsnehmers unterliegen und Veränderungen ausgesetzt sein können.620 Bei Abschluss des Versicherungsvertrags steht mithin noch nicht fest, ob diese Merkmale während der Laufzeit der Versicherungsperiode konstant vorliegen werden.621 Versicherungsvertragsrechtlich problematisch ist hierbei, wenn negative Risikodaten als Konsequenz zu einer Erhöhung der Versicherungsprämie führen oder eine bereits erlangte Rabattierung aberkannt wird, wenn sich der Scorewert des Versicherungsnehmers im Rahmen eines Telematik-Tarifs wieder verschlechtert.622 Im Mittelpunkt stehen diesbezüglich – soweit Telematik-Tarife überhaupt innerhalb eines Versicherungszweigs zulässig sind – die Vorschriften des Versicherungsvertragsgesetzes, wie in diesen Fällen mit einer Gefahrerhöhung umgegangen werden darf (§§ 23–32 VVG). a) Rechtliche Rahmenbedingungen aa) Zulässigkeit nach Versicherungszweigen Bereits eingeführt und rechtlich grundsätzlich nicht zu beanstanden sind Telematik-Tarife auf dem Gebiet der Sachversicherung, wobei insbesondere die KfzVersicherung hervorzuheben ist. Auch für Gebiete der Personenversicherung, wie der Lebens- und Berufsunfähigkeitsversicherung, sind Self-Tracking-Tarife zulässig.623 § 158 Abs. 1 VVG für die Lebensversicherung bzw. §§ 176, 158 Abs. 1 VVG für die Berufsunfähigkeitsversicherung modifizieren diesbezüglich die Regelungen zur Gefahrerhöhung nach den §§ 23 ff. VVG, sodass nur ausdrücklich vereinbarte Änderungen von Gefahrumständen zu einer Erhöhung der Gefahr führen können und der Textform bedürfen.624 Unzulässig sind Telematik-Tarife nach 617
Rudkowski, ZVersWiss 2017, 453, 491–493; Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 83. 618 Rudkowski, ZVersWiss 2017, 453, 454. 619 Rudkowski, ZVersWiss 2017, 453, 455; Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 91 m. w. N. 620 Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 91; Gebauer, NVersZ 2000, 7. 621 Gebauer, NVersZ 2000, 7. 622 Vgl. Rudkowski, ZVersWiss 2017, 453, 455. 623 Rudkowski, ZVersWiss 2017, 453, 457, 458. 624 Rudkowski, ZVersWiss 2017, 453, 458; Brömmelmeyer, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 117, 130, 131.
§ 8 Rechtliche Grundlagen
115
geltender Rechtslage in der privaten Krankenversicherung.625 Nach § 194 Abs. 1 S. 2 VVG sind die §§ 23–27 VVG in diesem Bereich nicht anzuwenden. Nach den gesetzlichen Wertungen, denen die Regelungen zur privaten Krankenversicherung unterliegen, ist von einer steigenden Erhöhung der Gefahr eines Versicherungsfalles allein schon durch das Älterwerden des Versicherungsnehmers auszugehen.626 Aufgrund der existenziellen Bedeutung der Krankenversicherung für den Versicherungsnehmer in Krankheitsfällen liegt diesen Regelungen eine modifizierte Risikoverteilung zugrunde.627 Dies unterstreicht zudem § 201 VVG, welcher, im Gegensatz zu der allgemeinen Regelung nach § 26 VVG, erst bei einer vorsätzlichen Herbeiführung eines Versicherungsfalles dem Versicherungsnehmer den Versicherungsschutz abspricht.628 Self-Tracking-Tarife sind in den Gebieten der privaten Sach- und Personenversicherungen, mit Ausnahme der Krankenversicherung, grundsätzlich zulässig. bb) Voraussetzungen und Folgen von Gefahrerhöhungen Unter einer Gefahrerhöhung wird eine nach Abgabe der Vertragserklärung durch den Versicherungsnehmer erfolgende und auf eine gewisse Dauer angelegte Steigerung der tatsächlichen gefahrerheblichen Umstände verstanden.629 Diese Umstände müssen sich derart geändert haben, dass ein Eintritt des Versicherungsfalls oder eine Inanspruchnahme des Versicherers bzw. eine Vergrößerung des Schadens wahrscheinlicher wird.630 Ist eine Gefahrerhöhung nach § 23 VVG gegeben, so ist es dem Versicherer unter den jeweiligen Voraussetzungen möglich, den Versicherungsvertrag nach § 24 VVG zu kündigen, nach § 25 VVG eine höhere Versicherungsprämie zu verlangen oder die höhere Gefahr aus der Versicherungsleistung auszuschließen sowie nach § 26 VVG teilweise oder gänzlich von der Versicherungsleistung befreit zu sein. Keine Anwendung finden diese Vorschriften, wenn nach § 27 Var. 1 VVG nur eine unerhebliche Gefahrerhöhung vorliegt oder gemäß 625
Hierzu Rudkowski, ZVersWiss 2017, 453, 458–460, 481; Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 97, 98; Brömmelmeyer, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versicherten daten als Prämienersatz, 2018, 117, 128–130 m. w. N. 626 Rudkowski, ZVersWiss 2017, 453, 459; Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 97, 98. 627 Vgl. Rogler, in: NK-VVG, 4. Aufl. 2020, § 201 VVG, Rn. 1, 2; Rudkowski, ZVersWiss 2017, 453, 459. 628 Rogler, in: NK-VVG, 4. Aufl. 2020, § 201 VVG, Rn. 2; Rudkowski, ZVersWiss 2017, 453, 459. 629 Vgl. BGH, Urteil vom 10. 09. 2014 – IV ZR 322/13, juris, Rn. 17; Karczewski, in: NK-VVG, 4. Aufl. 2020, § 23 VVG, Rn. 13; Langheid, in: Langheid / R ixecker VVG, 6. Aufl. 2019, § 23 VVG, Rn. 11. 630 BGH, Urteil vom 10. 09. 2014 – IV ZR 322/13, juris, Rn. 11, 12, 17; BGH, Beschluss vom 20. 06. 2012 – IV ZR 150/11, juris, Rn. 8; BGH, Urteil vom 21. 09. 1964 – II ZR 40/62, juris, Rn. 12; Karczewski, in: NK-VVG, 4. Aufl. 2020, § 23 VVG, Rn. 13.
116
Teil 2: Rahmenbedingungen der Austauschverhältnisse
§ 27 Var. 2 VVG nach den Umständen als vereinbart anzusehen ist, dass die Gefahrerhöhung mitversichert sein soll. Gemäß § 32 S. 1 VVG sind die Vorschriften der §§ 19 bis 28 Abs. 4 VVG sowie von § 31 Abs. 1 S. 2 VVG zudem halbzwingend und nur zugunsten des Versicherungsnehmers abdingbar. b) Einfluss des VVG auf die vertragliche Ausgestaltung Grundlegend lässt sich die vertragliche Umsetzung von Telematik-Tarifen in ein „Prämienanpassungsmodell“ sowie ein „Überschussbeteiligungsmodell“ einteilen.631 Im ersten Modell beeinflussen die erhobenen risikorelevanten Daten als Bestandteil der Kalkulation des Versicherers über eine Prämienanpassungsklausel unmittelbar die Prämienhöhe.632 Bei letzterem Modell dagegen erfolgt die Vergünstigung der Versicherungsprämie über die Überschussbeteiligung des Versicherungsvertrags.633 Überschüsse, die dadurch entstehen, dass niedriger als erwartet kalkulierte Versicherungsleistungen an den Versicherungsnehmer anfallen, werden dabei nicht nur auf Basis des allgemeinen Risikoverlaufs, sondern zusätzlich auch über den aus Self-Tracking-Daten berechneten Scorewert verteilt.634 Der Vertrag kann in diesem Fall vorsehen, dass entweder der Scorewert die Höhe einer vorgesehenen Ausgangsprämie absenken lässt oder eine bereits bestehende, bei Vertragsschluss reduzierte Prämie nicht auf die Höhe der Prämie desselben Tarifs ohne Telematikmodell ansteigt.635 Inwieweit die Vorschriften zur Gefahrerhöhung jedoch überhaupt im Rahmen von Telematik-Tarifen bei einer Verschlechterung des Scorewerts anwendbar sind, ist im Schrifttum erheblich umstritten.636 Während Rudkowski die Regelungen zur Gefahrerhöhung auf Telematik-Tarife grundsätzlich als anwendbar betrachtet und an den §§ 23 ff. VVG misst,637 wird deren Anwendbarkeit von Pohlmann, aufgrund der Wertungen der Vorschriften zur Gefahrerhöhung, insgesamt als unpas-
631
So Rudkowski, ZVersWiss 2017, 453, 455. Vgl. auch Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 80. 632 Rudkowski, ZVersWiss 2017, 453, 455. Zu entsprechenden Tarifen, insbesondere bei der Kfz-Versicherung: Schumann, Pay as you drive, 2017, 7, 8, 112, 113. 633 Rudkowski, ZVersWiss 2017, 453, 479; Brömmelmeyer, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 117, 123, 124, am Beispiel des Vitalitätstarifs der Generali. Vgl. auch LG München I, Urteil vom 28. 01. 2021 – 12 O 8721/20, VuR 2021, 144, 145, welchem ein Vitalitäts-Tarif mit Überschussbeteiligungsmodell im Rahmen einer Berufsunfähigkeitsversicherung zugrunde liegt. 634 Ebenda. 635 Rudkowski, ZVersWiss 2017, 453, 479. 636 Dafür: Rudkowski, ZVersWiss 2017, 453, Klimke, r+s 2015, 217, 220; Schumann, Pay as you drive, 2017, 112 ff. Dagegen: Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 88 ff. m. w. N. zum Meinungsstand. 637 Rudkowski, ZVersWiss 2017, 453, 455 ff.
§ 8 Rechtliche Grundlagen
117
send empfunden und abgelehnt.638 Von Schuhmann und Klimke wird zwar eine Gefahrerhöhung bei einer Verschlechterung des Scorewerts angenommen, nach § 27 Var. 2 VVG aber als mitversichert angesehen.639 Da die Anwendbarkeit der Vorschriften zur Gefahrerhöhung vom konkreten Versicherungstarif im Einzelfall abhängt, wird diese Streitfrage vorliegend nicht weiter vertieft. Wird eine Anwendbarkeit der Vorschriften zur Gefahrerhöhung für zulässig erachtet, so sind diese Konstellationen an den Wertungen des § 25 Abs. 1 VVG zu messen.640 Während einem Verlust des gegenüber dem Normaltarif gewährten Rabatts keine Bedenken bezüglich einer Vereinbarkeit mit den §§ 23 ff. VVG entgegenstehen, wäre eine Erhöhung der Versicherungsprämie darüber hinaus, aufgrund schlechter Self-Tracking-Daten, nur bei Vorliegen einer erheblichen Gefahrerhöhung nach halbzwingend ausgestalteten §§ 23, 25 Abs. 1 Var. 1, 27 VVG zulässig.641 Abreden, welche undifferenziert oder auch bei unerheblichen Gefahrerhöhungen derartige Prämienerhöhungen vorsehen, sind demnach unzulässig und unwirksam.642
C. Datenschutzrechtlicher Rahmen I. Zur Geschichte des europäischen Sekundärrechts Geschichtlich gesehen baut das europäische Datenschutzrecht auf den Vorgaben des europäischen Primärrechts und der grundrechtlichen Verbürgung der informationellen Selbstbestimmung auf.643 Nachdem ab den 70er Jahren des vergangenen Jahrhunderts zahlreiche nationale Kodifikationen des Datenschutzrechts entstanden waren und auch der Europarat die Datenschutzkonvention 1981 ratifiziert hatte, ließ die Verabschiedung der Datenschutz-RL als datenschutzrechtlicher Rechtsakt der damaligen Europäischen Gemeinschaft noch bis zum 24. 10. 1995 auf sich warten.644 Diese wurde schließlich durch die DSGVO abgelöst, welche am 24. 05. 2016 in Kraft trat und Geltung nach Ablauf der Übergangsfrist zum 25. 05. 2018 erlang 638
Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versicherten daten als Prämienersatz, 2018, 73, 90–94, wonach der Versicherer bei Telematik-Tarifen vielmehr einer „einkalkulierten Gefahr“ der Veränderung von Verhaltensweisen des Versicherungsnehmers gegenübersteht, welche bei Vertragseingehung bereits bedacht wurde. 639 Klimke, r+s 2015, 217, 220; Schumann, Pay as you drive, 2017, 112 ff., 115, 116. A. A. Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 88 ff. m. w. N. zum Meinungsstand. 640 Vgl. Karczewski, in: NK-VVG, 4. Aufl. 2020, § 25 VVG, Rn. 1. 641 Rudkowski, ZVersWiss 2017, 453, 455, 456 für das Prämienanpassungsmodell, 479, 480 für das Überschussbeteiligungsmodell. Vgl. auch Karczewski, in: NK-VVG, 4. Aufl. 2020, § 23 VVG, Rn. 1, 14. 642 Rudkowski, ZVersWiss 2017, 453, 456. 643 Siehe oben S. 80 ff. 644 Hierzu Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 137. Zu den ersten datenschutzrechtlichen Kodifikationen in den 1970er Jahren siehe oben bei Fn. 378–380.
118
Teil 2: Rahmenbedingungen der Austauschverhältnisse
te.645 Als Kern des europäischen Datenschutzrechts und unmittelbar anwendbares Recht für die Mitgliedstaaten regelt die DSGVO nunmehr die Grundfragen der Verarbeitung personenbezogener Daten innerhalb der Europäischen Union.646 Eigenständige sekundärrechtliche Regelungen für den Datenschutz existieren daneben innerhalb der Organe und Einrichtungen der EU, im Bereich des Inneren und der Justiz sowie im Rahmen des grenzüberschreitenden Datenaustausches innerhalb europäischer Institutionen und Informationssysteme.647 Eine Sonderrolle nimmt noch die ePrivacy-RL vom 15. 12. 1997 ein, welche nunmehr in der überarbeiteten Fassung von 2002 vorliegt.648 Diese regelt bereichsspezifisch den Datenschutz im Rahmen der elektronischen Kommunikation und ist nach Art. 95 DSGVO lex specialis zur DSGVO.649 Für datengetriebene Austauschgeschäfte weist insbesondere Art. 5 Abs. 3 ePrivacy-RL weiterhin Relevanz auf, indem dieser das Erfordernis der Einholung einer Einwilligung statuiert, wenn auf Informationen zugegriffen werden soll, die in einem Endgerät einer natürlichen Person gespeichert sind.650 Die ePrivacy-RL soll durch eine Verordnung abgelöst werden, welche sich momentan im europäischem Legislativprozess befindet, wobei jedoch bislang keine abschließende Einigung erzielt werden konnte.651 Die ePrivacy-VO befindet sich gegenwärtig in Trilog-Verhandlungen zwischen der Europäischen Kommission, dem Europäischen Parlament und dem Ministerrat der Europäischen Union.652 II. Umsetzung des europäischen Datenschutzrechts in Deutschland Die Umsetzung des europäischen Sekundärrechts in deutsches nationales Recht erfolgte über mehrere Rechtsakte. Als Kernstück der Umsetzung wurde eine Neufassung des BDSG verabschiedet und mit weiteren Bestimmungen im Rahmen 645
Hierzu Kühling / Raab, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 99 DSVO, Rn. 1, 2 sowie oben bei Fn. 398. 646 Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 208 ff. 647 Ausführlich hierzu Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 218–225. 648 Siehe oben Fn. 397 sowie EG 3 ePrivacy-RL. 649 Hierzu EG 173 DSGVO. Zur Abgrenzung von DSGVO und ePrivacy-RL: Holländer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 95 DSGVO, Rn. 4 ff.; Kühling / Sauerborn, CR 2021, 271–273; Böhm / Halim, CR 2020, 651, 652 m. w. N. 650 Von der Regelung betroffen sind nach EG 25 der ePrivacy-RL insbesondere WebtrackingInstrumente wie Cookies und andere technische Datenerhebungsmethoden, deren Verwendung hiernach grundsätzlich als zulässig zu erachten ist. 651 Ausführlich hierzu Kühling / Sauerborn, CR 2021, 271; Kühling, CR 2020, 199, 200 ff.; Hacker, Datenprivatrecht, 2020, 249 ff.; Holländer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 95 DSGVO, Rn. 6, 6.1. 652 Zum umstrittenen Vorschlag der portugiesischen Ratspräsidentschaft in der Entwurfsfassung vom 10. 02. 2021 siehe https://data.consilium.europa.eu/doc/document/ST-60872021-INIT/en/pdf [zuletzt geprüft am 02. 05. 2021]. Hierzu auch https://cms.law/de/deu/ publication/eu-ministerrat-einigt-sich-auf-position-zur-eprivacy-verordnung [zuletzt geprüft am 02. 05. 2021].
§ 8 Rechtliche Grundlagen
119
eines Anpassungsgesetzes am 05. 07. 2017 im Bundesgesetzblatt veröffentlicht.653 Inhaltlich werden durch das BDSG die durch die DSGVO vorgegebenen obligatorischen Regelungsaufträge umgesetzt und dabei wird von den in der Verordnung vorgesehenen nationalen Öffnungsklauseln Gebrauch gemacht.654 Wie die DSGVO trat die Neufassung des BDSG am 25. 05. 2018 in Kraft.655 Aufgrund der föderalen Struktur der Bundesrepublik Deutschland wurden seitens der Bundesländer die Landesdatenschutzgesetze ebenfalls neu gefasst.656 Daneben finden sich im nationalen Datenschutzrecht bereichsspezifische Regelungen, unter anderem im Rahmen des Sozialdatenschutzes im SGB, im Steuer-, Sicherheits- und Strafrecht sowie, zur Umsetzung der ePrivacy-RL, im TMG, im TKG und speziell in § 7 UWG.657 In erster Lesung im deutschen Bundestag befindet sich zudem ein Gesetzesentwurf der Bundesregierung zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Tele-medien (TTDSG-E).658 Hierdurch sollen die Vorschriften des TKG und des TMG an die DSGVO angepasst werden und letztendlich soll auch Art. 5 Abs. 3 ePrivacy-RL ins nationale Recht umgesetzt werden.659 III. Rahmenbedingungen der DSGVO 1. Anwendungsbereich Das europäische Datenschutzrecht gilt, trotz des grundrechtlichen Ausgangspunkts der informationellen Selbstbestimmung, nicht nur für die Datenverarbeitung durch staatliche Stellen, sondern grundsätzlich auch für die Verarbeitung personenbezogener Daten durch Private. Infolge des seitens der DSGVO angestrebten 653 BGBl. 2017, Teil I, Nr. 44, 2097–2132. Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 278. 654 Eingehend hierzu Kremer, CR 2017, 367, 368 ff.; Roßnagel, DuD 2017, 269, 270. 655 Kremer, CR 2017, 367, 368 m. w. N. 656 Taeger / Schmidt, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Einführung, Rn. 64, 65; Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 285–302. 657 Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 222, 303, 304; Kremer, CR 2017, 367, 370 ff. 658 Hierzu BT-Drucks. 19/27441 sowie https://www.bundestag.de/dokumente/textarchiv/2021/ kw12-de-datenschutz-telekommunikation-826510 [zuletzt geprüft am 02. 05. 2021]. Einen Überblick über den Gesetzesentwurf bieten Schwartmann et al., MMR 2021, 99; Hanloser, ZD 2021, 121; Kühling / Sauerborn, CR 2021, 271. 659 Nach § 24 Abs. 1 S. 1 TTDSG-E sind die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben dabei nach § 24 Abs. 1 S. 2 TTDSG-E gemäß der DSGVO zu erfolgen. Für die Rechtmäßigkeit der Einwilligung ist daher auf die DSGVO abzustellen. Siehe BT-Drucks. 19/27441, 37, 38 sowie Kühling / Sauerborn, CR 2021, 271, 279.
120
Teil 2: Rahmenbedingungen der Austauschverhältnisse
„Grundsatz[es] der gemeinsamen Regelung des öffentlichen und nichtöffentlichen Bereichs“660 sind datengetriebene Austauschverhältnisse, welche typischerweise die Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen zum Gegenstand haben, auch dem Regelungsregime der Verordnung unterworfen.661 Nach Art. 2 Abs. 1 DSGVO ist der sachliche Anwendungsbereich der Verordnung eröffnet, wenn eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten stattfindet sowie auch bei nichtautomatisierten Verarbeitungsvorgängen für den Fall, dass die personenbezogenen Daten in einem Dateisystem gespeichert sind oder werden sollen. Zumindest teilweise automatisiert ist eine Datenverarbeitung, wenn diese nicht komplett manuell, sondern unter Zuhilfenahme von Informationstechnik erfolgt.662 Unerheblich sind die Art der Daten wie auch das Datenformat.663 Ausgeschlossen vom sachlichen Anwendungsbereich werden gemäß Art. 2 Abs. 2 lit. a DSGVO rein innerstaatliche Angelegenheiten ohne Bezug zum Unionsrecht664 sowie nach Art. 2 Abs. 2 lit. c DSGVO die Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher und familiärer Tätigkeiten.665 Daneben fallen nach Art. 2 Abs. 2 lit. b, lit. d DSGVO die Verarbeitung personenbezogener Daten durch die Mitgliedstaaten im Bereich der gemeinsamen Außen- und Sicherheitspolitik sowie Datenverarbeitungsvorgänge zur Bekämpfung von Straftaten und zur Gefahrenabwehr durch die hierfür zuständigen Behörden aus dem sachlichen Anwendungsbereich heraus. Vom sachlichen Anwendungsbereich ausgenommen ist nach Art. 2 Abs. 3 DSGVO schließlich noch die Verarbeitung personenbezogener Daten durch Stellen der Europäischen Union. Im Hinblick auf Datenverarbeitungsvorgänge durch Anbieter datengetriebener Geschäftsmodelle als nichtöffentliche Stellen ist der sachliche Anwendungsbereich im Fall des Vorliegens personenbezogener Daten hingegen grundsätzlich eröffnet. Zur Eröffnung des räumlichen Anwendungsbereichs der DSGVO kann alternativ an drei eigenständige Varianten angeknüpft werden. Als Anknüpfungspunkte bestehen die Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters 660
Hornung / Spieker gen. Döhmann, in: NK-Datenschutzrecht, 1. Aufl. 2019, Einleitung, Rn. 210. 661 Vgl. Schmidt, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 2 DSGVO, Rn. 6. 662 Roßnagel, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 2 DSGVO, Rn. 14. 663 Ebenda. 664 Nach EG 16 S. 1 DSGVO fallen unter Art. 2 Abs. 2 lit. a DSGVO unter anderem Tätigkeiten, welche die nationale Sicherheit betreffen. Ebenso sind hierzu Datenverarbeitungen zu zählen, welche die inneren Angelegenheiten Deutschlands betreffen und nur dort stattfinden. Vgl. Roßnagel, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 2 DSGVO, Rn. 21. Für die Datenverarbeitung durch Private weist der Ausnahmetatbestand keine Relevanz auf. Siehe Bäcker, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 2 DSGVO, Rn. 8. 665 Im Umkehrschluss zu EG 18 S. 1 DSGVO ist eine Berufung auf Art. 2 Abs. 2 lit. c DSGVO ausgeschlossen, wenn die Verarbeitung personenbezogener Daten nicht durch eine natürliche Person erfolgt oder Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit aufweist. Ausführlich zur „Haushaltsausnahme“ und der Datenverarbeitung durch Privatpersonen: Rein, PinG 2021, 27, 28 ff.
§ 8 Rechtliche Grundlagen
121
in der Europäischen Union („Niederlassungsprinzip“ nach Art. 3 Abs. 1 DSGVO), die Befindlichkeit des durch die Datenverarbeitung intendiert Betroffenen in der Union („Marktortprinzip“ nach Art. 3 Abs. 2 DSGVO) sowie nach Art. 3 Abs. 3 DSGVO der Ort der Datenverarbeitung, wenn dieser aufgrund des Völkerrechts dem Recht eines Mitgliedstaats der Union unterliegt.666 Die DSGVO verfolgt hiermit einen universalen Ansatz mit dem Ziel, sämtliche Sachverhalte mit Unions bezug zu erfassen und für den europäischen Binnenmarkt einheitliche Regelungen aufzustellen.667 Relevanz für datengetriebene Austauschgeschäfte weisen insbesondere Art. 3 Abs. 2 DSGVO sowie EG 23, 24 DSGVO auf. Nach Art. 3 Abs. 2 lit. a DSGVO fällt eine Verarbeitung personenbezogener Daten unter den Anwendungsbereich der Verordnung, wenn der Verantwortliche oder der Auftragsverarbeiter nicht in der Union niedergelassen ist, aber die Datenverarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist.668 Nach Art. 3 Abs. 2 lit. b DSGVO genügt es ebenfalls, wenn die Datenverarbeitung im Zusammenhang damit steht, das Verhalten betroffener Personen zu beobachten, soweit ihr Agieren in der Union erfolgt.669 Vor allem zur Wertschöpfung im Rahmen datengetriebener Geschäftsmodelle eingesetzte Technologien zur Datenerhebung und Datenverarbeitung zum Zweck der Profilbildung und der Schaltung personalisierter Werbung unterfallen dementsprechend dem räumlichen Anwendungsbereich der DSGVO.670 2. Personenbezogene Daten nach der DSGVO a) Identifizierte oder identifizierbare natürliche Person Der Personenbezug des Datenbegriffs nach Art. 4 Nr. 1 DSGVO drückt sich darin aus, dass die Informationen sich auf eine identifizierte oder identifizierbare natürliche Person beziehen müssen. Geschützt sind nach diesem Begriffsverständ 666
Hornung, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 3 DSGVO, Rn. 1. Umfassend hierzu Golland, DuD 2018, 351. Nach EG 25 DSGVO soll Art. 3 Abs. 3 DSGVO beispielsweise diplomatische oder konsularische Vertretungen von Mitgliedstaaten im Ausland erfassen. 667 Hornung, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 3 DSGVO, Rn. 1, 4. 668 Nach EG 23 S. 3 DSGVO genügt die bloße Zugänglichkeit einer Webseite nicht, um auf eine geschäftliche Ausrichtung auf Unionsbürger zu schließen. Hindeuten können hierauf jedoch verschiedene Faktoren, wie die Verwendung einer in der Union gebräuchlichen Sprache oder Währung und die Möglichkeit, hiermit Waren und Dienstleistungen zu bestellen. 669 Nach EG 24 S. 2 DSGVO ist hierzu entscheidend zu werten, ob die Internetaktivitäten betroffener Personen nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bilden kann oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. 670 Vgl. Golland, DuD 2018, 351, 356, 357. Ebenso Hacker, Datenprivatrecht, 2020, 103.
122
Teil 2: Rahmenbedingungen der Austauschverhältnisse
nis nur Daten, welche einen semantischen Informationsgehalt über eine natürliche Person enthalten. Daten mit ausschließlichem Bezug zu juristischen Personen des Privatrechts sind im Umkehrschluss nicht erfasst.671 Nach EG 27 S. 1 DSGVO stellen zudem Daten verstorbener Personen grundsätzlich keine personenbezogenen Daten im Sinne der Verordnung dar.672 Identifizierbar ist eine natürliche Person, deren Identität entsprechend Art. 4 Nr. 1 DSGVO aufgrund des Dateninhalts direkt oder indirekt bestimmt werden kann.673 Eine direkte Identifikation ermöglichen alle Informationen, welche einer natürlichen Person derart zugeordnet sind, dass sich daraus ein unmittelbarer Rückschluss auf deren Identität ziehen lässt.674 Eine indirekte Identifikation kann zudem auch durch Daten erfolgen, welche an sich noch keinen Rückschluss auf eine konkrete natürliche Person zulassen, aber in Kombination mit weiteren Informationen deren Identifikation ermöglichen können.675 Die Kenntnis des Namens ist für das Vorliegen einer indirekten Identifizierbarkeit nicht zwingend notwendig.676 b) Relativer oder absoluter Personenbezug aa) Streitstand vor Einführung der DSGVO Vor Einführung der DSGVO war in der Rechtswissenschaft umstritten, unter welchem Blickwinkel der Personenbezug eines Datums zu beurteilen war.677 Die maßgeblichen Rechtsquellen der Datenschutz-RL und des BDSG a. F. gaben nicht abschließend Aufschluss über diese Frage.678 Als Extrempositionen wurden ein absoluter und ein relativer Ansatz vertreten.679 Nach dem absoluten Ansatz ge 671
Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 5. Die Mitgliedstaaten können nach EG 27 S. 2 DSGVO jedoch Vorschriften für die Verarbeitung von personenbezogenen Daten Verstorbener vorsehen. Als Beispiel hierfür kann § 35 Abs. 5 SGB I, den Schutz des Sozialgeheimnisses in Deutschland betreffend, angeführt werden. 673 Arning / Rothkegel, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 4 DSGVO, Rn. 30; Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 14. 674 Hierunter fallen insbesondere Kennungen wie der bürgerliche Name einer Person sowie Kennnummern wie deren Sozialversicherungsnummer oder deren Steueridentifikationsnummer. Vgl. Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 16. 675 Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 17 mit zahlreichen Beispielen. 676 Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 17; Arning / Rothkegel, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 4 DSGVO, Rn. 30 m. w. N. 677 Eingehend hierzu Brink / Eckhardt, ZD 2015, 205, 206; Franzen, in: Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 4 DSGVO, Rn. 5 m. w. N. 678 Vgl. Brink / Eckhardt, ZD 2015, 205, 207–210. 679 Ausführliche Darstellung der einzelnen Positionen bei Schantz / Wolff, Das neue Datenschutzrecht, 2017, Rn. 277, 278; Brink / Eckhardt, ZD 2015, 205, 206 ff. sowie Nink / Pohle, MMR 2015, 563, Fn. 2, 3. Der absolute Ansatz wurde insbesondere von den deutschen Datenschutzbehörden vertreten, während Literatur und Rechtsprechung überwiegend einen relativen Ansatz befürworteten. 672
§ 8 Rechtliche Grundlagen
123
nügte es für die Bejahung des Personenbezugs, dass, unabhängig vom konkreten Datenverarbeitungsvorgang, eine beliebige Person die Möglichkeit besitzt, den Personenbezug des Datums herzustellen.680 Nach diesem Ansatz sind die Möglichkeiten und das Wissen dritter Personen stets bei der Beurteilung miteinzubeziehen, was als Konsequenz eine erhebliche Ausweitung des Anwendungsbereichs des Datenschutzes zur Folge hätte.681 Im Rahmen des relativen Ansatzes ist hingegen die Perspektive der konkret für den Datenverarbeitungsvorgang verantwortlichen Person einzunehmen und für jeden Vorgang eigenständig zu beurteilen, inwieweit bei einem Datum ein Personenbezug gegeben ist.682 Erkenntnismöglichkeiten und theoretisch erlangbares Wissen dritter Personen bleiben grundsätzlich außer Betracht, wodurch als Konsequenz der Anwendungsbereich des Datenschutzrechts eingeschränkt wird.683 Vermittelnd etablierte sich noch eine weitere Meinung, wonach darauf abzustellen war, ob der Verantwortliche eigene Mittel, wie auch Erkenntnismöglichkeiten und Wissen dritter Personen, vernünftigerweise einsetzen wird, um den Personenbezug eines Datums herzustellen.684 Seitens des EuGH wurde bereits im Rahmen der Auslegung der DatenschutzRL der Personenbezug zahlreicher Informationen anerkannt.685 Zur Streitfrage der einzunehmenden Perspektive für die Beurteilung des Personenbezugs hat der Gerichtshof bisher wenn auch nur mittelbar, in der Rechtssache Breyer Stellung genommen.686 Der EuGH hatte darin zu entscheiden, ob die dynamische IP-Adresse des Besuchers einer Webseite für deren Anbieter ein personenbezogenes Datum darstellt.687 Unter Auslegung von Art. 2 lit. a Datenschutz-RL sowie EG 26 der Richtlinie entschied der EuGH, dass die dynamische IP-Adresse für den Anbieter ein personenbezogenes Datum darstellt, wenn dieser über die rechtlichen Mittel verfügt, die betreffende Person über den Internetzugangsanbieter feststellen zu lassen.688 Das Wissen und die Erkenntnismöglichkeiten dritter Personen sind für die Beurteilung des Personenbezugs hiernach miteinzubeziehen.689 Auszunehmen hiervon sind jedoch Fälle der praktischen Undurchführbarkeit der Herstellung des
680
Brink / Eckhardt, ZD 2015, 205, 206; Nink / Pohle, MMR 2015, 563, 564. Vgl. LG Berlin, Urteil vom 31. 01. 2013 – 57 S 87/08, ZD 2013, 618, 619, welches dies bezüglich von einer „uferlosen und [..] unpraktikablen Ausdehnung des Datenschutzes“ spricht. 682 Nink / Pohle, MMR 2015, 563, 564; Franzen, in: Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 4 DSGVO, Rn. 5. 683 Schantz / Wolff, Das neue Datenschutzrecht, 2017, Rn. 278; LG Berlin, Urteil vom 31. 01. 2013 – 57 S 87/08, ZD 2013, 618, 619, 620. 684 So etwa Brink / Eckhardt, ZD 2015, 205, 210, 211; Schantz / Wolff, Das neue Datenschutzrecht, 2017, Rn. 278 m. w. N. 685 Überblick bei Franzen, in: Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 4 DSGVO, Rn. 3; Karg, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 1 DSGVO, Rn. 66–72. 686 EuGH, Urteil vom 19. 10. 2016 – C-582/14, juris. 687 Zu statischen und dynamischen IP-Adressen siehe unten S. 128. 688 EuGH, Urteil vom 19. 10. 2016 – C-582/14, juris, Rn. 49. 689 EuGH, Urteil vom 19. 10. 2016 – C-582/14, juris, Rn. 43. 681
124
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Personenbezugs und der Einsatz rechtlich unzulässiger Mittel.690 In Ablehnung des absoluten Ansatzes schließt die erstgenannte Ausnahme damit Konstellationen aus, in denen die Identifizierung der natürlichen Person „einen unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde“.691 Vernünftigerweise könne in diesem Fall nicht davon ausgegangen werden, dass der Versuch einer Identifizierung unternommen wird.692 Unabhängig von der Abwägung des Aufwands gegen den Informationswert schließt die zweite Ausnahme sämtliche Mittel aus, deren Einsatz gesetzlich verboten und damit rechtlich unzulässig wäre.693 Inwieweit das rechtliche Mittel zur Erlangung des Wissens dritter Personen dem Verantwortlichen konkret zustehen muss und welche Anforderungen daran zu stellen sind, bleibt im Einzelnen weiterhin ungeklärt.694 Ein personenbezogenes Datum liegt dementsprechend nach dem Ansatz des EuGH vor, wenn die für die Datenverarbeitung verantwortliche Person die Mittel für die Herstellung des Personenbezugs eines Datums selbst besitzt oder auf rechtlich zulässige Möglichkeiten zugreifen kann, um das Datensubjekt durch dritte Personen bestimmen zu lassen und die praktische Durchführbarkeit der Identifizierung gegeben ist. Zu konstatieren ist, dass sich der EuGH sowohl gegen einen rein relativen als auch einen rein absoluten Ansatz ausgesprochen hat.695 bb) Streitstand nach Einführung der DSGVO Seit Inkrafttreten der DSGVO finden sich die Regelungen über den Personen bezug vor allem in Art. 4 lit. 1 DSGVO und EG 26 S. 3, 4 DSGVO. Für die Beurteilung des Personenbezugs eines Datums sollen nach EG 26 S. 3 DSGVO alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die betreffende Person zu identifizieren. Zur Klärung, ob Mittel zur Identifizierung genutzt werden, sind nach EG 26 S. 4 DSGVO alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, heranzuziehen, wobei die zum Verarbeitungszeitpunkt verfügbaren Technologien und technologischen Entwicklungen zu berücksichtigen sind. Die Bejahung des Personenbezugs ist folglich von der Risikobewertung abhängig zu machen, wie wahrscheinlich der 690
EuGH, Urteil vom 19. 10. 2016 – C-582/14, juris, Rn. 46. Ebenda. 692 EuGH, Urteil vom 19. 10. 2016 – C-582/14, juris, Rn. 46; Kühling / Klar, ZD 2017, 27, 28. 693 Kühling / Klar, ZD 2017, 27, 28. 694 Vgl. Arning / Rothkegel, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 4 DSGVO, Rn. 37; Schantz / Wolff, Das neue Datenschutzrecht, 2017, Rn. 288; Kühling / Klar, ZD 2017, 27, 28. 695 Nach Kühling / Klar, ZD 2017, 27, 29, könnte die Haltung des EuGH als Ansatz in Gestalt „eines ‚strengen‘ relativen Personenbezugs“ oder, entsprechend Sattler, in: Pertot / SchmidtKessel et al. (Hrsg.), Rechte an Daten, 2020, 49, 63, als „erweiterter relativer Personenbezug“ umschrieben werden. 691
§ 8 Rechtliche Grundlagen
125
Einsatz eines bestimmten Mittels ist und mit einer Identifizierung der betroffenen natürlichen Person gerechnet werden kann.696 Die einzustellenden Abwägungsfaktoren werden durch EG 26 S. 3 DSGVO nicht abschließend aufgeführt, wodurch auch die Interessen der Beteiligten, ausgehend von den Umständen im konkreten Fall, im Rahmen der Beurteilung berücksichtigt werden können.697 Rein theoretische oder unrealistische Möglichkeiten einer Identifizierung reichen damit nicht aus.698 Ein Personenbezug scheidet überdies aus, wenn die Wahrscheinlichkeit der Identifizierung des Datensubjekts durch den Verantwortlichen des Datenverarbeitungsvorgangs oder einer dritten Person derart gering ist, dass das Risiko praktisch vernachlässigbar erscheint.699 Wie der Datenschutz-RL kann auch der autonom auszulegenden DSGVO keine eindeutige Entscheidung für den relativen oder den absoluten Ansatz zur Beurteilung des Personenbezugs entnommen werden.700 Der Wortlaut von EG 26 S. 3 DSGVO und die Miteinbeziehung dritter Personen in die Beurteilung können zwar zugunsten einer Hinwendung zu einem absoluten Ansatz angeführt werden, jedoch beinhaltet die Beschränkung auf verhältnismäßig einsetzbare Mittel, abhängig von der jeweiligen Bezugsperson, in EG 26 S. 4 DSGVO ebenso Elemente des relativen Ansatzes.701 Weiter sprechen systematische Erwägungen für ein relatives Verständnis: So wäre eine dauerhafte Anonymisierung von Daten i. S. v. EG 26 S. 5, 6 DSGVO, welche den Personenbezug dieser Daten entfallen ließe, unter Einnahme einer absoluten Perspektive aufgrund fortschreitender technologischer Möglichkeiten der Datenaufbereitung nur schwer denkbar.702 Ebenso ist bei der Pseudonymisierung von Daten gemäß Art. 4 Nr. 5 DSGVO von Bedeutung, wer über den Schlüssel zur Decodierung der Informationen verfügt und wem die Herstellung des Personenbezugs tatsächlich möglich ist.703 Aus teleologischen Gesichtspunkten lässt sich schließlich noch für ein relatives Verständnis anführen, dass im gesellschaftlichen Leben der Datenschutz mit anderen Grundrechten in Einklang zu 696
Roßnagel, ZD 2018, 243, 244. Vgl. Arning / Rothkegel, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 4 DSGVO, Rn. 35; Roßnagel, ZD 2018, 243, 244; Hoffmann / Johannes, ZD 2017, 221, 224. Zum Gebot der autonomen Auslegung der DSGVO siehe etwa EuGH, Urteil vom 01. 10. 2019 – C-673/17, juris, Rn. 47. 698 Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 18; Roßnagel, ZD 2018, 243, 244. 699 Roßnagel, ZD 2018, 243, 244. Vgl. auch EuGH, Urteil vom 19. 10. 2016 – C-582/14, juris, Rn. 46. 700 Arning / Rothkegel, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 4 DSGVO, Rn. 33. 701 Hoffmann / Johannes, ZD 2017, 221, 223, 224. 702 Hierzu Hoffmann / Johannes, ZD 2017, 221, 223. Vgl. auch Sattler, in: Pertot / SchmidtKessel et al. (Hrsg.), Rechte an Daten, 2020, 49, 63, 64; Arning / Rothkegel, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 4 DSGVO, Rn. 35. Zum schleichenden Personenbezug und zu Konstellationen der nachträglichen Zuordnung auch anonymisierter Daten in Zeiten der allgegenwärtigen Datenverarbeitung siehe Hornung / Wagner, CR 2019, 565 566–568. 703 Roßnagel, ZD 2018, 243, 245; Hoffmann / Johannes, ZD 2017, 221, 222, 223. 697
126
Teil 2: Rahmenbedingungen der Austauschverhältnisse
bringen ist und folglich keinen absoluten Schutz beanspruchen kann.704 Weiterhin Geltung besitzen dürften die in der Entscheidung des EuGH in der Rechtssache Breyer aufgestellten Anforderungen und Ausnahmetatbestände, welche bei der in EG 26 S. 3, 4 DSGVO vorgesehenen Wahrscheinlichkeitsprognose zu berücksichtigen sein werden.705 Welchen Ansatz die DSGVO favorisiert, lässt sich letztendlich nicht abschließend klären. Festhalten lässt sich, dass die DSGVO einen Mittelweg zwischen einem absoluten und einem relativen Ansatz kodifiziert. Ob ein personenbezogenes Datum im Einzelfall vorliegt, kann folglich je nach datenverarbeitender Stelle variieren. Für die weitere Untersuchung wird vorliegend von datengetriebenen Austauschgeschäften ausgegangen, bei denen eine Erhebung und Verarbeitung von Daten durch den Anbieter stattfindet, welche Personenbezug aufweisen. 3. Wesentliche Datenkategorien a) Besondere personenbezogene Daten nach Art. 9 DSGVO Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung besonders schutzwürdiger Kategorien von personenbezogenen Daten grundsätzlich untersagt, wobei Art. 9 Abs. 2 DSGVO einen Ausnahmenkatalog von dem Verbot statuiert. Unter besonderem Schutz stehen nach Art. 9 DSGVO personenbezogene Daten mit semantischem Informationsgehalt, aus welchen sich die rassische und ethnische Herkunft, die politischen Meinungen, die religiösen oder weltanschaulichen Überzeugungen oder die Gewerkschaftszugehörigkeit einer natürlichen Person entnehmen lassen; ebenso untersagt ist die Verarbeitung von genetischen Daten und von biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, ebenso von Gesundheitsdaten oder Daten zum Sexualleben bzw. zur sexuellen Orientierung einer natürlichen Person. Im Rahmen kommerziell ausgerichteter datengetriebener Austauschgeschäfte wird eine rechtmäßige Verarbeitung entsprechender Daten in der Praxis typischerweise aufgrund der Unzulässigkeit eines Rückgriffs auf die allgemeinen Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO zugunsten der Datenverarbeiter nur über Art. 9 Abs. 2 lit. a DSGVO oder Art. 9 Abs. 2 lit. e DSGVO zu rechtfertigen sein.706 Nach Art. 9 Abs. 2 lit. a DSGVO ist eine Datenverarbeitung gestattet, wenn eine ausdrückliche Einwilligung des Datensubjekts vorliegt, solange dies nach Unionsrecht oder nationalem Recht überhaupt zulässig ist. Die Erteilung einer konkludenten Einwilligung ist hingegen nicht ausreichend.707 Gemäß Art. 9 Abs. 2 lit. e DSGVO gilt das Verbot nicht, wenn die Verarbeitung sich 704
Hoffmann / Johannes, ZD 2017, 221, 223, 225. Vgl. Roßnagel, ZD 2018, 243, 244, 245; Hoffmann / Johannes, ZD 2017, 221, 223, 224; Franzen, in: Kommentar zum europäischen Arbeitsrecht, 3. Aufl. 2020, Art. 4 DSGVO, Rn. 6. Ausführlich hierzu Schantz / Wolff, Das neue Datenschutzrecht, 2017, 279–282. 706 Hierzu ausführlich unten Fn. 733, 1560. 707 Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 9 DSGVO, Rn. 50, 51; Petri, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 9 DSGVO, Rn. 33. 705
§ 8 Rechtliche Grundlagen
127
auf personenbezogene Daten bezieht, welche die betroffene Person offensichtlich öffentlich gemacht hat. Zu verlangen ist hierfür, dass die Veröffentlichung aus der Sicht eines objektivierten Beobachters eindeutig auf einen Willensakt der betroffenen Person hin erfolgt ist und „einem unbestimmten, […] individuell nicht bestimmbaren Personenkreis zugänglich gemacht“ wurde.708 Insbesondere wird dies häufig bei einer Veröffentlichung von Daten im Internet anzunehmen sein.709 b) Sach- und Geodaten Neben Kennzeichen und Kennnummern, welche die direkte Bestimmbarkeit einer natürlichen Person zulassen, besitzen nach Art. 4 Nr. 1 DSGVO grundsätzlich alle Informationen Personenbezug, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind und Rückschlüsse auf die konkrete Person zulassen. Hierunter können somit auch Sach- und Geodaten fallen, welche im Grunde nur sachbezogene bzw. ortsbezogene Informationen enthalten, aber bei entsprechendem Detailgrad einen Personenbezug aufweisen können und zur Feststellung der individuellen Verhältnisse einer natürlichen Person geeignet sind.710 c) Pseudonymisierte Daten Gemäß Art. 4 Nr. 5 DSGVO können pseudonymisierte Daten grundsätzlich nicht mehr ohne Hinzuziehung zusätzlicher Informationen unmittelbar einer spezifischen Person zugeordnet werden. Pseudonymisierung ist hiernach die Beseitigung des Personenbezugs ursprünglich personenbezogener Daten durch deren Verschlüsselung in einer Art und Weise, wodurch diese nur mit Kenntnis des Schlüssels wieder rückgängig zu machen ist.711 Nach EG 29 S. 1 DSGVO kann die Pseudonymisierung auch durch den datenschutzrechtlich Verantwortlichen selbst vorgenommen werden. Gemäß EG 26 S. 2 DSGVO sollten pseudonymisierte Daten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Fraglich ist, ob pseudonymisierte Daten damit stets als personenbezogene Daten zu werten sind. Besteht jedoch keine (verhältnismäßige) Möglichkeit für eine 708
Petri, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 9 DSGVO, Rn. 57–59; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 9 DSGVO, Rn. 66. Zur vergleichbaren Situation im Rahmen der Informationsfreiheit siehe oben S. 95 f. 709 Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 9 DSGVO, Rn. 65; Petri, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 9 DSGVO, Rn. 58. Eingehend zu der Zulässigkeit der Verarbeitung öffentlicher personenbezogener Daten: Hornung / Gilga, CR 2020, 367. 710 Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 22–27. Rudimentäre Sach- und Geodaten an sich stellen grundsätzlich noch keine personenbezogenen Daten dar. 711 Vgl. Roßnagel, ZD 2018, 243, 244.
128
Teil 2: Rahmenbedingungen der Austauschverhältnisse
datenverarbeitende Person, das notwendige Zusatzwissen zur Herstellung des Personenbezugs zu erlangen, so sind gemäß Art. 4 Nr. 1 DSGVO sowie EG 26 S. 3, 4 DSGVO keine personenbezogenen Daten anzunehmen.712 Aufgrund des von der DSGVO eingeschlagenen Mittelwegs ist davon auszugehen, dass auch bei pseudonymisierten Daten der Personenbezug vom konkreten Verarbeitungskontext im Einzelfall abhängig zu machen ist. d) Anonymisierte Daten Anonymisierte Daten können, im Umkehrschluss zu Art. 4 Nr. 1 DSGVO sowie EG 26 S. 5, 6 DSGVO, dagegen als Daten bezeichnet werden, denen der Personenbezug von vornherein fehlt oder im Nachhinein entzogen wurde, sodass diese nicht oder nicht mehr einer betroffenen Person zugeordnet werden können.713 Anonymisierte Daten stellen nach der DSGVO keine personenbezogenen Daten dar, wodurch die Verarbeitung anonymer Daten außerhalb ihres Anwendungsbereichs fällt.714 e) Personenbezug statischer und dynamischer IP-Adressen Während statische IP-Adressen einem Internetnutzer und damit einer identifizierbaren natürlichen Person dauerhaft zugewiesen wurden, werden dynamische IP-Adressen periodisch an unterschiedliche Nutzer neu vergeben.715 Als einer natürlichen Person zuordenbare Online-Kennung wird die statische IP-Adresse einhellig als personenbezogenes Datum angesehen.716 Die Einordnung dynamischer IP-Adressen war bis zur Entscheidung des EuGH in der Rechtssache Breyer und der Einführung der DSGVO erheblich umstritten.717 Infolge des Urteils des EuGH in der Rechtssache Breyer sowie der Normierung von EG 30 DSGVO kann festgehalten werden, dass eine dynamische IP-Adresse nicht nur für den Internetzugangsprovider ein personenbezogenes Datum darstellen kann, sondern auch für eine sonstige datenverarbeitende Stelle, wenn diese selbst – oder über die rechtlich
712
Schleipfer, ZD 2020, 284, 289; Arning / Rothkegel, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 4 DSGVO, Rn. 138; Roßnagel, ZD 2018, 243, 245, 246; Hoffmann / Johannes, ZD 2017, 221, 223. 713 Vgl. Hoffmann / Johannes, ZD 2017, 221, 223. 714 Zur Problematik der infolge des technologischen Fortschritts zunehmenden Möglichkeiten der nachträglichen Zuordnung von anonymisierten Daten siehe oben Fn. 702. 715 Schantz / Wolff, Das neue Datenschutzrecht, 2017, Rn. 285. Hierzu bereits oben bei Fn. 351, 352. 716 Schantz / Wolff, Das neue Datenschutzrecht, 2017, 286. Vgl. auch Gola / Klug / Körffer, in: Gola / Schomerus BDSG, 12. Aufl. 2015, § 3 BDSG 2003, Rn. 10a m. w. N. zur Rechtslage unter dem BDSG a. F. 717 Siehe oben S. 122 ff.
§ 8 Rechtliche Grundlagen
129
zulässige Inanspruchnahme dritter Personen – die Identität der betroffenen Person feststellen kann.718 Statische wie auch dynamische IP-Adressen können somit personenbezogene Daten darstellen. IV. Relevanz des Datenschutzrechts für das Austauschverhältnis Die DSGVO und die DIRL stehen der Zulässigkeit einer auf personenbezogenen Daten basierenden Leistung des Datensubjekts grundsätzlich nicht entgegen und überlassen deren zivilrechtliche Ausgestaltung – unter Berücksichtigung des datenschutzrechtlichen Rechtsrahmens – dem nationalen Recht.719 Werden die Überlassung von personenbezogenen Daten und die Erteilung einer datenschutzrechtlichen Einwilligung zur Legitimierung der kommerziellen Datenverarbeitung als Leistungsgegenstände innerhalb von Rechtsgeschäften vereinbart, ist dies, im Rahmen des zivilrechtlichen Vertragsrechts, grundsätzlich ohne Einschränkungen möglich. Deshalb kann als Inhalt einer Leistungspflicht vereinbart werden, dass das Datensubjekt dem Anbieter eine datenschutzrechtliche Einwilligung erteilt und die Erhebung seiner personenbezogenen Daten aktiv zulässt oder passiv duldet.720 Aus der Privatautonomie und der Vertragsfreiheit kann als Grundprinzip eine entsprechende „Erlaubnis mit Verbotsvorbehalt“ abgeleitet werden.721 Im Gegensatz dazu wird im Datenschutzrecht von dem umgekehrten Ansatz eines „Verbots mit Erlaubnisvorbehalt“ ausgegangen.722 Die Erhebung, Verarbeitung und Verwendung personenbezogener Daten sind nach der DSGVO grundsätzlich nicht zulässig und erfordern das Vorliegen eines Erlaubnistatbestands, wonach eine Datenverarbeitung nur dann rechtmäßig erfolgt, wenn einer der Erlaubnistatbestände nach Art. 5 Abs. 1 lit. a, 6 Abs. 1 lit. a–f DSGVO gegeben ist. Für datengetriebene Austauschgeschäfte ist als rechtsgeschäftlicher Erlaubnistatbestand die Erteilung einer datenschutzrechtlichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO von besonderer Bedeutung. Liegt im Fall des Fehlens einer Einwilligung oder im Fall ihrer unwirksamen Erteilung kein alternativer gesetz 718
EuGH, Urteil vom 19. 10. 2016 – C-582/14, juris, Rn. 49. Vgl. auch BGH, Urteil vom 16. 05. 2017 – VI ZR 135/13, juris, Rn. 25; EuGH, Urteil vom 24. 11. 2011 – C-70/10, juris, Rn. 51; Sattler, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 49, 63; Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 19. 719 Siehe oben bei Fn. 551–554, 561. 720 Hierzu oben S. 101 ff. 721 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 13. 722 Hierzu Schmidt-Kessel / Grimm, ZfPW 2017, 84, 89; Hacker, Datenprivatrecht, 2020, 159. Vgl. auch Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 225, wonach speziell aus privatrechtlicher Sicht diese Bezeichnung trotz der weitreichenden Datenverarbeitungsmöglichkeiten aufgrund der Erlaubnistatbestände der DSGVO zutreffend ist, da der datenverarbeitende Anbieter „die Darlegungs- und Beweislast“ im Zivilprozess trägt und das Vorliegen eines Erlaubnistatbestands nachweisen können muss.
130
Teil 2: Rahmenbedingungen der Austauschverhältnisse
licher Erlaubnistatbestand vor, so ist die Datenverarbeitung rechtswidrig.723 Würde bereits ein gesetzlicher Erlaubnistatbestand zugunsten des Anbieters greifen, so bestünde keine Notwendigkeit eine Einwilligung einzuholen, wodurch die Einwilligung des Datensubjekts nicht als Gegenleistung qualifiziert werden könnte.724 Dies wird insbesondere bei datengetriebenen Austauschgeschäften berücksichtigt werden müssen, bei denen sich die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. b DSGVO auf die Verarbeitung notwendiger Daten zur Vertragserfüllung oder zur Durchführung vorvertraglicher Anfragen des Datensubjekts beschränkt. Die Datenverarbeitung ist nach Art. 6 Abs. 1 lit. c–e DSGVO auch dann rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung oder zum Schutz lebenswichtiger Interessen einer natürlichen Person oder für die Wahrnehmung öffentlicher Aufgaben notwendig ist bzw. nach Art. 6 Abs. 1 lit. f DSGVO zur Wahrung der berechtigten Interessen des datenschutzrechtlich Verantwortlichen oder eines Dritten erforderlich ist.725 Bevor vertieft auf die rechtliche Qualifizierung datengetriebener Austauschverhältnisse eingegangen wird, muss der datenschutzrechtliche Rahmen konkretisiert werden, in welchem sich diese bewegen. Von besonderer Relevanz sind hierfür die Anforderungen, welche die DSGVO an die Einwilligung des Datensubjekts stellt, sowie das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO und die Widerruflichkeit der Einwilligung nach Art. 7 Abs. 3 DSGVO. V. Anforderungen an die datenschutzrechtliche Einwilligung Art. 4 Nr. 11 DSGVO definiert die datenschutzrechtliche Einwilligung des Datensubjekts als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
723 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 5. Bei Fehlen oder Unwirksamkeit der eingeholten Einwilligung ist ein Rückgriff des Anbieters auf gesetzliche Erlaubnistatbestände laut h. M. uneingeschränkt zulässig. Hierzu und mit Nachweisen zur Gegenauffassung siehe Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 184, 185. Dies bestätigt auch Art. 17 Abs. 1 lit. b DSGVO, aus welchem sich der Anspruch auf Löschung ergibt und welcher anordnet, dass es für dessen Vorliegen an einer anderweitigen Rechtsgrundlage für die Verarbeitung zu fehlen hat. Vgl. Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 90; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 91. 724 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 90; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 220. Umfassend hierzu unten S. 217 ff. 725 Hierzu ausführlich unten S. 217 ff., 226 ff., 230 ff.
§ 8 Rechtliche Grundlagen
131
Sind diese Begriffsmerkmale nicht erfüllt, ist schon tatbestandlich keine Einwilligung i. S. v. Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a DSGVO gegeben.726 Die Einwilligung stellt einen Kommunikationsakt dar, welcher als Rechtsfolge einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung gestattet.727 Nach Art. 7 Abs. 1 DSGVO hat der Verantwortliche nachzuweisen, dass die betroffene Person in die Datenverarbeitung eingewilligt hat, wenn diese Datenverarbeitung auf der Einwilligung als Erlaubnistatbestand beruht, wobei im Fall der Nichterbringung eines Nachweises von dem Fehlen einer wirksam erteilten Einwilligung auszugehen ist.728 Mit der Willenserklärung zum Abschluss eines Vertrags kann die Einwilligungserteilung zeitlich zusammenfallen.729 1. Eindeutig bestätigende Handlung der betroffenen Person Erforderlich als Grundvoraussetzung ist für die Einwilligung eine dem Datensubjekt zurechenbare, unmissverständliche Bestätigungshandlung.730 Diese kann verbal durch eine Erklärung oder auch nonverbal durch eine sonstige eindeutige Handlung vorgenommen werden, welcher ein Einverständnis zur Datenverarbeitung entnommen werden kann.731 Das Vorliegen einer Einwilligung und deren Reichweite sind durch Auslegung des Verhaltens des Datensubjekts nach dem objektiven Empfängerhorizont zu ermitteln.732 Die Einwilligung kann ausdrücklich wie auch konkludent erteilt werden, worunter das Ankreuzen eines Kästchens oder das Klicken eines Buttons zu zählen ist.733 Ein passives Untätigbleiben des Betroffenen oder eine mutmaßlich angenommene Einwilligung genügt hingegen nicht.734 726
Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 4 Nr. 11 DSGVO, Rn. 1; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 4 Nr. 11 DSGVO, Rn. 1. 727 Vgl. Langhanke, Daten als Leistung, 2018, 43, 44; Ohly, „Volenti non fit iniuria“, 2002, 212–214. 728 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 86, 87 m. w. N.; Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, 39. A. A. Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 45, 46. Die Beweislastregel aus Art. 7 Abs. 1 DSGVO stellt dabei eine Konkretisierung der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO dar. Hierzu Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 86. 729 Zutreffend Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 36 m. w. N. Ebenso Hacker, Datenprivatrecht, 2020, 168. 730 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 35. 731 Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 56, 57; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 35. 732 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 36. 733 Hierzu EG 32 S. 2 DSGVO. Einschränkungen bestehen diesbezüglich nur bei den Kategorien besonderer Daten nach Art. 9 Abs. 2 lit. a DSGVO, wo eine ausdrückliche Einwilligung erforderlich ist. Hierzu oben S. 126 f. Kritisch zum kategorisierenden Begriff der konkludenten Einwilligung im Rahmen der DSGVO Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 58b. 734 EG 32 S. 3 DSGVO. KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 104; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 35.
132
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Unter einem passiven Untätigbleiben ist auch „die Nichtveränderung der Werkseinstellungen eines Internetbrowsers“ zu fassen.735 Ein früher für zulässig erachteter bloßer „Opt-out“ des Datensubjekts konstituiert seit Einführung der DSGVO keine wirksame Einwilligung mehr.736 Eine wirksame Einwilligung liegt somit nicht vor, wenn eine Datenverarbeitung „durch ein voreingestelltes Ankreuzkästchen“ erlaubt werden soll, welches zur Verweigerung der Einwilligung abgewählt werden müsste.737 Aufgrund des Wortlauts von Art. 4 Nr. 11 DSGVO („unmissverständlich“) ist bei mehrdeutigem Verhalten des Betroffenen im Zweifel keine Einwilligung anzunehmen.738 2. Bestimmtheit der Einwilligung Das Einverständnis mit der Datenverarbeitung muss nach Art. 4 Nr. 11 DSGVO zudem für den konkreten Fall erfolgen. Der Inhalt der zu legitimierenden Datenverarbeitung muss folglich hinreichend bestimmt sein.739 Aus der Perspektive eines objektiven Empfängers des Einwilligungsbegehrens hat erkennbar zu sein, dass eine bestimmte Verarbeitung von Daten von dem Einverständnis gedeckt ist („objektive Bestimmtheit“).740 Die möglichen Datenverarbeitungen müssen ex ante ausreichend deutlich vorhersehbar sein, sodass der Betroffene die Chancen und Risiken für sich abschätzen kann („objektive Vorhersehbarkeit“).741 Insbesondere ist der Zweck der Datenverarbeitung hinreichend deutlich kenntlich zu machen, um dem Betroffenen es zu ermöglichen, die Tragweite der ihn betreffenden Datenverarbeitung einschätzen zu können.742 Eine Einwilligungserklärung kann sich dabei auf verschiedene Datenverarbeitungsvorgänge oder Verarbeitungszwecke beziehen.743 735
Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 35 m. w. N. EuGH, Urteil vom 11. 11. 2020 – C-61/19, juris, Rn. 37; 45, 46; EuGH, Urteil vom 01. 10. 2019 – C-673/17, juris, Rn. 55 ff., 63, 65; BGH, Urteil vom 28. 05. 2020 – I ZR 7/16, juris, Rn. 64; KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 241; Engeler / Marosi, CR 2019, 707, 709. Zur früheren Rechtslage siehe BGH, Urteil vom 16. 07. 2008 – VIII ZR 348/06, juris, Rn. 21 ff. 737 EuGH, Urteil vom 01. 10. 2019 – C-673/17, juris, Rn. 60–64; BGH, Urteil vom 28. 05. 2020 – I ZR 7/16, juris, Rn. 64; Ernst, ZD 2017, 110, 114. 738 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 36; ausführlich hierzu: Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 57 ff. 739 Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 61; Ernst, ZD 2017, 110, 113. 740 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 68. 741 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 69. Vgl. auch Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 63, 65. 742 Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 125; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 70. 743 Vgl. Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 62. 736
§ 8 Rechtliche Grundlagen
133
Materiell sind in diesem Fall mehrere Einwilligungen gegeben, die jeweils gesondert zu prüfen sind.744 Pauschale Universaleinwilligungen oder Blanketteinwilligungen werden grundsätzlich als unzulässig erachtet.745 3. Informiertheit des Betroffenen Als subjektives Äquivalent zur Bestimmtheit der Einwilligungserklärung ist erforderlich, dass der Betroffene sein Einverständnis in informierter Weise erteilt hat.746 Hierzu müssen dem Datensubjekt über die beabsichtigte Datenverarbeitung alle relevanten Informationen zumutbar zur Einsicht bereitgestellt worden sein, sodass dieses in die Lage versetzt wird, „die Einwilligung in voller Kenntnis der Sachlage“ zu erteilen.747 Hierunter fallen insbesondere Informationen zur Identität des datenschutzrechtlich Verantwortlichen, zu Zweck und Umfang der Datenverarbeitung, zur Art der verarbeiteten Daten, zur Widerruflichkeit der Einwilligung,748 zur Übermittlung von Daten in Drittländer (vgl. Art. 49 Abs. 1 S. 1 lit. a DSGVO) sowie zur Möglichkeit, einer ausschließlich auf einer automatisierten Datenverarbeitung beruhenden Entscheidung unterworfen zu werden (vgl. Art. 22 Abs. 2 lit. c DSGVO).749 Nicht erforderlich ist, dass das Datensubjekt von der angebotenen Möglichkeit, sich die Informationen anzueignen, auch Gebrauch macht.750 Fehlvorstellungen oder Irrtümer des Datensubjekts über die Datenverarbeitung trotz erfolgter Informationsbereitstellung beeinträchtigen die Wirksamkeit der Einwilligung ebenso wenig.751 Wurde das Datensubjekt hingegen über die relevanten Umstände der zu erteilenden Einwilligung arglistig getäuscht, so 744 Hierzu EG 43 S. 2 DSGVO sowie Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 47, 77; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 6. 745 Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 62; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 76. 746 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 72; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 59. 747 EuGH, Urteil vom 01. 10. 2019 – C-673/17, juris, Rn. 74. Vgl. auch Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 72; Ernst, ZD 2017, 110, 113. 748 Nach Art. 7 Abs. 3 S. 3 DSGVO ist die betroffene Person vor Abgabe der Einwilligung über das Widerrufsrecht in Kenntnis zu setzen. Weiterführend hierzu unten Fn. 811. 749 Vgl. EuGH, Urteil vom 11. 11. 2020 – C-61/19, juris, Rn. 40; EuGH, Urteil vom 01. 10. 2019 – C-673/17, juris, Rn. 74–77; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 72; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 59. Nach EG 42 S. 4 DSGVO sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden. 750 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 70; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 72. 751 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 72. Die DSGVO steht damit einem Rückgriff auf die Anfechtung wegen Irrtums nach den §§ 119, 120 BGB grundsätzlich nicht entgegen. Ausführlich hierzu und zu den möglichen Anwendungsfällen Hacker, Datenprivatrecht, 2020, 367–369.
134
Teil 2: Rahmenbedingungen der Austauschverhältnisse
ist die notwendige Informiertheit des Betroffenen und das Vorliegen einer wirksamen Einwilligung grundsätzlich zu verneinen.752 Korrespondierend zu den Anforderungen an die Informiertheit bestehen zahlreiche Informationspflichten des Datenverarbeiters nach den Art. 12–14 DSGVO, welche gewährleisten sollen, die Informiertheit beim Betroffenen herzustellen.753 Verfügt der Betroffene dagegen bereits über alle notwendigen Informationen, entfallen die Informationspflichten des Verantwortlichen.754 4. Freiwilligkeit der Einwilligung Die datenschutzrechtliche Einwilligung muss zudem freiwillig erfolgt sein. Fehlen Handlungsfreiheit oder Willensentschließungsfreiheit wie im Falle von Bewusstlosigkeit, vis absoluta oder vis compulsiva, mangelt es bei einer unter diesen Umständen abgegebenen Einwilligung an der Zurechenbarkeit der Erklärung zum Betroffenen und dies führt zu deren Unwirksamkeit.755 Zumindest für eine Anfechtungsmöglichkeit der Einwilligungserteilung wegen widerrechtlicher Drohung nach § 123 Abs. 1 Var. 2 BGB dürfte mangels wirksam erteilter Einwilligung regelmäßig kein Bedürfnis bestehen.756 Unter den Aspekt der Freiwilligkeit wird auch die Einwilligungsfähigkeit bzw. Einsichtsfähigkeit gefasst, welche unabhängig von der Geschäftsfähigkeit im Sinne der §§ 104 ff. BGB zu beurteilen ist.757 Erforderlich ist eine „hinreichende Fähigkeit zur kognitiven Erfassung des 752 Im Hinblick auf die Anfechtung wegen arglistiger Täuschung ebenso Hacker, Datenprivatrecht, 2020, 367; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 72. A. A. Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 29, ein Entgegenstehen der DSGVO zwar in Bezug auf eine Anfechtungsmöglichkeit im Hinblick auf die widerrechtliche Drohung annehmend, jedoch in Bezug auf die Anfechtungsmöglichkeit wegen arglistiger Täuschung verneinend. 753 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 53, 55–60; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 73. Kritisch zum Grundsatz der informierten Einwilligung Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 523, 524. 754 Vgl. Art. 13 Abs. 4 DSGVO sowie Art. 14 Abs. 5 lit. a DSGVO. 755 Vgl. Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 48; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 39; Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 27. 756 In Bezug auf die Anfechtungsmöglichkeit wegen widerrechtlicher Drohung ebenso Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 29; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 93; Hacker, Datenprivatrecht, 2020, 364–367. Zur grundsätzlichen Anwendbarkeit des Anfechtungsrechts auf die datenschutzrechtliche Einwilligung siehe oben Fn. 560. 757 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 49; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 67; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 33. Zu den Konsequenzen des Auseinanderfallens von „datenschutzrechtliche[r] Einwilligungsfähigkeit und zivilrechtliche[r] Vertragsabschlusskompetenz“ siehe Hacker, Datenprivatrecht, 2020, 231 ff.
§ 8 Rechtliche Grundlagen
135
Sachverhalts einschließlich der mit einer Einwilligung verbundenen Folgen sowie zur selbstbestimmten Willensbildung und -betätigung“.758 Bei Minderjährigen, welche noch nicht 16 Jahre alt sind, kann nach Art. 8 Abs. 1 S. 2 DSGVO eine Einwilligung bei direkten Angeboten von Diensten der Informationsgesellschaft i. S. v. Art. 4 Nr. 25 DSGVO grundsätzlich nur unter Mitwirkung der gesetzlichen Vertreter erteilt werden.759 Außerhalb des Anwendungsbereichs von Art. 8 Abs. 1 DSGVO ist für die Feststellung der Einwilligungsfähigkeit des Betroffenen auf den konkreten Einzelfall abzustellen.760 5. Form der Einwilligung und formularmäßige Einwilligungen Die datenschutzrechtliche Einwilligung ist grundsätzlich formfrei und kann schriftlich, mündlich sowie auch elektronisch erteilt werden.761 Erfolgt die Einwilligung durch eine schriftliche Erklärung des Datensubjekts, die noch andere Sachverhalte betrifft, so muss nach Art. 7 Abs. 2 S. 1 DSGVO das Ersuchen um die Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache (sog. „Transparenzgebot“) so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden (sog. „Trennungsgebot“) ist.762 Nach EG 32 S. 1 DSGVO ist dabei eine Einwilligungserteilung in elektronischer Form einer Erklärung in schriftlicher Form gleichzusetzen.763 Maßgeblicher Anwendungsfall der Vorschrift ist die Erteilung der Einwilligung im Rahmen von AGB als Teil eines weiterreichenden Bestands von Vertragsbestimmungen.764 Auch bei rein internetbasierten, datengetriebenen Austauschgeschäften ist es daher notwendig, dass eine Einwilligungsklausel deutlich hervorgehoben ist, was unter anderem durch einen Hinweistext, die Kenntlichmachung durch Fettschrift, durch einen eigenen Absatz oder einen gut sichtbaren Hyperlink zum Einwilligungstext sichergestellt werden 758
Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 49. Nach Art. 8 Abs. 2 Uabs. 2 DSGVO können die Mitgliedstaaten eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. Hierzu Kienle, PinG 2020, 208, 211 m. w. N. Zur Auslegung des Begriffs des Angebots von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird: Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 200 ff. 760 Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 67, 70. 761 Ernst, ZD 2017, 110, 113, 114, Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 39. 762 Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 7 DSGVO, Rn. 7. 763 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 65; Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, Rn. 56. 764 Vgl. Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 65; Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, Rn. 44; Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 7 DSGVO, Rn. 9. Eingehend hierzu unten S. 363 ff. 759
136
Teil 2: Rahmenbedingungen der Austauschverhältnisse
kann.765 Insbesondere auf mobilen Endgeräten mit limitierter Bildschirmgröße sind an formularmäßige Einwilligungsklauseln im Internet verschärfte Anforderungen im Hinblick auf das Transparenzgebot zu stellen.766 Besonders problematisch sind diesbezüglich Einwilligungsklauseln, welche sich innerhalb von AGB mit ausuferndem Umfang verbergen.767 Das in Art. 7 Abs. 2 S. 1 DSGVO enthaltene Erfordernis der Verständlichkeit wird in diesen Konstellationen eingehalten, wenn die Einwilligungserklärung für jedermann leicht verständlich und in der Landessprache des Staates verfasst ist, an dessen Bürger sich der Verantwortliche mit seinem Einwilligungsersuchen wendet.768 Ein Verstoß gegen Art. 7 Abs. 2 DSGVO führt – unabhängig von AGB-rechtlichen Erwägungen – grundsätzlich zur Unwirksamkeit der formularmäßig erteilten Einwilligung.769 Verstoßen Teile der Einwilligungserklärung hiergegen, so sind diese entsprechend Art. 7 Abs. 2 S. 2 DSGVO unwirksam, wobei bei voneinander trennbaren Verarbeitungen auch eine Teilnichtigkeit vorliegen kann.770 VI. Kopplungsverbot nach Art. 7 Abs. 4 DSGVO 1. Allgemeines Als spezielle Ausprägung des Freiwilligkeitsgebots ist bei datengetriebenen Austauschgeschäften insbesondere das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO zu berücksichtigen. Gemäß Art. 7 Abs. 4 DSGVO muss bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Als Kernaussage des Kopplungsverbots gilt eine Einwilligung dann nicht als freiwillig erteilt, wenn dem Betroffenen faktisch keine Wahl gelassen wird, als der Datenverarbeitung zuzustimmen, um eine gewünschte 765
Vgl. Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 7 DSGVO, Rn. 9; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 25; Ernst, ZD 2017, 110, 113 Diesbezüglich bleibt die DSGVO hinter dem Hervorhebungsgebot des vorher geltenden § 4a Abs. 1 S. 4 BDSG a. F. zurück. Vgl. BGH, Urteil vom 16. 07. 2008 – VIII ZR 348/06, juris, Rn. 20 ff.; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 77. 766 Hierzu Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, Rn. 58. 767 Vgl. Gerpott 2020, 739, 740; Ernst, ZD 2017, 110, 113. 768 Ernst, ZD 2017, 110, 113; Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, Rn. 59–62 mit weiteren Einzelheiten. 769 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 78; Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, Rn. 65. 770 Dies ist im Einzelnen umstritten. Nachweise zum Meinungsstand finden sich bei Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 68.
§ 8 Rechtliche Grundlagen
137
Leistung zu erhalten.771 Aufgrund des mehrfach unbestimmten Wortlauts der Generalklausel und der im Folgenden angesprochenen Widersprüchlichkeiten ist jedoch vieles umstritten und bedarf höchstrichterlicher Klärung durch den EuGH.772 Art. 7 Abs. 4 DSGVO besitzt nicht nur bereichs- oder branchenspezifische Relevanz, sondern gilt universal.773 Einschlägig kann das Kopplungsverbot dabei ausschließlich für Rechtsverhältnisse sein, bei denen die entsprechenden Daten nicht bereits zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) erforderlich sind.774 Dies ist bei datengetriebenen Austauschgeschäften, welche teilweise oder vollkommen datenfinanzierte Geschäftsmodelle verfolgen, grundsätzlich gegeben, da diese Geschäftsmodelle auf der kommerziellen Verwertung der vom Betroffenen erhobenen Daten basieren und entsprechende Datenverarbeitungen nicht durch Art. 6 Abs. 1 lit. b DSGVO legitimiert werden können.775 Hinsichtlich der Rechtsfolgen ist vorgegeben, dass die Kopplungssituation im Rahmen einer Einzelfallabwägung zu beurteilen ist. Nicht jede Kopplung lässt folglich die Freiwilligkeit entfallen, was zu Schwierigkeiten bei der Rechtsfolgenbestimmung führt.776 Eine Konkretisierung erfährt das Kopplungsverbot durch EG 42, 43 DSGVO. Von Relevanz für datengetriebene Austauschgeschäfte sind insbesondere EG 42 S. 5 DSGVO777 und EG 43 S. 2 Var. 2 DSGVO778. 2. Anwendung auf datengetriebene Austauschgeschäfte Im Gegensatz zu Art. 7 Abs. 4 DSGVO weist EG 43 S. 2 Var. 2 einen weitaus restriktiveren Wortlaut auf.779 Für Einwilligungen mit schuldvertraglicher Basis – wie bei datengetriebenen Austauschgeschäften – hätte eine unreflektierte Anwen 771
Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 40; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 56. 772 Ebenso Hacker, ZfPW 2019, 148, 183. Ein Überblick zu den zahlreichen Streitfragen findet sich bei Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 41–46.2. 773 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 41 m. w. N. 774 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 41; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 46, 47. 775 Eingehend hierzu unten S. 219 ff. 776 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 58; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 42. 777 Gemäß EG 42 S. 5 DSGVO sollte nur dann von einer freiwillig erteilten Einwilligung ausgegangen werden, wenn die betroffene Person eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. 778 Nach EG 43 S. 2 Var. 2 DSGVO gilt eine Einwilligung gilt als nicht freiwillig erteilt, wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist. 779 So ist nach Art. 7 Abs. 4 DSGVO die Freiwilligkeit der Einwilligung anhand einer Beurteilung zu bestimmen, bei der vielmehr diesem „Umstand in größtmöglichem Umfang Rechnung getragen werden [muss]“ und damit von einem Beurteilungsspielraum auszugehen ist. Dagegen gilt nach dem Wortlaut von EG 43 S. 2 Var. 2 DSGVO die datenschutzrechtliche Einwilligung bei Vorliegen einer Kopplungssituation stets „als nicht freiwillig erteilt“.
138
Teil 2: Rahmenbedingungen der Austauschverhältnisse
dung von EG 43 S. 2 Var. 2 DSGVO zur Konkretisierung von Art. 7 Abs. 4 DSGVO stets einen Verstoß gegen das Kopplungsverbot zur Folge, wenn kein alternativer Zugang zum Dienst des Anbieters ohne Einwilligungszwang vorhanden wäre.780 Eine Einwilligung wäre in diesen Konstellationen grundsätzlich nicht freiwillig erteilt und folglich unwirksam.781 Ein derart weites Verständnis des Kopplungsverbots wird jedoch auch nicht von der DSGVO gefordert.782 Für eine absolute Auslegung streitet auf den ersten Blick insbesondere der Wortlaut von EG 43 S. 2 DSGVO.783 Dieser steht jedoch nur scheinbar in Widerspruch zur Konstellation bei datengetriebenen Austauschgeschäften.784 Werden die Notwendigkeit der Kommerzialisierung von personenbezogenen Daten für die Existenz datengetriebener Austauschgeschäfte und die daraus resultierende Funktion der Einwilligung als vertragliche Gegenleistung berücksichtigt, so lässt auch der Wortlaut von EG 43 S. 2 DSGVO eine angemessene, engere Auslegung des Kopp 780 Vgl. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 21; SchmidtKessel / Grimm, ZfPW 2017, 84, 91; Spindler, MMR 2016, 147, 150; Metzger, AcP 2016, 817, 824. Zur alten Rechtslage unter Geltung des BDSG a. F. vor Inkrafttreten der DSGVO siehe Bräutigam, MMR 2012, 635, 636. 781 So vertreten unter anderem von Golland, MMR 2018, 130, 134, 135, der als Ausweg aus dem Dilemma für die Einführung von entgeltlichen Alternativzugängen plädiert; nunmehr auch Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 48, 51, unter Änderung der Ansicht, welche in der Vorauflage vertreten wurde; Becker, CR 2021, 230, 236 ff., dabei auch Auswahlmöglichkeiten auf Consent Management Platforms miteinbeziehend; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 41.1, der ein Leerlaufen des Kopplungsverbots ansonsten befürchtet und eine Unterscheidung zwischen entgeltlichen und unentgeltlichen Vertragsverhältnissen in der DSGVO nicht angelegt sieht. Ebenso und m. w. N. zu dieser Auffassung OGH Wien, Urteil vom 31. 08. 2018 – 6Ob140/18h, RIS, Rn. 4.4.3, 4.4.4, wonach an die Kopplungssituation „strenge Anforderungen zu stellen sind“ und grundsätzlich von einer Unzulässigkeit der Kopplung der Einwilligung bei der „Verarbeitung vertragsunabhängiger personenbezogener Daten“ auszugehen sei. Ähnlich Hacker, Datenprivatrecht, 2020, 190, 191. Kritisch zu dieser Entscheidung Schwamberger, GPR 2019, 57, 59. Nicht eindeutig hingegen Art. 29 Datenschutzgruppe, WP 259, 2018, S. 9, 10, welche jedoch „absolute Ausnahme[fälle]“ für möglich hält, die nicht zur Ungültigkeit der Einwilligung führen. 782 Ebenso Leinemann, Personenbezogene Daten als Entgelt, 2020, 167, 168; Bunnenberg, Privates Datenschutzrecht, 2020, 75–78; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 532, 533; Hacker, ZfPW 2019, 148, 182, 183; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 234; Langhanke, Daten als Leistung, 2018, 136, 137; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 22, 23; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 91; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 48, 51; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 30, Fn. 55, m. w. N. 783 Siehe oben Fn. 779. 784 Ebenso kritisch diesbezüglich: Leinemann, Personenbezogene Daten als Entgelt, 2020, 167; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 234, welcher zudem die Bedeutung des Erwägungsgrunds im Verhältnis zum verbindlichen Verordnungstext als zu hoch bewertet kritisiert. Nach Hacker, ZfPW 2019, 148, 182, ließe sich mangels „Niederschlag [von EG 43 S. 2 DSGVO] im Verordnungstext“ allenfalls mit einer Vermutung für eine Unzulässigkeit operieren.
§ 8 Rechtliche Grundlagen
139
lungsverbots zu. In diesen Fällen ist nicht nur die Erbringung der Anbieterleistung, sondern auch die Erteilung der Einwilligung durch das Datensubjekt für die Vertragserfüllung im Sinne des Vertragszwecks als Leistungsgegenstand erforderlich.785 Dies ist erst recht anzunehmen, wenn die Verarbeitung von personenbezogenen Daten die „maßgebende Entscheidungs- und Kalkulationsgrundlage“ des Rechtsgeschäfts, wie im Fall der Telematik-Tarife, darstellt.786 Systematisch wird eine entsprechende Auslegung durch die Ausgestaltung von Art. 7 Abs. 4 DSGVO als offene Generalklausel und durch den Wortlaut von EG 42 S. 5 DSGVO gestützt, welcher „eine echte oder freie Wahl“ des Betroffenen und damit ebenfalls eine Einzelfallabwägung voraussetzt. Das Kopplungsverbot zielt gerade nicht direkt auf Konstellationen ab, in denen die datenschutzrechtliche Einwilligung bewusst als Vertragsbestandteil mit Gegenleistungscharakter vereinbart wurde.787 Der Gesetzgeber hatte stattdessen vor allem Nebenabreden vor Augen, die nur geringfügigen Bezug zu dem Vertragszweck und den Leistungsinteressen der Parteien aufweisen.788 Des Weiteren wäre eine absolute Auslegung des Kopplungsverbots kaum mit der Anerkennung der Preisgabe personenbezogener Daten durch den europäischen Gesetzgeber in Art. 3 Abs. 1 S. 2 DIRL sowie in Art. 3 Abs. 1a VerbRRL n. F. zu vereinbaren, in deren Anwendungsbereich gerade Verträge fallen, bei denen die Datenpreisgabe eben nicht zur Vertragserfüllung notwendig ist.789 Ein absolutes Verständnis des Kopplungsverbots, wie auch dessen generelle Anwendung auf datengetriebene Austauschverhältnisse, ist daher abzulehnen.790 So ist vielmehr eine Einzelfallabwägung unter Berücksichtigung sämtlicher Umstände vorzunehmen.791 Das Kopplungsverbot als besondere Ausprägung des 785
So Hacker, ZfPW 2019, 148, 183; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 48, 51; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 30, 31. Die Auslegung des Tatbestandsmerkmals der Erforderlichkeit der Verarbeitung personenbezogener Daten zur Erfüllung des Vertrags in Art. 7 Abs. 4 DSGVO und die restriktive Auslegung des Erforderlichkeitskriteriums im Rahmen von Art. 6 Abs. 1 lit. b DSGVO weichen diesbezüglich voneinander ab. Hierzu unten S. 220 ff. 786 Vgl. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 533; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 47. Hierbei ist jedoch zu beachten, dass in diesen Konstellationen die Datenverarbeitung bereits über den gesetzlichen Erlaubnistatbestand des Art. 6 Abs. 1 lit. b DSGVO gerechtfertigt ist, weswegen nicht auf die Einwilligung abgestellt werden muss. Weiterführend hierzu siehe unten bei Fn. 1305, 1306, 1391. 787 Vgl. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 91; Spindler, MMR 2016, 147, 150; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 48, 51. 788 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 91, wonach sich als Beispiel hierfür insbesondere die Verwendung von „Schufa-Klauseln“ in verschiedensten Verträgen anführen lässt, ohne dass hierfür ein besonderes Bedürfnis besteht. Vgl. auch Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 33. 789 Siehe unten bei Fn. 1755, 1757 sowie bei Fn. 1966, 1967. 790 Vgl. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 183, 184; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 22, 23. 791 Im Ergebnis ebenso Leinemann, Personenbezogene Daten als Entgelt, 2020, 167, 171 sowie Bunnenberg, Privates Datenschutzrecht, 2020, 79 ff., 260 ff.
140
Teil 2: Rahmenbedingungen der Austauschverhältnisse
Freiwilligkeitsgebots soll zwar vor der Fremdbestimmung durch Dritte schützen, aber keineswegs in sämtlichen Konstellationen greifen, in denen das Datensubjekt nicht zwingend auf die Anbieterleistung angewiesen ist oder es keine vergleich baren Alternativen auf dem Markt gibt.792 Systematisch wird dieses Argument durch EG 43 S. 1 DSGVO gestützt, welcher für das Vorliegen einer Fremdbestimmung ein klares Ungleichgewicht zwischen Betroffenem und Verantwortlichem und eine daraus resultierende Zwangslage fordert.793 Abseits von essenziellen Verträgen zur Grundversorgung, die bei datengetriebenen Austauschgeschäften nur selten vorliegen dürften, wird somit eine widerrechtliche Kopplung vor allem in Fällen eines wettbewerbsrechtlich zu beurteilenden, monopolartigen Missbrauchs einer marktbeherrschenden Stellung nach Art. 102 AEUV anzunehmen sein.794 Solange die Schwelle einer faktischen Fremdbestimmung jedoch nicht erreicht wird, dürfte es unverhältnismäßig sein, bereits dann eine unzulässige Kopplung anzunehmen, wenn ein bestimmter Internetdienst sich besonderer Beliebtheit erfreut und deswegen als alternativlos gegenüber kostenpflichtigen oder weniger attraktiven Angeboten erscheint.795 Ein anderes Verständnis des Kopplungsverbots würde auch dem Primat der Einwilligung nicht gerecht werden, indem dadurch deren Anwendungsbereich deutlich reduziert werden würde und gesetzliche Erlaubnistatbestände zur Legitimierung entsprechender kommerzieller Datenverarbeitungen heranzuziehen wären.796 Als Konsequenz einer absoluten Auslegung des Kopplungsverbots würde das Selbstbestimmungsrecht des Datensubjekts im Rahmen datengetriebener Austauschgeschäfte vielmehr torpediert werden, insbesondere wenn die gegenwärtige Rechtspraxis, welche kommerzielle Datenverarbeitungsvorgänge auf die Einwilligung stützt, weiterhin für zulässig erachtet werden soll. 792
Ebenso Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 532, 533. 793 Hierzu Leinemann, Personenbezogene Daten als Entgelt, 2020, 169, 170; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 22. Ob damit eine Monopolstellung oder eine besondere Marktmacht im Sinne des Kartellrechts nach Art. 102 AEUV einhergehen muss, ist umstritten. Siehe Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 43–45 sowie Golland, MMR 2018, 130, 132 ff. 794 Vgl. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 183, 184; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 22, 23; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 54–66; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 27. Zu der möglicherweise marktbeherrschenden Stellung von Facebook im Markt für soziale Netzwerke siehe BGH, Beschluss vom 23. 06. 2020 – KVR 69/19, juris, Rn. 21, 65 ff., 121 ff. 795 Ebenso Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 532, 533; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 63. A. A. Hacker, Datenprivatrecht, 2020, 192, 193, 199 ff., welcher auch bei unerheblichen Nachteilen des Datensubjekts einen Verstoß gegen das Kopplungsverbot als möglich erachtet und für die Notwendigkeit des Bereitstellens eines „funktionsäquivalente[n] Angebot[s] unter Verzicht“ auf die Datenpreisgabe seitens des Anbieters plädiert. Darauf aufbauend spricht sich Hacker für die Schaffung einer Pflicht zur Bereitstellung einer datenschonenden Option seitens der Anbieter datengetriebener Geschäftsmodelle aus. Ausführlich hierzu Hacker, Datenprivatrecht, 2020, 620 ff., 654, 655. 796 Vgl. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 22.
§ 8 Rechtliche Grundlagen
141
Gerade dies würde aber zu einer vollständigen Fremdbestimmung des Datensubjekts führen, indem kommerziellen Datenverarbeitungen dann durch gesetzliche Erlaubnistatbestände zu legitimieren wären und nicht mehr auf die Einwilligung abgestellt werden könnte.797 Die Unwirksamkeitsfolge des Art. 7 Abs. 4 DSGVO in Bezug auf die Einwilligung ist folglich auf Konstellationen zu beschränken, in denen die Kopplung tatsächlich zu einer Fremdbestimmung führt.798 Dem Wortlaut von Art. 7 Abs. 4 DSGVO nach ist dies im Rahmen einer Einzelfallabwägung unter Berücksichtigung der wesentlichen Umstände zu bestimmen. Dem Kopplungsverbot kommt für datengetriebene Austauschverhältnisse damit insbesondere eine Transparenzfunktion hinsichtlich der Preisgabe nicht zur Vertragserfüllung notwendiger personenbezogener Daten zu.799 Der Freiwilligkeitsgedanke erfordert demnach, dass das Datensubjekt sich über die Verknüpfung der Anbieterleistung mit seiner Datenpreisgabe im Klaren zu sein hat, wovon bei typischen datengetriebenen Austauschgeschäften nach dem objektiven Empfängerhorizont grundsätzlich auszugehen ist.800 VII. Widerruflichkeit der Einwilligung nach Art. 7 Abs. 3 DSGVO 1. Allgemeines Nach Art. 7 Abs. 3 S. 1 DSGVO haben Datensubjekte das Recht, ihre erteilten Einwilligungen jederzeit zu widerrufen. Der Widerruf ist der „actus contrarius zur Einwilligung“ und stellt eine „durch ausdrückliche Erklärung oder konkludent erfolgende Willensbekundung des Betroffenen [dar], mit der Datenverarbeitung nicht (mehr) einverstanden zu sein“.801 Im Einklang mit der Rechtsnatur der datenschutzrechtlichen Einwilligung bei datengetriebenen Austauschverhältnissen ist der Widerruf als rechtsgeschäftliche Handlung in Form einer Willenserklärung 797
Zur stetigen Abnahme der Autonomie des Datensubjekts und der Zunahme von Fremdbestimmung bei Heranziehung gesetzlicher Erlaubnistatbestände siehe Sattler, in: Ochs / Friede wald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 233–236. Ebenso Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 27. Die Autonomie des Datensubjekts wird in diesem Fall zusätzlich noch durch das uneinschränkbare Widerrufsrecht nach Art. 7 Abs. 3 DSGVO gestärkt. Hierzu unten S. 141 ff. 798 Insofern übereinstimmend: Kumkar, ZfPW 2020, 306, 329, 330; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 22, 23; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 532, 533; Metzger, AcP 2016, 817, 824. Ähnlich Leinemann, Personenbezogene Daten als Entgelt, 2020, 171. Zur Gegenauffassung siehe oben Fn. 781. 799 Vgl. Kumkar, ZfPW 2020, 306, 330; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 91; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 51. 800 Eingehend hierzu unten S. 182 ff. Langhanke, Daten als Leistung, 2018, 136, 137; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 91. 801 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 85, 86.
142
Teil 2: Rahmenbedingungen der Austauschverhältnisse
zu qualifizieren.802 Der Widerruf wirkt nach Art. 7 Abs. 3 S. 2 DSGVO ex nunc, wodurch bis zum Widerruf erfolgte Datenverarbeitungen rechtmäßig bleiben. Wird die Datenverarbeitung in der Folge nicht auf einen anderen Erlaubnistatbestand gestützt, sind die auf Grundlage der Einwilligung erhobenen und verarbeiteten Daten nach Art. 17 Abs. 1 lit. b DSGVO zu löschen.803 Der Löschungsanspruch des Datensubjekts entsteht zeitgleich mit der Wirksamkeit des Einwilligungswiderrufs.804 Inwieweit mit dem Einwilligungswiderruf zugleich konkludent ein Löschungsbegehren durch das Datensubjekt erklärt wird, ist durch Auslegung zu ermitteln.805 Aus dem Widerruf der Einwilligung lässt sich nicht pauschal der Schluss ziehen, dass auch die Löschung der Daten intendiert ist.806 Denn alternativ zur Datenlöschung könnte das Datensubjekt nach Art. 18 Abs. 1 lit. b DSGVO auch nur die Einschränkung der weiteren Nutzung der erhobenen und verarbeiteten personenbezogenen Daten begehren oder den Einwilligungswiderruf auf bestimmte Verarbeitungsschritte begrenzen wollen.807 Nach Art. 19 S. 1 DSGVO hat der Verantwortliche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Löschung oder Einschränkung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Über die Empfänger hat der Verantwortliche die betroffene Person nach Art. 19 S. 2 DSGVO auf deren Verlangen hin zu unterrichten. Wird die Einwilligung in die Datenverarbeitung nach Erklärung des Widerrufs erneut erteilt, erlischt das Löschungsrecht.808 Nach Art. 7 Abs. 3 S. 4 DSGVO muss der Widerruf der erteil 802
Zur Qualifizierung der datenschutzrechtlichen Einwilligung siehe oben S. 104 ff. Bei Fehlen oder Unwirksamkeit der eingeholten Einwilligung ist ein Rückgriff des Anbieters auf gesetzliche Erlaubnistatbestände laut h. M. uneingeschränkt zulässig. Hierzu, mit Nachweisen zur Gegenauffassung, Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 184, 185. Dies wird durch Art. 17 Abs. 1 lit. b DSGVO bestätigt, welcher anordnet, dass es für das Vorliegen der Löschungspflicht an einer anderweitigen Rechtsgrundlage für die Verarbeitung zu fehlen hat. Hierzu Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 90; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 91. 804 Worms, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 17 DSGVO, Rn. 31; Peuker, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 17 DSGVO, Rn. 20. 805 Meents / Hinzpeter, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 17 DSGVO, Rn. 38; Peuker, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 17 DSGVO, Rn. 20; Kamann / Braun, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 17 DSGVO, Rn. 24. 806 Meents / Hinzpeter, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 17 DSGVO, Rn. 38; Peuker, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 17 DSGVO, Rn. 20. Umgekehrt wird in der Regel anzunehmen sein, dass mit der Erklärung eines Löschungsbegehrens auch der Widerruf der Einwilligung intendiert sein wird. 807 Meents / Hinzpeter, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 17 DSGVO, Rn. 38; Peuker, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 17 DSGVO, Rn. 20. Umstritten ist, inwieweit in diesen Fällen eine Pflicht des Anbieters als datenschutzrechtlich Verantwortlichem besteht, bei dem Betroffenen nachzufragen, ob dieser eine Löschung oder eine Einschränkung begehrt. Hierzu Worms, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 18 DSGVO, Rn. 39 m. w. N. 808 Peuker, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 17 DSGVO, Rn. 20. 803
§ 8 Rechtliche Grundlagen
143
ten Einwilligung so einfach vorzunehmen sein wie die Erteilung der Einwilligung selbst. Davon umfasst sind die gesamten Umstände der Erklärung, wobei nicht vom konkreten Fall auszugehen ist, sondern von den Mindestanforderungen, die das Gesetz an eine Einwilligung in der jeweiligen Konstellation stellt.809 Ein nur teilweiser Widerruf wird ebenfalls als zulässig erachtet, sofern der verbliebene Teil eigenständig fortbestehen kann.810 Nach Art. 7 Abs. 3 S. 3 DSGVO ist die betroffene Person über ihr Widerrufsrecht vor Abgabe der Einwilligung zu informieren. Umstritten ist hierbei, ob ein Verstoß gegen die Hinweispflicht die Unwirksamkeit der Einwilligung nach sich zieht.811 2. Bedenken gegen die Uneinschränkbarkeit des Widerrufsrechts Von erheblicher Bedeutung für datengetriebene Austauschgeschäfte ist, dass ein Ausschluss oder eine Einschränkung des Widerrufsrechts nicht vorgesehen ist.812 Innerhalb der DSGVO werden Unzumutbarkeitserwägungen wie auch eine Unterscheidung verschiedener Fall- oder Vertragskonstellationen bei der Anwendbarkeit des Widerrufsrechts nicht berücksichtigt.813 Die jederzeitige Widerruflichkeit der Einwilligung stellt datengetriebene Austauschgeschäfte vor mehrere Probleme. Insbesondere in Bezug auf die Schwäche der Rechtsposition des Anbieters werden im Schrifttum verschiedene Bedenken geäußert. So führe die freie Disposition über die preisgegebenen Daten und die datenschutzrechtliche Einwilligung zu einer fragilen Rechtsposition auf Seiten der Anbieter datengetriebener Geschäftsmodelle.814 Die freie Widerruflichkeit einer vertraglich geschuldeten Leistung entspreche dabei nach Klement „einer Teilnichtigkeit des Vertrags“.815 Der Grundsatz der freien Widerruflichkeit greife in die Vertragsfreiheit sowohl des Anbieters als auch des Datensubjekts ein, beschränke 809 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 96; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 90b. Relevanz besitzt dies insbesondere für die Form der Einwilligung sowie für die Person des Erklärungsempfängers. 810 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 90; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 35. 811 Zu diesem Meinungsstreit und den vertretenen Ansichten siehe Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 90a m. w. N. Differenzierend, nur ab Beginn der Datenverarbeitung eine endgültige Unwirksamkeit annehmend, Klement, in: NKDatenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 95. 812 Die Annahme einer Uneinschränkbarkeit des Widerrufsrechts verschärft die Problematik der rechtlichen Qualifizierung der datengetriebenen Austauschverhältnisse und die daraus resultierende Rechtsunsicherheit. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 92; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 222. 813 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 90; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 91. 814 Vgl. Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 225–227; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 92. 815 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 92.
144
Teil 2: Rahmenbedingungen der Austauschverhältnisse
„die privatautonome Gestaltung der Bedingungen der Persönlichkeitsentfaltung“ und entwerte partiell das Einwilligungsrecht.816 Des Weiteren wird vorgetragen, dass die fehlende Abgrenzung zwischen datengetriebenen Austauschgeschäften mit einem einmaligen, punktuellen Leistungsaustausch und solchen mit einem andauernden, kontinuierlichen Leistungsaustausch zu unangemessenen Ergebnissen bei der Vertragsabwicklung und zu Störungen im vereinbarten Äquivalenzverhältnis führen könne.817 Das Datensubjekt könnte unmittelbar nach Erhalt der Leistung des Anbieters und der Befriedigung seines mit dem Austauschgeschäft verfolgten Interesses die Einwilligung widerrufen und dem Anbieter damit die Möglichkeit entziehen, aus den Daten die intendierte Wertschöpfung zu erhalten.818 Zwar verbliebe dem Anbieter aufgrund des ex nunc wirkenden Widerrufs der gezogene Vermögenswert bereits abgeschlossener Datenverwertungsvorgänge, jedoch wäre dies zufällig und vom konkreten Einzelfall abhängig.819 Die Möglichkeit eines jederzeitigen Widerrufs berge daher die Gefahr der Wertlosigkeit aller aus dem Austauschgeschäft bis dahin erhobener und verarbeiteter Daten.820 Das Widerrufsrecht statuiere in dieser Form damit ein voraussetzungsloses, einseitiges „Reue-Recht“ zugunsten des Datensubjekts, was in Kontrast zu den ansonsten ausdifferenzierten Vertragsauflösungsregeln des Zivilrechts stehen würde.821 Mangels Erzwingbarkeit der Preisgabe personenbezogener Daten bei Annahme einer Uneinschränkbarkeit des Widerrufsrechts nach Art. 7 Abs. 3 DSGVO ist deshalb die Frage zu stellen, inwieweit davon ausgegangen werden kann, dass die Erteilung der Einwilligung zum Inhalt des vertraglichen Pflichtenprogramms zu zählen ist – und wie diese rechtlich einzuordnen ist. Mangels übertragbarer absoluter Rechtspositionen an Daten stellt die schuldrechtliche Verpflichtung zur Erteilung der Einwilligung eine Möglichkeit dar, auf Seiten der Anbieter eine halbwegs gefestigte Rechtsposition innerhalb datengetriebener Austauschgeschäfte zu erhalten.822 816
Ebenda. Vgl. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 534, 535. 818 Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 91; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 534, 535. 819 Ebenda. 820 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 535. 821 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 16; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 535, 536; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 273. 822 Daneben könnte noch eine Haftung des Datensubjekts auf Schadensersatz gegenüber dem Anbieter für den Fall des (vertragswidrigen) Widerrufs einer bereits erteilten Einwilligung erwogen werden, um die Rechtsposition des Anbieters zu stärken. Weiterführend hierzu unten bei Fn. 883, 884, 1503, 2017, 2018. 817
§ 8 Rechtliche Grundlagen
145
Diese Problematik wird, da sie generell mit der Qualifizierung der Austauschverhältnisse zusammenhängt, erst an späterer Stelle behandelt.823 3. Vorschläge zur Einschränkung des Widerrufsrechts Nach der herrschenden Meinung kann die Widerruflichkeit der datenschutzrechtlichen Einwilligung grundsätzlich nicht beschränkt werden, auch wenn diese im Rahmen eines Vertragsverhältnisses als Leistungsgegenstand vereinbart worden ist.824 Seitens der Literatur werden für vertragliche Schuldverhältnisse jedoch verschiedene Ansätze vertreten, welche entweder letztlich doch für eine Einschränkbarkeit des Widerrufsrechts plädieren oder über andere Wege versuchen, den Anbietern eine gefestigtere Rechtsposition zu verschaffen. a) Uneinschränkbarkeit des Widerrufsrechts Die herrschende Meinung lehnt eine Beschränkung des Widerrufsrechts wie auch eine Pflicht zum Verzicht auf dasselbe unter Berufung auf die persönlichkeitsrechtliche Relevanz personenbezogener Daten und auf die Vorgaben höherrangigen Rechts generell ab.825 Seit Inkrafttreten der DSGVO lässt sich hierfür insbesondere deren Natur als höherrangiges, unabdingbares Unionsrecht und der eindeutige Wortlaut von Art. 7 Abs. 3 DSGVO ins Feld führen, welcher keine Einschränkung des Widerrufsrechts vorsieht.826 Das Widerrufsrecht sei demnach Bestandteil einer 823
Siehe unten S. 199 ff., 253 ff. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 180; H acker, Datenprivatrecht, 2020, 208–211; Bunnenberg, Privates Datenschutzrecht, 2020, 38, 39; Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 91; Hacker, ZfPW 2019, 148, 169, 170; Langhanke, Daten als Leistung, 2018, 118, 119; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 11, 14; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 207 („unentziehbare[s]“ Recht); Schmidt-Kessel / Grimm, ZfPW 2017, 84, 91, 92; Metzger, AcP 2016, 817, 825; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 133; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 39; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 90; Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 7 DSGVO, Rn. 12; Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 93; Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 46. 825 Langhanke, Daten als Leistung, 2018, 118, 119; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 91, 92; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221; Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 93; Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 46. 826 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 180; Bunnenberg, Privates Datenschutzrecht, 2020, 38; Hacker, ZfPW 2019, 148, 169, 170; Langhanke, Daten als Leistung, 2018, 118, 119; Metzger, AcP 2016, 817, 825; Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 90; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 39. 824
146
Teil 2: Rahmenbedingungen der Austauschverhältnisse
objektiven Werteordnung, an die auch das Datensubjekt als Rechtsinhaber gebunden ist.827 Die jederzeitige Widerruflichkeit der Einwilligung verfolge demnach den Zweck, den Datensubjekten es zu ermöglichen, gewillkürte Datenpreisgaben nachträglich wieder korrigieren zu können und die Verwirklichung von informationeller Selbstbestimmung zu gewährleisten.828 Die verfassungsrechtliche Verankerung der Widerruflichkeit der Einwilligung im Grundrecht auf informationelle Selbstbestimmung wie auch deren europarechtlichen Verankerungen in Art. 8 Grundrechte-Charta, Art. 16 AEUV sowie Art. 8 EMRK gebiete die Geltung dieses Schutzes auch in zivilrechtlichen Rechtsverhältnissen.829 Das Recht zum Widerruf stelle einen Bestandteil des europarechtlichen „ordre public“ dar und stehe damit auch nicht dem Datensubjekt zur Disposition.830 Abweichende Vereinbarungen sowie auch der konträre Ansatz einer Verpflichtung des Datensubjekts zur Unterlassung des Widerrufs wären dementsprechend gemäß § 134 BGB als nichtig anzusehen.831 Für die besondere Schutzwürdigkeit der Datensubjekte wird insbesondere der erhebliche Umfang der personenbezogenen Daten vorgebracht, welche in datengetriebenen Austauschverhältnissen anfallen können.832 Aufgrund der Gefahr des Kontrollverlustes und der Nichtvorhersehbarkeit der Konsequenzen für das Datensubjekt sei dieses im Bereich des Datenschutzrechts besonders gefährdet.833 Specht spezifiziert diesen Gedanken hinsichtlich der Rechtspraxis, dass die Einschränkung der Widerruflichkeit bei persönlichkeitsrelevanten Verwertungsverträgen und bei datengetriebenen Austauschgeschäften nicht gleich bewertet werden dürfe.834 Während im ersteren Fall bewusst eine schuldvertragliche Einwilligung in die Verwertung bestimmter Rechte erteilt werde, bestehe im letzteren Fall bei datengetriebenen Massengeschäften nur die Fiktion einer Informiertheit, die der informationellen Selbstbestimmung nicht gerecht werden könne und zu deren Bedeutungslosigkeit führen würde, wenn die Widerruflichkeit der Einwilligung entfallen würde.835 Angesichts des klaren Wortlauts der DSGVO bestehe im Ergebnis für eine Interessensabwägung mit den berechtigten Interes 827
Langhanke, Daten als Leistung, 2018, 118; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221. 828 Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, 34 m. w. N. 829 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 92; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221. 830 Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221. Vgl. auch Langhanke, Daten als Leistung, 2018, 118. 831 Hierzu noch unten bei Fn. 2064. 832 Langhanke, Daten als Leistung, 2018, 118; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 133. 833 Langhanke, Daten als Leistung, 2018, 118. 834 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 12; vgl. auch Sattler, CR 2020, 145, 151, 152, Fn. 82. 835 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 12, 14. Eine Ausnahme in Form einer mittelbaren Einschränkung erwägt Specht dabei nur für punktuelle Austauschverträge mit digitalen Inhalten des Anbieters als Leistungsgegenstand, die anstelle eines Preises im Gegenzug für eine Preisgabe personenbezogener Daten überlassen werden.
§ 8 Rechtliche Grundlagen
147
sen des Verantwortlichen oder für eine Prüfung der Unzumutbarkeit der weiteren Datenverarbeitung für den Betroffenen oder für eine Berufung auf Treu und Glauben kein Raum.836 Das Recht auf informationelle Selbstbestimmung dürfe auch nicht mittelbar über das Widerrufsrecht beschnitten werden, indem die Entscheidung, dieses auszuüben, mit nachteiligen vertraglichen Folgen versehen wird.837 Wirtschaftliche Nachteile für die Dienstanbieter würden zudem keine taugliche Begründung für eine Einschränkung des Widerrufsrechts darstellen, da grundsätzlich jeder Wirtschaftsteilnehmer die Risiken der tatsächlichen und der rechtlichen Rahmenbedingungen für die Rentabilität seines Geschäftsmodells trage und die Alternative bestehe, die Dienste stattdessen gegen monetäres Entgelt anzubieten.838 b) Einschränkbarkeit oder Ausschluss des Widerrufsrechts aa) Übersicht zum Meinungsstand Ein Ausschluss oder eine Einschränkung des Widerrufsrechts wird in der Literatur in verschiedenen Erscheinungsformen vertreten. Das Widerrufsrecht nach Art. 7 Abs. 3 DSGVO ist hiernach teilweise einzuschränken oder komplett auszuschließen, wenn die Datenpreisgabe im Rahmen einer rechtsgeschäftlichen Abrede als Gegenleistung vereinbart wurde und keine berechtigten Interessen des Datensubjekts einer Datenverarbeitung entgegenstünden, dem Datensubjekt diese folglich zuzumuten sei.839 Rekurriert wird diesbezüglich häufig auf den Grundsatz von Treu und Glauben, um ein missbräuchliches Verhalten oder ein widersprüchAnstelle eines Anspruchs des Anbieters auf Löschung der dem Datensubjekt bereitgestellten digitalen Inhalte solle dieser im Fall des Widerrufs einen Wertersatzanspruch zugesprochen bekommen. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 13. 836 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 91; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 38a, 39. 837 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 208, 209; SchmidtKessel / Grimm, ZfPW 2017, 84, 103; Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 93; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 222. 838 Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 7 DSGVO, Rn. 13. 839 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 537, 538, hierbei zwischen punktuellen und dauerhaften Austauschverhältnissen unterscheidend; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 38, 39, welche in der 3. Auflage 2020 hieran jedoch nicht weiter festhalten; so auch Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 57, nach welchem der Widerrufsausübung sowohl rechtsgeschäftliche Vereinbarungen mit der Einwilligung als Vertragsgegenstand als auch ein Ausschluss nach Treu und Glauben infolge eines missbräuchlichen Verhaltens des Datensubjekts entgegenstehen können; ebenso dies vertretend für die frühere Rechtslage: Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 270, 272 ff. sowie Ohly, „Volenti non fit iniuria“, 2002, 350 ff., welcher eine entsprechende rechtsgeschäftliche Abrede genügen lässt. Vgl. zudem Kumkar, ZfPW 2020, 306, 331, welche befürwortet, „die Widerruflichkeit [der Einwilligung] der Disposition des Datensubjekts zu unterstellen“.
148
Teil 2: Rahmenbedingungen der Austauschverhältnisse
liches Verhalten des Datensubjekts zu unterbinden, welches die Verpflichtung zur Einwilligungserteilung zunächst eingeht und sich dieser dann treuwidrig zu entziehen versucht.840 Das Widerrufsrecht wäre demnach unter Berufung auf Treu und Glauben auszuschließen, wenn infolge einer wirksamen vertraglichen Leistungspflicht das Datensubjekt die Einwilligung unmittelbar wieder erteilen müsste.841 Zur Begründung der Einschränkbarkeit des Widerrufsrechts werden insbesondere die Privatautonomie der Vertragsparteien und die Gefahr einer Entwertung des Einwilligungsrechts herangezogen. Unter Berücksichtigung der Interessenlage der Vertragsparteien und des Einsatzes personenbezogener Daten als Austauschgegenstand mit wirtschaftlichem Vermögenswert sei das Datensubjekt daran festzuhalten, dass es durch die Eingehung der Verpflichtung seine Einwilligung zu erteilen, eine rechtsgeschäftlich bindende Vermögensdisposition getroffen habe.842 Die Annahme eines uneinschränkbaren Widerrufsrechts bei der Vereinbarung einer datenschutzrechtlichen Einwilligung als vertragliche Leistungspflicht greife dagegen erheblich in die Privatautonomie beider Vertragsparteien ein.843 Die informationelle Selbstbestimmung dürfe nicht pauschal zu dem Zweck vorgeschoben werden, um sich nach Leistungserhalt praktisch kostenlos durch das Widerrufsrecht der eingegangenen Verpflichtung zu entledigen und um eine derartige Störung des Austauschverhältnisses zu legitimieren.844 Die Uneinschränkbarkeit des Widerrufsrechts konstituiere damit nicht nur einen Eingriff in den Rechtsgrundsatz der Vertragsfreiheit, welcher auch im Unionsrecht anerkannt wird, sondern auch in das Einwilligungsrecht selbst, welches hierdurch entwertet wird.845 Die Möglichkeit eines jederzeitigen Widerrufs sei daher durch „allgemeine Rechtsgrundsätze des Unionsrechts und das nationale Schuldvertragsrecht“ einzuschränken.846 Der Schutz des Betroffenen würde dadurch nur unerheblich beeinträchtigt werden, da die Einwilligung weiterhin die sonstigen Wirksamkeitsanforderungen der DSGVO nach Art. 4 Nr. 11 DSGVO sowie Art. 7 DSGVO zu erfüllen habe, welche nicht kraft Vereinbarung abbedungen werden können, und ein Ausschluss des Wider-
840
Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 536–538; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 57; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 91, 92 m. w. N., eine Kontrolle mittels Interessenabwägung oder Unzumutbarkeitserwägungen jedoch seit Geltung der DSGVO nicht mehr für möglich haltend. 841 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 92 m. w. N. 842 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 536; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 38; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 273. 843 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, 92. Zur Selbstverantwortung des Einwilligenden: Ohly, „Volenti non fit iniuria“, 2002, 79, 80. Ähnlich Kumkar, ZfPW 2020, 306, 331. 844 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 535–537. 845 Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 92. 846 Ebenda.
§ 8 Rechtliche Grundlagen
149
rufsrechts von dem Bestehen einer wirksamen vertraglichen Verpflichtung abhängen würde.847 Schließlich würde ein uneinschränkbares Widerrufsrecht den Anbietern falsche Anreize setzen, indem es für diese am wirtschaftlichsten wäre, möglichst schnell möglichst viele Daten zu erheben und zu verarbeiten.848 bb) Relevanz schützenswerter Datenverarbeitungsinteressen? Eine differenzierte Auffassung wird von Linardatos vertreten, welcher hierbei auf die Erwägungen von Buchner aufbaut. Maßgeblich ist hiernach, ob ein schützenswertes Datenverarbeitungsinteresse des Anbieters besteht.849 Das Widerrufsrecht wäre demnach teilweise zu beschränken oder vollständig auszuschließen, wenn keine berechtigten Interessen des Datensubjekts der Datenverarbeitung entgegenstünden und deren Fortsetzung diesem damit objektiv zuzumuten sei.850 Dies wäre anzunehmen, wenn die der datenschutzrechtlichen Einwilligung zugrundeliegenden Umstände sich nicht wesentlich verändert haben oder nachträglich entfallen sind.851 Eine wesentliche Veränderung dieser Umstände würde etwa vorliegen, wenn die seitens des datenverarbeitenden Anbieters kommunizierten und dem Vertrag zugrundeliegenden berechtigten Datenverarbeitungsinteressen nur zu Beginn des Vertragsverhältnisses bestünden.852 Würde das Datensubjekt trotz fortbestehender Zumutbarkeit den Widerruf erklären, so wäre eine Einschränkung des Widerrufsrechts zur Verhinderung missbräuchlichen Verhaltens nach Treu und Glauben gerechtfertigt.853 Unterschieden wird in dieser Hinsicht von den Vertretern dieser Auffassung zwischen Austauschverhältnissen mit punktuellem und solchen mit dauerhaftem Leistungsaustausch: Entscheidend für das Vorliegen 847
Ebenda. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 536, 537, wonach dies auch dem Gebot der Datenminimierung aus Art. 5 Abs. 1 lit. b DSGVO zuwiderlaufen würde; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 22, für den Fall der Qualifizierung einer Pflicht zur Einwilligungserteilung als Naturalobligation. 849 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 537; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 38 ff.; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 270, 272 ff. 850 Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 270; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 536, 537; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 38. 851 Ebenda. 852 Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 39 sowie Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 270, 271, führen als Beispiele hierzu Daten zur Bonität, Seriosität oder zum Risikoprofil der anderen Vertragspartei an. 853 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 536; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 57. 848
150
Teil 2: Rahmenbedingungen der Austauschverhältnisse
eines schützenswerten Datenverarbeitungsinteresses ist demnach, welche vertraglichen Vereinbarungen zum Äquivalenzverhältnis und zur Vertragslaufzeit getroffen wurden.854 Ist keine feste Vertragslaufzeit vereinbart und ist das Datensubjekt vertraglich oder gesetzlich dazu berechtigt, das Vertragsverhältnis zu jeder Zeit zu beenden, so bestünde kein schützenswertes Interesse des Anbieters und keine Rechtfertigung für eine Einschränkung des Widerrufsrechts.855 Läge dagegen ein Vertrag mit fest bestimmter Laufzeit ohne außerordentliche Vertragsauflösungsrechte vor, so könne auch ein vollständiger Ausschluss des Widerrufsrechts gerechtfertigt sein.856 Das Vertrauen des Anbieters, die Daten über die Vertragsdauer nutzen zu können, sei in diesem Fall schützenswert.857 Ein dennoch erfolgender vorzeitiger Widerruf stelle zudem einen Vertragsbruch seitens des Datensubjekts dar, welches sich schadensersatzpflichtig machen würde.858 Bei punktuellen Austauschverträgen ohne Vertragslaufzeitvereinbarung soll hingegen, nach den Ausführungen von Linardatos, ein vorzeitiger Widerruf der Einwilligung, welcher die Wertschöpfungsmöglichkeiten des Anbieters beeinträchtigt, für sich allein genommen noch nicht genügen, um eine Pflichtverletzung des Datensubjekts zu konstituieren.859 Es müsse sich zusätzlich um einen „missbräuchliche[n] Widerruf“ handeln.860 Eine solche „Widerrufserklärung in missbräuchlicher Absicht“ läge vor, wenn es dem Datenschuldner „darum geht, sich 854
Durch die Vornahme einer entsprechenden Schrankenbestimmung des Widerrufsrechts nach Schutzwürdigkeitsgesichtspunkten soll die „Gefahr einer untragbaren Beeinträchtigung des Selbstbestimmungsrechts der Betroffenen“ vermieden werden. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 537; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 272, 273, wonach Vorgaben bezüglich einer Vertragsauflösung seitens des Datensubjekts wie die Einhaltung einer Frist auch auf das Widerrufsrecht zu übertragen wären. Vgl. auch Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 39, auf die Dauer des Informationsinte resses abstellend. 855 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 537; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 272, 273, die Einschränkbarkeit von dem Vorliegen sonstiger Auflösungsrechte des Dateninhabers im Rahmen des Schuldverhältnisses abhängig machend. 856 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 537; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 273. 857 Ebenda. 858 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 536–538. In welchen Konstellationen nur eine Schadensersatzpflicht des Datensubjekts bei vorzeitiger Ausübung des Widerrufsrechts und kein vollständiger Ausschluss des Widerrufsrechts anzunehmen wäre, geht dabei nicht genau aus den Ausführungen von Linardatos hervor. 859 Vgl. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 537, 538. 860 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 538.
§ 8 Rechtliche Grundlagen
151
der Gegenleistungspflicht zum Nachteil des Gläubigers zu entziehen“.861 Dies läge vor, wenn das Datensubjekt „seine Einwilligung ohne Rücksicht auf berechtigte Belange des Vertragspartners, ohne Vorwarnung und mit einer Schädigungsabsicht widerruft“.862 Die Schwierigkeit, eine entsprechende subjektive Intention in der Praxis nachzuweisen, kann jedoch auch Linardatos nicht von der Hand weisen.863 Linardatos rät Anbietern datengetriebener Austauschgeschäfte daher, im Rahmen der Vertragsgestaltung eine bedingte Zahlungspflicht bei verfrühtem Einwilligungswiderruf vorzusehen oder sich vertraglich zusichern zu lassen, die erhobenen Daten in anonymisierter Form weiter verarbeiten zu dürfen.864 c) Teleologische Reduzierung von Art. 7 Abs. 3 S. 1 DSGVO Sattler entwickelte einen eigenständigen Lösungsvorschlag zur Problematik der Einschränkbarkeit des Widerrufsrechts.865 Die Theorie Sattlers basiert auf zwei grundlegenden Annahmen: Erstens sei der datenschutzrechtliche Begriff der Einwilligung innerhalb der DSGVO sowie insbesondere innerhalb der Art. 4 Nr. 11 DSGVO, Art. 6 Abs. 1 lit. a DSGVO und Art. 7 Abs. 3 DSGVO als Gattungsbegriff zu interpretieren und in mehrere Stufen zu unterteilen.866 Eine primärrechtskonforme Auslegung des Art. 7 Abs. 3 S. 1 DSGVO würde danach ergeben, dass zwar die einseitige Einwilligung stets unbeschränkbar frei widerrufen werden kann, jedoch zugunsten der europarechtlich geschützten Vertragsfreiheit die Bindungswirkung von Einwilligungen in Form schuldrechtlicher Gestattungen zuzulassen ist, die nicht dem jederzeitigen Widerrufsrecht nach Art. 7 Abs. 3 DSGVO unterfallen.867 Als zweite Annahme geht Sattler von einem Vorrang der Einwilligung als rechtsgeschäftlichem Erlaubnistatbestand nach Art. 6 Abs. 1 lit. a DSGVO gegenüber den gesetzlichen Erlaubnistatbeständen aus.868 Innerhalb der gesetzlichen Erlaubnistatbestände sei 861
Ebenda. Ebenda. 863 Ebenda. 864 Ebenda. Während letzterer Vorschlag infolge der fehlenden Anwendbarkeit der DSGVO beim Vorliegen anonymisierter Daten keinen Bedenken ausgesetzt ist, begegnet der erste Vorschlag erheblichen Bedenken und dürfte wegen Verstoßes gegen EG 42 S. 5 DSGVO unwirksam sein. Hierzu unten bei Fn. 1501, 1502. 865 Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 230–236; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 34–46; Sattler, JZ 2017, 1036, 1041 ff. Hierzu auch Sattler, CR 2020, 145, 152; Sattler, NJW 2020, 3623, 3628. 866 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 34 ff. 867 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 22, 35, 37 ff. 868 Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 233, 241, 242. 862
152
Teil 2: Rahmenbedingungen der Austauschverhältnisse
zudem ein Vorrang des vertragsakzessorischen Art. 6 Abs. 1 lit. b DSGVO gegenüber Art. 6 Abs. 1 lit. f DSGVO anzunehmen, welcher maßgeblich auf eine Inte ressensabwägung abstellt und keinerlei Willensbekundung des Datensubjekts mehr voraussetzt.869 Die zweite Annahme stellt dabei weniger einen konkreten Vorschlag zur Einschränkbarkeit des Widerrufsrechts dar, sondern unterstreicht vielmehr die zugrundeliegende Prämisse der ersten Annahme, womit „die Bedeutung der Privatautonomie als Fundament eines künftigen Datenschuldrechts betont“ wird, welche maßgeblich zur Verwirklichung der informationellen Selbstbestimmung des Einzelnen geboten sei.870 Als Grundlage des erstgenannten Vorschlags zur Einschränkung des Widerrufsrechts wählt Sattler die von Ohly entwickelte Stufenleiter der Gestattungen.871 Danach kann die unrechtsausschließende Erlaubnis in ihren verschiedenen Erscheinungsformen im Recht anhand einer nach der Intensität der Bindung des Gestattenden abgestuften Stufenleiter unterteilt werden.872 Um eine Disposition über das Widerrufsrecht und eine Einschränkung der Widerruflichkeit von Einwilligungen im Rahmen von schuldrechtlichen Gestattungsverträgen zu ermöglichen, erwägt Sattler die Anerkennung einer entsprechenden unwiderruflichen Einwilligung durch die nationalen Gesetzgeber sowie die Schaffung eines Gemeinsamen Europäischen Schuldrechts, welches die Unwiderruflichkeit inkorporieren könnte.873 Die Aussichtslosigkeit dieser beiden Varianten aufgrund des Anwendungsvorrangs des Unionsrechts sowie das Scheitern des Gemeinsamen Europäischen Kaufrechts konstatierend, befürwortet Sattler schließlich, als dritte Variante, eine entsprechende Auslegung der DSGVO als Sekundärrechtsakt.874 Eine Auslegung nach Wortlaut, Systematik sowie Telos würde demnach ergeben, dass Art. 7 Abs. 3 S. 1 DSGVO teleologisch auf den Fall der schlichten einseitigen Einwilligung zu reduzieren sei.875 So würde nach der Definition von Art. 4 Nr. 11 DSGVO bereits ein bloßer Realakt den Anforderungen an das Vorliegen einer datenschutzrecht lichen Einwilligung nach dem Begriffsverständnis der DSGVO genügen, wodurch 869 Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 236–238, 242. 870 Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 231, 232, 235. 871 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 35. Zur Stufenleiter der Gestattungen siehe bereits oben Fn. 562. 872 Ohly, „Volenti non fit iniuria“, 2002, 4, 143–177. Unterschieden wird hiernach mit absteigender Intensität der Bindung bei auf den Willen des Betroffenen beruhenden Gestattungsformen zwischen der translativen Rechtsübertragung, der konstitutiven Rechtsübertragung, der schuldvertraglichen Gestattung, der unwiderruflichen Einwilligung sowie der widerruflichen einseitigen Einwilligung. 873 Vgl. Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 36, 37. 874 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 37 ff. 875 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 43.
§ 8 Rechtliche Grundlagen
153
sämtliche Gestattungsformen auf der Stufenleiter die an die Einwilligung gestellten Voraussetzungen erfüllen würden.876 Art. 4 Nr. 11 DSGVO würde demnach seinem Wortlaut nach nur die einseitige Einwilligung als „grundrechtlich zu gewährleistendes Untermaß festleg[en]“ und lasse Raum für Einwilligungsformen höherer Bindungsintensität.877 Als systematisches Argument werden von Sattler Art. 3 Abs. 1 sowie Art. 13 Abs. 2b des früheren Vorschlags für die DIRL878 herangezogen, nach deren Wortlaut von einer Anerkennung von personenbezogenen Daten als Gegenleistung und der Legitimierung einer Datenverarbeitung auch über die Beendigung des Vertrags hinaus seitens des europäischen Gesetzgebers auszugehen war.879 Teleologisch spräche für eine restriktive Auslegung von Art. 7 Abs. 3 DSGVO, dass damit ein sachgerechter Ausgleich zwischen dem Datenschutz und den vom Unionsrecht verbürgten Grundrechten der Unternehmer- und der Berufsfreiheit sowie der Vertragsfreiheit getroffen wäre.880 4. De lege lata: Uneinschränkbarkeit des Widerrufsrechts Den Vertretern einer Einschränkbarkeit des Widerrufsrechts im Rahmen schuldvertraglich erteilter Einwilligungen ist beizupflichten, dass das Widerrufsrecht in Art. 7 Abs. 3 S. 1 DSGVO einen erheblichen und, aufgrund der datenschutzzentrierten Sichtweise der DSGVO, wohl auch nicht intendierten Eingriff in die Vertragsfreiheit und in die autonome Ausübung informationeller Selbstbestimmung der Datensubjekte bedeutet. Eine Einschränkbarkeit lässt sich de lege lata jedoch weder aus der Verordnung selbst herleiten noch überzeugend über eine 876 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 38, 39. 877 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 40, 46. 878 Richtlinienvorschlag der Europäischen Kommission für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragliche Aspekte der Bereitstellung digitaler Inhalte vom 09. 12. 2015, COM(2015) 634 final, 2015/0287 (COD), abrufbar unter https://eurlex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52015PC0634&from=DE [zuletzt geprüft am 02. 05. 2021]. 879 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 28–30, 40, 41; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 228–230. Nach Art. 3 Abs. 1 des Richtlinienvorschlages galt die Richtlinie für alle Verträge, auf deren Grundlage ein Anbieter einem Verbraucher digitale Inhalte bereitstellt oder sich hierzu verpflichtet und der Verbraucher als Gegenleistung einen Preis zahlt oder „aktiv eine andere Gegenleistung als Geld in Form personenbezogener oder anderer Daten“ erbringt. Art. 13 Abs. 2b des Richtlinienvorschlages ordnete im Falle der Beendigung des Vertrags durch den Verbraucher an, dass der Anbieter die Nutzung einer anderen Gegenleistung als Geld zu unterlassen hat, jedoch „mit Ausnahme der Inhalte, die der Verbraucher gemeinsam mit anderen erzeugt hat, die die Inhalte weiterhin nutzen“. 880 Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 42, 43.
154
Teil 2: Rahmenbedingungen der Austauschverhältnisse
restriktive Auslegung bzw. eine Rechtsfortbildung in Form einer teleologischen Reduktion von Art. 7 Abs. 3 S. 1 DSGVO begründen. So beinhaltet die DSGVO keine eigenständigen Regelungen hinsichtlich des praxisrelevanten Einsatzes der datenschutzrechtlichen Einwilligung als Vertragsgegenstand in Schuldverträgen.881 Der Erlaubnistatbestand der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO wie auch die Normierung des jederzeitigen Widerrufsrechts nach Art. 7 Abs 3 S. 1 DSGVO werden vielmehr einheitlich durch die Begriffsbestimmung in Art. 4 Nr. 11 DSGVO geprägt. Als Bestandteil des europäischen Sekundärrechts ist der Einwilligungsbegriff der Auslegung und Fortbildung nach nationalen Rechtsgrundsätzen entzogen und obliegt nach Art. 19 Abs. 1 Uabs. 1 S. 2 EUV der Gerichtsbarkeit der Europäischen Union.882 Mit dem klaren Wortlaut der DSGVO in Art. 7 Abs. 3 S. 1 DSGVO („jederzeit“) wie auch mit der inneren Systematik der DSGVO ist die Einschränkung des Widerrufsrechts kaum zu vereinbaren. Gestützt wird diese Argumentation durch EG 42 S. 5 DSGVO, wonach von der Freiwilligkeit der Einwilligung nur ausgegangen werden sollte, wenn das Datensubjekt in der Lage ist, diese zurückzuziehen, ohne Nachteile zu erleiden.883 Auch mittelbare Einschränkungen, wie ein vertraglicher Verzicht auf das Widerrufsrecht oder das Entstehen von Ersatzansprüchen gegenüber dem Datensubjekt infolge einer Ausübung des Widerrufsrechts, sind damit nicht mit der DSGVO vereinbar.884 In der endgültigen Richtlinienfassung der DIRL wurde schließlich Art. 13 Abs. 2 lit. b des früheren Vorschlags der DIRL ersatzlos gestrichen und nach Art. 16 Abs. 2 DIRL, EG 38 DIRL wird für Fragen der Gültigkeit der datenschutzrechtlichen Einwilligung, ohne weitere Vorgaben hierzu, allein auf die DSGVO verwiesen.885 Gegen eine ausnahmslose Einschränkbarkeit des Widerrufsrechts spricht darüber hinaus, dass gerade bei im Kindesalter abgegebenen Einwilligungen nach Art. 8 Abs. 1 DSGVO i. V. m. EG 65 S. 3, 4 DSGVO der Einwilligungswiderruf besondere Bedeutung besitzt und ohne Einschränkungen möglich sein soll.886 Teleo 881 Auch finden sich in den Erwägungsgründen der DSGVO keine Anhaltspunkte hierzu oder zu einer Einschränkbarkeit des Widerrufsrechts. 882 Wegener, in: Calliess / Ruffert EUV / A EUV, 5. Aufl. 2016, Art. 19 EUV, Rn. 10, 13. 883 Nunmehr auch Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 39. 884 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 208, 209; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 25, 26; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 103; Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 93; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 222. 885 Auch findet sich in der endgültigen Fassung der DIRL nicht mehr die in Art. 3 Abs. 1 des früheren Vorschlags der DIRL verwendete Formulierung der Erbringung „einer anderen Gegenleistung als Geld in Form personenbezogener oder anderer Daten“. Hierzu oben Fn. 879. Stattdessen wird, ohne Klarstellung des Gegenleistungscharakters, in Art. 3 Abs. 1 Uabs. 1 DIRL davon gesprochen, dass die Richtlinie auch dann gilt, wenn „der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder deren Bereitstellung zusagt […]“. Eingehend und m. w. N. hierzu siehe oben Fn. 546. 886 Zu Art. 8 Abs. 1 DSGVO sowie EG 65 DSGVO im Allgemeinen siehe Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 40.
§ 8 Rechtliche Grundlagen
155
logisch besteht zudem kein Bedürfnis hierfür. So lassen sich die Zwecksetzung datengetriebener Austauschverhältnisse und die Interessenlage der Parteien trotz der fehlenden Einschränkbarkeit des Widerrufsrechts sachgerecht im geltenden Recht abbilden, weswegen eine rechtsfortbildende Einschränkung des Widerrufsrechts nicht gerechtfertigt ist.887 Darum ist – der herrschenden Meinung folgend – die rechtspolitische Entscheidung der Uneinschränkbarkeit des Widerrufsrechts und der Höhergewichtung des Datenschutzes gemäß der DSGVO zu respektieren. Aufgrund des Fehlens eines zivilrechtlichen Rechtsrahmens sowie spezieller Vorgaben der Legislative und Judikative für die Behandlung datengetriebener Austauschgeschäfte stellt die Uneinschränkbarkeit des Widerrufsrechts ein prägendes Merkmal datengetriebener Austauschgeschäfte dar und ist deren rechtlicher Einordnung zugrunde zu legen.
887 Zu den Konsequenzen des jederzeitigen Widerrufsrechts für die Interessenlage der Parteien und der Vertragsqualifizierung siehe unten S. 178 f., S. 244 ff., S. 326 ff.
Teil 3
Die Einordnung der Austauschverhältnisse § 9 Vertragstypologie datengetriebener Austauschverhältnisse A. Einleitung und historischer Überblick Bereits vor Beginn der fortschreitenden Digitalisierung und den sich damit stellenden Rechtsfragen musste sich die Rechtswissenschaft mit der Einordnung neuer technischer Entwicklungen und Geschäftsmodelle in das geltende Recht befassen.888 Einhergehend mit dem Erfolgszug der elektronischen Datenverarbeitung und der Etablierung von Computersoftware als Rechtsgegenstand, entstand eine Vielzahl moderner Vertragstypen, welche sich durch ihre Allgegenwärtigkeit in der Gesellschaft auszeichnen, jedoch nur schwer zu systematisieren sind und sich jeweils hinsichtlich ihrer Vertragsgegenstände wie auch ihrer wirtschaftlichen Zielsetzung unterscheiden.889 Gemeinsamkeit dieser innovativen Vertragstypen war und ist, dass sie durch ihren Bezug zur automatisierten elektronischen Datenverarbeitung als disruptiver Technologie miteinander verbunden sind.890 Für das Rechtssystem stellt die Disruption von bestehenden Geschäftsmodellen in Wirtschaft und Gesellschaft die Herausforderung, sich neu ausrichten und prüfen zu müssen, ob damit auftretende Rechtsfragen mit dem geltenden Recht noch zufriedenstellend zu bewältigen sind.891 So steht der Bereich des Softwarevertragsrechts seit Aufkommen der elektronischen Datenverarbeitung in einem Konflikt mit den abstrakt gehaltenen, für die rechtliche Einordnung von modernen, insbesondere disruptiven Geschäftsmodellen auch nicht konzipierten Normen des BGB.892 Neben den Streitfragen zur Sachqualität von Software sowie, darauf aufbauend, zur rechtlichen Qualifizierung von Softwareüberlassungsverträgen erschwerten die vielfältigen Möglichkeiten der konkreten Ausgestaltung der Vertragsverhältnisse
888 Eingehend Martinek, Moderne Vertragstypen III, 1993, S. 4 ff.; Bartsch, CR 2000, 3, 4 m. w. N. 889 Martinek, Moderne Vertragstypen III, 1993, 4. 890 Martinek, Moderne Vertragstypen III, 1993, 4, 5; Kirn / Müller-Hengstenberg, NJW 2017, 433, 434, bezogen auf das Aufkommen des Cloud-Computing. 891 In dieser Hinsicht besitzt Martinek, Moderne Vertragstypen I, 1991, 10 ff. zeitlose Gültigkeit. 892 Vgl. die Einleitung zu Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 1–3. Zur Diskussion über die Rechtsnatur von Computerprogrammen: Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 12–22.
§ 9 Vertragstypologie datengetriebener Austauschverhältnisse
157
im Einzelfall deren Einordnung in die Vertragstypen des BGB.893 Seitens Literatur und Rechtsprechung wurden und werden, je nach Vertragsgegenstand und spezifischen Besonderheiten einzelner disruptiver Geschäftsmodelle, seit jeher unterschiedliche Meinungen vertreten.894 Der Erfolgszug der Digitalisierung und der massenhaften Verarbeitung personenbezogener Daten zu kommerziellen Zwecken über das Internet stellt das Rechtssystem in vielen Aspekten erneut vor diese Herausforderung. So wurde der Problemkreis der Verarbeitung personenbezogener Daten bis vor einigen Jahren überwiegend nur von der öffentlich-rechtlichen Perspektive des Datenschutzrechts aus betrachtet.895 Ein gefestigter Meinungsstand in Schrifttum und Rechtsprechung zur rechtlichen Behandlung datengetriebener Austauschgeschäfte im Zivilrecht ist noch nicht vorhanden.896
B. Grundlagen der Vertragstypologie Die Qualifizierung datengetriebener Austauschverhältnisse erfolgt vorliegend anhand der Vertragstypologie, welche als Lehre von den Vertragstypen „ein[en] systematische[n] Erklärungsansatz [bietet], um das Wesen eines Vertrags zu bestimmen“.897 Der Begriff Vertragstypus wird in der Rechtswissenschaft verwendet, um spezifische Arten von Rechtsverhältnissen zu kennzeichnen, welche bestimmte empirische und normative Elemente aufweisen.898 Bei Einnahme einer abstrakt-normativen Perspektive ermöglicht der Vertragstypus als Strukturmuster die rechtliche Einordnung von in der Rechtswirklichkeit vorzufindenden Lebenssachverhalten.899 Der Typus reduziert den Sachverhalt eines Schuldverhältnisses dabei „auf eine charakteristische Struktur bestimmter Rechte und Pflichten, die diesen fernab von unterschiedlichen Detailmerkmalen prägen“.900 Gesetzlich ge-
893
Zur Sachqualität von Software siehe oben S. 88 f.; zu den unterschiedlichen Ausprägungen des Cloud-Computing: Schuster / Reichl, CR 2010, 38, 39, 40; Kirn / Müller-Hengstenberg, NJW 2017, 433, 434; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 116 ff. 894 Eine Darstellung des Meinungsstands zur jeweiligen Zeit bieten: Hoeren, Softwareüberlassung als Sachkauf, 1989, 8 ff.; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 116 ff.; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 37, 38; Stieper, in: Staudinger BGB, Neubearbeitung 2017, § 90 BGB, Rn. 14, 15. Ausführlich hierzu unten S. 267 ff. 895 Vgl. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 85. 896 Hierzu unten S. 195 ff., 241 ff. 897 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 8. Grundlegend hierzu Leenen, Typus und Rechtsfindung, 1971, 177 ff. 898 Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 294, 295; Leenen, Typus und Rechtsfindung, 1971, 85–88. 899 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 8; Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 298. 900 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 8. Vgl. auch L eenen, Typus und Rechtsfindung, 1971, 183 ff.
158
Teil 3: Die Einordnung der Austauschverhältnisse
regelte Vertragstypen finden sich im Schuldrecht des BGB insbesondere im achten Abschnitt des zweiten Buches in den §§ 433 ff. BGB. Diesen Vertragstypen liegt eine Kodifizierung durch den Zivilrechtsgesetzgeber zugrunde, welcher damit versucht, in der Rechtswirklichkeit vorgefundene Lebenssachverhalte trotz ihrer vielfältigen Erscheinungsformen in ihrer Typizität zu erfassen und im Gesetz seinen Erwägungen entsprechend zu normieren.901 Der Vertrag wird durch die Rechtsordnung als elementares Instrument bereitgestellt, um im Rahmen von Tauschakten wirtschaftliche Ziele zu verfolgen und durchzusetzen.902 Die Schwierigkeit der Einordnung disruptiver Geschäftsmodelle, wie beispielsweise datengetriebener Austauschgeschäfte, in das bestehende Rechtssystem liegt darin, dass diese teils erhebliche Abweichungen von den normierten Grundtypen gesetzlich geregelter schuldrechtlicher Verträge aufweisen, welche die Zuordnung entsprechender Rechtsgeschäfte zu bereits etablierten Vertragstypen in ihrer typischen Erscheinungsform nur bedingt zulassen.903 Vom starren Rechtsbegriff unterscheidet sich der Vertragstypus in der Hinsicht, dass er nicht vom strikten Bestehen aller Begriffsmerkmale abhängig ist.904 Ob ein Vertrag einem bestimmten Vertragstypus zugeordnet werden kann, erfordert daher nicht eine Übereinstimmung in allen Einzelheiten.905 Vielmehr ist auf das Gesamtbild abzustellen, welches sich aus „einem auf Sinn- und Funktionszusammenhänge abstellenden Wertungsakt des Rechtsanwenders“ ergibt.906 Dies entspricht auch der in der Realität vorzufindenden Vertragspraxis, welche, wie das Leben, gerade „vom mehr oder weniger aller Eigenschaften“ geprägt ist.907 Dementsprechend geht auch das Schuldvertragsrecht des BGB nicht streng begrifflich vor, sondern bedient sich gesetzlicher Vertragstypen zur Regelung wiederkehrender, sich ähnelnder Lebenssachverhalte.908 Verträge können demgemäß in kodifizierte Verträge, in verkehrstypische, nicht kodifizierte Verträge („Innominatverträge“) sowie in 901
Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 294, 295. Martinek, Moderne Vertragstypen I, 1991, 2. 903 Vgl. Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 296–298. 904 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 8, 9; Martinek, Moderne Vertragstypen I, 1991, 19; Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 123. Eingehend hierzu: Leenen, Typus und Rechtsfindung, 1971, 34 ff., 49 ff. Dies bedeutet nicht, dass einzelne Begriffsmerkmale für das Vorliegen eines Vertragstypus nicht zwingend sein können. So sind etwa die Schenkung oder die Leihe stets unentgeltlich, während beim Kauf oder der Miete die Entgeltlichkeit unverzichtbar ist. Siehe Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 123, 295–298. 905 Martinek, Moderne Vertragstypen I, 1991, 19 m. w. N. 906 Martinek, Moderne Vertragstypen I, 1991, 19 (Hervorhebung im Original). Vgl. auch L arenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 297, 298; Leenen, Typus und Rechtsfindung, 1971, 183, 184. 907 So Bartsch, CR 2000, 3, 5; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 9. 908 Bartsch, CR 2000, 3, 5; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 9; Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 123, 295. Eingehend zu den gesetzlichen Schuldvertragstypen und der Typenfreiheit im BGB: Martinek, Moderne Vertragstypen I, 1991, 15 ff. 902
§ 9 Vertragstypologie datengetriebener Austauschverhältnisse
159
nicht kodifizierte, nicht verkehrstypische, atypische Verträge eingeteilt werden.909 Im Gegensatz zu kodifizierten Verträgen erhalten verkehrstypische Verträge ihre typische Ausgestaltung dabei durch wiederkehrende Interessenkonstellationen und Regelungsmuster im Bereich der Vertragspraxis, wie im Rahmen von AGB.910
C. Notwendigkeit einer vertragstypologischen Einordnung Zur Ermittlung der konkreten Stellung eines Vertrags im System der Vertragstypen sind das zwischen den Parteien vereinbarte Pflichtenprogramm, die mit dem Rechtsgeschäft verfolgten wirtschaftlichen Zwecke sowie die Interessenlage entscheidend, deren Analyse sich ein Vergleich mit dem Gesamtbild eines gesetzlich geregelten Vertragstypus anschließt.911 Diese Qualifikation bzw. rechtliche Einordnung oder Rechtsnaturbestimmung eines Schuldvertrags ist von erheblicher Bedeutung für die Anwendung zwingender Rechtsvorschriften, die seitens des Gesetzgebers dem dispositiven Recht als Grenzen gesetzt wurden.912 Neben dem Bestehen besonderer Gültigkeitsvoraussetzungen, wie Formerfordernissen, sind dies insbesondere zwingende vertragstypenspezifische Regelungen im Gewährleistungs-, Leistungsstörungs- und Verbraucherrecht.913 Darüber hinaus ist die Rechtsnaturbestimmung eines Vertrags von erheblicher Bedeutung für die Anwendbarkeit von Vorschriften, welche – wie § 307 Abs. 2 BGB oder § 269 Abs. 1 BGB – an das gesetzliche Leitbild eines Vertrags oder die Natur des Schuldverhältnisses anknüpfen.914 Lassen sich Regelungslücken in Vertragswerken nicht im Rahmen einer (ergänzenden) Vertragsauslegung schließen, ist die Bestimmung des konkreten Vertragstypus zudem für den Rekurs auf dispositives Gesetzesrecht von Bedeutung.915 Auch der Lückenschluss im Wege einer Analogie erfordert das Vorliegen einer planwidrigen Regelungslücke sowie einer vergleichbaren Interessen 909 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 200; Martinek, Moderne Vertragstypen I, 1991, 2–4. Vgl. auch Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 25, 26. 910 Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 25 m. w. N. und zahlreichen Beispielen. Begriffsbestimmende Merkmale von verkehrstypischen Verträgen sind das Fehlen einer gesetzlichen Kodifikation als Vertragstypus sowie das Bestehen einer gleichförmigen, neuartigen Regelungs- und Interessenlage. Siehe Martinek, Moderne Vertragstypen I, 1991, 3, 4. 911 Martinek, Moderne Vertragstypen I, 1991, 21. 912 Martinek, Moderne Vertragstypen I, 1991, 21, 22. 913 Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 119; Martinek, Moderne Vertragstypen I, 1991, 18. Darüber hinaus weist die zivilrechtliche Einordnung von Schuldverträgen auch Bedeutung für insolvenzrechtliche, bilanzielle und steuerrechtliche Fragen auf. Siehe Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 199; Martinek, Moderne Vertragstypen I, 1991, 22. 914 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 196–199 m. w. N.; Bittner / Kolbe, in: Staudinger BGB, Neubearbeitung 2019, § 269 BGB, Rn. 10, 18. 915 Vgl. Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 195, 196; Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 119, 121, 122.
160
Teil 3: Die Einordnung der Austauschverhältnisse
lage und ist damit von der Findung eines Vergleichsmaßstabs in Form eines Vertragstypus abhängig.916 Verschärft tritt dieses Bedürfnis bei der AGB-rechtlichen Inhaltskontrolle nach § 307 Abs. 2 i. V. m. Abs. 1 S. 1 BGB auf, deren Anwendung an die Bestimmung der wesentlichen Grundgedanken der gesetzlichen Regelung sowie der wesentlichen Rechte und Pflichten, die sich aus der Natur des Vertrags ergeben, anknüpft.917 Existiert kein kodifizierter Vertragstyp, so ist entsprechend der Vertragsnatur gemäß § 307 Abs. 2 Nr. 2 BGB das von der Zwecksetzung und der Interessenlage des jeweiligen Vertrags sowie von der Verkehrsauffassung geprägte vertragliche Leitbild zu ermitteln.918 Aufgrund der fast ausnahmslosen Regelung datengetriebener Austauschgeschäfte mittels AGB seitens der Anbieter kommt der Leitbildfunktion von Vertragstypen dementsprechend erhebliches Gewicht auf dem Gebiet digitaler Geschäftsmodelle zu.
D. Das System der Vertragstypen I. Typische und atypische Verträge Zur rechtlichen Erfassung datengetriebener Austauschverhältnisse ist deren Einordnung innerhalb des Systems der Vertragstypen im Zivilrecht entscheidend. Grundsätzlich lassen sich auf der Grundlage der Vertragsfreiheit schuldrechtliche Beziehungen unter Privaten frei begründen und ausgestalten.919 Hiervon umfasst ist – neben der Freiheit der Wahl des Vertragspartners und der Abschluss- und Beendigungsfreiheit – auch die Typenfreiheit als die Freiheit, schuldrechtliche Verträge inhaltlich nach Belieben zu gestalten.920 Die Frage der Rechtsnatur bestimmung eines Vertrags stellt sich in diesen Fällen, wenn ein unter Ausnutzung der Vertragsinhaltsfreiheit geschlossenes Rechtsverhältnis aufgrund seines vereinbarten Pflichtenprogramms sich nicht mehr in die gesetzlich kodifizierte Typenordnung einfügen lässt.921 Bleibt ein Vertrag hingegen, trotz gewisser Modifikation des typischen Pflichtenprogramms, innerhalb der vorgesehenen Variationsbreite eines gesetzlichen Vertragstypus, so ist er diesem noch zuzuordnen und es liegt
916
Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 196. Martinek, Moderne Vertragstypen I, 1991, 22; Datta / Klein, CR 2017, 174, 180; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 196, 197. Diese besitzt wegen § 310 Abs. 1 S. 1 BGB zudem besondere Bedeutung für den unternehmerischen Rechtsverkehr, auf den große Teile der Klauselverbote nach den §§ 308, 309 BGB keine Anwendung finden. 918 Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 169; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 197. 919 Siehe oben bei Fn. 486, 487. 920 Martinek, Moderne Vertragstypen I, 1991, 17 sowie oben Fn. 487. 921 Martinek, Moderne Vertragstypen I, 1991, 19; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 206, 207; Gehrlein, in: BeckOK BGB, 57. Ed. 2021, § 311 BGB, Rn. 18; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 24. 917
§ 9 Vertragstypologie datengetriebener Austauschverhältnisse
161
zwar ein ungewöhnlicher, aber vom zulässigen Änderbarkeitsspektrum des gesetzlichen Vertragstypus noch gedeckter Vertrag vor.922 Dies ist beispielsweise anzunehmen, wenn nur eine Nebenleistung modifiziert wird, aber die wesentlichen Vertragsmerkmale (essentialia negotii) eines gesetzlichen Typus im Übrigen unangetastet bleiben.923 Lässt sich ein Schuldvertrag nicht mehr einem gesetzlichen Vertragstypus zuordnen, so ist dieser als atypischer Vertrag zu klassifizieren, wobei zwischen atypischen Verträgen im weiteren und im engeren Sinne unterschieden wird.924 Atypische Verträge im engeren Sinne oder auch Verträge sui generis stellen eine vollkommene Neuschöpfung dar, welche aufgrund ihres Vertrags inhalts keiner bestehenden Ordnungsstruktur zugeordnet werden kann.925 Den atypischen Verträgen im weiteren Sinne unterfallen darüber hinaus auch Verträge, bei denen das vereinbarte Pflichtenprogramm zwar teilweise einem gesetzlichen Vertragstypus noch entspricht, jedoch die vorgesehene Variationsbreite überschreitet, sodass diese sich nicht mehr oder nicht mehr nur einem kodifizierten Schuldvertragstypus zuordnen lassen.926 Zu den atypischen Verträgen im weiteren Sinne bzw. typengemischten Verträgen zählen Typenkombinationsverträge, bei denen Vertragsparteien sich zu Leistungen verpflichten, die zu unterschiedlichen gesetzlichen Vertragstypen gehören, sowie Typenverschmelzungsverträge, bei denen sich die vertragliche Hauptleistung verschiedenen Vertragstypen in unterschiedlicher Ausprägung zuordnen lässt.927 Zu den typengemischten Verträgen zählen zudem Verträge mit atypischer Gegenleistung.928 Entscheidendes Charakteristikum bei diesen Verträgen ist die Vereinbarung einer vom gesetzlichen Vertragstypus abweichenden und unüblichen Gegenleistung.929
922 Martinek, Moderne Vertragstypen I, 1991, 19, 20; Leenen, Typus und Rechtsfindung, 1971, 184. 923 Martinek, Moderne Vertragstypen I, 1991, 20; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 200; Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 80–83. 924 Ebenda. 925 Martinek, Moderne Vertragstypen I, 1991, 20, 21; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 24, 25. 926 Ebenda. 927 Martinek, Moderne Vertragstypen I, 1991, 20; Gehrlein, in: BeckOK BGB, 57. Ed. 2021, § 311 BGB, Rn. 23, 25; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 28, 29. 928 Martinek, Moderne Vertragstypen I, 1991, 20; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 28. Diese werden auch gekoppelte oder doppeltypische Verträge genannt. Vgl. Grüneberg, in: Palandt BGB, 80. Aufl. 2021, Überbl v § 311 BGB, Rn. 22. 929 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 203; M artinek, Moderne Vertragstypen I, 1991, 20; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 28, 31.
162
Teil 3: Die Einordnung der Austauschverhältnisse
II. Kriterien der Qualifikation als gesetzlicher Vertragstypus Zur Einordnung eines Vertrags in das System der gesetzlichen Vertragstypen sind der anhand des vereinbarten Pflichtenprogramms zu bestimmende Vertragszweck sowie die Interessenlage der Vertragsparteien entscheidend.930 Aufbauend auf dem Vertragszweck kann darüber hinaus die vereinbarte Risikoverteilung zwischen den Vertragsparteien zu berücksichtigen sein.931 Das festgestellte Gesamtbild des einzuordnenden Vertrags ist in der Folge mit der abstrakt-generell normierten Grundform gesetzlicher Vertragstypen zu vergleichen.932 Maßgeblich ist hierbei auf die primären Hauptleistungspflichten abzustellen, welchen typenprägende Funktion zukommt, da diese zur Erreichung des Vertragszwecks notwendig und von den Vertragsparteien als Teil der essentialia negotii festzulegen sind.933 Dagegen besitzen Nebenleistungspflichten keine typenprägende Funktion.934 Nebenleistungspflichten verfolgen grundsätzlich keinen eigenen Zweck, sondern nehmen eine dienende Funktion bei der Abwicklung, zur Ergänzung oder zur Gewährleistung der Hauptleistung ein.935
E. Zur rechtlichen Behandlung atypischer Verträge In atypischen Verträgen können die typenprägenden Hauptleistungspflichten nicht oder nur teilweise einem gesetzlich geregelten Vertragstypus zugeordnet werden. Für Rechtsfragen, betreffend das Zustandekommen, die Durchführung, die Abwicklung sowie den Regelungsinhalt atypischer Verträge, kommt der Rechtsnatur- sowie Rechtsfolgenbestimmung damit erhebliche Bedeutung zu.936 Die Ansätze, welche in der Rechtswissenschaft hierzu vertreten werden, sind vielfältig, werden jedoch, aufgrund der jeweiligen Schwächen der einzelnen Theorien, insgesamt als unzureichend erachtet.937 930
Martinek, Moderne Vertragstypen I, 1991, 21; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 204, 205. 931 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 204. 932 Martinek, Moderne Vertragstypen I, 1991, 20, 21; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 203, 204; Leenen, Typus und Rechtsfindung, 1971, 184. 933 Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 144–146; Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 13; Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 29; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 203–205. 934 Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 29; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 204. 935 Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 14; Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 29, 72 ff., 95 ff.; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 151. 936 Martinek, Moderne Vertragstypen I, 1991, 21, 22 sowie oben S. 159 f. 937 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 206 ff.; Martinek, Moderne Vertragstypen I, 1991, 22 ff.; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 26, 28; Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 83, 92.
§ 9 Vertragstypologie datengetriebener Austauschverhältnisse
163
I. Theorien zur Rechtsnaturbestimmung Im Zusammenhang mit gemischten Verträgen oder atypischen Verträgen im weiteren Sinne wurden unter anderem die Absorptionsmethode, die Kombinations methode, die Theorie der analogen Rechtsanwendung sowie die im schweizerischen Schrifttum gebildete Kreationstheorie erwogen.938 Während nach der Absorptionsmethode auf das Recht des dominanten Vertragsteils abzustellen ist, versuchen die Kombinationsmethode wie auch die Theorie der analogen Rechtsanwendung für einzelne Vertragsteile passende Rechtsnormen zu finden, welche direkt bzw. über Analogien nebeneinander Anwendung finden.939 Nach der Kreationstheorie soll der Rechtsanwender stattdessen nach Vorschriften entscheiden, die der Gesetzgeber hypothetisch für diesen Fall aufgestellt hätte.940 Nach allgemeiner Auffassung kann jedoch keine der Theorien überzeugend Gültigkeit beanspruchen oder als ausreichend betrachtet werden, um die Rechtsanwendung bei atypischen Verträgen einheitlich und angemessen zu regeln.941 Die Theorien gelten als zu schematisch und als regelmäßig ungeeignet, um der Komplexität atypischer Verträge gerecht zu werden, weshalb sich von ihnen zu lösen ist und im Ausgangspunkt vielmehr auf die konkreten Umstände des Einzelfalls, wie die Interessenlage der Vertragsparteien sowie den Sinn und Zweck des Vertrags, abzustellen ist, um die Vorzugswürdigkeit eines Abstellens auf das Recht des dominanten Vertragsteils oder eine Aufspaltung des anzuwendenden Rechts auf einzelne Vertragsteile zu bewerten und eine Bestimmung der einschlägigen Rechtsvorschriften vorzunehmen.942 II. Vorzüge eines faktisch teleologischen Vorgehens In Ermangelung einer Zuordnung zu einem gesetzlichen Vertragstypus finden auf atypische Verträge damit zunächst nur der allgemeine Teil des BGB sowie die 938
Ein Überblick über die einzelnen Theorien findet sich bei Martinek, Moderne Vertragstypen I, 1991, 23–25 sowie bei Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 91 ff. 939 Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 207; Martinek, Moderne Vertragstypen I, 1991, 22–24; Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 91. 940 Martinek, Moderne Vertragstypen I, 1991, 24, 25 m. w. N. 941 Martinek, Moderne Vertragstypen I, 1991, 22, 25, spricht von einer Theorienlage, welche sich als „kaum fruchtbar erwiesen hat“. Ähnlich: Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 28; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 208; Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 82, 83, 92; Grüneberg, in: Palandt BGB, 80. Aufl. 2021, Überbl v § 311 BGB, Rn. 25. 942 Vgl. Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 82, 83, 92–95; Grüneberg, in: Palandt BGB, 80. Aufl. 2021, Überbl v § 311 BGB, Rn. 25; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 28; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 208; eine eingehende Kritik und Analyse der Schwächen der einzelnen Theorien findet sich bei Martinek, Moderne Vertragstypen I, 1991, 22–25; Stadler, in: Jauernig BGB, 18. Aufl. 2021, § 311 BGB, Rn. 33.
164
Teil 3: Die Einordnung der Austauschverhältnisse
allgemeinen Regeln des Schuldrechts uneingeschränkt Anwendung.943 Daneben ist zur Rechtsfolgenbestimmung bei atypischen Verträgen an den Sinn und Zweck des einzelnen Vertrags, an das vereinbarte Pflichtenprogramm und die Interessenlage der Vertragsparteien anzuknüpfen.944 Ist die Interessenlage der Vertragsparteien mit jener gesetzlich geregelter Vertragstypen vergleichbar, ist eine Orientierung an deren gesetzlichen Regelungen vorrangig geboten.945 Dementsprechend sind für Hauptleistungspflichten bei Vorliegen zusammengesetzter Verträge grundsätzlich eigenständig die Vorschriften des auf die jeweilige Verpflichtung passenden Vertragstypus heranzuziehen.946 Kollidieren die Rechtsvorschriften verschiedener Vertragstypen hingegen miteinander, ist grundsätzlich dem Vertragstyp der Vorzug zu geben, welcher den rechtlichen oder wirtschaftlichen Schwerpunkt des Vertrags bildet, es sei denn, die Vorschriften des anderen Typus sind in der Lage, die Eigenart des Vertrags besser zu würdigen.947 Haben sich bei verkehrstypischen Verträgen bereits Verkehrsgewohnheiten herausgebildet, so sind diese nach § 157 BGB im Rahmen der Vertragsauslegung und Zweckbestimmung zu berücksichtigen.948 Auch bei vollständig typenfremden Verträgen ist vorrangig eine Orientierung an dem Recht ähnlicher gesetzlicher Regelungen und Vertragstypen geboten, soweit dies mit der Interessenlage der Vertragsparteien vereinbar ist.949 Weicht die festgestellte spezifische Interessenlage der Parteien von den gesetzlich geregelten Vertragstypen jedoch ab oder ist der Zweck der gesetzlichen Regelungen zur Über 943
Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 82, 83, sowohl auf atypische Verträge im weiteren als auch im engeren Sinne sich beziehend; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 26; Stadler, in: Jauernig BGB, 18. Aufl. 2021, § 311 BGB, Rn. 27. 944 BGH, Urteil vom 08. 10. 2009 – III ZR 93/09, juris, Rn. 16; BGH, Urteil vom 13. 09. 2007 – I ZR 207/04, juris, Rn. 19; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 311 BGB, Rn. 28 m. w. N.; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 208, 209; Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 82, 83; Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 298. 945 Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, 82, 83. 946 Bei zusammengesetzten Verträgen, denen gleichwertige, typenverschiedene Leistungen der Vertragsparteien zugrunde liegen, ist regelmäßig entsprechend dem mutmaßlichen Parteiwillen anzunehmen, dass „auf die jeweilige Leistungspflicht diejenigen Rechtsvorschriften anzuwenden [sind], die für diese zur Geltung kämen, wenn sie in einem gesonderten Vertrag begründet worden wäre“. BGH, Urteil vom 13. 09. 2007 – I ZR 207/04, juris, Rn. 19; Grüneberg, in: Palandt BGB, 80. Aufl. 2021, Überbl v § 311 BGB, Rn. 25. 947 BGH, Urteil vom 15. 03. 2018 – III ZR 126/17, juris, Rn. 11, 12; BGH, Urteil vom 12. 01. 2017 – III ZR 4/16, juris, Rn. 10; BGH, Urteil vom 08. 10. 2009 – III ZR 93/09, juris, Rn. 16; BGH, Urteil vom 15. 03. 2018 – III ZR 126/17, juris, Rn. 11; Grüneberg, in: Palandt BGB, 80. Aufl. 2021, Überbl v § 311 BGB, Rn. 26. 948 Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 81; Stadler, in: Jauernig BGB, 18. Aufl. 2021, § 311 BGB, Rn. 27. 949 Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, Rn. 83; Stadler, in: Jauernig BGB, 18. Aufl. 2021, § 311 BGB, Rn. 27; Gehrlein, in: BeckOK BGB, 57. Ed. 2021, § 311 BGB, Rn. 20. Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006. 208 ff. Ähnlich Metzger, AcP 2016, 817, 837, 838, einen pragmatischen Rückgriff auf Vorschriften ähnlicher Vertragstypen befürwortend.
§ 10 Qualifizierung der Austauschverhältnisse
165
nahme nicht geeignet, wird eine Heranziehung eines bestimmten Vertragstypus nicht sachgerecht sein und es sind rechtsfortbildend gesetzlich nicht vorgesehene Lösungen in Erwägung zu ziehen.950 Vorteil dieser Handhabung ist, dass die rechtliche Behandlung atypischer Verträge, soweit möglich, an gesetzlichen Regelungen ausgerichtet wird. Dadurch kann an bereits durch die Legislative und Judikative ausdifferenzierte Regelungssysteme angeknüpft werden, was die Rechtsanwendung erleichtert, Rechtssicherheit schafft und die Findung eines angemessenen Interessenausgleichs unterstützt.951
§ 10 Qualifizierung der Austauschverhältnisse Im Folgenden werden, im Grunde teleologisch vorgehend, zunächst die Interessenlage, die datengetriebenen Austauschgeschäften typischerweise zugrunde liegt, und die seitens der Vertragsparteien verfolgten Vertragszwecke analysiert. Anschließend wird die rechtliche Struktur datengetriebener Austauschgeschäfte als Rechtsgeschäfte behandelt und eine Konkretisierung sowie eine dogmatische Verortung der vertragstypenprägenden Hauptleistungen vorgenommen. Unter Berücksichtigung der gefundenen Ergebnisse werden daraufhin die vertrags typologische Einordung datengetriebener Austauschverhältnisse und die Preisgabe personenbezogener Daten durch das Datensubjekt untersucht. Abschließend wird auf die Konsequenzen der rechtlichen Qualifizierung für das datengetriebenen Austauschverhältnissen zugrundeliegende Pflichtenprogramm sowie für das maßgebliche Leistungsstörungsrecht eingegangen.
A. Bestimmung der Einordnungskriterien I. Zwecksetzung der Vertragsparteien und typische Interessenlage 1. Ausgangskonstellation Zur Untersuchung der Interessenlage der an datengetriebenen Austauschgeschäften beteiligten Parteien und deren dabei verfolgten Zwecke wird vorliegend an die bereits dargestellten Geschäftsmodelle der internetbasierten Austausch geschäfte sowie der versicherungsrechtlichen Telematik-Tarife angeknüpft.952 Dem Untersuchungsgegenstand der Arbeit entsprechend wird der Fokus auf die relevante Zwei-Parteien-Konstellation Datensubjekt – Anbieter eines datengetriebenen Ge 950
Herresthal, in: BeckOGK BGB, Stand: 01. 01. 2021, § 311 BGB, 82, 83. Ebenda. 952 Hierunter fallen insbesondere Geschäftsmodelle, deren Schwerpunkt auf der Schaltung personalisierter Online-Werbung liegt, wie das Suchmaschinenmarketing sowie die Nutzung sozialer Netzwerke und sozialer Medien. Eingehend hierzu oben S. 51 ff. 951
166
Teil 3: Die Einordnung der Austauschverhältnisse
schäftsmodells gelegt.953 Unterstellt wird dabei, dass der Anbieter des Geschäftsmodells und der gemäß Art. 4 Nr. 7 DSGVO datenschutzrechtlich Verantwortliche identisch sind. Weiter ist davon auszugehen, dass seitens des Anbieters dem Datensubjekt eine Leistung versprochen oder gewährt wird, während das Datensubjekt personenbezogene Daten zu Zwecken der Schaltung personalisierter Werbung bzw. zur Berechnung des telematikbasierten Scorewerts preiszugeben hat.954 2. Ausgestaltung datengetriebener Austauschgeschäfte Im Rahmen datengetriebener Austauschgeschäfte erfolgen die Festlegung der Zwecksetzung und die Regelung des Pflichtenprogramms überwiegend anhand von Nutzungsbedingungen und Datenschutzrichtlinien, welche grundsätzlich als AGB i. S. d. § 305 Abs. 1 S. 1 BGB zu qualifizieren sind.955 Ebenso werden die im Rahmen von Versicherungsverträgen getroffenen Telematik-Abreden durch AGB in Form der Allgemeinen Versicherungsbedingungen des Versicherers geprägt.956 Als Modelle datengetriebener Austauschgeschäfte werden im Folgenden überblicksartig die AGB vorgestellt, welche der Benutzung der Suchmaschine Google von Alphabet mit und ohne Benutzerkonto, des sozialen Netzwerks von Facebook sowie dem Telematik-Tarif der Allianz-Versicherung zugrunde liegen.957 Die AGB von Google und Facebook sind jeweils in Nutzungsbedingungen und Datenschutzerklärungen aufgeteilt.958 953
Den Datensubjekten lassen sich die Internetnutzer sowie die Versicherungsnehmer in den genannten Geschäftsmodellen zuordnen. Entgegengesetzt sind die Betreiber der Suchmaschine oder der sozialen Medien bzw. Netzwerke sowie die Versicherer als Anbieter einzuordnen. 954 Die Anbieterleistung stellt in diesen Konstellationen die Gewährung der Internetdienste dar. Nach manchen Stimmen im Schrifttum wird im Rahmen von Telematik-Tarifen, neben der Bereitstellung der Versicherungsleistung, als maßgebliche Leistung des Versicherers auch die Rabattierung der Versicherungsprämie eingeordnet. Hierzu Rudkowski, ZVersWiss 2017, 453, 486; Hacker, ZfPW 2019, 148, 163, 164. Im Einzelfall wird dies von der konkreten Ausgestaltung des Versicherungsvertrags und der Telematik-Abrede abhängig zu machen sein. 955 Hacker, ZfPW 2019, 148, 168; vgl. auch Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 218, 219. Eingehend zur Qualifizierung von Nutzungsbedingungen und Datenschutzerklärungen als AGB siehe unten S. 190 f. 956 Schumann, Pay as you drive, 2017, 103, 108 ff.; Rudkowski, ZVersWiss 2017, 453, 460; einen Überblick und Nachweise über die angebotenen Telematik-Tarife bietet Grimm, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 47, 50–52. 957 Dargestellt werden hierbei nur Bestimmungen, welche spezifische Relevanz für die Leistungen datengetriebener Austauschgeschäfte aufweisen. 958 Vgl. Google, Geschäftsbedingungen, abrufbar unter https://policies.google.com; Facebook, Datenrichtlinie vom 21. 08. 2020, abrufbar unter https://de-de.facebook.com/privacy/ explanation (im Folgenden: Facebook, DR); Facebook, Nutzungsbedingungen vom 20. 12. 2020, abrufbar unter https://de-de.facebook.com/legal/terms (im Folgenden: Facebook, NB) [beides zuletzt geprüft am 02. 05. 2021]. Bei Google finden zusätzlich, je nach konkretem Angebot, dienstspezifische Zusatzbedingungen Anwendung. Hierzu https://policies.google.com/terms/service-specific [zuletzt geprüft
§ 10 Qualifizierung der Austauschverhältnisse
167
a) Die Geschäftsbedingungen zur Google-Suche aa) Google-Nutzungsbedingungen In den Nutzungsbedingungen wird das Verhältnis zwischen Google und dem Nutzer der Suchmaschine geregelt.959 Zur Nutzung der Google-Suche ist erforderlich, dass den Regelungen in den Nutzungsbedingungen zugestimmt wird.960 Durch die Nutzung eines Dienstes werden diese Bestandteil des Nutzungsverhältnisses zwischen den Parteien und verpflichten den Nutzer zu deren Einhaltung.961 Google erteilt dem Nutzer dabei die „Erlaubnis zur Nutzung“ der Dienste.962 Ein Benutzerkonto bei Google ist für einige Dienste zwingend notwendig, im Fall der Suchmaschinenbenutzung jedoch nicht erforderlich.963 Ist es dem Nutzer je nach Ausgestaltung des Dienstes möglich, eigene digitale Inhalte innerhalb eines Dienstes zu erstellen, hochzuladen, zu übermitteln, zu speichern, zu senden, zu empfangen oder zu teilen, so erteilt der Nutzer Google eine urheberrechtliche Lizenz zur Nutzung dieser Inhalte.964 Enthält der jeweilige Dienst von Google herunterladbare Software, so erteilt Google dem Nutzer ebenso eine urheberrechtliche Lizenz in Form eines einfachen, persönlichen, unübertragbaren, weltweit gültigen, unentgeltlichen Nutzungsrechts.965 Des Weiteren bestimmt Google, dass die Datenschutzerklärung keinen Bestandteil der Nutzungsbedingungen darstellt.966 Innerhalb der Datenschutzerklärung von Google967 wird jedoch ausgeführt, dass diese für sämtliche Dienste gilt, die von Google und den damit verbundenen Unternehmen angeboten werden, einschließlich für solche, welche auf den Webseiten von Dritten durch Google bereitgestellt werden, wie z. B. für Werbedienste.968 Außerdem sehen die Nutzungsbedingungen von Google diverse Haftungsbeschränkungen, Bestimmungen zur Aktualisierung von Nutzungsbedingungen sowie Bestimmungen zur Streitbeilegung vor.969 am 02. 05. 2021]. Für die Benutzung der Google-Suche gelten jedoch zum Zeitpunkt der Bearbeitung nur die allgemeinen Nutzungsbedingungen. 959 Google, Nutzungsbedingungen vom 31. 03. 2020, abrufbar unter https://policies.google. com/terms (im Folgenden: Google, NB) [zuletzt geprüft am 02. 05. 2021]. 960 Google, NB, Abschnitt: „Ihr Nutzungsverhältnis mit Google“. 961 Google, NB, Abschnitte „Was diese Nutzungsbedingungen umfassen“ und „Was wir von Ihnen erwarten“. 962 Google, NB, Abschnitt „Was wir von Ihnen erwarten“. 963 Vgl. Google, NB, Abschnitt „Ihr Google-Konto“. 964 Diese soll nach den Nutzungsbedingungen unentgeltlich, nicht ausschließlich sowie weltweit gültig erteilt werden und gestattet Google, die Inhalte auch dafür zu verwenden, um die angebotenen Dienste zu erbringen oder auch Werbung zu personalisieren. Vgl. Google, NB, Abschnitt „Erlaubnis zur Nutzung Ihrer Inhalte“. 965 Google, NB, Abschnitt „Software in Google-Diensten“. 966 Google, NB, Abschnitt „Was diese Nutzungsbedingungen umfassen“. 967 Google, Datenschutzerklärung vom 04. 02. 2021, abrufbar unter https://policies.google. com/privacy [zuletzt geprüft am 02. 05. 2021] (im Folgenden: Google, DSE). 968 Google, DSE, Abschnitt „Anwendungsbereich dieser Datenschutzerklärung“. 969 Google, NB, Abschnitt „Bei Problemen oder Streitigkeiten“ sowie „Über diese Nutzungsbedingungen“.
168
Teil 3: Die Einordnung der Austauschverhältnisse
bb) Google-Datenschutzerklärung In der Datenschutzerklärung wird beschrieben, welche Daten von Google während der Nutzung eines Dienstes erhoben werden und zu welchen Zwecken dies erfolgt.970 Daten werden hiernach unter anderem zur Bereitstellung, zur Verbesserung und Wartung sowie zur Entwicklung von Diensten erhoben und verarbeitet.971 Daneben erfolgt eine Datenverarbeitung zur Personalisierung der Dienste von Google, worunter die Bereitstellung von Empfehlungen, von personalisierten Inhalten und von personalisierten Suchergebnissen gefasst wird.972 Gestützt wird die Datenverarbeitung seitens Google dabei auf die datenschutzrechtliche Einwilligung sowie, in Anlehnung an die gesetzlichen Erlaubnistatbestände nach Art. 6 Abs. 1 lit. b–f DSGVO, auf die Wahrung von berechtigten Interessen seitens Google oder dritter Personen, auf die Notwendigkeit zur Bereitstellung der Dienste von Google sowie auf die Erfüllung rechtlicher Verpflichtungen.973 Die Schaltung personalisierter Werbung wird von Google auf die Einwilligung des Nutzers gestützt.974 Aufgrund von „berechtigten Interessen“ sollen hingegen Analysen zur Dienstnutzung sowie zur Personalisierung von Diensten – mit Ausnahme der Schaltung personalisierter Werbung – gerechtfertigt sein, wie auch die Schaltung von Werbung, die nicht personalisiert wird.975 Gerade die Schaltung von nicht-personalisierter Werbung soll dazu dienen, zahlreiche Dienste von Google dem Nutzer „kostenlos zur Verfügung stellen zu können“.976 Die Daten, die Google bei der Nutzung der Dienste erhebt, sind vielfältig und umfassend, sodass eine Aufzählung den Rahmen sprengen würde.977 Umfasst sind Daten über das verwendete Gerät, der darauf installierten Software, ebenso Kennungen zur eindeutigen Identifizierung von Endgeräten oder des Webbrowsers, die IP-Adresse, Standortdaten, Informationen zu Objekten in der Nähe des Endgeräts, die ebenfalls Daten übertragen, Daten von Sensoren auf dem Gerät sowie umfassende Daten zu den Aktivitäten der Nutzer.978 Zudem kann Google von dritten Personen, wie Marketingpartnern und Werbetreibenden, Daten über den Nutzer 970
Google, DSE, Abschnitt „Google-Datenschutzerklärung“. Google, DSE, Abschnitt „Gründe für die Datenerhebung durch Google“. 972 Ebenda. 973 Vgl. Google, DSE, Abschnitt „Anforderungen in Europa“. Eingehend zu den Anforderungen dieser gesetzlichen Erlaubnistatbestände siehe unten S. 217 ff. 974 Ebenda. 975 Ebenda. 976 Ebenda. 977 Google, DSE, Abschnitt „Daten, die wir bei der Nutzung unserer Dienste erheben“. 978 Ebenda. Unter Daten, welche zu den Aktivitäten der Nutzer erhoben werden, fallen unter anderem Suchbegriffe, der Browserverlauf, aufgerufene Medieninhalte im Internet, Interaktionsdaten bei Werbeanzeigen und Webseiten, Kaufaktivitäten, die Position des Mauszeigers, Sprach- und Audiodateien bei der Nutzung von Audiofunktionen, die Kommunikation mit anderen Personen sowie Aktivitäten auf Websites oder Apps von Drittanbietern, welche ebenfalls die Dienste von Google nutzen. Schließlich können auch Daten aus öffentlich zugänglichen Quellen über die Nutzer erhoben werden. 971
§ 10 Qualifizierung der Austauschverhältnisse
169
erhalten.979 Unabhängig von der Anmeldung mit einem Google-Konto speichert Google alle erhobenen Daten mit „eindeutigen Kennungen“ ab, womit Internetnutzer eindeutig identifiziert werden können.980 Erwähnt werden in der Datenschutzerklärung in diesem Zusammenhang Cookies und die Werbe-ID von Android auf Smartphones, Pixel-Tags, Logdateien und Serverprotokolle.981 Die erhobenen Daten können zudem „dienst- und geräteübergreifend kombiniert“ werden.982 Die Datenverarbeitung erfolgt hierbei unter Verwendung verschiedener Technologien, wie beispielsweise „Algorithmen, um Muster in den Daten zu erkennen“ sowie „automatisierte Systeme“, um die Inhalte des Nutzers zu analysieren.983 Auf der Webseite der Datenschutzerklärung bietet Google dem Internetnutzer an, Einstellungen bezüglich des Datenschutzes vorzunehmen.984 Besitzt der Internetnutzer ein Benutzerkonto bei Google, so kann in den Aktivitätseinstellungen festgelegt werden, dass die erfassten Aktivitäten regelmäßig oder manuell gelöscht und die Nachverfolgung des Standortverlaufs wie auch die Schaltung personalisierter Werbung deaktiviert werden sollen.985 Im Falle des Fehlens eines Benutzerkontos bei Google lässt sich die Personalisierung von Werbung bei der Google-Suche ebenfalls deaktivieren, jedoch nur sektoriell für das spezifische Gerät, den benutzten Webbrowser sowie für andere Werbenetzwerke.986 Eine weitergehende Deaktivierung personalisierter Werbung ist dagegen nur über spezielle Software oder auf freiwilliger Basis der digitalen Werbewirtschaft möglich.987 979 Laut Google gibt es in seinem Werbenetzwerk „mehr als zwei Millionen Partnerwebsites und -apps“. Google, DSE, Abschnitt „Daten verwalten, überprüfen und aktualisieren“ unter dem Link „Partnerschaft mit Google“. Vgl. https://policies.google.com/privacy#footnotepartner [zuletzt geprüft am 02. 05. 2021]. 980 Google, DSE, Abschnitt „Von Google erhobene Daten“. 981 Google, DSE, Abschnitt „Von Google erhobene Daten“ sowie „Ihre Standortdaten“. Zu diesen Trackingformen siehe bereits oben S. 69 ff. 982 Google, DSE, Abschnitt „Schutz von Google, unserer Nutzer und der Öffentlichkeit“. 983 Ebenda. 984 Google, DSE, Abschnitt „Datenschutzeinstellungen“. 985 Google, DSE, Abschnitt „Datenschutzeinstellungen“ sowie weiterführend https://my account.google.com/data-and-personalization [zuletzt geprüft am 02. 05. 2021]. 986 Nachweise zu diesen Ausführungen finden sich bei https://adssettings.google.com/ anonymous sowie https://support.google.com/accounts/answer/2662922 [beides zuletzt geprüft am 02. 05. 2021], wobei die Schaltung von Werbung allerdings weiterhin aufgrund von Informationen, wie dem allgemeinen Standort des Internetnutzers oder dem Inhalt der aufgerufenen Webseite, erfolgt. Anzumerken ist hierbei, dass, je nach Dienst und Diensteanbieter, die Möglichkeiten, überhaupt entsprechende Einstellungen zum Datenschutz vorzunehmen, wie auch eine Kontrollfähigkeit der tatsächlich erfolgenden Datenverarbeitung, kaum nachprüfbar sind. Aufgrund der häufigen Aktualisierung der Geschäftsbedingungen der Anbieter weisen Aussagen zu einzelnen AGB grundsätzlich auch nur eine kurze Halbwertszeit auf. Vgl. hierzu https://policies.google. com/privacy/archive [zuletzt geprüft am 02. 05. 2021]. 987 So kann etwa auf https://www.youronlinechoices.com/de [zuletzt geprüft am 02. 05. 2021] für eine große Anzahl von Werbenetzwerken im Rahmen des Deutschen Datenschutzrats Online-Werbung (DDOW) die Schaltung personalisierter Werbung deaktiviert werden. Der DDOW ist die freiwillige Selbstkontrolleinrichtung der digitalen Werbewirtschaft für nutzungsbasierte Online-Werbung in Deutschland.
170
Teil 3: Die Einordnung der Austauschverhältnisse
b) Benutzung des sozialen Netzwerks von Facebook aa) Facebook Nutzungsbedingungen Auch die Nutzung der Dienste von Facebook ist durch Nutzungsbedingungen geregelt.988 Bei der zwingend notwendigen Erstellung eines Benutzerkontos wird erklärt, dass durch das Klicken auf den Button „Registrieren“ der Nutzer den Nutzungsbedingungen zustimmt und dieser sich in der damit verlinkten Datenrichtlinie über die Datenverarbeitung durch Facebook informieren kann.989 Durch die Nutzung der Facebook-Dienste erklärt sich der Nutzer gemäß den Nutzungsbedingungen damit einverstanden, dass diesem auf ihn abgestimmte Werbeanzeigen gezeigt werden dürfen und seine personenbezogenen Daten dafür verwendet werden, um Werbung zu personalisieren.990 Deklariert wird dabei, dass die Nutzung des sozialen Netzwerks für den Nutzer „kostenlos [ist]“ und Facebook stattdessen durch „Unternehmen und Organisationen“ für das Schalten von Werbeanzeigen bezahlt wird.991 Dem Datensubjekt werden in den Nutzungsbedingungen von Facebook „[i]m Gegenzug“ für die Bereitstellung der Dienste verschiedene Verpflichtungen auferlegt.992 Gefordert wird vom Nutzer, dass dieser sich mit seinem Klarnamen anmeldet, nur ein einziges Konto verwendet sowie dass die über den Nutzer zur Verfügung gestellten Informationen genau und korrekt sind.993 Verlangt wird zudem die Erteilung einer Berechtigung zur Verwendung der seitens des Nutzers erstellten und geteilten Inhalte in Form einer „nicht-exklusive[n], übertragbare[n], unterlizenzierbare[n] und weltweite[n] Lizenz“.994 Ebenso ist Facebook zur Verwendung des Namens, des Profilbildes sowie von Informationen über die Interaktionen des Nutzers mit Werbeanzeigen und gesponserten Inhalten berechtigt.995 Schließlich enthalten die Nutzungsbedingungen von Facebook noch verschiedene Bestimmungen zur Haftungsbeschränkung, zur Aktualisierung der Nutzungsbedingungen, zur zeitlichen Sperre oder Kündigung von Nutzerkonten sowie zur Regelung von Streitfällen.996
988
Vgl. Facebook, NB, Abschnitt „Nutzungsbedingungen“ sowie „4. 5. 1. Sonstiges“. Siehe https://de-de.facebook.com/r.php?locale=de_DE [zuletzt geprüft am 02. 05. 2021]. 990 Facebook, NB, Abschnitt „Nutzungsbedingungen“. 991 Ebenda. 992 Facebook, NB, Abschnitt „Deine Verpflichtungen gegenüber Facebook und unserer Gemeinschaft“. 993 Facebook, NB, Abschnitt „3.1. Wer Facebook nutzen kann“. 994 Facebook, NB, Abschnitt „3.3. Diese Berechtigungen erteilst du uns“. 995 Ebenda. Diese personenbezogenen Daten des Nutzers können dabei laut Facebook „neben oder in Verbindung mit Werbeanzeigen, Angeboten und sonstigen gesponserten Inhalten verwendet werden, die wir in unseren Produkten anzeigen, ohne dass du hierfür einen Ausgleich erhältst“. 996 Vgl. Facebook, NB, Abschnitt „4. Zusätzliche Bestimmungen“. 989
§ 10 Qualifizierung der Austauschverhältnisse
171
bb) Facebook-Datenrichtlinie In der Datenrichtlinie von Facebook wird geregelt, welche Arten von Daten durch Facebook erfasst und wie diese verarbeitet werden, sowie auf welche Rechtsgrundlagen die Verarbeitung gestützt wird. Die erfassten Daten umfassen sämtliche seitens des Datensubjekts bei der Nutzung des Dienstes anfallenden und bereitgestellten Daten. Neben Informationen über den Nutzer und seine Aktivitäten fallen hierunter Geräteinformationen, wie eindeutig zuordenbare Kennungen und Standortdaten, und auch besondere Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO sowie solche Daten, welche andere Nutzer über eine Person bereitstellen.997 Außer zur Verarbeitung der Daten zum Zwecke der Bereitstellung, der Verbesserung und Personalisierung der Produkte von Facebook dient die Datenverarbeitung unter anderem auch den Zwecken der Schaltung personalisierter Werbung.998 Daten über den Nutzer können innerhalb der Facebook-Unternehmen, wie auch bei Google, dienst- und geräteübergreifend kombiniert werden.999 Die Datenverarbeitung wird von der Datenrichtlinie auf verschiedene Rechtsgrundlagen gestellt.1000 Unter die datenschutzrechtliche Einwilligung fallen hiernach unter anderem die Verarbeitung besonderer Kategorien personenbezogener Daten und „die Verwendung von Gesichtserkennungstechnologie“.1001 Auch die Verwendung der Daten von „Werbetreibenden und andere[n] Partner[n]“ über den Nutzer zur Personalisierung von Werbeanzeigen, ebenso das Teilen von personenbezogenen Daten, welche den Nutzer persönlich identifizieren, und die Erfassung von Sensordaten werden seitens Facebook unter die Einwilligung gefasst.1002 Wie auch bei Google existieren Einstellungsmöglichkeiten für die Festlegung von Werbepräferenzen des Nutzers.1003 c) Allianz BonusDrive-Versicherung Der Telematik-Tarif der Allianz ergänzt die Versicherungsbedingungen der Allianz Kfz-Versicherung im Rahmen einer Zusatzvereinbarung.1004 In dieser 997
Facebook, DR, Abschnitt „Welche Arten von Informationen erfassen wir?“. Facebook, DR, Abschnitt „Wie verwenden wir diese Informationen?“. 999 Facebook, DR, Abschnitte „Wie arbeiten die Facebook-Unternehmen zusammen?“ sowie „Welche Arten von Informationen erfassen wir?“. 1000 Facebook, DR, Abschnitt „Was ist unsere Rechtsgrundlage für die Verarbeitung von Daten?“ sowie weiterführend https://www.facebook.com/about/privacy/legal_bases [zuletzt geprüft am 02. 05. 2021]. 1001 https://www.facebook.com/about/privacy/legal_bases, Abschnitt „Deine Einwilligung“ [zuletzt geprüft am 02. 05. 2021]. 1002 Ebenda. 1003 Hierzu https://www.facebook.com/about/ads [zuletzt geprüft am 02. 05. 2021]. 1004 Allianz, Zusatzvereinbarung Allianz BonusDrive vom September 2017, abrufbar unter https://goc-eportale.allianz.de/dlc_app/Intranet/dlc?nr=PKRB-0357Z0&m=d [zuletzt geprüft am 02. 05. 2021]. 998
172
Teil 3: Die Einordnung der Austauschverhältnisse
wird, neben einer Beschreibung der Funktionsweise des Telematik-Tarifs und der Rabattierung der Versicherungsprämie, festgehalten, welche Anforderungen und Bedingungen der Versicherungsnehmer hierfür zu erfüllen hat.1005 Als technische Voraussetzung für die Scorewertberechnung wird verlangt, dass die für die Datenerfassung erforderliche BonusDrive-App installiert ist und die notwendigen Sensoren auf dem Smartphone für die Datenerfassung aktiviert sind.1006 Gemäß der Vereinbarung sind der „[Versicherungsnehmer] und der jeweilige Fahrer [..] – soweit ihnen dies möglich und zumutbar ist – verpflichtet, jede Fahrt mit der BonusDrive-App aufzuzeichnen“.1007 Wird dieser Verpflichtung nicht nachgekommen, so soll der Versicherer berechtigt sein, den Bonus nicht zu gewähren.1008 Spezifiziert wird, dass, neben persönlichen Daten des Versicherungsnehmers sowie Fahrdaten, auch technische Daten über das Kfz und das Smartphone erhoben werden.1009 Schließlich wird in der Vereinbarung erklärt, dass der Versicherungsnehmer in der BonusDrive-App in die Datenverarbeitung einwilligt und sich dazu verpflichtet, andere Fahrer über die Funktionsweise der Datenverarbeitung nach dem Telematik-Tarif zu informieren.1010 d) Erkenntnisse aus der Gestaltung der Geschäftsbedingungen Der Gestaltung der Geschäftsbedingungen der behandelten datengetriebenen Austauschgeschäfte ist zu entnehmen, dass eine Nutzung der angebotenen Dienste bzw. die Erlangung des rabattierten Versicherungstarifs nur möglich ist, wenn das Datensubjekt den seitens des Anbieters aufgestellten Bedingungen zustimmt.1011 Neben einer Beschreibung der jeweiligen Leistung des Anbieters enthalten die Geschäftsbedingungen verschiedene Verpflichtungen des Datensubjekts. So verpflichten die Nutzungsbedingungen von Google und Facebook den Nutzer dazu, den Anbietern ein urheberrechtliches Nutzungsrecht an von diesem erstellten Inhalten zu erteilen.1012 Facebook formuliert zusätzlich die Erfordernisse, dass der Nutzer nur ein Konto unter Verwendung seines Klarnamens erstellt und nur zutreffende Informationen über sich bereitstellt.1013 Nach dem Telematik-Tarif des Allianz Bonus Drive wird zudem die ausdrückliche Verpflichtung des Versicherungsnehmers statuiert, seine Fahrten aufzuzeichnen und damit seine Daten zu übermitteln.1014 1005
Ziffer 1, 3–8 Zusatzvereinbarung Allianz BonusDrive. Ziffer 9 Zusatzvereinbarung Allianz BonusDrive. 1007 Ziffer 10 Zusatzvereinbarung Allianz BonusDrive. 1008 Ebenda. 1009 Ziffer 11.1 Zusatzvereinbarung Allianz BonusDrive. 1010 Ziffer 11.2 Zusatzvereinbarung Allianz BonusDrive. 1011 Siehe oben Fn. 960, 989, 990, 1004. 1012 Siehe oben bei Fn. 965, 994. 1013 Siehe oben bei Fn. 993. Zu der rechtlichen Bewertung entsprechender Verpflichtungen siehe unten S. 177 f., 315 ff. sowie bei Fn. 2170. 1014 Siehe oben bei Fn. 1007. Zu den Auswirkungen auf die dogmatische Einordnung dieser Pflicht siehe unten S. 263 ff. 1006
§ 10 Qualifizierung der Austauschverhältnisse
173
Dagegen enthalten die Geschäftsbedingungen von Google und Facebook keine explizite Verpflichtung des Datensubjekts zur Überlassung seiner personenbezogenen Daten oder zur Erteilung einer datenschutzrechtlichen Einwilligung. In der Datenschutzerklärung von Google wie auch in der Datenrichtlinie von Facebook wird vielmehr lediglich abstrakt-deskriptiv dargelegt, welche personenbezogenen Daten automatisch erhoben werden, wofür diese verwendet werden sollen und auf welche Rechtsgrundlagen sich die Anbieter hierzu berufen.1015 Zwar gestatten die Anbieter dem Datensubjekt jeweils die Nutzung ihrer Dienste, jedoch wird keine spezifische Aussage darüber getroffen, inwieweit das Datensubjekt hierfür eine Gegenleistung erbringt. Auch wenn seitens der beiden Anbieter jeweils betont wird, dass ihre Dienste für den Nutzer kostenlos seien, hat das Datensubjekt den Anbietern eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten zu erteilen, auf welche gegenwärtig eine Datenverarbeitung zu kommerziellen Zwecken ausschließlich gestützt werden kann.1016 Darüber hinaus ist zu konstatieren, dass nach derzeitiger Ausgestaltung bei beiden Anbietern die Schaltung personalisierter Werbung voreingestellt ist und – soweit überhaupt vollständig möglich – erst durch das Datensubjekt aktiv abgeschaltet werden müsste.1017 Angesichts der Vielfalt unterschiedlicher Erscheinungsformen datengetriebener Austauschgeschäfte und des Fehlens einheitlicher Gestaltungsmuster wird für die folgende Untersuchung von der zu Beginn beschriebenen Ausgangskonstellation ausgegangen.1018 Auf Besonderheiten, welche von der spezifischen Ausgestaltung spezifischer datengetriebener Geschäftsmodelle herrühren, wird an den jeweils einschlägigen Stellen eingegangen. 3. Typische Interessenlage der Vertragsparteien Zur Bestimmung der typischen Interessenlage der Parteien datengetriebener Austauschgeschäfte und der Zwecksetzung der Austauschgeschäfte ist im Ausgangspunkt die Perspektive des objektiven Empfängerhorizonts einzunehmen.1019 Inwieweit dem Datensubjekt und dem Anbieter bei der Eingehung eines datengetriebenen Austauschverhältnisses der Wille beigemessen werden kann, sich im Rahmen eines Rechtsgeschäfts in Form eines Vertrags1020 rechtlich zu binden, 1015
Siehe oben S. 168 f., 171. Siehe oben bei Fn. 974, 1002. Eingehend zu den durch gesetzliche Erlaubnistatbestände abgedeckten Datenverarbeitungen siehe unten S. 219 ff. 1017 Ausführlich hierzu am Beispiel der Datenverarbeitung durch Facebook: Bundeskartellamt, Beschluss vom 06. 02. 2019 – B6-22/16, Rn. 651 ff. 1018 Siehe oben S. 165 f. 1019 Zu dem an das durchschnittliche Datensubjekt konkret anzulegenden Maßstab siehe unten S. 182 ff. 1020 Der Vertrag als mehrseitiges Rechtsgeschäft setzt übereinstimmende Willenserklärungen voraus, die empfangsbedürftig sind. Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 432, 703. 1016
174
Teil 3: Die Einordnung der Austauschverhältnisse
und welchen Inhalt dieses Schuldverhältnis aufweist, ist durch Auslegung gemäß §§ 133, 157 BGB zu ermitteln.1021 Entscheidend ist somit, welcher Sinn den Erklärungen der Parteien auf Eingehung eines datengetriebenen Austauschverhältnisses aus der Sicht eines objektiven Verkehrsteilnehmers des betroffenen Verkehrskreises des jeweiligen Erklärungsempfängers unter Berücksichtigung der konkreten Umstände des Einzelfalls zukommt.1022 Als Grundlage ist hierfür der Erklärungswert der Erklärungshandlungen heranzuziehen, die durch ausdrückliches oder schlüssiges Verhalten und in Ausnahmefällen auch durch Schweigen erfolgen können.1023 Auszugehen ist von Verkehrsteilnehmern, die mit dem allgemeinen sowie mit dem besonderen Sprachgebrauch des betroffenen Verkehrskreises und den Verkehrsgewohnheiten vertraut sind.1024 Zu berücksichtigen sind alle Umstände der Erklärung, die dem Erklärungsempfänger bekannt oder erkennbar waren und auf deren Kenntnis der Erklärende auch vertrauen durfte.1025 Das seitens der Vertragsparteien übereinstimmend Gewollte hat hierbei Vorrang vor einer absichtlichen Falschbezeichnung.1026 Bei datengetriebenen Austauschgeschäften, denen üblicherweise keine individuelle Kommunikation zwischen den Datensubjekten und den Anbietern, wie insbesondere bei internetbasierten Massengeschäften, vorausgeht, ist grundsätzlich auf die in den AGB enthaltenen Leistungsbeschreibungen der Anbieter abzustellen.1027 Bei der Auslegung von AGB ist nach der herrschenden Meinung der objektive Empfängerhorizont zu modifizieren und eine „objektiv-generalisierend[e]“ Auslegung zugrunde zu legen.1028 Danach sind AGB, unabhängig von den Umständen eines konkreten Einzelfalls, „nach ihrem objektiven Inhalt und typischen Sinn einheitlich so auszulegen, wie sie von verständigen und redlichen Vertragspartnern unter Abwägung der Interessen der normalerweise beteiligten Verkehrskreise verstanden werden“, wobei auf „die Verständnismöglichkeiten eines durchschnittlichen Ver 1021
Vgl. Wendtland, in: BeckOK BGB, 57. Ed. 2021, § 133 BGB, Rn. 2, 19, 22, Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 502, 503, 507, 512 ff., mit Nachweisen zu den Ausnahmen hiervon. 1022 Busche, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 133 BGB, Rn. 12, 29; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 499–501; Muthorst, JA 2013, 721, 726. 1023 Wendtland, in: BeckOK BGB, 57. Ed. 2021, § 133 BGB, Rn. 23, 24, 29; Busche, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 133 BGB, Rn. 34, 62; Muthorst, JA 2013, 721, 726. 1024 Ellenberger, in: Palandt BGB, 80. Aufl. 2021, § 133 BGB, Rn. 14; Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 120. 1025 BGH, Urteil vom 09. 07. 2007 – II ZR 232/05, juris, Rn. 10; Wendtland, in: BeckOK BGB, 57. Ed. 2021, § 133 BGB, Rn. 27; Muthorst, JA 2013, 721, 726. 1026 Ellenberger, in: Palandt BGB, 80. Aufl. 2021, § 133 BGB, Rn. 7, 8; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 218. 1027 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 218. Vgl. auch BReg, Gesetzesentwurf zur Umsetzung der DIRL, 44. 1028 Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 305c BGB, Rn. 89, 90 m. w. N.; BGH, Urteil vom 10. 06. 2020 – VIII ZR 289/19, juris, Rn. 26; BGH, Urteil vom 19. 04. 2018 – III ZR 255/17, juris, Rn. 18.
§ 10 Qualifizierung der Austauschverhältnisse
175
tragspartners des Verwenders“ abzustellen ist.1029 Bestehen Zweifel bei der Auslegung der AGB der Anbieter, so gehen diese gemäß § 305c Abs. 2 BGB zu deren Lasten.1030 Aus wirtschaftlicher Perspektive und je nach Geschäftsmodell liegt datengetriebenen Austauschgeschäften eine Vielzahl von materiellen wie immateriellen Interessen zugrunde, von denen folgend die Interessen behandelt werden, die charakteristisch für diese sind. a) Wesentliche Anbieterinteressen aa) Erhebung und Verarbeitung von personenbezogenen Daten Als maßgebliches Interesse auf Anbieterseite ist die Erhebung und Verarbeitung von personenbezogenen Daten des Datensubjekts zu qualifizieren. Dieses Interesse ist der Funktionsweise datengetriebener Geschäftsmodelle nicht nur inhärent, sondern findet grundsätzlich auch expliziten Niederschlag innerhalb der Geschäftsbedingungen, die datengetriebenen Austauschgeschäften zugrunde liegen.1031 Die Nutzungsbedingungen und Datenschutzerklärungen der Anbieter datengetriebener Austauschgeschäfte sehen, wie in den behandelten Austauschgeschäften bereits angeführt, dementsprechend die Verarbeitung personenbezogener Daten zu kommerziellen Zwecken vor. In der Praxis etablierte einheitliche Regelungsmuster der Datenverarbeitung sind jedoch noch nicht zu erkennen. Typischerweise wird die Rechtfertigung von Datenverarbeitungsvorgängen seitens der Anbieter auf mehrere Erlaubnistatbestände nach Art. 6 Abs. 1 DSGVO gestützt, wobei einzelne Verarbeitungsvorgänge häufig nicht näher spezifiziert werden, sondern vielmehr abstrakt unter Oberbegriffen zusammengefasst sind.1032 Die Verarbeitung personenbezogener Daten zu kommerziellen Zwecken wird dabei typischerweise auf die datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestützt.1033 Eine ausdrückliche rechtliche Verpflichtung des Nutzers zur Datenüberlassung oder zur Erteilung einer datenschutzrechtlichen Einwilligung findet sich kodifi 1029 Ständige Rechtsprechung. Nachweise hierzu bei: BGH, Urteil vom 10. 06. 2020 – VIII ZR 289/19, juris, Rn. 26; BGH, Urteil vom 19. 04. 2018 – III ZR 255/17, juris, Rn. 18. 1030 Die Unklarheitenregelung greift als nachrangige Auslegungsregel erst, wenn nach Ausschöpfung aller denkbaren Auslegungsmethoden und Erkenntnismöglichkeiten von mehreren möglichen Auslegungsvarianten keine eindeutig den Vorzug verdient. BGH, Urteil vom 10. 06. 2020 – VIII ZR 289/19, juris, Rn. 27; BGH, Urteil vom 19. 04. 2018 – III ZR 255/17, juris, Rn. 20; Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 305c BGB, Rn. 70, 115 ff. 1031 Siehe oben Fn. 1015, 1016. Weitere Nachweise zu in der Praxis verwendeten Geschäftsbedingungen finden sich bei Hacker, ZfPW 2019, 148, 169, Fn. 146, 152. 1032 Hacker, ZfPW 2019, 148, 169, 170; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 227. Vgl. auch oben Fn. 970, 1002. 1033 Siehe oben Fn. 974, 1002. Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 226, 227, kritisiert diesbezüglich, dass die Einwilligung häufig nur für die Verarbeitung von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO als Rechtsgrundlage explizit herangezogen wird.
176
Teil 3: Die Einordnung der Austauschverhältnisse
ziert in der Praxis gegenwärtig nur selten.1034 Überwiegend werden die Erhebung und die Verarbeitung von personenbezogenen Daten nur deskriptiv dargestellt.1035 Auch wird zwischen der Erteilung einer datenschutzrechtlichen Einwilligung und der bloßen Überlassung von Daten oftmals nicht unterschieden.1036 Ungeachtet der unterschiedlichen Ausgestaltung der Geschäftsbedingungen datengetriebener Austauschgeschäfte, wird die Erlangung der personenbezogenen Daten des Datensubjekts damit nach dem objektiven Empfängerhorizont als wesentliches Anbieterinteresse einzustufen sein.1037 In diesen Geschäftsmodellen wird das Ziel verfolgt, das Datensubjekt durch Analyse seiner personenbezogenen Daten möglichst effektiv „in seinen wirtschaftlichen Dispositionen zu beeinflussen“, um dadurch die Attraktivität der Werbeschaltung zu erhöhen, was dem wirtschaftlichen Interesse der Anbieter datengetriebener Geschäftsmodelle entspricht.1038 Aufgrund der typischerweise niedrigen Grenzkosten für die Erbringung internetbasierter Anbieterleistungen wird es zudem im Interesse der Anbieter liegen, eine größtmögliche Nutzerbasis für ihre Angebote zu erreichen.1039 Die Erhebung und die Verarbeitung personenbezogener Daten weisen für die Wertschöpfung innerhalb von datengetriebenen Austauschgeschäften und deren Funktionsweise damit elementare Bedeutung auf und prägen die Zwecksetzung des Austauschverhältnisses.1040 Dementsprechend wird in der Praxis, infolge des Fehlens einer monetären Gegenleistung seitens des Datensubjekts, die Inanspruchnahme der Anbieterleistung innerhalb datengetriebener Austauschgeschäfte regelmäßig auch durch technische Maßnahmen wie der Notwendigkeit einer Registrierung erzwungen, und von der Zustimmung zu den Geschäftsbedingungen der Anbieter oder der Dea ktivierung von Werbeblockern abhängig gemacht.1041 1034 Hacker, ZfPW 2019, 148, 169, 170. Exemplarisch zu der ausdrücklichen Normierung als Leistungspflicht im Rahmen der Allianz BonusDrive-Versicherung siehe oben Fn. 1007. 1035 Siehe oben S. 172 f. Ebenso Hacker, ZfPW 2019, 148, 170, Fn. 160, 161 m. w. N. 1036 Hacker, ZfPW 2019, 148, 169 m. w. N. 1037 Vgl. KG Berlin, Urteil vom 22. 09. 2017 – 5 U 155/14, juris, Rn. 73, 90, am Beispiel von Facebook; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94, 95; Datta / Klein, CR 2017, 174, 178, am Beispiel von Anbietern datenfinanzierter Apps für mobile Endgeräte. 1038 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 219 (Hervorhebung im Original). Vgl. auch BReg, Gesetzesentwurf zur Umsetzung der DIRL, 44; Bundeskartellamt, Beschluss vom 06. 02. 2019 – B6-22/16, Rn. 670, 671. Zu den erheblichen Umsätzen und Gewinnen von Geschäftsmodellen, welche auf der kommerziellen Verarbeitung von personenbezogenen Daten basieren, siehe oben S. 45 ff. 1039 Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 15. Zur Relevanz von Netzwerkeffekten und Grenzkosten im Rahmen des Wettbewerbs zwischen Internetplattformen: Volmar, Digitale Marktmacht, 2019, 235 ff.; 302 ff., 342; Datta / Klein, CR 2017, 174, 178. 1040 Ebenso Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 267, 268, wonach in entsprechenden Konstellationen die Erhebung und Verarbeitung personenbezogener Daten nicht nur eine bloße Randerscheinung, sondern den Hauptzweck des Rechtsgeschäfts darstellen. Vgl. auch Endler, VuR 2021, 3, 7, am Beispiel des sozialen Netzwerks von Facebook. 1041 Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 15; Hacker, ZfPW 2019, 148, 174. Vgl. auch Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte
§ 10 Qualifizierung der Austauschverhältnisse
177
bb) Richtigkeit der Daten Als ein weiteres Interesse der Anbieter wird regelmäßig die Richtigkeit der personenbezogenen Daten des Nutzers einzustufen sein.1042 Für das Funktionieren einer Vielzahl datengetriebener Geschäftsmodelle ist die Richtigkeit der überlassenen personenbezogenen Daten von nicht unerheblicher Bedeutung. Um brauchbare Parameter für die Schaltung personalisierter Werbung zu erhalten und mit personenbezogenen Daten angereicherte Werbeflächen an Werbeträger zu vertreiben, ist es erforderlich, dass die Daten hinsichtlich der Identität, der Interessen sowie sonstiger Informationen über das Datensubjekt größtenteils zutreffend sind, um eine Zuordnung zur Zielgruppe und eine Monetarisierung der Werbeschaltung zu ermöglichen.1043 Je nach Geschäftsmodell eignen sich aufgrund zu hoher Fehlerquote unbrauchbare oder unrichtige Datensätze nicht für eine Kommerzialisierung durch den Anbieter und liefern demografische Ergebnisse, die der Wirklichkeit nicht entsprechen.1044 Liegen nicht brauchbare Daten vor oder wurden Daten gefälscht, künstlich erstellt oder beruhen sie in sonstiger Weise nicht auf einer wahrheitsgemäßen Grundlage, so besitzen diese keinen oder nur geringen Nutzen für datengetriebene Geschäftsmodelle.1045 Grundsätzlich wird daher davon auszugehen sein, dass bei datengetriebenen Geschäftsmodellen die Richtigkeit der Daten des Nutzers ein bedeutendes Anbieterinteresse darstellt.1046 Dementsprechend werden in manchen Geschäftsbedingungen den Nutzern ausdrücklich die Pflichten auferlegt, nur ein Benutzerkonto zu besitzen, sich mit dem Klarna-
an Daten, 2020, 175, 193, wonach Vertragsschluss und Einwilligungserteilung im Regelfall zeitgleich erfolgen. Weiterführend hierzu unten Fn. 1184. 1042 Nach einer Umfrage aus dem Jahr 2009 unter mehr als 120.000 deutschen Internetnutzern gab etwa ein Fünftel der Nutzer an, im Internet überwiegend oder stets ein Pseudonym zu benutzen und falsche Angaben zu machen. Vgl. Fittkau & Maaß Consulting GmbH, Furcht vor Datenmissbrauch beeinflusst Nutzerverhalten, 2009. Weitere Nachweise zu entsprechenden Studien finden sich bei Metzger, AcP 2016, 817, 849. In einer Studie aus dem Jahr 2010 mit 632 Befragten gaben 76 % der Befragten an, schon einmal unvollständige oder falsche Angaben beim Eröffnen eines Benutzerkontos im Internet gemacht zu haben. Janrein / Blue Research, Online Account – Angabe falscher Informationen, zitiert nach Statista, 2011. 1043 Vgl. Hennemann, LR 2020, 77, 80, 81; Langhanke, Daten als Leistung, 2018, 142. Zur Notwendigkeit der Erlangung richtiger Daten zur Ermittlung zutreffender Parameter für die Werbeschaltung siehe oben S. 54 ff., 57 ff., 59. 1044 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 213; Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 170, 171. 1045 Hennemann, LR 2020, 77, 81; Langhanke, Daten als Leistung, 2018, 142. 1046 Vgl. Langhanke, Daten als Leistung, 2018, 142; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 213; Metzger, AcP 2016, 817, 834; Linardatos, in: SpechtRiemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 526. Noch größere Bedeutung wird die Richtigkeit der Daten wohl im Bereich von TelematikVersicherungen besitzen, bei denen die Versicherungsprämie anhand der übermittelten Daten bestimmt wird. Hierzu Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 169, 170.
178
Teil 3: Die Einordnung der Austauschverhältnisse
men zu registrieren und nur zutreffende Informationen über sich zur Verfügung zu stellen.1047 cc) Rechtmäßigkeit der Datenverarbeitung Schließlich ist als elementares Interesse des Anbieters, welches die Zwecksetzung datengetriebener Austauschverhältnisse prägt, noch die Rechtmäßigkeit der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten zu werten.1048 Nach den datenschutzrechtlichen Vorgaben der DSGVO hat für die Rechtmäßigkeit der Datenverarbeitung nach Art. 6 Abs. 1 DSGVO entweder ein gesetzlicher Erlaubnistatbestand oder die Einwilligung des Betroffenen vorzuliegen. Der Anbieter ist als datenschutzrechtlich Verantwortlicher gemäß Art. 5 Abs. 1 DSGVO zur Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verpflichtet und muss deren Einhaltung nach Art. 5 Abs. 2 DSGVO nachweisen können.1049 Verstöße gegen diese Pflichten können nicht nur zu datenschutzrechtlichen Sanktionen und Bußgeldern führen, sondern ebenso zivilrechtliche Konsequenzen für das datengetriebene Austauschverhältnis nach sich ziehen.1050 Für die Anbieter, von denen anzunehmen ist, dass diese sich rechtstreu verhalten wollen, ist daher entscheidend, ob die erlangten personenbezogenen Daten überhaupt rechtlich zulässig monetarisiert werden können.1051 Die Erlangung personenbezogener Daten ohne Berechtigung zu deren kommerzieller Verarbeitung läuft den im Rahmen datengetriebener Austauschgeschäfte verfolgten wirtschaftlichen Zwecken damit zuwider.1052 Es liegt im ökonomischen Interesse der Anbieter, weitreichende Nutzungsmöglichkeiten an den personenbezogenen Daten des Datensubjekts auf einer rechtmäßigen und rechtssicheren Basis zu erhalten.1053 Grundsätzlich wird das Anbieterinteresse auf die Erlangung einer datenschutzrechtlichen Einwilligung 1047 Vgl. auch Lach, jurisPR-ITR 5/2021 Anm. 2. Zur entsprechenden Klausel Facebooks siehe oben Fn. 993. Weitere Nachweise zu vergleichbaren Klauseln in der Praxis finden sich bei Metzger, AcP 2016, 817, 834. Zur rechtspolitischen Relevanz der Klarnamenspflicht Caspar, ZRP 2015, 223. 1048 Ähnlich Kumkar, ZfPW 2020, 306, 326. 1049 Einzuhalten sind demnach die Grundsätze der Rechtmäßigkeit sowie der Verarbeitung nach Treu und Glauben, die Grundsätze der Transparenz (lit. a), der Zweckbindung (lit. b), der Datenminimierung (lit. c), der Richtigkeit (lit. d), der Speicherbegrenzung (lit. e) sowie der Integrität und Vertraulichkeit (lit. f). 1050 Hierzu insbesondere unten S. 351 ff., 376 f. 1051 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 179; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 204, 207. A. A. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 522 ff. 1052 Vgl. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 7; Langhanke, Daten als Leistung, 2018, 124; Metzger, AcP 2016, 817, 822. 1053 Ähnlich argumentierend und auf das datenschutzrechtliche Verbotsprinzip und die seitens der DSGVO erheblichen drohenden Bußgelder abstellend: Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 7.
§ 10 Qualifizierung der Austauschverhältnisse
179
nach Art. 6 Abs. 1 lit. a DSGVO gerichtet sein, um Rechtsunsicherheiten bei der Auslegung gesetzlicher Erlaubnistatbestände zu vermeiden.1054 Das Interesse an der Rechtmäßigkeit der Datenverarbeitung manifestiert sich überdies in den Geschäftsbedingungen der Anbieter, in welchen die Verarbeitung personenbezogener Daten auf Rechtsgrundlagen der DSGVO gestützt wird.1055 Kann die Datenverarbeitung in diesen Fällen ausschließlich auf den Erlaubnistatbestand der datenschutzrechtlichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestützt werden, wird im Hinblick auf die Interessenlage der Anbieter zudem das uneinschränkbare Recht des Datensubjekts zu berücksichtigen sein, seine Einwilligung nach Art. 7 Abs. 3 S. 1 DSGVO jederzeit widerrufen zu können.1056 Als Konsequenz wird es regelmäßig im Interesse der Anbieter liegen, die erlangten Daten möglichst frühzeitig und effizient verwerten zu können.1057 b) Wesentliche Interessen der Datensubjekte aa) Erlangung der Anbieterleistung Elementares Interesse der Datensubjekte bei Eingehung datengetriebener Austauschverhältnisse ist es, die Leistung des Anbieters, also die Nutzung der Suchmaschine, des sozialen Netzwerks oder die Versicherungsleistung bzw. die rabattierte Versicherungsprämie in den behandelten Geschäftsmodellen, zu erhalten. Durch die ausdrückliche oder konkludente Inanspruchnahme der Anbieterleistung, welche im Rahmen datengetriebener Austauschgeschäfte üblicherweise durch die Leistungsbeschreibung innerhalb der Geschäftsbedingungen gegenständlich ausgestaltet wird, drücken die Datensubjekte nach dem objektiven Empfängerhorizont grundsätzlich ihr Interesse an der Anbieterleistung und an der Eingehung des Austauschverhältnisses aus.1058 Gerade im Rahmen internetbasierter Massengeschäfte manifestiert sich dieses Interesse durch die Zustimmung des Datensubjekts zu den Geschäftsbedingungen, welche zur Nutzung der Dienste von den Anbietern vorausgesetzt wird.1059 1054
Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 7 DSGVO, Rn. 34; noch zur früheren Rechtslage: Metzger, AcP 2016, 817, 823; Buchner, DuD 2010, 39, 40. 1055 Siehe oben Fn. 1032. 1056 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 92; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 208. Die Uneinschränkbarkeit des Widerrufsrechts hindert dabei nicht, die Erlangung einer datenschutzrechtlichen Einwilligung in diesen Konstellationen als ein Kerninteresse der Anbieter anzuerkennen. Zu den Auswirkungen des jederzeitigen Widerrufsrechts auf die Vertragsqualifizierung siehe unten S. 244 ff., 254 ff. 1057 Vgl. Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 22. 1058 Weiterführend zum Rechtsbindungswillen und zu den typischen Modalitäten des Vertragsschlusses bei datengetriebenen Austauschverhältnissen siehe unten S. 187 ff., 191 f. 1059 Siehe oben Fn. 1011.
180
Teil 3: Die Einordnung der Austauschverhältnisse
bb) Personalisierung von Werbung und Angeboten? Inwieweit auch die kommerzielle Verarbeitung der personenbezogenen Daten durch den Anbieter als Interesse des Datensubjekts gewertet werden kann, ist fraglich. Als Argument hierfür lässt sich anführen, dass die Personalisierung von Werbung für das Datensubjekt eine brauchbare Informationsquelle eröffnet und eine nützliche Grundlage für seine wirtschaftlichen Entscheidungen bildet.1060 Die Profilbildung, das Targeting und die Individualisierung von Angeboten für die Datensubjekte ermöglichen es diesen, ihre Zeit effizienter zu nutzen und nicht von unabgestimmten Angeboten oder unpassender Werbung belästigt zu werden.1061 Die Genauigkeit der Suchergebnisse und das Vorliegen eines detaillierten Persönlichkeitsprofils über den Betroffenen würden damit nicht nur Opportunitäts- und Transaktionskosten bei den Anbietern reduzieren, sondern auch beim Datensubjekt.1062 Zu konstatieren ist jedoch, dass dies nur eine Begleiterscheinung der kommerziellen Datenverarbeitung im Rahmen datengetriebener Geschäftsmodelle darstellt.1063 Die Beeinflussung des Datensubjekts erfolgt maßgeblich im wirtschaftlichen Interesse des Werbetreibenden und des Anbieters.1064 Den Betroffenen wird grundsätzlich keine Wahl gelassen, ob diese eine Personalisierung der Werbeschaltung wünschen bzw. überhaupt mit Werbung in Berührung kommen wollen.1065 Ziel der Werbung ist es gerade nicht, dass der Werbeadressat in den Genuss der angebotenen Werbung kommt, sondern die Förderung des Werbeerfolgs des dafür zahlenden Werbetreibenden, unabhängig von der Vorteilhaftigkeit der Werbeschaltung für den Internetnutzer.1066 Wenn die Personalisierung von Diensten oder Werbung nicht seitens des Datensubjekts gewünscht wird oder 1060
Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 218, 219. Hierzu mit Nachweisen zu verschiedenen Studien oben Fn. 165. 1062 Acquisti et al., Journal of Economic Literature 2016, 442, 460–462 m. w. N. 1063 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 219. 1064 Ebenda. 1065 Überdies steht eine große Mehrheit der Datensubjekte der Datenerhebung zur Schaltung personalisierter Werbung ablehnend gegenüber. So wurde in einer Bevölkerungsbefragung aus dem Jahr 2019 unter 1000 Teilnehmern festgestellt, dass nur 39 % der Befragten es gut finden, wenn die eingeblendete Werbung personalisiert ist und ihren Interessen entspricht. Mehr als 50 % fühlen sich durch personalisierte Werbung beobachtet oder empfinden, dass ihnen bestimmte Produkte aufgedrängt werden. Vgl. PwC, Ergebnisse: Bevölkerungsbefragung zu personalisierter Werbung, 2019, 22, 23. Weitere Nachweise zu mehreren Studien von 2009 und 2013 finden sich bei Acquisti et al., Journal of Economic Literature 2016, 442, 476, wonach 66 % der Internetnutzer in den USA sich keine Personalisierung von Werbeanzeigen anhand ihrer Daten wünschen und 86 % der jungen Erwachsenen eine Werbeschaltung ablehnen, wenn diese auf einer Nachverfolgung des Nutzers über mehrere Webseiten hinweg beruht. Nach der in Fn. 1042 erwähnten deutschen Studie aus dem Jahr 2009 gaben 66,1 % der Befragten an, falsche Angaben bei Online-Registrierungen zu machen, um unerwünschte Werbung zu vermeiden. 1066 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 219. Eingehend zu den dominierenden Geschäftsmodellen datengetriebener Austauschgeschäfte siehe oben S. 52 f., 56 f., 58 f. 1061
§ 10 Qualifizierung der Austauschverhältnisse
181
nicht einen notwendigen Bestandteil der Anbieterleistung darstellt,1067 ist diese Datenverarbeitung zu kommerziellen Zwecken allein schon wegen des dadurch erfolgenden Eingriffs in die informationelle Selbstbestimmung als nachteilhaft zu werten und nicht zu den mit dem Austauschgeschäft verfolgten Interessen des Datensubjekts zu zählen.1068 cc) Unentgeltlichkeit der Anbieterleistung? Von Bedeutung ist insbesondere noch, ob die Unentgeltlichkeit datengetriebener Geschäftsmodelle, also das Fehlen einer monetären Gegenleistung in Form einer Geldzahlung für die Erlangung der Anbieterleistung, als ein entscheidendes Interesse der Datensubjekte zu klassifizieren ist.1069 Seitens der Anbieter entsprechender Geschäftsmodelle wird häufig gerade damit geworben, dass der Nutzer keine monetäre Gegenleistung zu erbringen hat, er also kein Geld hierfür aufzuwenden hat.1070 Aus statistischen Untersuchungen geht hervor, dass das Fehlen einer Geldzahlungspflicht einen der ausschlaggebenden Gründe darstellt, weswegen Datensubjekte datengetriebene Austauschgeschäfte eingehen und vergleichbaren entgeltlichen Angeboten vorziehen.1071 Zugleich gibt es eine Vielzahl von wissenschaftlichen Studien, aus denen hervorgeht, dass Verbraucher sich generell zwar Gedanken über den Schutz ihrer Daten machen, jedoch im konkreten Fall eher Angebote wählen, für die kein Geld zu zahlen ist, auch wenn diese dafür eine intensi 1067 Hierunter fallen unter anderem Telematik-Tarife, bei denen die Erhebung und Verarbeitung personenbezogener Daten ausschließlich zur Berechnung des Scorewerts erfolgt und keine sonstigen kommerziellen Verarbeitungen stattfinden. Weiter sind hierzu Geschäftsmodelle zu zählen, bei denen die Unterbreitung personalisierter Angebote gerade ausdrücklich durch das Datensubjekt begehrt wird oder eine Verarbeitung von personenbezogenen Daten zur Bereitstellung einer erheblich personalisierten Leistung erfolgt, welche eine Individualisierung zwingend erfordert. Als Beispiele können hierfür persönliche Assistenzen, Partnervermittlungsportale, oder Medienportale wie Streamingdienste angeführt werden, welche personenbezogene Daten verarbeiten, um dem Datensubjekt vereinbarungsgemäß auf seine Präferenzen zugeschnittene Vorschläge oder Angebote zu unterbreiten. Vgl. Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 31. 1068 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 219, wonach eine Beeinflussung des Nutzers im alleinigen Interesse des Anbieters „objektiv nie“ einen Vorteil darstellen könne, welcher einen Eingriff in die informationelle Selbstbestimmung aufwiegen würde (Hervorhebung im Original). 1069 Dieses Interesse – die Inanspruchnahme der Anbieterleistung zu keinem oder bei Vorliegen eines Rabattmodells zu einem möglichst geringen Preis – ist dabei dem angestrebten Hauptzweck (der Erlangung der Anbieterleistung) untergeordnet. 1070 Vgl. oben bei Fn. 991 am Beispiel der Nutzungsbedingungen von Facebook. Weitere Nachweise zu entsprechenden Bekundungen der Anbieter datengetriebener Geschäftsmodelle finden sich bei Hacker, ZfPW 2019, 148, 153, 154. 1071 Vgl. NortonLifeLock, Cyber Safety Insights Report Global Results, zitiert nach Statista, 2019, wonach, im Rahmen einer weltweiten Befragung von 16.000 Teilnehmern aus dem Jahr 2018, in Deutschland nur 20 % der Befragten bereit wären, für den Schutz persönlicher Informationen im Bereich der sozialen Medien monatlich einen Euro zu bezahlen.
182
Teil 3: Die Einordnung der Austauschverhältnisse
vere Datennutzung aufweisen.1072 Gerade bei einem durchschnittlich verständigen Verbraucher im Rechtsverkehr wird im Rahmen datengetriebener Austauschgeschäfte anzunehmen sein, dass dieser Kenntnis von der Funktionsweise datengetriebener Geschäftsmodelle besitzt und sich der Tragweite der Entscheidung für eine datenmonetarisierende Variante ohne monetäre Gegenleistung bewusst ist.1073 Bei vielen Datensubjekten wird das Fehlen der Erfordernis einer Geldzahlung ein bedeutsames Interesse darstellen, welches zum Abschluss des datengetriebenen Austauschgeschäfts geführt hat.1074 Gerade unter Einnahme der Perspektive eines informierten Datensubjekts ist im Rahmen des objektiven Empfängerhorizontes demnach die monetäre Unentgeltlichkeit als Interesse des Datensubjekts zu klassifizieren.1075 Zu klären ist jedoch, ob die Einnahme der Perspektive eines informierten Datensubjekts, welches mit den Verkehrsgewohnheiten datengetriebener Austauschgeschäfte vertraut ist, im Hinblick auf die Preisgabe personenbezogener Daten innerhalb datenfinanzierter Geschäftsmodelle, überhaupt angemessen ist. 4. Relevanz und Einfluss des Privacy Paradox Aus wirtschaftlicher Perspektive liegt datengetriebenen Austauschgeschäften eine Abwägung des Datensubjekts zwischen der hinzunehmenden Preisgabe seiner Privatsphäre einerseits und seinem Interesse an dem Erhalt der Anbieterleistung andererseits zugrunde.1076 Zur Bestimmung der Zwecksetzung und der Interessenlage der Parteien datengetriebener Austauschgeschäfte drängt sich damit die Frage auf, von welchem Kenntnisstand im Hinblick auf die Funktionsweise datengetriebener Austauschgeschäfte bei einem durchschnittlichen Datensubjekt 1072
Vgl. Beresford et al., Economics Letters 2012, 25, 26, wonach bereits die Zahlung eines Preises von 1 € für ein weniger datenintensives Produkt von einer Vielzahl der Studienteilnehmer abgelehnt wurde. Weitere Nachweise zu vergleichbaren Studien finden sich bei Dienlin, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 305, 317; Acquisti et al., Journal of Economic Literature 2016, 442, 478; Metzger, AcP 2016, 817, 830, 831. 1073 Vgl. KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 242; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 138, 139; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 218, 219. 1074 Ähnlich auch Endler, VuR 2021, 3, 7, 8. 1075 Gleichermaßen wird es im Interesse des Datensubjekts liegen, die Leistung des Anbieters unter Wahrung eines möglichst hohen Datenschutzniveaus bzw. möglichst geringer Preisgabe von personenbezogen Daten zu erlangen. Zu den Risiken umfassender Datenpreisgaben siehe unten bei Fn. 1380. 1076 Hierzu oben Fn. 166. Die Basis für diesen Entscheidungskonflikt liegt in dem Grundrecht auf informationelle Selbstbestimmung, welches dem Datensubjekt das Recht gewährleistet, über die Preisgabe seiner personenbezogenen Daten grundsätzlich selbstbestimmt zu entscheiden. Hierzu oben S. 84 ff. Existiert – wie im Fall eines Freemium-Modells – daneben eine kostenpflichtige Premiumversion, ist zugleich seitens des Datensubjekts auch eine Abwägungsentscheidung zwischen der Preisgabe der Privatsphäre und der Entrichtung eines monetären Entgelts vorzunehmen.
§ 10 Qualifizierung der Austauschverhältnisse
183
auszugehen ist. Aus rechtlicher Sicht ist hierzu die Perspektive des objektiven Empfängerhorizonts einzunehmen, welche bereits zuvor dargestellt und als Ausgangspunkt für die Erfassung von Zwecksetzung und Interessenlage zugrunde gelegt wurde.1077 Hiernach ist der Empfängerhorizont von verständigen und red lichen Verkehrsteilnehmern des betroffenen Verkehrskreises des jeweiligen Erklärungsempfängers zugrunde zu legen, welche den Inhalt der Geschäftsbedingungen des datengetriebenen Austauschverhältnisses zur Kenntnis nehmen, sorgfältig prüfen sowie mit den Verkehrsgewohnheiten vertraut sind.1078 Demnach ist von Datensubjekten auszugehen, welche mit der Funktionsweise des jeweiligen datengetriebenen Geschäftsmodells vertraut sind, Kenntnis von der Werthaltigkeit ihrer personenbezogenen Daten besitzen, über den Zweck der Datenverarbeitung informiert sind und diese Faktoren bei der Eingehung des Austauschverhältnisses akzeptieren.1079 Entgegengehalten wird dem jedoch, dass zahlreiche empirische Studien zeigen würden, dass dieses Bild nicht der Realität entspreche und Datensubjekte bei der Preisgabe personenbezogener Daten oftmals Wissens- und Rationalitätsdefiziten unterlägen.1080 Nach dem sogenannten Privacy Paradox sorgen sich Datensubjekte zwar abstrakt um die Kontrolle über ihre Daten und ihre Privatsphäre, sind jedoch im konkreten Fall dennoch unreflektiert und unbedacht dazu bereit, erhebliche Mengen an personenbezogenen Daten über sich preiszugeben.1081 Die Gründe für dieses Verhalten werden in verschiedenen Wissenschaften diskutiert.1082 So sei anzunehmen, dass Datensubjekten die Werthaltigkeit ihrer personenbezogenen Daten im konkreten Fall überwiegend doch nicht hinreichend bewusst ist und zugunsten der Anbieter datengetriebener Austauschgeschäfte erhebliche Informationsasymmetrien bestehen.1083 Studien zeigen zudem, dass Internetnutzer von den AGB der Anbieter aufgrund ihres Umfangs und des nötigen Zeitaufwands, diese durchzu 1077
Siehe oben S. 173 ff. Siehe oben bei Fn. 1028, 1029. Liegt dagegen eine Individualvereinbarung vor, so sind zusätzlich die konkreten Umstände des Einzelfalls miteinzubeziehen. Hierzu oben S. 173 f. 1079 Vgl. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94, wonach dies bereits aus den Geschäftsbedingungen der Anbieter sowie aus den „ökonomischen Realitäten“ der wirtschaftlichen Praxis hervorgeht; Metzger, AcP 2016, 817, 849. 1080 Siehe Metzger, AcP 2016, 817, 830. Jeweils m. w. N. : Schäfers, AcP 2021, 32, 36, 40, 41; Hacker, Datenprivatrecht, 2020,62–64, 255 ff.; Gerpott 2020, 739, 740, 741; Hacker, ZfPW 2019, 148, 171; Acquisti et al., Journal of Economic Literature 2016, 442, 476, 477. 1081 Eingehend hierzu Dienlin, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 305, 307, 314 ff.; Specht-Riemenschneider / Bienemann, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 324, 326 m. w. N.; Metzger, AcP 2016, 817, 830. 1082 Einen Überblick hierzu bieten Dienlin, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 305, 314 ff.; Acquisti et al., Journal of Economic Literature 2016, 442, 476–478. 1083 Metzger, AcP 2016, 817, 830; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 523, 524; Acquisti et al., Journal of Economic Literature 2016, 442, 448, 477, 478 m. w. N. 1078
184
Teil 3: Die Einordnung der Austauschverhältnisse
lesen, überfordert sind.1084 Nach der Verhaltensökonomik neigen Datensubjekte dazu, die Wahrscheinlichkeit eines Verlustes oder einer Verletzung der eigenen Privatsphäre mangels negativer persönlicher Erfahrungen eher als gering einzuschätzen.1085 Je diffuser die Risiken einer Datenpreisgabe erscheinen, desto höher sei die Einwilligungsbereitschaft in eine Datenverarbeitung.1086 Datensubjekte würden zudem die kurzfristige Erlangung eines vermeintlich kostenlosen Vorteils den Nachteilen eines Kontrollverlustes über die eigene Privatsphäre und über ihre personenbezogenen Daten vorziehen.1087 Um diesen Defiziten zu begegnen, werden in der rechtswissenschaftlichen Literatur verschiedene Lösungsansätze vorgebracht. So könnte entsprechenden Defiziten durch datenschutzfreundliche Voreinstellungen in den Diensten der Anbieter und durch die Bereitstellung transparenter und leicht verständlicher Informationen über die Verarbeitung personenbezogener Daten begegnet werden.1088 In Frage gestellt wird jedoch auch, ob im Rahmen datengetriebener Austauschgeschäfte noch weiterhin an der Perspektive des objektiven Empfängerhorizonts festgehalten werden kann.1089 Erwogen werden könnte, stattdessen als relevanten Maßstab auf ein unmündiges Datensubjekt abzustellen, welches sich der Preisgabe seiner Daten und des Kontrollverlustes über seine Privatsphäre grundsätzlich nicht bewusst ist.1090 Als Konsequenz hiervon wäre anzunehmen, dass insbesondere bei datengetriebenen Austauschverhältnissen, wie bei den im Internet alltäglich ablaufenden 1084
Dies kann auch als „information overkill“ bezeichnet werden. Siehe Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 523, 524 (Hervorhebung im Original). Nachweise zu zahlreichen Studien hierzu finden sich bei: Schröder et al., PinG 2020, 6; Obar / Oeldorf-Hirsch, The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services, 2018, 5 ff. Hierzu auch Hacker, Datenprivatrecht, 2020, 60, 61. 1085 Dienlin, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 305, 319; Metzger, AcP 2016, 817, 830. 1086 Acquisti et al., Journal of Economic Literature 2016, 442, 477; Metzger, AcP 2016, 817, 831. 1087 Dienlin, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 305, 317; Metzger, AcP 2016, 817, 830; Acquisti et al., Journal of Economic Literature 2016, 442, 478; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 43. 1088 Diesen Ansatz in verschiedenen Formen vertretend: Schröder et al., PinG 2020, 6; SpechtRiemenschneider / Bienemann, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 324; Schröder, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 345; Metzger, AcP 2016, 817, 831. 1089 Vgl. Hacker, ZfPW 2019, 148, 171, wonach das durchschnittliche Datensubjekt häufig gerade keine Kenntnis von Zweck und Umfang der Datenverarbeitung innerhalb datengetriebener Austauschverhältnisse besitzen würde und ein Leistungsaustausch aus Nutzersicht damit „reine Fiktion“ sei. Kritisch ebenso: Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 523–525; Wendehorst / Westphalen, NJW 2016, 3745, 3746, 3747; Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 428. 1090 Vgl. Hacker, ZfPW 2019, 148, 171; Wendehorst / Westphalen, NJW 2016, 3745, 3746, 3747. Ebenso Bunnenberg, Privates Datenschutzrecht, 2020, 269.
§ 10 Qualifizierung der Austauschverhältnisse
185
Massengeschäften, deren Abschluss und die Preisgabe personenbezogener Daten im Regelfall nicht vom Willen des Datensubjekts gedeckt sind.1091 Ob das Privacy Paradox sich dementsprechend wirklich als Befund verallgemeinern lässt, ist jedoch zu bezweifeln.1092 Menschen verhalten sich als Individuen generell nicht einheitlich und werden in ihrem Verhalten durch eine Vielzahl von Beweggründen beeinflusst.1093 Privatheitsbedenken stellen meist nur einen Teil der Faktoren dar, welche die bewussten wie unbewussten Abwägungsprozesse einer Person bei Entscheidungen darüber beeinflussen, ob diese ihre Privatsphäre im konkreten Fall schützt oder preisgibt.1094 Weiter wirken individualpersönliche wie auch umweltbezogene Faktoren in Bezug auf die Wahrnehmung von Risiken und Vorteilen einer Datenpreisgabe auf diese oftmals unterbewusst ablaufenden Entscheidungsprozesse ein.1095 Zu berücksichtigen sind, neben persönlichen Neigungen und Einstellungen, sozio-kulturelle Faktoren sowie situationsabhängige Privatheitsbedenken, wie der Grad der Sensibilität einer Datenpreisgabe oder deren Notwendigkeit für die Erbringung der Anbieterleistung.1096 Das Bild eines schlecht informierten und nicht rational handelnden Datensubjekts entspricht zwar in vielen Fällen der Realität, bietet damit jedoch keine taugliche Grundlage für eine Aufweichung des im Rahmen des objektiven Empfängerhorizonts einzunehmenden Leitbilds eines verständigen Internetnutzers im Rahmen datengetriebener Austauschgeschäfte oder für das Bestehen einer gegenläufigen Verkehrssitte.1097 1091 So Hacker, ZfPW 2019, 148, 171–173; Hacker, Datenprivatrecht, 2020, 198. Ähnlich Wendehorst / Westphalen, NJW 2016, 3745, 3746, 3747, nach welchen internetbasierte Massengeschäfte „meist ohne hinreichend qualifiziertes Erklärungsbewusstsein des Nutzers abgeschlossen werden“. Auswirkungen hätte diese Annahme – soweit den Datensubjekten nicht bereits der Rechtsbindungswille abgesprochen werden soll – insbesondere auf die Verknüpfung der Leistungen innerhalb datengetriebener Austauschverhältnisse. Eingehend hierzu unten bei Fn. 1462 sowie S. 240, 248 ff. Zur Anfechtbarkeit wegen fehlenden Erklärungsbewusstseins siehe unten Fn. 1114. 1092 Vgl. Dienlin, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 305, 319 ff. m. w. N. zum wissenschaftlichen Gegenmodell des „Privacy Calculus“; Acquisti et al., Journal of Economic Literature 2016, 442, 476, 477; Bidler et al., in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 285, 289 ff. 1093 Dienlin, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 305, 310–312; Acquisti et al., Journal of Economic Literature 2016, 442, 477, 478. 1094 Bidler et al., in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 285, 294–299; Dienlin, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 305, 312–314, 323; Acquisti et al., Journal of Economic Literature 2016, 442, 477. 1095 Dienlin, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 305, 312–314. 1096 Bidler et al., in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 285, 294 ff., 303. 1097 Metzger, AcP 2016, 817, 849, 850; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 218, 219, nach welchem sich das Verständnis datengetriebener Geschäftsmodelle in der Gesellschaft zunehmend durchsetzt. Vgl. auch BReg, Gesetzesentwurf zur Umsetzung der DIRL, 44. A. A. Hacker, ZfPW 2019, 148, 171.
186
Teil 3: Die Einordnung der Austauschverhältnisse
Durch die informationelle Selbstbestimmung wird gerade das Recht des Einzelnen gewährleistet, zu entscheiden, welchen Wert dieser seiner Privatsphäre und der Geheimhaltung seiner Daten beimisst.1098 Konsequenterweise ist es zu respektieren, wenn Datensubjekte auch für nur geringfügige Anreize oder aus kaum nachvollziehbaren Gründen ihre personenbezogenen Daten in erheblichem Umfang offenlegen.1099 Nach dem objektiven Empfängerhorizont ist daher aus Anbietersicht bei der Zustimmung eines Datensubjekts zur Eingehung eines datengetriebenen Austauschgeschäfts grundsätzlich von dessen Kenntnis bezüglich der Werthaltigkeit seiner personenbezogenen Daten, der Funktionsweise datengetriebener Geschäftsmodelle und der Datenverarbeitung zu kommerziellen Zwecken bei datenfinanzierten Austauschgeschäften auszugehen. 5. Resümee zu Interessen und Zwecksetzung a) Interessen auf Seiten der Anbieter Im Hinblick auf die typischen Anbieterinteressen im Rahmen datengetriebener Austauschgeschäfte lässt sich festhalten, dass die Erlangung personenbezogener Daten der Datensubjekte zu kommerziellen Zwecken wie auch die Rechtmäßigkeit der Datenverarbeitung als elementare Interessen zu klassifizieren sind, welche die wirtschaftliche Zwecksetzung datengetriebener Austauschgeschäfte prägen. Daneben wird regelmäßig die Erlangung zutreffender personenbezogener Daten ein wesentliches Interesse der Anbieter darstellen, wenn dies für das Funktionieren des jeweiligen Geschäftsmodells von Bedeutung ist. Bei Telematik-Tarifen steht hingegen primär die Erlangung der Versicherungsprämie des Versicherungsnehmers im Vordergrund. Die Verarbeitung personenbezogener Daten erfolgt in diesen Konstellationen notwendigerweise zur Durchführung der Telematik-Tarife, indem hierdurch die dynamische Anpassung der Versicherungsprämie ermöglicht wird. Aufgrund der Geschäftsmodelle, welche Telematik-Tarifen typischerweise zugrunde liegen, wird hier üblicherweise nicht von einer darüber hinausgehenden Verarbeitung von personenbezogenen Daten zu sonstigen kommerziellen Zwecken auszugehen sein. b) Interessen auf Seiten der Datensubjekte Auf Seiten der Datensubjekte prägt deren Interesse an der Anbieterleistung die datengetriebenen Austauschverhältnisse. Im Rahmen internetbasierter Geschäftsmodelle wird zudem als Interesse der Datensubjekte angesehen werden können, dass für die Anbieterleistung kein Entgelt in Form einer Geldzahlung zu erbringen 1098
Siehe oben S. 84 ff. Ebenso Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 43.
1099
§ 10 Qualifizierung der Austauschverhältnisse
187
sein wird. Im konkreten Fall können dabei die Kenntnis der Funktionsweise datengetriebener Austauschgeschäfte wie auch das Verständnis über die Umstände und das Ausmaß der Preisgabe personenbezogener Daten auf Seiten der Datensubjekte von teils erheblichen Wissens- und Rationalitätsdefiziten beeinträchtigt sein. Eine Aufweichung des im Rahmen des objektiven Empfängerhorizonts anzulegenden Maßstabs lässt sich damit jedoch nicht rechtfertigen. Auszugehen ist deswegen grundsätzlich von einem verständigen Datensubjekt, welches sich der Werthaltigkeit sowie der möglichen kommerziellen Verwertung seiner personenbezogenen Daten seitens der Anbieter datenfinanzierter Geschäftsmodelle bewusst ist und diese im Rahmen der Austauschverhältnisse dennoch preisgibt, um die Leistung des Anbieters zu erhalten. II. Ausgangspunkt der rechtlichen Bewertung 1. Kein Vorliegen eines Gefälligkeitsverhältnisses Grundlegend ist zu klären, ob im Rahmen datengetriebener Austauschverhältnisse der Austausch Anbieterleistung gegen Preisgabe personenbezogener Daten rechtsgeschäftlichen Charakter besitzt oder eine bloße Gefälligkeit darstellt.1100 Läge eine rechtlich unverbindliche Gefälligkeit vor, würden sowohl die Leistungserbringung des Anbieters als auch die des Datensubjekts in dem Belieben der jeweiligen Partei stehen und keine durchsetzbaren Leistungsansprüche existieren.1101 Inwieweit ein rechtlich verbindliches Rechtsverhältnis oder eine bloße Gefälligkeit vorliegt, ist aus der Perspektive des objektiven Empfängerhorizonts unter Berücksichtigung der Umstände des Einzelfalls nach Treu und Glauben zu bestimmen.1102 Maßgeblich für die Abgrenzung ist, ob bei der Eingehung des datengetriebenen Austauschgeschäfts von einem Rechtsbindungswillen der beteiligten Parteien ausgegangen werden kann.1103 Zur Ermittlung des Vorliegens eines Rechtsbindungswillens sind, neben der Entgeltlichkeit oder Eigennützigkeit des Rechtsgeschäfts, die Art der vereinbarten Leistung, deren Grund und Zweck 1100
Nichtrechtsgeschäften fehlt es am Rechtsbindungswillen. Hierunter fallen Gefälligkeitsverhältnisse im gesellschaftlichen Bereich wie auch bloße Mitteilungen von Tatsachen oder Gefühlen, bei denen aus objektiver Sicht nicht der Wille besteht, rechtliche Bindungen eingehen zu wollen. Grundlegend: BGH, Urteil vom 22. 06. 1956, juris, Rn. 14. Vgl. zudem Musielak / Hau, Grundkurs BGB, 16. Aufl. 2019, Rn. 52–56; Köhler, BGB AT, 44. Aufl. 2020, § 6, Rn. 2; Freyler, JA 2018, 732, 733, am Beispiel von Emoticons. 1101 Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 76, 77; Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 18, 23. 1102 KG Berlin, Urteil vom 27. 12. 2018 – 23 U 196/13, juris, Rn. 37; KG Berlin, Urteil vom 22. 09. 2017 – 5 U 155/14, juris, Rn. 100; BGH, Urteil vom 22. 06. 1956, juris, Rn. 14; BGH, Urteil vom 20. 09. 1984 – III ZR 47/83, juris, Rn. 20; Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 18; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 81. 1103 Vgl. BGH, Urteil vom 22. 06. 1956, juris, Rn. 14; Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 18.
188
Teil 3: Die Einordnung der Austauschverhältnisse
sowie die Interessenlage der Parteien heranzuziehen.1104 Einzubeziehen sind dementsprechend die wirtschaftliche und rechtliche Bedeutung des Geschäfts für die Parteien sowie die Umstände, unter denen die Leistungen erbracht wurden oder zu erbringen sind.1105 Verfolgt der Leistende bei Erbringung der Leistung an den Begünstigten ein eigenes rechtliches oder wirtschaftliches Interesse, wird in der Regel ein Rechtsbindungswille anzunehmen sein.1106 Unter Zugrundelegung der Funktionsweise datengetriebener Geschäftsmodelle, ihrer wirtschaftlichen Zwecksetzung und der festgestellten Interessenlage ist zu konstatieren, dass die Parteien bei ihrer Eingehung grundsätzlich mit Rechtsbindungswillen handeln und von Rechtsgeschäften auszugehen ist.1107 So stellen die Erhebung und die Verarbeitung personenbezogener Daten während der Laufzeit des Austauschverhältnisses zu Zwecken der kommerziellen Wertschöpfung ein elementares wirtschaftliches Interesse der Anbieter dar, derentwegen dieser auch seine Leistung dem Datensubjekt bereitstellt.1108 Spiegelbildlich verfolgt das Datensubjekt mit der Eingehung des Austauschgeschäftes das wirtschaftliche Ziel, die Leistung des Anbieters zu erhalten.1109 Insbesondere wenn seitens der Anbieter datengetriebener Austauschgeschäfte vorausgesetzt wird, dass zur Erlangung der Leistung ihren Geschäftsbedingungen zuzustimmen ist und diese Bestimmungen, neben der Regelung der eigenen Verhältnisse der Verwender, auch auf Rechtspositionen dritter Personen zugreifen, wird dadurch statuiert, die Anbieterleistung nur im Rahmen einer rechtlich geregelten Sonderverbindung bereit zu stellen.1110 Für die Annahme eines Rechtsbindungswillens sprechen überdies die Einwirkung der Anbieter auf die informationelle Selbstbestimmung der Datensubjekte und deren hoher Stellenwert bei der Verarbeitung personenbezogener Daten zu wirtschaft lichen Zwecken.1111 Auch sind Haftungsrisiken bei der Preisgabe personenbezo 1104
BGH, Urteil vom 22. 06. 1956, juris, Rn. 15; BGH, Urteil vom 20. 09. 1984 – III ZR 47/83, juris, Rn. 20; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 83–86. 1105 Ebenda. 1106 BGH, Urteil vom 22. 06. 1956, juris, Rn. 15. 1107 Ebenso Leinemann, Personenbezogene Daten als Entgelt, 2020, 99, 100, in Bezug auf soziale Netzwerke; Kumkar, ZfPW 2020, 306, 324; Hacker, ZfPW 2019, 148, 158; Metzger, AcP 2016, 817, 834; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 39, 49; Klein / Datta, CR 2016, 587, 588. Zu den Geschäftsmodellen siehe oben S. 51 ff. In zahlreichen rechtswissenschaftlichen Aufsätzen wird das Vorliegen eines Rechtsgeschäfts zudem implizit vorausgesetzt. So etwa bei Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175. 1108 Zur typischen Interessenlage der Anbieter siehe oben S. 175 ff. 1109 Zur typischen Interessenlage der Datensubjekte siehe oben S. 179 ff. 1110 Vgl. BGH, Urteil vom 23. 09. 2010 – III ZR 246/09, juris, Rn. 24; KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 64, 65; KG Berlin, Urteil vom 22. 09. 2017 – 5 U 155/14, juris, Rn. 100, 103. 1111 Hacker, ZfPW 2019, 148, 158; Metzger, AcP 2016, 817, 834; Ebenso Schuster, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 305 BGB, Rn. 41, 43. A. A. LG Hamburg, Urteil vom 07. 08. 2009 – 324 O 650/08, juris, Rn. 20, wobei dieses jedoch die kommerzielle Datennutzung seitens Google nicht berücksichtigt. Abzulehnen ist deswegen
§ 10 Qualifizierung der Austauschverhältnisse
189
gener Daten wie auch bei der Erbringung der Anbieterleistung nicht ausgeschlossen.1112 Anzuzweifeln ist darüber hinaus, dass von dem Vorliegen altruistischer Motive seitens der Anbieter datengetriebener Austauschgeschäfte ausgegangen werden kann, wenn die personenbezogenen Daten – ausschließlich auf den Erlaubnistatbestand der datenschutzrechtlichen Einwilligung gestützt – zu kommerziellen Zwecken verarbeitet werden sollen.1113 Aufgrund der Maßgeblichkeit des objektiven Empfängerhorizonts sind diesbezügliche Fehlvorstellungen der Datensubjekte über eine vermeintliche Unentgeltlichkeit entsprechender Austausch geschäfte nicht beachtlich.1114 Datengetriebene Austauschgeschäfte nach den hier vorgestellten Grundmodellen, wie sie die Praxis auch größtenteils dominieren, stellen damit grundsätzlich verbindliche Rechtsgeschäfte dar.1115 Entsprechend kritisch zu bewerten ist daher die in der Literatur häufig anzutreffende Meinung, dass ein Rechtsbindungswille des Datensubjekts erst ab Vorliegen einer Registrierung oder eines Downloads anzunehmen sei.1116 Kein Rechtsgeschäft wäre etwa bei der Nutzung einer Suchmaschine oder beim Besuch einer Webseite anzunehmen, wenn das Datensubjekt ohne die Notwendigkeit einer Registrierung diese nutzen dürfte, obwohl eine Erhebung und Verarbeitung personenbezogener Daten zum Zweck der personalisierten Werbeschaltung erfolgen würde.1117 Angemessen ist es vielmehr, im Einzelfall darauf abzustellen, ob die Inanspruchnahme des Dienstes oder der Leistung des Anbieters zwingend durch dessen Geschäftsbedingungen ausgestaltet wird und – unabhängig von einer etwaigen Registrierungspflicht – die personenbezogenen Daten des Nutzers auf der Grundlage einer vom Datensubjekt auch die Ansicht von Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 422, wonach bei der Nutzung eines sozialen Netzwerks von einem Vertragsverhältnis nur im Falle der Registrierung des Nutzers unter Angabe seines echten Namens auszugehen sei. 1112 Hacker, ZfPW 2019, 148, 158. Siehe unten S. 334 ff. sowie unten bei Fn. 1189. 1113 Eingehend hierzu unten S. 209 f., 251 f. 1114 Siehe oben S. 182 ff. sowie Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94, 95; Metzger, AcP 2016, 817, 833, 834. Mangelt es dem Datensubjekt bei Eingehung eines datengetriebenen Austauschgeschäfts hingegen am Erklärungsbewusstsein, so ist es nach der h. M. gemäß § 119 Abs. 1 Alt. 2 BGB analog zur Anfechtung seiner Willenserklärung berechtigt. Hierzu BGH, Urteil vom 07. 06. 1984 – IX ZR 66/83, juris, Rn. 20, 21; Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 119 BGB, Rn. 96–104 m. w. N. 1115 So wohl auch die überwiegende Meinung in der Rechtsprechung. Vgl. unten Fn. 1154, 1431. Im Ergebnis ebenso Kramme, RDi 2021, 20, 22, 23. Im Folgenden wird daher, synonym zu den Begriffen datengetriebene Austauschgeschäfte und datengetriebene Austauschverhältnisse, auch der Begriff des datengetriebenen Vertragsverhältnisses verwendet. 1116 Becker, CR 2021, 230, 235, 236; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 6; Härting, CR 2016, 735, 737, 738; Wendehorst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 312 BGB, Rn. 38. 1117 Die Einordnung entsprechender Konstellationen wird nach dem europäischen Sekundärrecht dem nationalen Recht überlassen. So sollten nach EG 25 S. 3 DIRL sowie EG 35 S. 1 Änderungs-RL die DIRL und die VerbRRL n. F. nicht in Fällen gelten, in denen der Unternehmer nur Metadaten wie Informationen zum Gerät des Verbrauchers oder zum Browserverlauf erhebt, es sei denn, der betreffende Sachverhalt gilt als Vertrag nach nationalem Recht.
190
Teil 3: Die Einordnung der Austauschverhältnisse
zu erteilenden datenschutzrechtlichen Einwilligung kommerziell verarbeitet werden sollen.1118 2. Nutzungsbedingungen und Datenschutzerklärung als AGB Datengetriebene Austauschgeschäfte, welche in der Praxis häufig als internetbasierte Massengeschäfte vorkommen, werden überwiegend durch Nutzungsbedingungen und Datenschutzerklärungen geregelt.1119 Üblicherweise finden sich in den Nutzungsbedingungen eine Spezifizierung der angebotenen Dienste, eine Konkretisierung der Vertragsparteien, Bestimmungen zu deren Rechten und Pflichten sowie sonstige Regelungen wie Haftungsbeschränkungen oder Gerichtsstandvereinbarungen.1120 Als einseitig vorformulierte Vertragsbedingungen, konzipiert für eine Vielzahl von Verträgen, sind entsprechend ausgestaltete Nutzungsbedingungen als AGB i. S. v. § 305 Abs. 1 S. 1 BGB zu qualifizieren.1121 Die Nutzung des Dienstes ist im Rahmen datengetriebener Austauschverhältnisse grundsätzlich nur möglich, wenn der Nutzer diesen Vertragsbedingungen zustimmt und die rechtsgeschäftliche Gestaltungsmacht des Anbieters akzeptiert, wodurch eine rechtliche Geltung gegenüber dem Nutzer beabsichtigt und der Zugriff auf geschützte Rechtspositionen des Nutzers ermöglicht wird.1122 Datenschutzerklärungen werden daneben dazu eingesetzt, die Informationspflichten der datenschutzrechtlich Verantwortlichen nach Art. 13, 14 DSGVO zu erfüllen, die gegenüber denjenigen Personen bestehen, deren personenbezogene Daten erhoben und verarbeitet werden sollen.1123 Beschränken sich Datenschutzerklärungen ihrem Inhalt nach auf die Bereitstellung der erforderlichen Informationen, so stellen diese keine AGB dar, da sie keine spezifischen Regelungen mit 1118 Auch ohne das Erfordernis einer Registrierung sind demnach insbesondere datengetriebene Austauschgeschäfte mit kommerzieller Ausrichtung der Verarbeitung von personenbezogenen Daten als Rechtsgeschäfte zu qualifizieren, deren Eingehung nur unter Zustimmung zu den Geschäftsbedingungen der Anbieter möglich ist. Siehe oben bei Fn. 1110–1112. Ähnliche Erwägungen anstellend: BReg, Gesetzesentwurf zur Umsetzung der DIRL, 44; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 38–41, 61; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 206. 1119 Die verwendeten Begrifflichkeiten variieren, sodass in der Praxis häufig auch Begriffe wie Datenrichtlinien, Datenschutzrichtlinien oder andere Bezeichnungen anzutreffen sind. Vgl. oben bei Fn. 958, 970. 1120 Vgl. hierzu oben S. 167, 170. 1121 Vgl. BGH, Urteil vom 14. 03. 2017 – VI ZR 721/15, juris, Rn. 17, 21 ff; KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 64; LG Berlin, Urteil vom 19. 11. 2013 – 15 O 402/12, juris, Rn. 24, 25; Hacker, ZfPW 2019, 148, 168. 1122 Vgl. BGH, Urteil vom 25. 10. 2012 – I ZR 169/10, juris, Rn. 17, 21, 22; BGH, Urteil vom 25. 10. 2012 – I ZR 169/10, juris, Rn. 19, 20; BGH, Urteil vom 23. 09. 2010 – III ZR 246/09, juris, Rn. 24; KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 64; KG Berlin, Urteil vom 22. 09. 2017 – 5 U 155/14, juris, Rn. 100 ff. 1123 Wendehorst / Westphalen, NJW 2016, 3745, 3748.
§ 10 Qualifizierung der Austauschverhältnisse
191
Rechtsfolgen für das Vertragsverhältnis zwischen dem Anbieter und dem Datensubjekt enthalten.1124 Werden jedoch darüber hinaus in der Datenschutzerklärung die Erhebung und Verarbeitung der personenbezogenen Daten zu kommerziellen Zwecken eigenständig geregelt und diese Verarbeitungsvorgänge auf die zu erteilende Einwilligung der betroffenen Person gestützt, so sind auch Datenschutzerklärungen als AGB zu qualifizieren.1125 Dies ist ebenso anzunehmen, wenn in den Nutzungsbedingungen ein Verweis auf die Datenschutzerklärung enthalten ist.1126 Denn durch den Verweis wird beim Datensubjekt der Eindruck erweckt, die in einer Datenschutzerklärung beschriebene Praxis müsse entweder geduldet oder auf die Nutzung des Dienstes verzichtet werden, weshalb von einer verbindlichen Regelung auszugehen ist, die über eine bloße Unterrichtung über das tatsächliche Verhalten eines Anbieters hinausgeht.1127 Die Normierung der kommerziellen Nutzung der personenbezogenen Daten in einer Datenschutzerklärung ist demnach als Vertragsbestimmung zu qualifizieren, welche im Ausgangspunkt einer AGBKontrolle unterworfen ist.1128 Dies drängt sich umso stärker auf, wenn ein Gegenleistungscharakter der Datenpreisgabe anzunehmen ist.1129 3. Zustandekommen der Vertragsverhältnisse In den Hauptanwendungsfällen datengetriebener Austauschgeschäfte wird, wie im Fall internetbasierter Massengeschäfte durch Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen, typischerweise dem Datensubjekt seitens des Anbieters ein Antrag auf Abschluss eines Vertrags gemacht.1130 Der Antrag wird 1124
KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 66; OLG Hamburg, Beschluss vom 04. 12. 2014 – 10 U 5/11, juris, Rn. 48–58; Wendehorst / Westphalen, NJW 2016, 3745, 3748. 1125 BGH, Urteil vom 14. 03. 2017 – VI ZR 721/15, juris, Rn. 21, 22; BGH, Urteil vom 25. 10. 2012 – I ZR 169/10, juris, Rn. 19; BGH, Urteil vom 16. 07. 2008 – VIII ZR 348/06, juris, Rn. 18; KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 65; KG Berlin, Urteil vom 27. 12. 2018 – 23 U 196/13, juris, Rn. 38; Wendehorst / Westphalen, NJW 2016, 3745, 3748 m. w. N. 1126 KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 66–68; LG Berlin, Urteil vom 19. 11. 2013 – 15 O 402/12, juris, Rn. 25. 1127 Vgl. BGH, Urteil vom 03. 07. 1996 – VIII ZR 221/95, juris, Rn. 20; KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 68; LG Berlin, Urteil vom 19. 11. 2013 – 15 O 402/12, juris, Rn. 54. 1128 BGH, Urteil vom 16. 07. 2008 – VIII ZR 348/06, juris, Rn. 11; Wendehorst / Westphalen, NJW 2016, 3745, 3478; Schuster, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 305 BGB, Rn. 41 (für Suchmaschinen), Rn. 43 (für soziale Netzwerke). 1129 Wendehorst / Westphalen, NJW 2016, 3745, 3478, 3479. Eingehend zum Gegenleistungscharakter einer Datenpreisgabe siehe unten S. 217 ff. 1130 Regelmäßig wird es sich bei internetbasierten Vertragsschlüssen um Vertragsschlüsse unter Abwesenden und ohne individuelle Kommunikation handeln, wodurch diese typisiert erfolgen kann. Spindler, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Vor. zu §§ 145 ff. BGB, Rn. 3; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 39. Anbieter internetbasierter datengetriebener Austauschgeschäfte werden
192
Teil 3: Die Einordnung der Austauschverhältnisse
durch die AGB des Anbieters in Form von Nutzungsbedingungen und Datenschutz erklärungen so ausgestaltet, dass, aus Sicht des objektiven Empfängerhorizonts, gemäß §§ 133, 157 BGB ein Vertragsschluss mit dem Nutzer als Antragsempfänger intendiert ist.1131 Der typischerweise durch die AGB des Anbieters ausgestaltete Antrag spezifiziert die wesentlichen Vertragsmerkmale des Vertrags, indem dieser die Vertragsparteien festlegt, die Anbieterleistung bestimmt und die Preisgabe personenbezogener Daten durch das Datensubjekt und die dafür herangezogene Rechtsgrundlage spezifiziert.1132 Nimmt das Datensubjekt den Antrag in der Folge an, kann dies ausdrücklich geschehen, wie im Fall einer Registrierung bzw. eines Downloads und der anschließenden Installation eines Computerprogramms, oder auch konkludent durch die Inanspruchnahme des digitalen Inhalts bzw. durch den Besuch einer datenfinanzierten Webseite ohne vorherige Registrierung erfolgen.1133 Nach § 151 S. 1 BGB kann im letzteren Fall dabei auf den Zugang der Annahme verzichtet werden.1134 III. Prägende Merkmale datengetriebener Austauschverhältnisse Datengetriebene Austauschgeschäfte weisen, neben der ihnen typischerweise zugrundeliegenden Interessenlage und den verfolgten wirtschaftlichen Zwecken, als Gemeinsamkeiten auf, dass eine Preisgabe personenbezogener Daten des Datensubjekts erfolgt und der Anbieter eine Leistung erbringt, deren konkreter Inhalt von dessen Geschäftsmodell abhängig ist. 1. Beliebigkeit der Anbieterleistung Aus der Vielgestaltigkeit datengetriebener Austauschgeschäfte, welchen die Verarbeitung personenbezogener Daten zu wirtschaftlichen Zwecken zugrunde liegt, lässt sich für entsprechende Vertragsverhältnisse als charakteristisches Element entnehmen, dass diese jeweils eine Anbieterleistung enthalten, welche beliebigen
überdies grundsätzlich an der Schaffung einer größtmöglichen Nutzerbasis interessiert sein und in der Lage sein, ihre digitalen Leistungen unbegrenzt ohne drohende Haftungsrisiken zu erbringen. Regelmäßig wird daher ein verbindliches Angebot an einen unbestimmten Personenkreis anzunehmen sein. Vgl. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 44; Metzger, AcP 2016, 817, 838; siehe auch oben bei Fn. 1039 sowie unten Fn. 1479. 1131 Metzger, AcP 2016, 817, 838. Vgl. hierzu beispielshaft die behandelten Geschäftsmodelle von Google und Facebook oben S. 167 ff., 170 f. 1132 Bei atypischen Verträgen sind bezüglich der essentialia negotii höhere Anforderungen an ihre Bestimmtheit zu stellen. Hierzu Möslein, in: BeckOGK BGB, Stand: 01. 05. 2019, § 145 BGB, Rn. 108. 1133 Vgl. Metzger, AcP 2016, 817, 839; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 39, 40. Hierzu bereits eingehend oben bei Fn. 1116–1118. 1134 Metzger, AcP 2016, 817, 839.
§ 10 Qualifizierung der Austauschverhältnisse
193
Inhalts sein kann. Die vereinbarte Leistung des Anbieters ist im Rahmen datengetriebener Geschäftsmodelle dementsprechend vom konkreten Geschäftsmodell im Einzelfall abhängig und inhaltlich austauschbar.1135 So kann beliebig vereinbart werden, dass, im Gegenzug für die Datenpreisgabe, dem Datensubjekt beispielsweise ein körperlicher oder unkörperlicher Gegenstand vorübergehend oder dauerhaft überlassen, ein bestimmter Erfolg herbeigeführt oder eine Dienstleistung erbracht werden soll. Die Vereinbarung einer Geldzahlungspflicht des Datensubjekts für die Erbringung derselben Anbieterleistung eines datengetriebenen Austauschgeschäfts hätte in diesen Fällen zur Folge, dass sich diese Vertragsverhältnisse nach dem gegenwärtigen Stand der Rechtswissenschaft weitestgehend problemlos in die bestehenden Vertragstypen einordnen lassen würden bzw. maßgeblich von der Qualifizierung der Anbieterleistung abhängig wären.1136 2. Die Leistung des Datensubjekts a) Grundlagen und Konzeption Um als (Gegen)Leistung qualifiziert werden zu können, muss die Datenpreisgabe des Datensubjekts das Austauschverhältnis als Hauptleistung prägen.1137 Als Teil der essentialia negotii legen die Vertragsparteien das elementare Pflichtenprogramm selbst fest, wodurch dem Schuldverhältnis sein charakteristisches Gepräge verliehen wird.1138 Die Datenpreisgabe des Datensubjekts darf demnach nicht nur eine bloße Nebenabrede darstellen.1139 Als Ergebnis der Untersuchung der Interessenlage und des Vertragszwecks ist diesbezüglich festzuhalten, dass der Anbieter mit der Eingehung des Rechtsgeschäfts als Hauptzwecke die Erlangung der personenbezogenen Daten vom Datensubjekt sowie die Rechtmäßigkeit der Datenverarbeitung verfolgt.1140 Zur Erfüllung des Vertragszwecks und als Inhalt der Leistung des Datensubjekts ist somit nach der hier vertretenen Konzeption grundsätzlich von einer zweifachen Verpflichtung des Datensubjekts als typenprägende Hauptleistung im Rahmen datengetriebener Austauschverhältnisse mit kommerzieller Zweck-
1135 Vgl. Hacker, ZfPW 2019, 148, 177, 178; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 12, Fn. 43, ebenso die Relevanz der Datenpreisgabe für die rechtliche Einordnung hervorhebend. 1136 Weiterführend hierzu unten S. 267 ff. 1137 Vgl. Hacker, ZfPW 2019, 148, 161, 162; Specht, JZ 2017, 763, 764; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 268, 269. Eingehend hierzu oben S. 160 ff. 1138 Siehe oben Fn. 921, 933. 1139 Siehe oben Fn. 934, 935 sowie Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 268; Hacker, ZfPW 2019, 148, 162. 1140 Siehe oben S. 175 f., 178 f.
194
Teil 3: Die Einordnung der Austauschverhältnisse
setzung auszugehen:1141 Verpflichtet ist das Datensubjekt einerseits zur Erteilung einer datenschutzrechtlichen Einwilligung zur Legitimierung der Datenverarbeitung zu kommerziellen Zwecken entsprechend der Vereinbarung zwischen dem Datensubjekt und dem Anbieter sowie andererseits zur faktischen Überlassung der hierfür erforderlichen personenbezogenen Daten in Form der aktiven Datenüberlassung oder der passiven Duldung der Datenerhebung und -verarbeitung durch den Anbieter.1142 Nicht mehr von Bedeutung, im Hinblick auf die Statthaftigkeit einer Verpflichtung des Datensubjekts zur faktischen Überlassung personenbezogener Daten sowie deren Gegenleistungscharakter, ist die früher diskutierte Streitfrage, ob das Datensubjekt seine personenbezogenen Daten aktiv oder passiv preiszugeben hat.1143 Nach erheblicher Kritik an diesem Abgrenzungskriterium wurde dieses gestrichen und in die endgültige Richtlinienfassung nicht übernommen, weshalb im Folgenden nicht weiter darauf eingegangen wird.1144 Grundsätzlich sind damit aktiv wie auch passiv preisgegebene Daten gegenleistungsfähig und kommen im Ausgangspunkt als Inhalt einer Leistungspflicht des Datensubjekts in Frage. Inwieweit innerhalb datengetriebener Austauschgeschäfte die Überlassung personenbezogener Daten bzw. die Erteilung einer datenschutzrechtlichen Einwilligung als Gegenleistung mit Entgeltcharakter qualifiziert werden kann, wird erst an späterer Stelle behandelt, da diese Qualifizierung auf folgenden Erwägungen aufbaut.1145
1141 Eine vergleichbare Zweiteilung der Leistungspflicht des Datensubjekts wie der Verfasser vertretend: Metzger, AcP 2016, 817, 850; Langhanke, Daten als Leistung, 2018, 124. 1142 Bei datengetriebenen Austauschgeschäften ohne kommerzielle Zwecksetzung, bei denen Datenverarbeitungsvorgänge bereits durch gesetzliche Erlaubnistatbestände legitimiert sind, kommt dagegen grundsätzlich nur die Überlassung von personenbezogener Daten als mögliche Leistungspflicht in Betracht. Umfassend hierzu unten S. 261 ff. Zur Zulässigkeit einer Vereinbarung betreffend die Erteilung einer datenschutzrechtlichen Einwilligung oder einer faktischen Datenüberlassung als Vertragsgegenstände siehe oben S. 101 ff. 1143 Hintergrund dieser Diskussion war die frühere, mittlerweile geänderte Fassung von Art. 3 Abs. 1 des Vorschlagentwurfs der DIRL, wonach, für eine Anwendbarkeit der Richtlinie im Fall der Bereitstellung von personenbezogenen Daten, diese „aktiv“ zu erbringen waren. Zum Wortlaut dieser Vorschrift siehe oben Fn. 879. Nach EG 14 des damaligen Vorschlagentwurfs galten automatisch, also passiv erhobene Daten wie im Fall von Cookies als nicht gegenleistungsfähig und hätten den Anwendungsbereich der Richtlinie nicht eröffnet. 1144 Ausführlich und m. w. N. hierzu: Mischau, ZEuP 2020, 335, 337; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 205–207; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 518, 546, 547; Hacker, ZfPW 2019, 148, 166, 167. 1145 Eingehend zum Gegenleistungscharakter siehe unten S. 217 ff. Dies betrifft vor allem die vollkommen datenfinanzierten Geschäftsmodelle sowie Freemium-Modelle, welchen typischerweise eine Verarbeitung personenbezogener Daten zu kommerziellen Zwecken zugrunde liegt und die folgenden Ausführungen ausgerichtet sind. Zu diesen Geschäftsmodellen siehe oben S. 51 ff.
§ 10 Qualifizierung der Austauschverhältnisse
195
b) Meinungsstand in Literatur und Rechtsprechung Unabhängig von der Bejahung von Leistungspflichten des Datensubjekts ist bereits der konkrete Inhalt der Leistung des Datensubjekts in der Rechtswissenschaft heftig umstritten.1146 Der Streit wird überwiegend im Rahmen der DIRL ausgetragen, nach deren Wortlaut nicht zwischen der faktischen Überlassung von personenbezogenen Daten und der zu einer kommerziellen Datenverarbeitung notwendigen datenschutzrechtlichen Einwilligung unterschieden wird.1147 So spricht Art. 3 Abs. 1 Uabs. 2 DIRL undifferenziert davon, dass diese Richtlinie auch in den Fällen gilt, in denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder deren Bereitstellung zusagt.1148 In der nun endgültigen Fassung wird zudem nicht mehr explizit von der Datenbereitstellung als Gegenleistung des Verbrauchers gesprochen.1149 Ob und inwieweit personenbezogene Daten eine vertragliche Gegenleistung darstellen, ist daher weiterhin nach nationalem Recht zu bestimmen.1150 Über den konkreten Leistungsinhalt sind in der Literatur im Wesentlichen zwei Ansichten vorzufinden: Nach einer Literaturmeinung beinhaltet die Leistung des Datensubjekts lediglich die tatsächliche Verschaffung der personenbezogenen Daten als geschuldete Gegenleistung.1151 Eine Sonderform dieser Ansicht erblickt hingegen die Gegenleistung des Datensubjekts in der Verschaffung einer tatsächlichen Möglichkeit, die personenbezogenen Daten für kommerzielle Zwecke zu nutzen.1152 Nach der Gegenauffassung genügt die bloße Datenüberlassung für sich allein genommen jedoch noch nicht, um die Leistung des Datensubjekts zu konstituieren, sondern darüber hinaus ist noch die Erteilung einer datenschutzrecht 1146 Zur dogmatischen Grundstruktur siehe unten S. 252 ff. Zu Auffassungen, nach denen eine Leistungspflicht des Datensubjekts vollständig verneint wird, siehe unten S. 246 ff. bzw. S. 214 ff., 274 ff., 276 ff. 1147 Dieses Problem lag schon Art. 3 Abs. 1 des früheren Richtlinienvorschlags zugrunde. Hierzu oben Fn. 879. Der Wortlaut der endgültigen Fassung von Art. 3 Abs. 1 DIRL kann daher zurecht auch weiterhin als misslungen bezeichnet werden. Hierzu Linardatos, in: SpechtRiemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 520, 521 m. w. N. zum damaligen Meinungsstand. 1148 Im Hinblick auf die Begriffsbestimmung von „personenbezogene Daten“ verweist Art. 2 Nr. 8 DIRL auf Art. 4 Nr. 1 DSGVO. 1149 Siehe bereits oben Fn. 885. 1150 Vgl. Art. 3 Abs. 10 DIRL i. V. m. EG 12 DIRL. Hierzu bereits oben S. 101 ff. sowie oben Fn. 552. 1151 Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 172; Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 89–91, die Einwilligung als unzureichenden Ansatzpunkt für ein synallagmatisches Austauschverhältnis einordnend; Hacker, ZfPW 2019, 148, 163, 164, nach welchem die faktische „Datenüberlassung regelmäßig (abgesehen von einer etwaigen Einwilligung) die einzig relevante und klar prägende Gegenleistung dar[stellt]“; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 269, hinsichtlich internetbasierter Datenüberlassungsverträge. 1152 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 522, 529; Westphalen / Wendehorst, BB 2016, 2179, 2184.
196
Teil 3: Die Einordnung der Austauschverhältnisse
lichen Einwilligung zur rechtmäßigen Verarbeitung der Daten zu kommerziellen Zwecken zu fordern.1153 Die Rechtsprechung hat sich mit der Thematik noch nicht vertieft befasst, erachtet jedoch sowohl die Überlassung personenbezogener Daten als auch die Erteilung einer datenschutzrechtlichen Einwilligung als mögliche Leistungsgegenstände und geht überwiegend von dem Vorliegen einer Leistung des Datensubjekts im Rahmen datengetriebener Austauschgeschäfte mit kommerzieller Zwecksetzung aus.1154 1153 Leinemann, Personenbezogene Daten als Entgelt, 2020, 83, 84; 123, 124, 174; Kumkar, ZfPW 2020, 306, 326; Langhanke, Daten als Leistung, 2018, 124, 125; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 7; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 202, 204–207; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 89, 90; keine ausdrückliche Entscheidung hierzu treffend, jedoch im Ergebnis auf die Einwilligung abstellend: Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 20 ff.; Metzger, AcP 2016, 817, 837, 850; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 41, 43–46; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 220. 1154 Vgl. BGH, Urteil vom 14. 03. 2017 – VI ZR 721/15, juris, Rn. 22, wonach im Rahmen eines Plattformvertrags eine Qualifizierung als „entgeltlicher Vertrag“ für möglich erachtet wird, bei welchem „die Gegenleistung in dem Einverständnis mit dem Empfang von Werbung des Plattformbetreibers und der Weitergabe der E-Mail-Adresse an andere Unternehmen mit dem Einverständnis, von diesen Werbung zu erhalten […] also in der Zurverfügungstellung von personenbezogenen Daten für Werbezwecke, einem ‚Bezahlen mit eigenen Daten‘ besteht“. KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 242, welches die Datenpreisgabe durch Datensubjekte als eine monetäre Gegenleistung zwar ausschließt, wonach aber eine immaterielle Gegenleistung vorliegen könnte, die einer Zahlung mit Daten entspricht. OLG Stuttgart, Urteil vom 23. 01. 2019 – 4 U 214/18, juris, Rn. 115, die Hauptleistungspflichten eines Vertrages über die Nutzung eines sozialen Netzwerks in dem „Austausch von digitalen Inhalten gegen personenbezogene Daten“ verortend, dabei jedoch zu Unrecht auf die nicht aussagekräftige Entscheidung des BGH in BGH, Urteil vom 12. 07. 2018 – III ZR 183/17, juris, Rn. 18 verweisend. Vgl. auch OLG Stuttgart, Beschluss vom 06. 09. 2018 – 4 W 63/18, juris, Rn. 64; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 138, 139, wonach „die Herausgabe personenbezogener Daten bzw. die datenschutzrechtlich erforderliche Einwilligung in deren Erhebung und Verarbeitung“ eine „Gegenleistung anderer Art“ darstellen können. LG Berlin, Urteil vom 19. 11. 2013 – 15 O 402/12, juris, Rn. 30, einen gegenseitigen Vertrag annehmend, bei welchem „der Verbraucher sein Einverständnis mit der Nutzung der von ihm generierten Daten erklärt“, wobei dies mit einem Verweis auf „BGH, Entscheidung vom 28. Mai 2005 – X a ZR 9/08“ begründet wird, wobei BGH, Urteil vom 28. 05. 2009 – Xa ZR 9/08 gemeint sein dürfte, welches hierüber keine brauchbare Aussage enthält, sowie LG München I, Urteil vom 09. 03. 2006 – 12 O 12679/05, juris, Rn. 61, wonach die Einwilligungserteilung zur Datenverarbeitung „eine Art Gegenleistung dar[stellt]“. A. A. KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 70, 71, ohne nähere Differenzierung das Vorliegen einer Leistungspflicht unter Heranziehung der Uneinschränkbarkeit des Widerrufsrechts verneinend; LG Hamburg, Urteil vom 07. 08. 2009 – 324 O 650/08, juris, Rn. 20, den Rechtsbindungswillen im Rahmen der Suchmaschinennutzung ablehnend, wobei die kommerzielle Datenverarbeitung seitens Google nicht berücksichtigt wurde. Unklar hingegen OLG München, Urteil vom 08. 12. 2020 – 18 U 5493/19 Pre, juris, Rn. 78, 101, welches zwar bei der Nutzung von Facebook vom Vorliegen eines „unentgeltlichen Nutzungsvertrages“ ausgeht, gleichzeitig aber das Vorliegen einer „‚Gegenleistung‘“ in Form einer Lizenz an den eingestellten Nutzerinhalten annimmt, welche der Nutzer jederzeit durch „Löschung der Inhalte oder des Kontos beenden kann“.
§ 10 Qualifizierung der Austauschverhältnisse
197
aa) Die bloße Datenübermittlung als Gegenleistung Die herrschende Meinung im Schrifttum, welche grundlegend auf die datenschutzrechtliche Einwilligung abstellt, wird von einigen Stimmen in der Literatur als zu eng und realitätsfern erachtet. So kann nach Beurskens auch der bloßen Datenübermittlung faktisch ein Vermögenswert zukommen, wenn die Daten in der Folge anonymisiert werden und als Grundlage weiterer kommerzieller Verwertungsschritte dienen sollen.1155 Eine datenschutzrechtliche Einwilligung würde für entsprechende Folgenutzungen dann nicht mehr erforderlich sein.1156 Auch nach Hacker kann in der datenschutzrechtlichen Einwilligung grundsätzlich nicht die Leistung des Datensubjekts gesehen werden, da diese in der Regel keinen prägenden Charakter für datengetriebene Austauschverhältnisse aufweisen würde.1157 Hierfür wird seitens Hacker angeführt, dass Anbieter in der Praxis in zahlreichen Verarbeitungskonstellationen sich gerade nicht auf die Einwilligung als Rechtsgrundlage stützen würden und die Datenverarbeitungsvorgänge oftmals auch über gesetzliche Erlaubnistatbestände nach Art. 6 Abs. 1 lit. b–f DSGVO legitimierbar seien.1158 Auch im Rahmen von vollkommen datenfinanzierten Geschäftsmodellen und Freemium-Geschäftsmodellen würde die Datenüberlassung das datengetriebene Austauschverhältnis regelmäßig in hinreichender Weise prägen.1159 Nach Hofmann – die weite Auslegung von Art. 6 Abs. 1 lit. b DSGVO1160 vertretend – würde für ein Abstellen auf die Datenüberlassung zudem sprechen, dass damit die Problematik der jederzeitigen Widerruflichkeit der Einwilligung entschärft werden würde.1161 So bestünde infolge der Legitimierung der Datenverarbeitung bereits durch einen gesetzlichen Erlaubnistatbestand keine Notwendigkeit mehr, die Einwilligung als Leistungsbestandteil aufzufassen.1162 bb) Die Ansicht von Linardatos Aufbauend auf die Überlegungen von Westphalen / Wendehorst entwickelte inardatos eine weitere, sich auf die Datenüberlassung stützende Ansicht, welche L die Gegenleistung des Datensubjekts weder in der faktischen Datenüberlassung noch in der Erteilung einer datenschutzrechtlichen Einwilligung verortet, sondern 1155
Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 91. Ebenda. 1157 Hacker, ZfPW 2019, 148, 162–164. Ebenso Hacker, Datenprivatrecht, 2020, 198, 228, an dieser Ansicht grundsätzlich für den Regelfall festhaltend. Ähnliche Erwägungen anstellend: Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 269. 1158 Hacker, ZfPW 2019, 148, 162, 163. 1159 Hacker, ZfPW 2019, 148, 163, 164. 1160 Eingehend hierzu siehe unten bei Fn. 1319–1322. 1161 Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 172, 173. 1162 Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 171–173. 1156
198
Teil 3: Die Einordnung der Austauschverhältnisse
in der Verschaffung der tatsächlichen Möglichkeit, die Daten für kommerzielle Zwecke zu nutzen:1163 Das Datensubjekt erfülle seine vertragliche Gegenleistungspflicht bereits durch die bloße Datenüberlassung, während der Anbieter als Datennutzer, zusätzlich zu der Erbringung seines Dienstes, „seinerseits alles Erforderliche tun muss, um eine wirksame Einwilligung und dadurch die Wirksamkeit des Verpflichtungsgeschäfts zu gewährleisten“.1164 Die datenschutzrechtliche Einwilligung wäre hiernach nur als „Wirksamkeitsvoraussetzung des Verpflichtungsvertrages“ zu qualifizieren, welcher dem datengetriebenen Austauschverhältnis zugrunde liegt.1165 Die Ablehnung der datenschutzrechtlichen Einwilligung als Gegenleistung wird von Linardatos damit begründet, dass der ökonomische Wert personenbezogener Daten, unabhängig von der Rechtmäßigkeit der Datenverarbeitung, seitens der Anbieter bereits in dem Zeitpunkt abgeschöpft werden könne, wenn dieser den faktischen Zugang zu den Daten erlangt.1166 In der Praxis bestünden nach diesem Zeitpunkt keine effektiven Möglichkeiten mehr, dem Anbieter den im Rahmen seines kommerziellen Verwertungsprozesses aus den Daten gezogenen Wert in Gestalt von Erkenntnissen und Informationen wieder zu entziehen.1167 Denn auch wenn die Einwilligung sich im Nachhinein als unwirksam erweisen würde und die Datenverarbeitung als rechtswidrig einzustufen wäre, wäre der Vermögenswert der Daten bereits „unumkehrbar dem Anbieter zugeflossen“.1168 Im Rahmen ihrer kommerziellen Verwertungsprozesse würden Unternehmen untereinander gerade nicht mit datenschutzrechtlichen Einwilligungen, sondern mit personenbezogenen Daten handeln, welche dementsprechend das maßgebliche Vermögensgut darstellen.1169 Bei Einnahme eines realitätsnahen Blickwinkels würde die Unternehmenspraxis zeigen, dass die ökonomische Wertschöpfung aus der Verarbeitung personen bezogener Daten gerade nicht von der Erteilung einer wirksamen datenschutzrechtlichen Einwilligung abhängig sei.1170 Des Weiteren wäre es nach Linardatos mit den Interessen der Anbieter datengetriebener Austauschgeschäfte kaum zu vereinbaren, wenn die Einwilligung als maßgebliche Gegenleistung eingestuft würde, jedoch aufgrund der Widerruflichkeit der Einwilligung dem Anbieter kein 1163
Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 522; Westphalen / Wendehorst, BB 2016, 2179, 2184. 1164 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 528, 529. 1165 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 528. 1166 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 522. 1167 Ebenda. 1168 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 523. 1169 Ebenda. 1170 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 525.
§ 10 Qualifizierung der Austauschverhältnisse
199
durchsetzbarer Anspruch auf die Erteilung der Einwilligung zugesprochen werden könnte.1171 Gegen eine Annahme der datenschutzrechtlichen Einwilligung als Gegenleistung spräche überdies die Schwierigkeit, die erforderliche Informiertheit des Datensubjekts zu deren wirksamer Erteilung herzustellen.1172 So sei es gegenwärtig aufgrund der informationstechnologischen Fortschritte im Bereich der Datenverarbeitung praktisch nicht möglich, die Verarbeitungszwecke erhobener personenbezogener Daten vorherzusehen und dementsprechend zu spezifizieren, um die erforderliche Informiertheit des Datensubjekts herzustellen und die Wirksamkeit der Einwilligung zu gewährleisten.1173 Auch der Versuch, den Datensubjekten eine vollständige Informationsbasis zu verschaffen, könne nur misslingen, da Datensubjekte für die Aufnahme sämtlicher erforderlicher Informationen, angesichts eines „information overkill“, die Kapazitäten fehlen würden, die bereitgestellten Informationen zu durchdringen.1174 Schließlich sei ein Abstellen auf eine Verpflichtung zur Erteilung der datenschutzrechtlichen Einwilligung abzulehnen, da dies zur Folge hätte, dass das Datensubjekt für die Erteilung einer wirksamen Einwilligung verantwortlich wäre und ihm somit das Risiko der Wirksamkeit der Einwilligung zufallen würde.1175 Die Gewährleistung der Informiertheit des Datensubjekts über die Datenverarbeitungsvorgänge sei jedoch nur aus der Sphäre des Anbieters zu erbringen, weswegen das Datensubjekt die Wirksamkeit der Einwilligung von alleine gar nicht eigenständig bewirken könne.1176 Die von Linardatos befürwortete Qualifizierung der Einwilligung als Wirksamkeitsvoraussetzung würde es daher ermöglichen, diese Risiken dem Anbieter aufzuerlegen und für eine faire Lastenverteilung zwischen den Vertragsparteien zu sorgen.1177 cc) Die Einwilligung als Kern der Gegenleistung Entscheidend für die Qualifizierung der datenschutzrechtlichen Einwilligung als elementarer Bestandteil der Leistung des Datensubjekts ist, so die – vorzugswürdige – Auffassung, dass die Verarbeitung von personenbezogenen Daten 1171
Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 525–527. Zu dieser Problematik und zur Widerlegung dieser Annahme siehe unten S. 244 ff. 1172 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 523–525. Zu dieser Voraussetzung der datenschutzrechtlichen Einwilligung siehe oben S. 133 f. 1173 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 523, 524. 1174 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 524, 525 (Hervorhebung im Original). Hierzu bereits oben Fn. 1084. 1175 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 528. 1176 Ebenda. 1177 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 528, 529.
200
Teil 3: Die Einordnung der Austauschverhältnisse
zu kommerziellen Zwecken rechtmäßig zu sein hat.1178 Lassen sich entsprechende Datenverarbeitungsvorgänge ausschließlich auf Basis der datenschutzrechtlichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO rechtmäßig vornehmen, so prägt die Erlangung einer wirksamen Einwilligung die Zwecksetzung des Austauschgeschäfts.1179 Übereinstimmend mit dieser Ansicht, und auf die hier vertretene und bereits oben dargestellte Konzeption übertragen, stellt die Verpflichtung zur Erteilung einer datenschutzrechtlichen Einwilligung gegenüber dem Anbieter, welche durch vertragliche Vereinbarung ausgestaltet wird, den Kern der Gegenleistungspflicht des Datensubjekts dar. Verpflichtet ist das Datensubjekt daneben noch zur faktischen Überlassung der personenbezogenen Daten, welche der Anbieter mit kommerzieller Zwecksetzung verarbeitet.1180 Fehlt eine ausdrückliche vertragliche Statuierung der Pflicht zur Datenüberlassung, wird diese bei datengetriebenen Austauschgeschäften in der Regel als konkludent vereinbart anzusehen sein, da dem Anbieter mit der Erteilung der Einwilligung durch das Datensubjekt das Recht gewährt werden soll, dessen personenbezogene Daten im vereinbarten Umfang nach Art. 6 Abs. 1 lit. a DSGVO verarbeiten zu dürfen.1181 Zudem wird in Ermangelung einer ausdrücklichen vertraglichen Verpflichtung grundsätzlich davon auszugehen sein, dass seitens des Datensubjekts nur das passive Dulden der Datenerhebung zu kommerziellen Verarbeitungszwecken durch den Anbieter geschuldet sein wird.1182 Dies entspricht der technischen Ausgestaltung datengetriebener Austauschgeschäfte in der Praxis, wonach die personenbezogenen Daten der Datensubjekte im Rahmen der Nutzung der internetbasierten Dienste überwiegend unabhängig von deren aktiver Mitwirkung automatisiert erhoben und verarbeitet werden.1183 Der bloßen Datenverschaffung ist gegenüber der Einwilligungserteilung daher nur ein nachrangiger Charakter zu attestieren.1184 Die Rechtmäßig 1178 Leinemann, Personenbezogene Daten als Entgelt, 2020, 82, 83, 174, 175; Langhanke, Daten als Leistung, 2018, 124; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 89; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 7. 1179 Siehe oben S. 178 f. 1180 Hierzu bereits oben bei Fn. 1141, 1142. 1181 Zum Interesse des Anbieters an der Erlangung der zur Wertschöpfung erforderlichen personenbezogenen Daten siehe oben S. 175 f. 1182 Ebenso Metzger, AcP 2016, 817, 850. 1183 Eingehend zur automatisierten Datenerhebung im Rahmen von Digital Analytics und eingebetteten Systemen siehe oben S. 69 ff. Vgl. zudem oben bei Fn. 1015 sowie Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 206; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 90. 1184 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 90; Buchner, DuD 2010, 39, 40; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 220. Die Annahme einer eigenständigen Pflicht, die Datenüberlassung zu kommerziellen Zwecken betreffend, liegt auch im Interesse der Anbieter datengetriebener Geschäftsmodelle, welche neben der Einwilligung des Datensubjekts auch dessen personenbezogene Daten benötigen. Ein Bedürfnis hierfür besteht in Konstellationen, in denen zwar kein Widerruf der Einwilligung erklärt wird, das Datensubjekt jedoch dem Anbieter die Erfassung seiner personenbezogenen
§ 10 Qualifizierung der Austauschverhältnisse
201
keit der Verarbeitung von personenbezogenen Daten, welche auf Grundlage der Pflicht zur Datenüberlassung zu kommerziellen Zwecken erfolgt und durch die Erteilung einer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO legitimiert wird, steht dabei unter dem Vorbehalt der jederzeitigen Widerruflichkeit nach Art. 7 Abs. 3 DSGVO.1185 Darüber hinaus hat das Datensubjekt dem Anbieter die personenbezogenen Daten zu überlassen, die zur Erbringung der Anbieterleistung im Hinblick auf die Erfüllung des Vertrags zwingend erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO) und zu deren Verarbeitung der Anbieter rechtlich verpflichtet ist (Art. 6 Abs. 1 lit. c DSGVO).1186 Werden entsprechende Daten dem Anbieter nicht überlassen, kann dieser seine Leistung entweder nicht oder nur unter Begehung von Rechtsverstößen erbringen. dd) Vorzugswürdigkeit des Abstellens auf die Einwilligung Ein ausschließlicher Rekurs auf die Datenüberlassung, entsprechend den unter (aa)) und (bb)) vorgestellten Auffassungen, ist dagegen abzulehnen, da hierdurch die gesetzlichen Rechtmäßigkeitsanforderungen an Datenverarbeitungsvorgänge keine ausreichende Berücksichtigung finden. Erst das Vorliegen einer datenschutzrechtlichen Einwilligung gestattet es den Anbietern, den ökonomischen Wert der erhobenen personenbezogenen Daten im Rahmen datengetriebener Austauschgeschäfte rechtskonform schöpfen zu können.1187 Ohne rechtmäßige Grundlage ist personenbezogenen Daten im Rahmen datengetriebener Austauschverhältnisse im Hinblick auf die Datenerhebung und Datenverarbeitung zu kommerziellen Zwecken in rechtlicher Hinsicht daher nur ein geringer ökonomischer Wert beizumessen.1188 Der Anbieter ist im Fall der unrechtmäßigen Datenverarbeitung nicht nur den Betroffenenrechten nach Art. 17 ff. DSGVO sowie Schadensersatz-
Daten durch technische Maßnahmen verwehrt (beispielsweise durch den Einsatz von Adblockern, von Verschleierungssoftware oder durch bestimmte Einstellungen im Webbrowser des Datensubjekts). Eingehend hierzu unten S. 260, 333 f. 1185 Hierzu ausführlich unten S. 244 ff. sowie unten bei Fn. 1448, 1533. 1186 Siehe unten S. 219 ff., 226 ff. Die Überlassung notwendiger Daten ist hierbei als Obliegenheit oder als leistungsbezogene Nebenpflicht einzuordnen. Hierzu siehe unten S. 261 ff. 1187 Vgl. Leinemann, Personenbezogene Daten als Entgelt, 2020, 83, 179 ff.; Kumkar, ZfPW 2020, 306, 326; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 90; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 7; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 204, 205. Die Auffassung von Beurskens (siehe oben Fn. 1155) übersieht dabei, dass nach Art. 4 Nr. 1, 2 DSGVO i. V. m. Art. 6 Abs. 1 DSGVO bereits für die erstmalige Erhebung von personenbezogenen Daten zu kommerziellen Zwecken eine Einwilligung bzw. ein gesetzlicher Erlaubnistatbestand vorzuliegen hat. Eine nur nachträgliche Anonymisierung würde die Notwendigkeit einer datenschutzrechtlichen Rechtsgrundlage hingegen ausschließlich für darauffolgende Verarbeitungsschritte entfallen lassen. Vgl. Hornung / Wagner, CR 2019, 565, 568, 572, 573. 1188 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 7. Zur Einstufung unrechtmäßig erlangter Daten als Vermögenswerte siehe Hacker, ZfPW 2019, 148, 160, 161.
202
Teil 3: Die Einordnung der Austauschverhältnisse
ansprüchen nach nationalem und europäischem Recht ausgesetzt, sondern auch dem Risiko einer Verhängung von Geldbußen seitens der Aufsichtsbehörden nach Art. 83 DSGVO.1189 Auffassungen, welche auf den rein faktischen Vermögenswert personenbezogener Daten, ohne Vorliegen einer Einwilligung zu deren rechtmäßigen kommerziellen Verarbeitung, abstellen, sind mithin kaum mit der nach dem objektiven Empfängerhorizont maßgebenden Interessenlage der Vertragsparteien vereinbar, nach welcher davon auszugehen ist, dass Anbieter sich gesetzestreu verhalten wollen und eine Datenverarbeitung auf einer rechtmäßigen Grundlage anstreben.1190 Der Einwand von Linardatos, dass die vermeintlich fehlende (gerichtliche) Erzwingbarkeit der Einwilligung den Anbieterinteressen entgegenstehen würde, ist daher rechtlich nicht haltbar.1191 Der Erhalt der datenschutzrechtlichen Einwilligung liegt gerade im elementaren Interesse der Anbieter. Nicht die bloße Datenüberlassung, sondern erst die Erteilung der datenschutzrechtlichen Einwilligung erlaubt es dem Anbieter, die personenbezogenen Daten des Datensubjekts zu monetarisieren; erst das ermöglicht es ihm, auf den wirtschaftlichen Vermögenswert der Daten zuzugreifen, welcher darin liegt, diese zu kommerziellen Zwecken, wie der Personalisierung von Werbung, zu nutzen.1192 Die Quelle des ökonomischen Werts personenbezogener Daten liegt damit gerade in der erteilten Einwilligung zu kommerziellen Verarbeitungszwecken. Die faktischen Gegebenheiten in der Praxis und eine vermeintliche Bedeutungslosigkeit der Rechtmäßigkeit einer Datenpreisgabe aus Anbietersicht im Sinne der Gegenauffassung als maßgebend zu erachten, stellt hiernach einen unzulässigen Schluss vom Faktischen auf das Normative dar und würde zur Perpetuierung einer rechtsbrüchigen Praxis beitragen. Die jederzeitige Widerruflichkeit der Einwilligung steht dem nicht entgegen. So existieren zahlreiche Rechtspositionen, deren Fortbestand – wie beim Vorliegen von Gestaltungsrechten – der Willkür einer Vertragspartei unterliegt kann.1193 Das Abstellen auf die datenschutzrechtliche Einwilligung als Kern der Leistung des Datensubjekts hat darüber hinaus den Vorteil, dass der bloßen Überlassung personenbezogener Daten an sich dadurch auch keine Geldersatzfunktion zugewiesen wird; ebenso ist dies mit den diesbezüglichen Bedenken des Europäischen Datenschutzbeauftragten vereinbar.1194 Die weiteren Einwände von Linardatos im Hinblick auf die Schwierigkeit, eine angemessene Informiertheit bei den Datensubjekten herzustellen, stehen dieser 1189 Siehe oben bei Fn. 1050 sowie Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 7. Zu dem Nebeneinanderstehen von Schadensersatzansprüchen aus nationalem und europäischem Recht: Quaas, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 82 DSGVO, Rn. 8–12. Zum Schadensersatz infolge von Datenschutzverstößen nach Art. 82 DSGVO siehe Bettinghausen, BB 2021, 696–698 sowie Burgenmeister, PinG 2021, 89–92. 1190 Siehe oben S. 178 f.; 182 ff. 1191 Hierzu oben bei Fn. 1170, 1171. 1192 Ebenso Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 204, 205. 1193 Vgl. Metzger, AcP 2016, 817, 837. Ausführlich hierzu und zur Irrelevanz der fehlenden Erzwingbarkeit der Leistungspflichten siehe unten S. 244 ff. sowie unten bei Fn. 1449, 1450. 1194 Hierzu oben Fn. 547–550.
§ 10 Qualifizierung der Austauschverhältnisse
203
Schlussfolgerung nicht entgegen. Die Erfüllung der Informationspflichten nach der DSGVO und die Informierung des Datensubjekts über die einzelnen Verarbeitungsvorgänge und deren Zweck sind eindeutig dem Verantwortungskreis der Anbieter zuzuordnen. Bereits im Rahmen der Behandlung des Privacy Paradox wurde herausgearbeitet, dass ein potenzielles Übermaß an Information zulasten der Datensubjekte gehen würde und die Schwierigkeit, die erforderliche Informiertheit herzustellen, keine Aufweichung des maßgeblichen objektiven Empfängerhorizonts rechtfertigen. Die Problematik der sachgerechten Gestaltung von Nutzungsbedingungen und Datenschutzerklärungen und ihrer Geltung ist nicht über den Leistungspflichtinhalt zu lösen, sondern unterfällt den Wirksamkeitsvoraussetzungen der DSGVO sowie der AGB-rechtlichen Transparenzkontrolle.1195 Ebenso ist die Aussage, dass, im Falle der Annahme der Einwilligung als Leistungsgegenstand, das Datensubjekt dann für die Wirksamkeit der Einwilligung einstehen müsste, rechtlich unzutreffend.1196 Als Leistungshandlung zur Erfüllung der Leistungspflichten des Datensubjekts reicht aus, dass dieses die Datenerhebung und Datenverarbeitung duldet und ein nach der vertraglichen Vereinbarung gefordertes datenschutzrechtliches Einverständnis erteilt. Die Bewirkung eines darüber hinaus gehenden Leistungserfolgs, wie ein Einstehen des Datensubjekts für die Wirksamkeit der Einwilligung, wird in der Regel dagegen nicht geschuldet sein.1197 So werden in der Praxis fast ausschließlich formularmäßig eingeholte Einverständniserklärungen verwendet, auf deren Wirksamkeit das Datensubjekt gerade nur geringen oder keinen Einfluss besitzt.1198 Das Risiko der Wirksamkeit der Einwilligung wie auch das Risiko der kommerziellen Verwendbarkeit und Verwertbarkeit der erhobenen Daten sind daher in Ermangelung besonderer Umstände den Anbietern datengetriebener Austauschverhältnisse zuzuweisen.1199 Mangels anderweitiger Vereinbarungen tragen diese daher das Risiko der kommerziellen Verwendbarkeit und Verwertbarkeit der erhobenen Daten.1200 Eine Einordnung der datenschutzrechtlichen Einwilligung als Wirksamkeitsbedingung des schuldrechtlichen Verpflichtungsvertrags ist damit nicht notwendig und als nicht interessengerecht abzulehnen.1201 Zu konstatieren ist schließlich, dass Hackers Einwände dieser Auffassung nur scheinbar entgegenstehen. Zuzustimmen ist ihm in der Hinsicht, dass nach der konkreten Ausgestaltung des Geschäftsmodells zu entscheiden ist, ob im Einzelfall die Datenüberlassung oder die datenschutzrechtliche Einwilligung die Leistung des
1195
Siehe oben bei Fn. 767 sowie unten S. 374 f. Siehe oben bei Fn. 1175, 1176. 1197 Eingehend hierzu unten S. 312 ff. Ebenso Langhanke, Daten als Leistung, 2018, 124, 125. 1198 Ebenso Langhanke, Daten als Leistung, 2018, 125. Im Ergebnis so auch Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506. 528, 529, jedoch dies zur Begründung seines Ansatzes anführend. 1199 Ebenda. 1200 Ebenda. 1201 Ebenso Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 7, Fn. 13. 1196
204
Teil 3: Die Einordnung der Austauschverhältnisse
Datensubjekts und das jeweilige Austauschverhältnis prägt.1202 Jedoch stellt gerade in datengetriebenen Austauschverhältnissen, in denen personenbezogene Daten zu kommerziellen Zwecken verarbeitet werden und keine Legitimierung der Datenverarbeitung über gesetzliche Erlaubnistatbestände möglich ist, die datenschutzrechtliche Einwilligung die prägende Leistung des Datensubjekts dar, während die Datenüberlassung nur eine nachrangige Funktion einnimmt.1203 Sind dagegen seitens des Anbieters keine kommerziellen Datenverarbeitungen intendiert, die eine Einwilligung erfordern, oder ist die kommerzielle Datenverarbeitung bereits durch gesetzliche Erlaubnistatbestände legitimiert, so ist Hacker beizupflichten, dass in entsprechenden Austauschverhältnissen allein die Datenüberlassung in der Lage ist, die prägende Leistung des Datensubjekts darzustellen.1204 c) Dauerschuldcharakter der Leistungspflichten Die Leistung des Datensubjekts weist einen Dauerschuldcharakter auf.1205 Ein Dauerschuldverhältnis ist anzunehmen, wenn mindestens eine Vertragspartei zu wiederkehrenden Leistungen oder einem dauernden Verhalten verpflichtet ist, wodurch der Umfang und die Umstände der Leistungspflicht von der Dauer des Vertragsverhältnisses abhängig sind.1206 Dies trifft auf die Leistungspflichten des Datensubjekts zu, durch welche die kommerzielle Verarbeitung der regelmäßig kontinuierlich zu überlassenden personenbezogenen Daten durch die datenschutzrechtliche Einwilligung über die gesamte Laufzeit eines datengetriebenen Austauschverhältnisses gerechtfertigt wird.1207 Auch wenn die Erteilung einer datenschutzrechtlichen Einwilligung grundsätzlich einen einmaligen Vorgang darstellt, legitimiert die Einwilligung die Erhebung und Verarbeitung der Daten zu kommerziellen Zwecken vom Beginn bis zum Ende eines datengetriebenen Austausch-
1202
Vgl. Hacker, ZfPW 2019, 148, 163. Dem widerspricht Hacker im Grunde wohl auch nicht, wenn er auch eine „etwaige[] Einwilligung“ im Rahmen von Freemium-Modellen und vollkommen datenfinanzierten Geschäftsmodellen als taugliche Gegenleistung erachtet. Vgl. Hacker, ZfPW 2019, 148, 163. Eingehend zum Gegenleistungscharakter siehe unten S. 217 ff. 1204 Dies ist insbesondere bei Verträgen ohne monetäre oder sonstige Gegenleistung des Datensubjekts anzunehmen, deren Durchführung von der Überlassung personenbezogener Daten i. S. v. Art. 6 Abs. 1 lit. b DSGVO abhängig ist, die notwendige Datenüberlassung nicht eine bloße Nebenleistungspflicht oder Obliegenheit darstellt sowie seitens des Anbieters keine sonstigen kommerziellen Datenverarbeitungen vorgenommen werden. Als Beispiel hierfür können entsprechende Telematik-Tarife angeführt werden. Vgl. Hacker, ZfPW 2019, 148, 163, 164. Vertieft hierzu unten S. 261 ff. 1205 Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 45; Langhanke, Daten als Leistung, 2018, 129, 130 m. w. N. zur Rechtslage in Österreich und der Schweiz. 1206 Larenz, Lehrbuch des Schuldrechts AT, 14. Aufl. 1987, 29, 30; Larenz / Canaris, Lehrbuch des Schuldrechts BT II/1, 13. Aufl. 1986, 212; Gernhuber, Das Schuldverhältnis, 1989, 377 ff.; McGuire, Die Lizenz, 2012, 624. Vgl. auch BT-Drucks. 14/6040, 176, 177. 1207 Langhanke, Daten als Leistung, 2018, 130. Vgl. auch Hanloser, MMR 2010, 138, 141. 1203
§ 10 Qualifizierung der Austauschverhältnisse
205
geschäfts.1208 Die kommerzielle Nutzung der erhobenen Daten erfordert während der Laufzeit des Vertragsverhältnisses sowie darüber hinaus zu jedem Zeitpunkt das Bestehen einer wirksamen Einwilligung.1209 Das Datensubjekt ist aufgrund der fortlaufenden Datenüberlassung und Legitimierung der kommerziellen Datenverarbeitung damit zu einem andauernden Verhalten auf eine grundsätzlich unbestimmte Zeit verpflichtet.1210 Datengetriebene Austauschverhältnisse sind aus diesem Grund als Dauerschuldverhältnisse zu klassifizieren. d) Resümee zur Leistung des Datensubjekts Den Kerninhalt der Leistungspflicht des Datensubjekts im Rahmen der – hier vorwiegend behandelten – datengetriebenen Austauschgeschäfte mit vollkommen datenfinanzierten Geschäftsmodellen1211 verkörpert daher die Pflicht zur Erteilung einer datenschutzrechtlichen Einwilligung, welche dem Anbieter die kommerzielle Verarbeitung von personenbezogenen Daten zu den nach der Vereinbarung spezifizierten Zwecken ermöglicht. Zudem ist das Datensubjekt dazu verpflichtet, dem Anbieter die personenbezogenen Daten zu überlassen, deren kommerzielle Nutzung durch die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO legitimiert wird. Daneben ist es dem Anbieter gestattet, die personenbezogenen Daten zu erheben und zu verarbeiten, welche den gesetzlichen Erlaubnistatbeständen nach Art. 6 Abs. 1 lit. b–f DSGVO unterfallen. Die Pflicht zur Erteilung der Einwilligung wie auch die Pflicht zur Datenüberlassung besitzen Dauerschuldcharakter. Die Rechtmäßigkeit der Verarbeitung der erlangten personenbezogenen Daten zu kommerziellen Zwecken auf Basis der Einwilligung steht dabei unter dem Vorbehalt der jederzeitigen Widerruflichkeit nach Art. 7 Abs. 3 DSGVO.
1208 Langhanke, Daten als Leistung, 2018, 130; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, 45. Zeitlich begrenzt wird die legitimierende Wirkung der Einwilligung in der Regel nur durch den nach Art. 7 Abs. 3 S. 2 DSGVO ex nunc wirkenden Widerruf. Zu den daraus folgenden Rechten des Datensubjekts auf Einschränkung der weiteren Verarbeitung durch den Anbieter und auf Löschung der personenbezogenen Daten siehe Art. 17 Abs. 1 lit. b DSGVO sowie Art. 18 Abs. 1 lit. b DSGVO. 1209 Langhanke, Daten als Leistung, 2018, 130. 1210 Vgl. Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 314 BGB, Rn. 6. Ebenso für immaterialgüterrechtliche Lizenzverträge McGuire, Die Lizenz, 2012, 624, 625, auch im Hinblick auf die noch folgend behandelte lizenzrechtliche Prägung datengetriebener Austauschgeschäfte. 1211 Hierzu oben S. 51 ff. Die Ausführungen zu vollkommen datenfinanzierten Geschäftsmodellen lassen sich auf datengetriebene Austauschgeschäfte im Rahmen von Freemium-Geschäftsmodellen übertragen, solange keine Nutzung der kostenpflichtigen Premiumversion stattfindet.
206
Teil 3: Die Einordnung der Austauschverhältnisse
IV. Entgeltlichkeit datengetriebener Austauschverhältnisse 1) Daten als Zahlungsgegenstand Bereits beleuchtet wurden die historische Entwicklung und die Bedeutung von personenbezogenen Daten als Wirtschaftsgut und Gegenstand datengetriebener Geschäftsmodelle.1212 Festzuhalten ist, dass die Werthaltigkeit personenbezogener Daten in der Wirtschaft, der Gesellschaft sowie in der Rechtswissenschaft breite Anerkennung gefunden hat.1213 Personenbezogene Daten sind als unkörperliche Gegenstände sowohl Rechtsobjekte als auch taugliche Gegenstände von Verträgen und Leistungspflichten.1214 Fraglich ist, inwieweit – den Bedenken des Europäischen Datenschutzbeauftragten Rechnung tragend – durch die Einordnung der Preisgabe von personenbezogenen Daten als Gegenleistung die Gefahr der Gleichsetzung mit einer Geldzahlung drohen könnte und personenbezogene Daten als Tauschobjekt marginalisiert werden würden.1215 Personenbezogene Daten stellen jedoch weder ein gesetzliches Zahlungsmittel innerhalb der Europäischen Union noch E-Geld gemäß § 1a ZAG dar, welches in elektronischen Zahlungsdiensten eingesetzt wird.1216 Personenbezogene Daten erfüllen zudem nicht die drei wesentlichen Funktionen von Geld als Tauschmittel, Wertaufbewahrungsmittel und Rechnungseinheit.1217 Auch „das für Geld charakteristische Merkmal […] der (gleichwertigen) Austauschbarkeit durch andere Stücke gleicher Gattung und Menge“ ist bei personenbezogenen Daten nicht gegeben.1218 Nach Kilian ließen 1212
Siehe oben S. 41 ff. Siehe oben S. 45 ff., Fn. 472 sowie neben anderen Leinemann, Personenbezogene Daten als Entgelt, 2020, 25–27; Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 191, 195 ff.; Hacker, ZfPW 2019, 148, 151 ff. 1214 Hierzu oben S. 100 ff. 1215 Zu den Vorbehalten des Europäischen Datenschutzbeauftragten siehe oben bei Fn. 547. 1216 Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 191, 195, wonach es bei personenbezogenen Daten an einem Emittenten fehlt, welcher diese forderungsbegründend ausgibt. Nach § 1a Abs. 3 ZAG ist unter E-Geld jeder elektronisch, darunter auch magnetisch, gespeicherte monetäre Wert in Form einer Forderung gegenüber dem Emittenten, der gegen Zahlung eines Geldbetrages ausgestellt wird, um damit Zahlungsvorgänge im Sinne des § 675f BGB durchzuführen, und der auch von anderen natürlichen oder juristischen Personen als dem Emittenten angenommen wird. 1217 Vgl. Freitag, in: BeckOGK BGB, Stand: 15. 03. 2021, § 244 BGB, Rn. 11; Creifelds et al., Rechtswörterbuch, 24. Aufl. 2020, „Geld“; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 200. Als Tauschmittel fungieren personenbezogene Daten nicht, da sie nicht allgemeingültig als Zahlungsmittel für Güter und Dienstleistungen akzeptiert sind. Als Wertaufbewahrungsmittel kommen sie nicht in Frage, da nicht sichergestellt ist, dass sie die Möglichkeit eröffnen, Güter und Dienstleistungen erst in der Zukunft zu bezahlen. Als Rechnungseinheit sind personenbezogene Daten abzulehnen, da ihr Wert sich aufgrund ihres individuellen Bedeutungsinhalts bemisst und deswegen keine Bemessung des Werts anderer Gegenstände durch sie ermöglicht wird. 1218 Sog. „Fungibilität“. Hierzu Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 199, 200. 1213
§ 10 Qualifizierung der Austauschverhältnisse
207
sich personenbezogene Daten am ehesten mit einer Rechnungseinheit nach § 1 Abs. 11 S. 1 Nr. 7 KWG vergleichen, wonach sie Werteinheiten mit der Funktion eines privaten Zahlungsmittels kraft einer privatrechtlichen Vereinbarung – ähnlich einer Kryptowährung – darstellen würden.1219 Aufgrund des Fehlens einer zuverlässigen Bestimmung des Werts und der Wertbeständigkeit1220 von personenbezogenen Daten ist jedoch auch eine Einstufung von personenbezogenen Daten als Rechnungseinheit nach § 1 Abs. 11 S. 1 Nr. 7 KWG abzulehnen.1221 So ist der ökonomische Wert personenbezogener Daten abhängig von verschiedenen komplexen Faktoren und kann, je nach Kontext der beabsichtigten Datenverarbeitung, erheblich variieren.1222 Letztendlich sind personenbezogenen Daten weder als Geld noch als E-Geld oder Rechnungseinheit zu klassifizieren. 2. Voraussetzungen der Entgeltlichkeit Der Begriff der Entgeltlichkeit wird im BGB nicht definiert und ist daher in Abgrenzung zum Begriff der Unentgeltlichkeit innerhalb der unentgeltlichen gesetzlichen Vertragstypen des BGB, der Schenkung (§§ 516 ff. BGB), der Leihe (§§ 598 ff. BGB), des Auftrags (§§ 662 ff. BGB) sowie der unentgeltlichen Verwahrung (§ 690 BGB), zu bestimmen. Innerhalb der gesetzlichen Vertragstypen des BGB wird der Begriff der Unentgeltlichkeit weitestgehend einheitlich als die Abwesenheit einer Gegenleistung definiert.1223 Auch laut der Rechtsprechung darf für eine Unentgeltlichkeit keine rechtliche Abhängigkeit in Form einer „ausgleichenden Gegenleistung“ seitens der anderen Vertragspartei vorliegen.1224 Vorliegend wird der Unentgeltlichkeitsbegriff anhand des Schenkungsrechts als zentraler Typus unentgeltlicher Rechtsgeschäfte konkretisiert.1225 Aus der gesetzlichen Systematik und der Historie lässt sich entnehmen, dass sich die anderen gesetzlichen 1219
Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 191, 195. Unter Wertbeständigkeit wird die Stabilität des Wertes von personenbezogenen Daten verstanden. Mangels Existenz eines feststehenden Nennwerts und der Zeit-, Kontext- und Situationsabhängigkeit des Werts von personenbezogenen Daten sind diese nicht zur geldtypischen Wertaufbewahrung geeignet. Vgl. auch Creifelds et al., Rechtswörterbuch, 24. Aufl. 2020, „Nominalitätsgrundsatz“. 1221 Vgl. hierzu die Ablehnung von Bitcoins als Rechnungseinheit durch das KG Berlin, Urteil vom 25. 09. 2018 – (4) 161 Ss 28/18 (35/18), juris, Rn. 8 ff. 1222 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 200. Eingehend zur Wertbestimmung von personenbezogenen Daten siehe unten S. 386 ff. 1223 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 92, 93; Hacker, ZfPW 2019, 148, 159; Weiden kaff, in: Palandt BGB, 80. Aufl. 2021, § 516 BGB, Rn. 8; Häublein, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 598 BGB, Rn. 25; Riesenhuber, in: BeckOGK BGB, Stand: 01. 02. 2021, § 662 BGB, Rn. 93; Henssler, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 690 BGB, Rn. 4; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 24. 1224 BGH, Urteil vom 28. 05. 2009 – Xa ZR 9/08, juris, Rn. 8; BGH, Urteil vom 17. 06. 1992 – XII ZR 145/91, juris, Rn. 11; RG, Urteil vom 30. 01. 1940 – V 76/38, RGZ 163, 348, 356. 1225 Vgl. Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 16. 1220
208
Teil 3: Die Einordnung der Austauschverhältnisse
Typen unentgeltlicher Verträge im Wesentlichen vom Schenkungsrecht durch das Begriffsmerkmal der Zuwendung unterscheiden.1226 Für die Annahme der Unentgeltlichkeit einer Leistung ist entscheidend, dass diese nicht nur objektiv unentgeltlich ist, sondern auch subjektiv unentgeltlich erfolgt.1227 Eine die objektive Unentgeltlichkeit ausschließende Gegenleistung des Leistungsempfängers kann dabei materieller wie immaterieller Art sein.1228 Nicht entscheidend ist zudem die Gleichwertigkeit zwischen Leistung und Gegenleistung.1229 Subjektive Unentgeltlichkeit erfordert darüber hinaus, dass die Leistung auch nach dem Willen der Vertragsparteien unentgeltlich sein soll.1230 Erforderlich ist dementsprechend eine Einigung der Vertragsparteien über die Unentgeltlichkeit.1231 Die subjektive Unentgeltlichkeit ist nach allgemeiner Auffassung zumindest dann zu verneinen, wenn eine Vertragspartei die Leistung zur Erfüllung einer Verbindlichkeit oder zur Abgeltung einer Gegenleistung (auch wenn nur irrtümlich) erbringt.1232 Die Privatautonomie gestattet den Vertragsparteien im Sinne der subjektiven Äquivalenz auch eine geringere Leistung, innerhalb der Grenzen des § 138 BGB, als gleichwertig anzusehen.1233 Etwaige Kosten, die dem Leistungsempfänger aufgrund finanzieller Aufwendungen wie Reise- oder Anwaltskosten entstehen, berühren die Unentgeltlichkeit nicht.1234 Steht die objek 1226 Harke, in: BeckOGK BGB, Stand: 01. 04. 2021, § 516 BGB, Rn. 13; Riesenhuber, in: BeckOGK BGB, Stand: 01. 02. 2021, § 662 BGB, Rn. 57–57.2. Die Zuwendung eines Vorteils an den Vertragspartner durch den unentgeltlich Leistenden stellt die Gemeinsamkeit aller unentgeltlicher Vertragstypen dar. Siehe Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 21, 22. 1227 BGH, Urteil vom 18. 09. 2012 – II ZR 50/11, juris, Rn. 18; KG Berlin, Urteil vom 15. 05. 2009 – 7 U 222/08, juris, Rn. 5; OLG Hamm, Urteil vom 11. 12. 1992 – 29 U 214/91, juris, Rn. 21; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 93; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 24. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 93 m. w. N. 1228 BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 18; BGH, Urteil vom 28. 05. 2009 – Xa ZR 9/08, juris, Rn. 13; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 25; Chiusi, in: Staudinger BGB, Neubearbeitung 2021, § 516 BGB, Rn. 40, 41. 1229 BGH, Urteil vom 28. 05. 2009 – Xa ZR 9/08, juris, Rn. 12; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 24; Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 62, 66. 1230 BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 18; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 24. 1231 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 93 m. w. N. 1232 BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 18; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 25; Harke, in: BeckOGK BGB, Stand: 01. 04. 2021, § 516 BGB, Rn. 63. 1233 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94; Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 62. 1234 Unentgeltlichkeit bedeutet in dieser Hinsicht nicht vollständige Kostenlosigkeit für den Empfänger. Chiusi, in: Staudinger BGB, Neubearbeitung 2021, § 516 BGB, Rn. 40; W eidenkaff, in: Palandt BGB, 80. Aufl. 2021, § 516 BGB, Rn. 8; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 26.
§ 10 Qualifizierung der Austauschverhältnisse
209
tive Unentgeltlichkeit einer Leistung fest, begründet dies als Indizwirkung eine tatsächliche, widerlegbare Vermutung für das Vorliegen einer Einigung über die Unentgeltlichkeit.1235 Für die Abgrenzung von Unentgeltlichkeit und Entgeltlichkeit ist insbesondere das Interesse des Leistenden an der Gegenleistung entscheidend.1236 Die Leistung muss auf einer altruistischen Motivation des Leistenden beruhen.1237 Es ist davon auszugehen: Je stärker das Interesse des Leistenden an der Erlangung einer Gegenleistung ist bzw. ein Anspruch auf die Gegenleistung nach dem Inhalt des Rechtsgeschäfts vom Leistenden verfolgt wird, desto eher wird das Vorliegen eines entgeltlichen Rechtsgeschäfts zu bejahen sein.1238 Entgeltlichkeit wird jedoch erst dann anzunehmen sein, wenn der Bestand des Rechtsgeschäfts rechtlich davon abhängig gemacht wird, ob infolge der Leistung ein erwarteter wirtschaftlicher Vorteil für den Leistenden eintritt.1239 Ist die Leistung nach Maßgabe des Vertrags synallagmatisch, konditional oder kausal mit einer Gegenleistung verknüpft, ist aufgrund rechtlicher Abhängigkeit kein unentgeltliches, sondern ein entgeltliches Rechtsgeschäft gegeben.1240 3. Bedeutung der Entgeltlichkeit Vertragstypologisch von entscheidender Bedeutung ist die Klassifizierung datengetriebener Austauschgeschäfte als unentgeltliche oder entgeltliche Rechtsgeschäfte. So knüpfen an eine Einordnung als unentgeltliches Rechtsgeschäft zahlreiche Privilegierungen des unentgeltlich Zuwendenden im Bereich der Vertragsbindung, der Haftungsbeschränkungen sowie im Leistungsstörungsrecht an.1241 Würde die Preisgabe personenbezogener Daten nicht als Gegenleistung berücksichtigt werden und wäre das zugrundeliegende Rechtsgeschäft vertragstypologisch als Schenkung bzw. Leihe zu qualifizieren, so würde sich die Haftung des Anbieters nach §§ 521, 599 BGB auf Vorsatz und grobe Fahrlässigkeit 1235
BGH, Urteil vom 18. 10. 2011 – X ZR 45/10, juris, Rn. 19; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 93; Chiusi, in: Staudinger BGB, Neubearbeitung 2021, § 516 BGB, Rn. 39 m. w. N. 1236 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 93; Chiusi, in: Staudinger BGB, Neubearbeitung 2021, § 516 BGB, Rn. 45. 1237 Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 24. 1238 Vgl. Chiusi, in: Staudinger BGB, Neubearbeitung 2021, § 516 BGB, Rn. 45; Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 41. 1239 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 93. 1240 BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 18; RG, Urteil vom 30. 01. 1940 – V 76/38, RGZ 163, 348, 356; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 93, 94; Chiusi, in: Staudinger BGB, Neubearbeitung 2021, § 516 BGB, Rn. 45. Entscheidend ist, dass Leistung und Gegenleistung nach Parteiwillen zueinander in einem inneren rechtlichen Zusammenhang stehen. Vgl. Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 27, 28 m. w. N. 1241 Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 1, 14–16. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 95–101.
210
Teil 3: Die Einordnung der Austauschverhältnisse
beschränken.1242 Darüber hinaus bestünde nach den §§ 523 Abs. 1, 524 Abs. 1, 600 BGB nur eine Haftung des unentgeltlich Leistenden für Rechts- und Sachmängel, wenn diesem ein arglistiges Verschweigen des Mangels vorzuwerfen ist.1243 Die Position des Zuwendungsempfängers ist grundsätzlich gegenüber dem Leistenden sowie gegenüber Dritten geschwächt.1244 So wird es dem unentgeltlich Leistenden erleichtert, die Erbringung der Leistung zu verweigern (§ 519 BGB) oder eine bereits erbrachte Leistung wieder herauszufordern (§§ 528, 530, 605 Nr. 1, 671 Abs. 1 BGB). Eine unentgeltlich erlangte Leistung kann darüber hinaus leichter kondiziert werden (§§ 816 Abs. 1 S. 2, 822 BGB) und ist insolvenzrechtlich einfacher anfechtbar (§ 134 InsO). Sollten datengetriebene Austauschgeschäfte als unentgeltliche Rechtsgeschäfte einzustufen sein, rückt daher nicht nur die Frage der Qualifizierung der Anbieterleistung in den Vordergrund, sondern auch die Anwendbarkeit der Haftungsprivilegierungen für unentgeltliche Rechtsgeschäfte auf datengetriebene Rechtsgeschäfte, welche gesetzlichen Vertragstypen nicht zugeordnet werden können.1245 Nicht behandelt wird in der vorliegenden Arbeit, inwieweit die Preisgabe personenbezogener Daten und die Erteilung einer datenschutzrechtlichen Einwilligung aus wettbewerbsrechtlicher Perspektive ein Entgelt darstellen und damit einen kartellrechtlich relevanten Markt begründen.1246 4. Anwendung auf datengetriebene Austauschgeschäfte a) Objektive Unentgeltlichkeit Als Leistungsgegenstände, welche als potenzielle Gegenleistung des Datensubjekts die Unentgeltlichkeit der Anbieterleistung ausschließen können, kommen sowohl die Überlassung personenbezogener Daten als auch die Erteilung 1242
Ähnliche Haftungsbeschränkungen zugunsten des Leistenden finden sich des Weiteren im Recht der unentgeltlichen Verwahrung in § 680 BGB (Haftung nur für die eigenübliche Sorgfalt). Diese Privilegierungen bezwecken, dem altruistischen Hintergrund der unentgeltlichen Leistung Rechnung zu tragen. Hierzu Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 14; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 99. In KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 69, plädiert Google dementsprechend dafür, als Kontrollmaßstab für die AGB-Kontrolle ihrer Geschäftsbedingungen die gesetzlichen Vorschriften zur Schenkung, Leihe und Verwahrung heranzuziehen. Weiterführend hierzu unten Fn. 1262. 1243 Siehe Schmidt-Kessel / Grimm, ZfPW 2017, 84, 99–101 m. w. N. zu den Haftungsbeschränkungen im gemeineuropäischen Recht und zu den System der Haftung im Rahmen von unentgeltlichen Verträgen im deutschen Recht. 1244 Fischer, Die Unentgeltlichkeit im Zivilrecht, 2002, 1, 15, 16; Harke, in: BeckOGK BGB, Stand: 01. 04. 2021, § 516 BGB, 6. 1245 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 92 ff. Zu der Beliebigkeit der Anbieterleistung innerhalb von datengetriebenen Austauschverhältnissen und der rechtlichen Einordnung typischer internetbasierter Austauschgeschäfte siehe oben S. 192 f. sowie unten S. 267 ff. 1246 Ausführlich hierzu Leinemann, Personenbezogene Daten als Entgelt, 2020, 125 ff.
§ 10 Qualifizierung der Austauschverhältnisse
211
einer datenschutzrechtlichen Einwilligung zur Legitimierung der kommerziellen Datenverarbeitung in Betracht. Nicht erforderlich ist es, dass die Gegenleistung dabei einen vermögensrechtlichen Charakter aufweist und zu einer Mehrung des Vermögens des Leistungsempfängers führt.1247 Verfassungsrechtlich wie auch einfachgesetzlich ist die Kommerzialisierung personenbezogener Daten zulässig und in der wirtschaftlichen Praxis unbestrittene Realität.1248 aa) Die Überlassung von Daten Grundsätzlich kann bereits die bloße Überlassung von personenbezogenen Daten eine Gegenleistung darstellen. Hierunter ist nicht nur die aktive Datenüberlassung durch das Datensubjekt zu fassen, sondern auch das nur passive Dulden einer Datenerhebung.1249 Infolge der Datenüberlassung erhalten die Anbieter datengetriebener Austauschgeschäfte die personenbezogenen Daten über das Datensubjekt in den Datenspeicher der Endgeräte in ihren Machtbereich übermittelt.1250 Aus der Untersuchung der wirtschaftlichen Grundlagen und der Wertbestimmung von personenbezogenen Daten kann zugrunde gelegt werden, dass personenbezogenen Daten im Rahmen datengetriebener Austauschgeschäfte grundsätzlich ein wirtschaftlicher Wert beizumessen ist, wenn diese zu kommerziellen Zwecken verarbeitet werden.1251 Als unkörperliche Gegenstände können personenbezogene Daten in faktischer Hinsicht zudem uneingeschränkt zwischen Rechtssubjekten ausgetauscht und gehandelt werden. Die Herrschaft über und der unkontrollierte Zugriff auf personenbezogene Daten ist in dieser Hinsicht vergleichbar mit dem zum Vermögen zählenden Besitz als physische Herrschaft über einen körperlichen Gegenstand.1252 Die Überlassung personenbezogener Daten kann damit als eine Gegenleistung materieller Art eingeordnet werden, welche die objektive Unentgeltlichkeit entfallen lässt.
1247 Siehe oben Fn. 1228. Vgl. aber auch Hacker, ZfPW 2019, 148, 158, 159, welcher für die Annahme einer – die Unentgeltlichkeit ausschließenden – Gegenleistung grundsätzlich auf das Vorliegen einer Vermögensmehrung beim Gegenleistungsempfänger abstellt. 1248 Siehe oben S. 99 ff. Zur Verbreitung datengetriebener Geschäftsmodelle und zu ihrer Bedeutung für Wirtschaft und Gesellschaft siehe oben S. 43 ff. 1249 Hierzu oben bei Fn. 1142, 1182. 1250 Siehe oben S. 67. 1251 Zur Funktionsweise datengetriebener Geschäftsmodelle siehe oben S. 51 ff. Zur Schöpfung eines wirtschaftlichen Werts aus der Analyse von Daten siehe oben Fn. 135. Auch wenn der Wert einzelner Daten, abhängig vom konkreten Einzelfall, nur noch einen vernachlässigbaren Betrag ausmachen kann, ist davon auszugehen, dass ihnen generell ein Wert zukommt. Zur Wertbestimmung personenbezogener Daten in Theorie und Praxis siehe unten S. 386 ff. 1252 Mit zu diesen Erwägungen vergleichbar wird seitens des Schrifttums in jüngerer Zeit immer häufiger auf den Zugriff oder Zugang zu personenbezogenen Daten abgestellt. Siehe oben Fn. 522.
212
Teil 3: Die Einordnung der Austauschverhältnisse
bb) Die datenschutzrechtliche Einwilligung Erst recht ist davon auszugehen, dass die Erteilung einer datenschutzrecht lichen Einwilligung zur Kommerzialisierung der personenbezogenen Daten eines Datensubjekts eine Gegenleistung darstellt.1253 Bezweifelt wird die Tauglichkeit der Einwilligung als Gegenleistung von Auffassungen, welche unter Berufung auf die faktischen Rahmenbedingungen auf die Maßgeblichkeit der Datenüberlassung abstellen.1254 Aufgrund der bereits vorgebrachten Gründe ist der datenschutzrecht lichen Einwilligung jedoch ein eigenständiger Wert und Bedeutungsgehalt zuzusprechen. So stellt die Einwilligung die Datenverarbeitung für die Zeit ihres Bestehens auf eine rechtssichere und rechtmäßige Grundlage.1255 Darüber hinaus erweitert die Einwilligung den Rechtskreis der Anbieter datengetriebener Austauschgeschäfte, indem diese auch eine Verarbeitung von besonderen personen bezogenen Daten i. S. v. Art. 9 Abs. 1 DSVO zu kommerziellen Zwecken legitimieren kann und eine umfassendere Datenverarbeitung gestattet, als es unter gesetzlichen Erlaubnistatbeständen möglich wäre.1256 cc) Die Möglichkeit einer Kommerzialisierung Linardatos und Westphalen / Wendehorst erblicken die Gegenleistung des Datensubjekts dagegen in der Verschaffung der tatsächlichen Möglichkeit zugunsten des Anbieters, die Daten für kommerzielle Zwecke nutzen zu können.1257 Dies setzt im Grunde voraus, dass auf Anbieterseite bereits Zugriff auf die personenbezogenen Daten des Datensubjekts besteht und diesen ein ökonomischer Wert beigemessen wird.1258 Inwieweit, unabhängig von den personenbezogenen Daten als Rechts objekt, bereits die bloße Verschaffung einer faktischen Kommerzialisierungsmöglichkeit als eine vermögenswerte Exspektanz gewertet werden kann, ist erheblich umstritten und von Wahrscheinlichkeitserwägungen im konkreten Einzelfall abhängig.1259 Da eine wertschöpfende Datenverarbeitung zu kommerziellen Zwecken zwingend den Zugriff des Anbieters auf die personenbezogenen Daten des Datensubjekts erfordert, liegt ohnehin bereits eine Überlassung von personenbezogenen 1253
Hacker, ZfPW 2019, 148, 159, 160. Strenger wohl Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 90, der insbesondere auf die Datenübermittlung an Dritte zu kommerziellen Zwecken und den Datenverkauf abstellt. 1254 Zu diesen Auffassungen und den hiergegen vorgebrachten Argumenten siehe oben S. 197 ff., 201 ff. 1255 Hierzu oben bei Fn. 1053–1055. 1256 Hierzu bereits oben bei Fn. 577 sowie unten bei Fn. 1387, 1959, 1960 jeweils m. w. N. Vgl. zudem Leinemann, Personenbezogene Daten als Entgelt, 2020, 179–182; Hacker, ZfPW 2019, 148, 159, 160; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94, 95. 1257 Siehe oben Fn. 1163. 1258 Vgl. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 522 ff. 1259 Zum Meinungsstand bezüglich der Bestimmung der Werthaltigkeit von Expektanzen siehe Hefendehl, in: Münchener Kommentar zum StGB, 3. Aufl. 2019, § 263 StGB, Rn. 414 ff. m. w. N.
§ 10 Qualifizierung der Austauschverhältnisse
213
Daten vor.1260 Die Einführung der abstrakten Kommerzialisierungsmöglichkeit als zusätzliche Begrifflichkeit verkompliziert die rechtliche Einordnung datengetriebener Austauschverhältnisse unnötig und wird vorliegend deswegen nicht weiter verfolgt. Festgehalten werden kann damit, dass sowohl die faktische Überlassung von personenbezogenen Daten zu kommerziellen Zwecken als auch die Erteilung einer wirksamen datenschutzrechtlichen Einwilligung zur Kommerzialisierung eine taugliche Gegenleistung des Datensubjekts darstellen und somit die objektive Unentgeltlichkeit entfallen lassen. b) Subjektive Unentgeltlichkeit aa) Meinungsstand in der Rechtswissenschaft In Ermangelung der objektiven Unentgeltlichkeit wird grundsätzlich auch zu verneinen sein, dass bei datengetriebenen Austauschgeschäften, welche eine Datenverarbeitung zu kommerziellen Zwecken verfolgen, eine Einigung der Vertragsparteien über die Unentgeltlichkeit vorliegt. Aufgrund der Werthaltigkeit einer Datenpreisgabe zu kommerziellen Zwecken, der fehlenden altruistischen Motive und der Kommerzialisierungsintention von Anbietern datengetriebener Austauschgeschäfte ist nach der herrschenden Meinung damit vom Vorliegen entgeltlicher Rechtsgeschäfte auszugehen.1261 In der Literatur finden sich vereinzelt jedoch auch Stimmen, welche die wirtschaftlichen Interessen der Anbieter datengetriebener Austauschverhältnisse und deren Zwecksetzung in Form der kommerziellen Verarbeitung personenbezogener Daten nicht berücksichtigen oder als unbeachtlich einstufen – mit der Konsequenz, dass diesbezügliche Verträge als unentgeltliche Verträge zu qualifizieren wären.1262 1260 Dementsprechend stellt auch Linardatos später in seinem Beitrag darauf ab, dass die „preisäquivalente Gegenleistung des Verbrauchers in der Hingabe der Daten zu sehen [ist]“. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 529. 1261 Siehe Leinemann, Personenbezogene Daten als Entgelt, 2020, 116 ff., 124; Metzger, AcP 2016, 817, 833; Czajkowski / Müller-ter Jung, CR 2018, 157, 159; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 201; Datta / Klein, CR 2017, 174, 180, 181. Im Ergebnis auch die überwiegende Ansicht in der Rechtsprechung. Hierzu unten Fn. 1431. 1262 Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 422 ff.; Baumgartner / Ewald, Apps und Recht, 2. Aufl. 2016, Rn. 33, 36, 40; Kremer, in: Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 28, Rn. 15, für die Anwendung von Schenkungsrecht allein auf die Kostenfreiheit beim App-Download abstellend; weitere Nachweise zu dieser Ansicht finden sich bei Bräutigam, MMR 2012, 635, 636 sowie Datta / Klein, CR 2017, 174, 177, Fn. 33. Vgl. zudem die Auffassung von Google als Beklagtenpartei in KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 69, wonach die AGB-rechtliche Kontrolle der Geschäftsbedingungen anhand der Vorschriften zur Schenkung, Leihe und Verwahrung vorzunehmen sei. Zuzustimmen wäre dieser Einschätzung jedoch nur, wenn ausschließlich anonyme Daten verarbeitet würden.
214
Teil 3: Die Einordnung der Austauschverhältnisse
bb) Unbeachtlichkeit einer (kommerziellen) Datenpreisgabe Die kommerzielle Datenverarbeitung wird von diesen Auffassungen entweder nicht berücksichtigt oder ihr wird keine rechtliche Relevanz beigemessen, sodass, so gesehen, die Überlassung personenbezogener Daten und die Erteilung einer datenschutzrechtlichen Einwilligung keine Gegenleistung darstellen. So vertreten Kremer und Ewald für die dauerhafte Überlassung von Softwareanwendungen, für die kein monetäres Entgelt zu erbringen ist, eine schenkungsrechtliche Einordnung.1263 Während bei Kremer die Kommerzialisierung personenbezogener Daten nicht weiter berücksichtigt wird, behandelt Ewald auch die Problematik, ob die Finanzierung einer App über Werbeanzeigen innerhalb der Software eine Gegenleistung darstelle, welche die Unentgeltlichkeit des Rechtsgeschäfts ausschließen könnte.1264 Verneint wird dies mit dem Argument, dass „der bloße Wunsch einer Gegenleistung“ eine Schenkung nicht ausschließe und der Nutzer nicht verpflichtet sei, die Werbeanzeigen zu beachten oder darauf zu klicken.1265 Die Verfolgung kommerzieller Interessen seitens des Anbieters im Rahmen des Angebots einer kostenlosen App würde dem nicht entgegenstehen.1266 Als Konsequenz sei daher Schenkungsrecht anzuwenden, wonach zugunsten der Anbieter die Haftungsprivilegierungen der §§ 521 ff. BGB anzuwenden seien.1267 Ähnlich argumentierend vertritt Redeker eine Qualifizierung der Vertrags beziehung zwischen dem Nutzer und dem Betreiber eines datengetriebenen sozialen Netzwerks als unentgeltliches Rechtsgeschäft, welches hiernach primär dem Auftragsrecht nach den §§ 662 ff. BGB unterfallen würde.1268 Die kommerziellen Interessen der Betreiber eines sozialen Netzwerks und deren Intention, das Nutzungsverhalten und personenbezogene Daten des Nutzers zur Schaltung personalisierter Werbung zu verarbeiten, würden dieser Qualifizierung dabei nicht entgegenstehen.1269 Nach Redeker spreche hierfür, dass „vielen, evtl. sogar den meisten Nutzern“ die kommerzielle Datenverarbeitung nicht bekannt wäre und es daher an den entsprechenden Willenserklärungen zum Abschluss eines entgeltlichen Aus-
1263 Baumgartner / Ewald, Apps und Recht, 2. Aufl. 2016, Rn. 33–40; Kremer, in: Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 28, Rn. 15 sowie Fn. 37. 1264 Baumgartner / Ewald, Apps und Recht, 2. Aufl. 2016, Rn. 33, 36, 40, wobei nicht darauf eingegangen wird, ob diesen Werbeanzeigen eine Verarbeitung personenbezogener Daten zu deren Personalisierung vorausgeht. Kremer, in: Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 28, Rn. 15, Fn. 37. 1265 Baumgartner / Ewald, Apps und Recht, 2. Aufl. 2016, Rn. 36. 1266 Ebenda. 1267 Baumgartner / Ewald, Apps und Recht, 2. Aufl. 2016, Rn. 33, 35. 1268 Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 423, 424. 1269 Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 424, 426–428.
§ 10 Qualifizierung der Austauschverhältnisse
215
tauschvertrags fehle.1270 Weiter werde die kommerzielle Verarbeitung seitens der Betreiber sozialer Netzwerke wie Facebook auch nicht erkennbar von der Erteilung einer datenschutzrechtlichen Einwilligung abhängig gemacht.1271 Vertraglich liege demnach nur ein unentgeltliches Vertragsverhältnis in Form eines Auftrags vor.1272 cc) Würdigung Auffassungen, die eine Unbeachtlichkeit der Datenpreisgabe zu kommerziellen Zwecken und das Vorliegen eines unentgeltlichen Rechtsgeschäfts vertreten, sind – übereinstimmend mit der herrschenden Meinung – abzulehnen. So wird im Rahmen datenfinanzierter Geschäftsmodelle den Datensubjekten die Anbieterleistung typischerweise nur dann gewährt, wenn diese der Erfassung ihrer personenbezogenen Daten zustimmen und den Anbietern eine der Vereinbarung entsprechende datenschutzrechtliche Einwilligung erteilen.1273 Dies entspricht der Zwecksetzung und der Interessenlage datenfinanzierter Geschäftsmodelle sowie deren Funktionsweise, wonach davon auszugehen ist, dass beide Vertragsparteien maßgeblich die Erlangung der Leistung der anderen Partei begehren.1274 Nach dem objektiven Empfängerhorizont ist in entsprechenden Konstellationen anzunehmen, dass sich das Datensubjekt darüber im Klaren ist, dass es die Anbieterleistung nur im Gegenzug für die Preisgabe seiner personenbezogenen Daten erhält.1275 Datengetriebenen Austauschgeschäften fehlt es damit gerade an der charakteristischen altruistischen Prägung unentgeltlicher Rechtsgeschäfte.1276 Insbesondere wird dies anzunehmen sein, wenn das Datensubjekt nur durch die bedingungslose Zustimmung zu den Geschäftsbedingungen des Anbieters auf dessen Leistung zugreifen kann, wodurch das Bestehen des Vertragsverhältnisses von der Kommerzialisierung der personenbezogenen Daten abhängt.1277 Unterstrichen wird dies durch das Fehlen der objektiven Unentgeltlichkeit im Rahmen datenfinanzierter Geschäftsmodelle und mithin durch das Entfallen der Vermutung für das Vorliegen einer Einigung über die Unentgeltlichkeit.1278 Der Überlassung personenbezogener Daten wie auch der Erteilung einer datenschutzrechtlichen Einwilligung zu kommerziellen Zwe-
1270 Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 428. 1271 Ebenda. 1272 Ebenda. 1273 Vgl. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 209; Hacker, ZfPW 2019, 148, 173, 174. 1274 Siehe oben S. 175 f., 179, 186 f. 1275 Siehe oben bei Fn. 1078, 1079. 1276 Ebenso Adelberg, Rechtspflichten und -grenzen der Betreiber sozialer Netzwerke, 2020, 147; Langhanke, Daten als Leistung, 2018, 131; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 98; Datta / Klein, CR 2017, 174, 180. Siehe oben Fn. 1237. 1277 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94. 1278 Siehe oben bei Fn. 1235.
216
Teil 3: Die Einordnung der Austauschverhältnisse
cken den Charakter einer Gegenleistung abzusprechen und vom Bestehen einseitig verpflichtender Verträge auszugehen, widerspricht diametral dem objektiven Empfängerhorizont der Vertragsparteien bei Eingehung eines vollkommen oder teilweise datenfinanzierten Austauschgeschäfts. Metzger kritisiert in dieser Hinsicht die Vorstellung, Einwilligungserteilung und Gewährung der Anbieterleistung seien zwei unverbundene, isolierte Rechtsgeschäfte, zutreffend als realitätsfern.1279 Anbietern datengetriebener Austauschgeschäfte, welche den rechtlichen Zusammenhang zwischen ihren kommerziellen Interessen und der Datenpreisgabe durch das Datensubjekt verneinen, wäre zudem widersprüchliches Verhalten vorzuwerfen; diese müssten vielmehr die Entgeltlichkeit des Rechtsgeschäfts gegen sich gelten lassen.1280 Eine solche Konstellation liegt vor, wenn dem Datensubjekt vom Anbieter suggeriert wird, es erhalte eine Leistung im Rahmen eines unentgeltlichen Rechtsgeschäfts, ohne irgendeine Gegenleistung erbringen zu müssen, während in Wirklichkeit der Anbieter personenbezogene Daten des Datensubjekts erhebt und kommerziell verarbeitet.1281 Mangels Vorliegens eines Erlaubnistatbestands nach Art. 6 Abs. 1 DSGVO erfolgt die Verarbeitung der Daten in diesen Fällen rechtswidrig. Würde in entsprechenden Konstellationen die subjektive Unentgeltlichkeit bejaht werden, hätte dies zur Folge, dass zugunsten des Anbieters die Haftungsprivilegierungen bei unentgeltlichen Rechtsgeschäften greifen könnten und vertragsrechtliche Sekundäransprüche des Datensubjekts ausgeschlossen wären.1282 In diesen Fällen ist, aufgrund der fehlenden Schutzwürdigkeit des sich treuwidrig und insbesondere nicht altruistisch verhaltenden Anbieters, daher gerade kein unentgeltliches Rechtsgeschäft anzunehmen.1283 Gestützt wird dieses Ergebnis nunmehr auch durch die DIRL sowie die VerbRRL n. F., wonach die Anwendbarkeit der verbraucherschützenden Vorschriften der Richtlinien gerade nicht durch ein rechtswidriges Verhalten des Unternehmers ausgeschlossen wird.1284 Beschreibungen der Anbieterleistung als „kostenlos“ oder „unentgeltlich“ in den AGB der Anbieter sind im Hinblick auf die Entgeltlichkeit der Anbieterleistung somit als 1279 Metzger, AcP 2016, 817, 833, 834. Ebenso Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 201. 1280 Vgl. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94, die umgekehrte Konstellation darlegend. 1281 In dieser Konstellation liegt gerade keine, die subjektive Unentgeltlichkeit ausschließende, Verknüpfung von Leistung und Gegenleistung vor. Nach dem objektiven Empfängerhorizont würde das Datensubjekt bei entsprechenden Angaben in Geschäftsbedingungen der Anbieter davon ausgehen, dass es ein – anfechtbares – unentgeltliches Rechtsgeschäft ohne Notwendigkeit der Erteilung einer datenschutzrechtlichen Einwilligung eingeht. 1282 Hierzu oben S. 209 f. Abgemildert wird diese Situation durch gesetzliche Ansprüche aus der DSGVO, aus vorvertraglichen Schuldverhältnissen und, in besonders schwerwiegenden Fällen, durch § 826 BGB. Hierzu auch Hacker, ZfPW 2019, 148, 161, Fn. 94. 1283 Alternativ ließe sich zudem § 242 BGB heranziehen, um ein vergleichbares Ergebnis zu erhalten, da sich der Anbieter in entsprechenden Konstellationen in Widerspruch zu seinem eigenen Verhalten versetzen würde, falls dieser sich auf das Vorliegen eines unentgeltlichen Rechtsgeschäfts berufen würde. Vgl. Kähler, in: BeckOGK BGB, Stand: 15. 04. 2021, § 242 BGB, Rn. 1237 ff. 1284 Hierzu unten bei Fn. 1765, 1997. Vgl. auch BGH, Beschluss vom 23. 06. 2020 – KVR 69/19, juris, Rn. 63 sowie Kumkar, ZfPW 2020, 306, 309, 310, 324, 325.
§ 10 Qualifizierung der Austauschverhältnisse
217
rechtlich unbeachtlich einzuordnen, soweit der Anbieter dennoch sich vertraglich eine Datenverarbeitung zu kommerziellen Zwecken ausbedingt oder entsprechende Datenverarbeitungsvorgänge faktisch vornimmt.1285 Festhalten lässt sich, dass es datengetriebenen Austauschgeschäften grundsätzlich an einer Einigung über die Unentgeltlichkeit seitens der Vertragsparteien fehlt. Werden mit der Verarbeitung personenbezogener Daten kommerzielle Zwecke verfolgt, sind entsprechende Austauschgeschäfte als entgeltliche Rechtsgeschäfte zu klassifizieren. 5. Gegenleistungscharakter Eine Gegenleistung werden Datenüberlassung und Einwilligungserteilung durch das Datensubjekt nur konstituieren können, wenn die Erhebung und die Verarbeitung der personenbezogenen Daten überhaupt vom Willen des Datensubjekts abhängig sind. Ermöglichen bereits gesetzliche Erlaubnistatbestände die rechtmäßige Verarbeitung personenbezogener Daten, so besteht für den Anbieter keine rechtliche Notwendigkeit, sich vom Datensubjekt eine Einwilligung erteilen zu lassen.1286 Die Überlassung personenbezogener Daten bzw. eine Erteilung einer datenschutzrechtlichen Einwilligung seitens des Datensubjekts können in diesen Fällen zwar weiterhin als Leistungsgegenstände vereinbart werden; diese Leistungen weisen jedoch, in Ermangelung einer anderweitigen Vereinbarung der Parteien,1287 keinen Gegenleistungscharakter auf, welcher die Unentgeltlichkeit der Anbieterleistung entfallen lassen würde. So fehlt es grundsätzlich an der Erbringung eines äquivalenten Entgelts 1285
Vgl. KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 242; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 138, 139, wonach Verbraucher unter der Bezeichnung „kostenlos“ das Fehlen monetärer Kosten verstehen würden, jedoch nicht auch das Fehlen sonstiger Nachteile wie Eingriffe in die informationelle Selbstbestimmung der Nutzer durch die Preisgabe personenbezogener Daten oder die Erteilung einer datenschutzrechtlichen Einwilligung. Wird die Unentgeltlichkeit in der Gestalt suggeriert, dass ein Anbieter das Fehlen einer monetären Gegenleistung hervorhebt und eine kommerzielle Datenverarbeitung nur beiläufig erwähnt, liegt dennoch keine die subjektive Unentgeltlichkeit ausschließende Einigung der Vertragsparteien vor. 1286 So auch Kumkar, ZfPW 2020, 306, 326; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 6: Schmidt-Kessel / Grimm, ZfPW 2017, 84, 95; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 220; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 15. 1287 Hierunter ist beispielsweise die Konstellation zu fassen, dass die datenschutzrechtliche Einwilligung zur Beseitigung von Zweifeln über das Bestehen gesetzlicher Erlaubnistatbestände vereinbart wird, auch wenn hierdurch kein Mehr an Datenerhebung oder Datenverarbeitung gegenüber gesetzlichen Erlaubnistatbeständen ermöglicht wird. In entsprechenden Fällen wird der Anbieter mit der Datenverarbeitung jedoch typischerweise keine wirtschaftlichen Interessen verfolgen, sondern aus altruistischen Motiven handeln, weswegen die Entgeltlichkeit entsprechender datengetriebener Austauschgeschäfte (etwa bei Softwareanwendungen ohne kommerzielle Datenverarbeitung, welche potenziell auch besondere personenbezogene Daten nach Art. 9 Abs. 1 DSGVO verarbeiten) zu verneinen sein wird.
218
Teil 3: Die Einordnung der Austauschverhältnisse
des Datensubjekts zur Anbieterleistung, das in Abhängigkeit zu dieser steht, wenn die Erhebung und Verarbeitung der personenbezogenen Daten bereits durch gesetzliche Erlaubnistatbestände gestattet ist.1288 Entscheidend für die Entgeltlichkeit eines datengetriebenen Austauschgeschäfts und für das Vorliegen einer Gegenleistung des Datensubjekts ist daher, dass für die Rechtmäßigkeit der kommerziellen Datenverarbeitung durch den Anbieter zwingend die datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO als Erlaubnistatbestand erforderlich sein muss.1289 Schmidt-Kessel / Grimm würden zudem darüber hinausgehend differenzieren, ob personenbezogene Daten preiszugeben sind, die zum Erhalt der Anbieterleistung zwingend seitens des Datensubjekts überlassen und durch die Einwilligung kommerziell nutzbar gemacht werden müssen, oder ob es sich vielmehr nur um freiwillig preisgegebene Daten handelt, von denen die Gewährung der Anbieterleistung nicht abhängig gemacht wird.1290 Erhielte das Datensubjekt die Anbieterleistung unabhängig von der freiwilligen Datenpreisgabe, so wäre in diesem Fall nicht von einem entgeltlichen Rechtsgeschäft auszugehen.1291 Dieser These kann jedoch nur so weit zugestimmt werden, wie der Anbieter vom Datensubjekt nicht dennoch – trotz Freiwilligkeit der Preisgabe bestimmter Daten – die Erteilung einer Einwilligung zur Datenverarbeitung zu kommerziellen Zwecken verlangt. Die Freiwilligkeit einer bewussten Preisgabe einzelner Daten hebt die Entgeltlichkeit des Rechtsgeschäfts gerade nicht auf, wenn andere personenbezogene Daten im Rahmen des Vertragsverhältnisses auf Grundlage der Einwilligung kommerzialisiert werden sollen.1292 Aufgrund des Einsatzes moderner Technologien zur Datenerhebung im Bereich der Digital Analytics dürfte es in einer Vielzahl der 1288
Der Anbieter ist in diesen Fällen nicht auf die Mitwirkung des Datensubjekts zur Erhebung oder Verarbeitung von dessen personenbezogen Daten angewiesen, sondern auch unabhängig von einer aktiven Preisgabe der Daten oder einem passiven Dulden der Datenerhebung durch das Datensubjekt hierzu berechtigt. Den Anbietern datengetriebener Austauschgeschäfte stehen diese Daten und Nutzungsbefugnisse dann ohnehin bereits zu. Hierzu Linardatos, in: SpechtRiemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 542–544; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 95; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 15. 1289 Ebenso Kumkar, ZfPW 2020, 306, 326; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 6; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 216; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 95; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 220; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 59; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 542; Metzger, AcP 2016, 817, 822, 823, sich noch auf die frühere Rechtslage unter dem BDSG a. F. beziehend. A. A. Hacker, ZfPW 2019, 148, 165, 166; Westphalen / Wendehorst, BB 2016, 2179, 2184, welche erwägen, dass auch unter Art. 6 Abs. 1 lit. b DSGVO fallende personenbezogene Daten eine Gegenleistung darstellen könnten. 1290 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 95. 1291 Ebenda. 1292 Ein unentgeltliches Vertragsverhältnis ist vielmehr nur dann anzunehmen, wenn die (freiwillig) preisgegebenen Daten nicht auf Basis der Einwilligung des Datensubjekts kommerziell verarbeitet werden sollen oder sämtliche Datenverarbeitungsvorgänge durch gesetzliche Erlaubnistatbestände legitimiert werden.
§ 10 Qualifizierung der Austauschverhältnisse
219
Fälle kaum festzustellen sein, welche personenbezogenen Daten freiwillig preisgegeben wurden und welche nicht.1293 Eine entsprechende Folgedifferenzierung ist daher nicht praktikabel und abzulehnen. Als entgeltlich sind daher diejenigen datengetriebenen Austauschgeschäfte mit kommerzieller Zwecksetzung einzuordnen, bei denen nicht die gesamte Erhebung und Verarbeitung personenbezogener Daten durch gesetzliche Erlaubnistatbestände legitimiert wird. In Frage kommen hierfür die Erlaubnistatbestände nach Art. 6 Abs. 1 lit. b, lit. c sowie lit. f DSGVO, deren Reichweite wie folgt zu bestimmen ist.1294 a) Vertragserfüllung und vorvertragliche Maßnahmen (lit. b) aa) Zweck und Anwendungsbereich Nach Art. 6 Abs. 1 lit. b DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Erfüllung eines (wirksamen) Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Der Erlaubnistatbestand bezweckt die Legitimierung von Datenverarbeitungen, welche auf der autonomen Entscheidung des Datensubjekts gründen, Rechtsverhältnisse einzugehen, zu deren Erfüllung diese Datenverarbeitungsvorgänge zwingend erforderlich sind, und gewährleistet damit die Selbstbestimmtheit des privaten Rechtsverkehrs.1295 Erfasst sind vertragsakzessorische Datenverarbeitungen in den Stadien der Vorbereitung, Anbahnung und Durchführung von Verträgen wie auch bei deren Beendigung und Abwicklung.1296 Unter den autonom auszulegenden europarechtlichen Vertragsbegriff nach Art. 6 Abs. 1 lit. b DSGVO fallen rechtsgeschäftliche wie auch rechtsgeschäftsähnliche Schuldverhältnisse, nicht jedoch gesetzliche oder nichtige Schuldverhältnisse.1297 Der gleichfalls autonom auszu 1293
Eingehend zu den vielfältigen Möglichkeiten der Datenerfassung oben S. 67 ff. Von einer Behandlung der Art. 6 Abs. 1 lit. d DSGVO (Erforderlichkeit einer Datenverarbeitung zum Schutz lebenswichtiger Interessen) sowie Art. 6 Abs. 1 lit. e DSGVO (Datenverarbeitungen zur Wahrnehmung öffentlicher Aufgaben oder in Ausübung öffentlicher Gewalt) wird mangels Relevanz dieser Erlaubnistatbestände für Datenverarbeitsvorgänge innerhalb datengetriebener Austauschgeschäfte mit kommerzieller Zwecksetzung abgesehen. 1295 Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 31; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 26; Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 15. 1296 Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 31; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 33 sowie EG 44 DSGVO. A. A. Hacker, Datenprivatrecht, 2020, 262, 263, sich dabei primär auf den Wortlaut von Art. 6 Abs. 1 lit. b DSGVO stützend. 1297 Jeweils m. w. N. zum Meinungsstand: Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 30; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 27 ff.; Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 17. 1294
220
Teil 3: Die Einordnung der Austauschverhältnisse
legende Erfüllungsbegriff umfasst nicht nur Leistungspflichten, sondern auch Nebenpflichten wie Schutz- und Rücksichtnahmepflichten, die grundsätzlich zu entsprechenden Vertragsverhältnissen gehören.1298 Auf die Preisgabe personen bezogener Daten als Teil des Pflichtenprogramms innerhalb datengetriebener Austauschgeschäfte als vertragliche Schuldverhältnisse ist der Erlaubnistatbestand mithin grundsätzlich anwendbar. bb) Relevanz für datengetriebene Austauschgeschäfte Von erheblicher Bedeutung für datengetriebene Austauschgeschäfte ist die Bestimmung der Reichweite des Tatbestandsmerkmals der Erforderlichkeit der Datenverarbeitung für die Vertragserfüllung. Datenverarbeitungsvorgänge auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO sollen zur Bereitstellung der begehrten Anbieterleistung im Interesse des Datensubjekts erfolgen und damit gerade keine Datenverarbeitungsvorgänge zur Verfolgung eigener wirtschaftlicher Ziele des Anbieters abdecken.1299 Soweit eine Legitimierung der kommerziellen Datenverarbeitung über Art. 6 Abs. 1 lit. b DSGVO zulässig ist, kommt die Datenpreisgabe des Datensubjekts daher nicht mehr als taugliche Gegenleistung in Frage, sondern würde nach der werkvertragsrechtlichen Terminologie nur den seitens des Auftraggebers benötigten „Stoff“ darstellen, welcher zur Erbringung der Anbieterleistung notwendig beizubringen ist.1300 Die Auslegung des Erforderlichkeitskriteriums und die Reichweite des Erlaubnistatbestands sind damit entscheidend für die Frage, welche personenbezogenen Daten verarbeitet werden dürfen, ohne hierfür eine datenschutzrechtliche Einwilligung zu benötigen.1301 Erforderlich wird die Verarbeitung personenbezogener Daten jedenfalls immer dann sein, wenn der Vertrag ohne die Vornahme der konkreten Datenverarbeitungsvorgänge nicht durchgeführt werden kann.1302 Die Datenverarbeitung muss objektiv der Erreichung des Vertragszwecks dienen und in einem inhaltlichen Zusammenhang zu diesem stehen.1303 Einzubeziehen sind nach dem Europäischen 1298 Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 33; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 31. 1299 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 543. 1300 Westphalen / Wendehorst, BB 2016, 2179, 2185. Einer Datenpreisgabe, welche zur Vertrags erfüllung erforderlich ist, liegt dementsprechend gerade nicht der Zweck zugrunde, dem Anbieter personenbezogene Daten und Nutzungsbefugnisse an diesen für eigene Zwecke zu überlassen; dieser kommt daher keine Entgeltfunktion zu. Eingehend hierzu Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 530, 543. 1301 Vgl. Bundeskartellamt, Beschluss vom 06. 02. 2019 – B6-22/16, Rn. 671, 692; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 216, 217. 1302 Europäischer Datenschutzausschuss, Stellungnahme 2/2019 vom 8. 10. 2019, Rn. 30; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 40. 1303 Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 32; Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 6 DSGVO, Rn. 6.
§ 10 Qualifizierung der Austauschverhältnisse
221
Datenschutzausschuss weiter die Natur und die charakteristischen Merkmale des zu erbringenden Dienstes, die wesentlichen Elemente des Vertrags, die Interessenlage der Vertragsparteien sowie der Verständnishorizont eines durchschnittlichen Nutzers des Dienstes.1304 Aufgrund der vielen zu berücksichtigenden Faktoren und der Abhängigkeit vom konkreten Einzelfall bereitet die Abgrenzung von erforderlichen und nicht erforderlichen Datenverarbeitungen dementsprechend Schwierigkeiten. Die Erforderlichkeit wird jedenfalls bei Datenverarbeitungen bejaht werden können, welche für die Anbahnung, Durchführung und Abwicklung eines Vertragsverhältnisses zwingend vorzunehmen sind. Hierunter fallen insbesondere Selbstverständlichkeiten wie die Verarbeitung von unverzichtbaren Daten, beispielsweise Vertrags-, Kontakt- und Zahlungsdaten bei der Inanspruchnahme entgeltlicher Internetdienstleistungen.1305 Auch datengetriebene Austauschgeschäfte, die zur Erreichung ihres Vertragszwecks und zur Erbringung der Anbieterleistung zwingend eine Verarbeitung personenbezogener Daten erfordern, werden sich grundsätzlich auf Art. 6 Abs. 1 lit. b DSGVO als Erlaubnistatbestand stützen können. Vor allem Datenverarbeitungsvorgänge wie die Scorewertberechnung im Rahmen von Telematik-Tarifen oder die Präferenzanalyse bei Vertragsverhältnissen, deren Vertragszweck gerade die Erbringung personalisierter Dienstleistungen ausmacht, welche auf die Person des Datensubjekts ausgerichtet sind, sind danach als erforderlich einzuordnen.1306 Dagegen erfolgt bei datengetriebenen Austauschgeschäften mit vollkommen datenfinanzierten Geschäftsmodellen sowie Freemium-Geschäftsmodellen die Verarbeitung personenbezogener Daten gerade nicht nur zur Erbringung der Anbieterleistung, sondern größtenteils auch zu rein kommerziellen Zwecken, wie der Schaltung personalisierter Werbung, im ausschließlich wirtschaftlichen Interesse der Anbieter.1307 Für die Qualifizierung entsprechender datengetriebener Austauschgeschäfte ist von essenzieller Bedeutung, ob – durch eine umfassende Leistungsbeschreibung und eine entsprechend weite Ausgestaltung der vertraglichen Leistungspflichten in den Geschäftsbedingungen – die Anbieter selbst die Reichweite der Erforderlichkeit einer Datenverarbeitung nach Art. 6 Abs. 1 lit. b DSGVO bestimmen können.1308 Wäre dies statthaft, 1304
Europäischer Datenschutzausschuss, Stellungnahme 2/2019 vom 8. 10. 2019, Rn. 32, 33. Vgl. Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 39. 1306 Eingehend hierzu oben Fn. 1067. Ähnlich Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 46; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 24, 25. Vgl. auch Europäischer Datenschutzausschuss, Stellungnahme 2/2019 vom 8. 10. 2019, Rn. 57, kommt es darauf an, ob die Personalisierung der Anbieterleistung im Einzelfall leistungsbedingt notwendig und vorhersehbar ist. 1307 Siehe oben S. 175 f. 1308 Vgl. Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 236, 237; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 217; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 40a. 1305
222
Teil 3: Die Einordnung der Austauschverhältnisse
könnten damit auch (kommerzielle) Datenverarbeitungen legitimiert werden, welche nicht für die Vertragserfüllung erforderlich sind; in diesen Fällen müsste keine Einwilligung des Datensubjekts nach Art. 6 Abs. 1 lit. a DSGVO mehr eingeholt werden. cc) Restriktive Auslegung des Erforderlichkeitskriteriums Um eine derartige Umgehung des Einwilligungserfordernisses zu verhindern, plädiert die gegenwärtig herrschende Meinung im Schrifttum für eine restriktive Auslegung der Erforderlichkeit einer Datenverarbeitung zur Vertragserfüllung i. S. v. Art. 6 Abs. 1 lit. b DSGVO.1309 Um eine (subjektive) Ausrichtung des Erforderlichkeitskriteriums anhand des konkret vereinbarten Vertragsinhalts und damit eine selbstdefinierte Grenzziehung der datenverarbeitenden Anbieter zu vermeiden, ist die Erforderlichkeit danach grundsätzlich (objektiv) anhand der Notwendigkeit von Datenverarbeitungsvorgängen zur Erreichung des jeweiligen Vertrags zu bestimmen.1310 Gegen die Möglichkeit einer eigenmächtigen Bestimmung des Erforderlichkeitskriteriums durch die Vertragsparteien und damit überwiegend durch die AGB der datenverarbeitenden Anbieter haben sich darüber hinaus nationale wie auch europäische Behörden ausgesprochen.1311 Diese Auslegung wird zudem durch die Rechtsprechung und durch das europäische Sekundärrecht in den Art. 3 Abs. 1 Uabs. 2 DIRL sowie Art. 3 Abs. 1a VerbRRL n. F. bestätigt.1312 1309 Statt vieler: Leinemann, Personenbezogene Daten als Entgelt, 2020, 179, 182; Bunnenberg, Privates Datenschutzrecht, 2020, 59; Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 184, 185; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 237, 238; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 529, 530; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 217 ff.; Westphalen / Wendehorst, BB 2016, 2179, 2185, 2187; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 220; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 40a, 41; Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 32. 1310 Umfassend hierzu Bunnenberg, Privates Datenschutzrecht, 2020, 53–57 m. w. N. zur Auffassung, welche für eine subjektive (schuldrechtliche) Lösung eintritt. 1311 Europäischer Datenschutzausschuss, Guidelines 8/2020 on the targeting of social media users, 2020, Rn. 53; Europäischer Datenschutzausschuss, Stellungnahme 2/2019 vom 8. 10. 2019, Rn. 30 ff.; Bundeskartellamt, Beschluss vom 06. 02. 2019 – B6-22/16, Rn. 671, 677, 688 ff.; Art. 29 Datenschutzgruppe, WP 259, 2018, 9, 10, Fn. 23. 1312 Zur Rechtsprechung: KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 241; KG Berlin, Urteil vom 27. 12. 2018 – 23 U 196/13, juris, Rn. 43, 44; VG Hamburg, Beschluss vom 24. 04. 2017 – 13 E 5912/16, juris, Rn. 98 ff., noch zur alten Rechtslage unter dem BDSG a. F. Nach Art. 3 Abs. 1 Uabs. 2 DIRL sowie Art. 3 Abs. 1a VerbRRL n. F. werden Verbraucherverträge vom Anwendungsbereich der Richtlinien ausgenommen, in denen die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich zur Bereitstellung der Anbieterleistung verarbeitet werden und der Unternehmer diese Daten zu keinen anderen Zwecken verarbeitet.
§ 10 Qualifizierung der Austauschverhältnisse
223
Genaue Parameter lassen sich jedoch nur schwer ausmachen.1313 Als zwingend für die Vertragserfüllung erforderlich wird beispielsweise die Verarbeitung personenbezogener Daten zur Scorewertberechnung innerhalb von Telematik-Tarifen, zur Erbringung personalisierter Dienstleistungen oder zur (technischen) Bereitstellung der Anbieterleistung einzuordnen sein.1314 Seitens der Rechtsprechung als nicht zur Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO erforderlich eingestuft wurden dagegen Klauseln, welche eine Verarbeitung von personenbezogenen Daten zur Verbesserung von Produkten oder Dienstleistungen, zur Schaltung von (standortbasierter) Werbung, zur Datenanalyse und zu Marketingzwecken oder zur Weitergabe an Dritte vorsahen.1315 In der datenschutzrechtlichen Kommentarliteratur sprechen sich verschiedene Stimmen dafür aus, den Datenverarbeitern einen gewissen Spielraum zuzubilligen und nicht nur unverzichtbare Verarbeitungsvorgänge für erforderlich zu halten.1316 So schlagen Buchner / Petri vor, im Rahmen einer Interessenabwägung darauf abzustellen, ob gleich geeignete, zumutbare Alternativen zu bestimmten Datenverarbeitungsvorgängen bestehen, welche mit einer weniger intensiven Datenverarbeitung auskommen würden.1317 Jedenfalls würde die kommerzielle Verarbeitung von personenbezogenen Daten, wie zu Zwecken der Schaltung personalisierter Werbung oder zur Gewinnerzielung im Rahmen vollständig oder teilweise datenfinanzierter Austauschverhältnisse, nicht über den Erlaubnistatbestand des Art. 6 Abs. 1 lit. b DSGVO legitimiert werden können.1318 Nach Hofmann sprechen Wortlaut und Systematik von Art. 6 Abs. 1 lit. b DSGVO dafür, dass von der Vorschrift „alle das Vertragsverhältnis betreffenden Datenverarbeitungsvorgänge erfasst sind“, worunter auch eine als „vertragliche Primärleistungspflicht“ geschuldete Datenpreisgabe des Datensubjekts zu zählen 1313
Einen Überblick über den Meinungsstand bietet Bock, CR 2020, 173–175. Eingehend hierzu oben Fn. 1067 sowie bei Fn. 1306. 1315 KG Berlin, Urteil vom 27. 12. 2018 – 23 U 196/13, juris, Rn. 6, 7, 10–24, 43, 44 (OnlineStore von Apple). Zu entsprechenden Klauseln in den bereits dargestellten Geschäftsbedingungen von Google und Facebook siehe oben bei Fn. 971, 972 sowie bei Fn. 997–999. Läge es in der Hand der Vertragsparteien die Erforderlichkeit zur Vertragserfüllung – dem weiten Erforderlichkeitsverständnis entsprechend – selbst zu bestimmen, so wäre es grundsätzlich möglich, sämtliche Datenverarbeitungen unter Vorbehalt der §§ 134, 138, 305 ff. BGB als Vertragsinhalt zu deklarieren. So etwa Hacker, Datenprivatrecht, 2020, 185, 186. Weitere Nachweise hierzu finden sich bei Bunnenberg, Privates Datenschutzrecht, 2020, 53, 54. 1316 Zwischen Unverzichtbarkeit und Erforderlichkeit dementsprechend abgrenzend: Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 45; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 32; Frenzel, in: Paal / Pauly DSGVO / BDSG, 3. Aufl. 2021, Art. 6 DSGVO, Rn. 14; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 6 DSGVO, Rn. 38. 1317 Siehe Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 45. A. A. Frenzel, in: Paal / Pauly DSGVO / BDSG, 3. Aufl. 2021, Art. 6 DSGVO, Rn. 14, eine Anwendung dieser aus dem Kontext der grundrechtlichen Verhältnismäßigkeitsprüfung stammenden Formel im privaten Rechtsverkehr ablehnend. 1318 Vgl. Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 40a, 41; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 32; Frenzel, in: Paal / Pauly DSGVO / BDSG, 3. Aufl. 2021, Art. 6 DSGVO, Rn. 13. 1314
224
Teil 3: Die Einordnung der Austauschverhältnisse
sei.1319 Da die Eingehung des Vertragsverhältnisses eine autonome Willensentscheidung des Datensubjekts darstelle, bestünden keine Bedenken einer „vermeintlichen Aushöhlung des individuellen Datenschutzes“.1320 Ob Hofmann damit eine extensive Auslegung von Art. 6 Abs. 1 lit. b DSGVO vertritt, geht nicht eindeutig aus seinen Ausführungen hervor. So würde sich als Konsequenz seiner Einschätzungen die Problematik erübrigen, dass sich das Datensubjekt seiner Leistungsverpflichtung durch einen Widerruf der Einwilligung nach Art. 7 Abs. 3 DSGVO entziehen könnte und so „dem Unternehmer das einseitige Risiko der Lösung vom Vertrag aufgebürdet wird“.1321 Jedoch soll nach Hofmann die Erforderlichkeit der Datenverarbeitung auch anhand des konkreten Vertragszwecks zu bemessen sein, wodurch die von ihm zuvor getroffenen Aussagen zur autonomen Willensentscheidung des Datensubjekts wieder relativiert werden.1322 Ähnlich argumentiert auch Hacker, wonach ein „subjektiver Erforderlichkeitsmaßstab“ anzulegen sei, welcher am ehesten dem Wortlaut von Art. 6 Abs. 1 lit. b DSGVO entspreche und die Privatautonomie der Vertragsparteien würdige.1323 Schließlich ist, übereinstimmend mit der herrschenden Meinung, die restriktive Auslegung von Art. 6 Abs. 1 lit. b DSGVO schon allein deswegen geboten, um ein Unterlaufen des Einwilligungserfordernisses zu verhindern und so den Erlaubnistatbestand nach Art. 6 Abs. 1 lit. a DSGVO als maßgebliches Instrument der informationellen Selbstbestimmung nicht vollständig obsolet werden zu lassen.1324 Läge es in der Hand der Anbieter datengetriebener Austauschgeschäfte, eigenständig mittels der größtenteils einseitig durch AGB ausgestalteten vertraglichen Leistungsbeschreibung die Reichweite der Erforderlichkeit der Vertragserfüllung selbst zu bestimmen, so bestünde kaum noch ein praxisrelevanter Anwendungs bereich für die datenschutzrechtliche Einwilligung.1325 Der Anbieter könnte hierüber nicht nur über die Rechtmäßigkeit der Datenverarbeitung frei disponieren, sondern – als zivilrechtliche Folgen – auch über den Vertragstypus, den gesetzlichen 1319
Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161,
172.
1320
Ebenda. Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 172, 173. 1322 Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 172. 1323 Hacker, Datenprivatrecht, 2020, 263, 264. Nach Hackers Auffassung sei eine entsprechende (synallagmatisch verknüpfte) Nutzerpflicht zur Datenpreisgabe jedoch nur in Ausnahmefällen und bei Vorliegen einer ausdrücklichen Vereinbarung anzunehmen, sodass auch hiernach grundsätzlich die Erforderlichkeit kommerzieller Datenverarbeitungsvorgänge zur Vertragserfüllung verneint wird. Siehe Hacker, Datenprivatrecht, 2020, 197–199, 265. 1324 Vgl. Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 40a, 41; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 236, 237. 1325 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 530; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 236; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 220. 1321
§ 10 Qualifizierung der Austauschverhältnisse
225
Haftungsmaßstab, das anwendbare Leistungsstörungs- und Gewährleistungsrecht sowie die Anwendbarkeit von Verbraucherschutzrecht.1326 Gerade datengetriebene Geschäftsmodelle, welche die Verarbeitung personenbezogener Daten zu kommerziellen Zwecken aus eigennützigen Motiven und wirtschaftlichen Interessen verfolgen, könnten sich hiermit, durch eine entsprechende Ausgestaltung des Pflichtenprogramms, als unentgeltliche Rechtsgeschäfte gerieren.1327 Keine taugliche Rechtfertigung für eine Umgehung des Einwilligungserfordernisses stellt aus diesem Grund das Argument dar, dass der Anbieter durch die Gewinnerzielung sich in die Lage versetzt, das datengetriebene Austauschmodell anzubieten.1328 Eine derartige Konzession seitens der DSGVO zugunsten der Datenindustrie wäre mit dem Wesensgehalt der Verordnung – insbesondere der Gewährung eines hohen Datenschutzniveaus und dem Grundsatz der Datenminimierung – nur schwer zu vereinbaren.1329 Entsprechend der ihnen zugrundeliegenden Konzeption des Verbots mit Erlaubnisvorbehalt und des Primats der Einwilligung sind die gesetzlichen Erlaubnistatbestände restriktiv auszulegen.1330 Sind in Verträgen mehrere eigenständige Leistungen enthalten, die gesondert erbracht werden können, ist nach dem Europäischen Datenschutzausschuss daher bei der Beurteilung der Erforderlichkeit auf die jeweils einzelne Leistung abzustellen, um eine „take it or leave it“-Situation zu verhindern.1331 Sind einzelne Datenverarbeitungsvorgänge dementsprechend allein für die Gewinnerzielung im Rahmen des Geschäftsmodells erforderlich, jedoch nicht für die Erfüllung der geschuldeten Anbieterleistung notwendig, kann für deren Legitimierung nicht auf Art. 6 Abs. 1 lit. b DSGVO abgestellt werden.1332 Neben kommerziellen Zwecken, wie der Schaltung von personalisierter Werbung, soll dies darüber hinaus für Datenverarbeitungen zur Optimierung von Diensten und zur Betrugsprävention gelten.1333
1326 Siehe Hacker, ZfPW 2019, 148, 165. Weiterführend hierzu oben S. 209 f. sowie unten S. 301 ff. sowie bei Fn. 1967. 1327 Vgl. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 542–544; Hacker, ZfPW 2019, 148, 165, 166. Bundeskartellamt, Beschluss vom 06. 02. 2019 – B6-22/16, Rn. 671. 1328 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 544. 1329 Siehe Art. 5 Abs. 1 lit. c DSGVO sowie EG 10 S. 1 DSGVO. Ebenso Westphalen / Wendehorst, BB 2016, 2179, 2185, 2187. 1330 Zur Bedeutung der Einwilligung als maßgebliches Instrument der informationellen Selbstbestimmung: Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 233–236; vgl. auch Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 41. 1331 Europäischer Datenschutzausschuss, Stellungnahme 2/2019 vom 8. 10. 2019, Rn. 36, 37. 1332 Europäischer Datenschutzausschuss, Stellungnahme 2/2019 vom 8. 10. 2019, Rn. 37. 1333 Vgl. Europäischer Datenschutzausschuss, Stellungnahme 2/2019 vom 8. 10. 2019, Rn. 48– 56; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 32; Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, 36.
226
Teil 3: Die Einordnung der Austauschverhältnisse
b) Erfüllung einer rechtlichen Verpflichtung (lit. c) aa) Untauglichkeit als Rechtsgrundlage im Ausgangspunkt Über Art. 6 Abs. 1 lit. c DSGVO könnte die kommerzielle Datenverarbeitung innerhalb datengetriebener Austauschverhältnisse legitimiert werden, wenn diese zur Erfüllung einer rechtlichen Verpflichtung des Anbieters erforderlich wäre. In Abgrenzung zu Art. 6 Abs. 1 lit. b DSGVO kann diese Pflicht nicht durch eine vertragliche Vereinbarung begründet werden, sondern muss kraft Gesetzes normiert sein.1334 Erfasst werden insbesondere Datenverarbeitungen zur Erfüllung von Dokumentations-, Mitteilungs- und Protokollierungspflichten.1335 Gerechtfertigt wird durch den Erlaubnistatbestand nur die Verarbeitung personenbezogener Daten, die zur Erfüllung der konkreten Pflicht notwendig ist.1336 Die Legitimierung einer darüber hinausgehenden Datenverarbeitung auf Basis des Erlaubnistatbestands ist ausgeschlossen.1337 Eine weitergehende Verarbeitung der personenbezogenen Daten zu kommerziellen Zwecken ist damit auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO grundsätzlich nicht statthaft.1338 Dies wird auch durch die DIRL sowie die VerbRRL n. F. bestätigt.1339 bb) Legitimierung über Art. 6 Abs. 2, Abs. 3 DSGVO Nicht abschließend geklärt ist, ob die Mitgliedstaaten eigenständige privatrechtliche Erlaubnistatbestände über die Öffnungsklauseln der Art. 6 Abs. 2, Abs. 3 DSGVO schaffen können, um eine Datenverarbeitung zu kommerziellen Zwecken innerhalb von Privatrechtsverhältnissen über Art. 6 Abs. 1 lit. c DSGVO zu legiti 1334 Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 77; Roßnagel, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 51. 1335 Für internetbasierte datengetriebene Austauschgeschäfte verpflichten beispielsweise § 14 Abs. 2 TMG sowie § 15 Abs. 5 S. 4 TMG i. V. m. § 14 Abs. 2 TMG den Diensteanbieter zur Verarbeitung von Bestands- und Nutzungsdaten auf der Grundlage einer behördlichen Anordnung. Einen Überblick zu entsprechenden Pflichten bieten: Roßnagel, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 54; Frenzel, in: Paal / Pauly DSGVO / BDSG, 3. Aufl. 2021, Art. 6 DSGVO, Rn. 17. 1336 Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 81; Roßnagel, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 57. 1337 Roßnagel, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 57. 1338 Ebenso Bundeskartellamt, Beschluss vom 06. 02. 2019 – B6-22/16, Rn. 718; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 544; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 230 Fn. 79. 1339 Nach Art. 3 Abs. 1 Uabs. 2 DIRL sowie Art. 3 Abs. 1a VerbRRL n. F. sind Verbraucherverträge gleichfalls vom Anwendungsbereich der Richtlinien ausgenommen, in denen die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich zur Erfüllung von (vom Unternehmer einzuhaltenden) rechtlichen Anforderungen verarbeitet werden und der Unternehmer diese Daten zu keinen anderen Zwecken verarbeitet.
§ 10 Qualifizierung der Austauschverhältnisse
227
mieren.1340 Entscheidend ist daher, welche Materien durch die nationalen Gesetzgeber auf Basis der Öffnungsklauseln geregelt werden dürfen. Im Gegensatz zur früheren Rechtslage unter der Datenschutz-RL sind die Erlaubnistatbestände der DSGVO nicht abschließend.1341 Die Normierung eigenständiger Rechtsgrundlagen für die Verarbeitung personenbezogener Daten auf Basis der Öffnungsklauseln kann gemäß Art. 6 Abs. 2 bzw. Art. 6 Abs. 3 lit. b DSGVO durch die Mitgliedstaaten wie auch nach Art. 6 Abs. 3 lit. a DSGVO durch Unionsrecht erfolgen.1342 Gemäß Art. 6 Abs. 2 DSGVO können die Mitgliedstaaten spezifischere Bestimmungen im nationalen Recht zur Anpassung der Anwendung von Vorschriften der DSGVO in Bezug auf Datenverarbeitungen im Rahmen von Art. 6 Abs. 1 lit. c sowie lit. e DSGVO beibehalten oder einführen. Hiernach können sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten; dies gilt ebenso für andere besondere Verarbeitungssituationen gemäß Art. 85–91 DSGVO.1343 Art. 6 Abs. 3 S. 1 DSGVO legt fest, dass die Rechtsgrundlagen für Verarbeitungen gemäß Art. 6 Abs. 1 lit. c sowie lit. e DSGVO durch Unionsrecht (lit. a) oder durch das Recht der Mitgliedstaaten festgelegt werden, dem der Verantwortliche unterliegt (lit. b). Nach Art. 6 Abs. 3 S. 4 DSGVO müssen unter Inanspruchnahme der Öffnungsklausel geschaffene Rechtsgrundlagen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.1344 Auch wenn die inhaltliche Reichweite der Öffnungsklauseln vom Wortlaut her nicht eindeutig bestimmt ist, wird davon auszugehen sein, dass der Unionsgesetzgeber mit der Schaffung der Öffnungsklauseln nicht den Zweck verfolgte, den Mitgliedstaaten die in Art. 5 DSGVO sowie Art. 6 Abs. 1 DSGVO normierten Rahmenbedingungen der Datenverarbeitung zur Disposition zu stellen.1345 Dass hierunter auch die Datenverarbeitung zu kommerziellen Zwecken innerhalb von Privatrechtsverhält 1340 Das Verhältnis von Art. 6 Abs. 2 und Abs. 3 DSGVO ist umstritten. Einigkeit besteht jedenfalls darüber, dass den nationalen Gesetzgebern eigenständige Regelungsbefugnisse in Bezug auf die Rechtmäßigkeitstatbestände in Art. 6 Abs. 1 lit. c sowie lit. e DSGVO zustehen. Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 55 ff. 1341 Vgl. Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 228, Fn. 71 m. w. N. 1342 BVerwG, Urteil vom 27. 03. 2019 – 6 C 2/18, juris, Rn. 44; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 63. 1343 Inwieweit Art. 6 Abs. 2 DSGVO einen eigenständigen Regelungsinhalt aufweist oder neben der weitestgehend inhaltsgleichen Regelung in Art. 6 Abs. 3 S. 3 DSGVO nur einen klarstellenden Charakter besitzt, ist für die weitere Untersuchung nicht von Relevanz. Hierzu und zu den gesetzeshistorischen Hintergründen: Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 59–62; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 93. 1344 Hierzu auch EG 45 S. 1, 6 DSGVO. 1345 Vgl. Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 56, 58; Frenzel, in: Paal / Pauly DSGVO / BDSG, 3. Aufl. 2021, Art. 6 DSGVO, Rn. 42, 43; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 8 m. w. N.
228
Teil 3: Die Einordnung der Austauschverhältnisse
nissen gefasst werden könnte, um diese durch die Schaffung eines eigenständigen nationalen Erlaubnistatbestands dem Einwilligungserfordernis nach Art. 6 Abs. 1 lit. a DSGVO zu entziehen, ist im Hinblick auf die speziell von der DSGVO für den Privatrechtsverkehr vorgesehenen Erlaubnistatbestände der Art. 6 Abs. 1 lit. a, lit. b sowie lit. f DSGVO daher stark zu bezweifeln.1346 Diese Einschätzung wird dadurch gestützt, dass die Öffnungsklauseln in Art. 6 Abs. 2, Abs. 3 DSGVO speziell auf den öffentlichen Sektor zugeschnitten sind und gerade auf diesen Gebieten den nationalen Gesetzgebern mehr Flexibilität und die Verfolgung von im öffentlichen Interesse liegenden Zielen gewährleisten sollen.1347 Gerade aufgrund des inhärenten Zwecks der DSGVO, europaweit ein „gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten“ und ein Unterlaufen des von Art. 6 Abs. 1 DSGVO geschaffenen Rechtsrahmens zu verhindern, ist eine Legitimierung kommerzieller Datenverarbeitungen über Art. 6 Abs. 2, 3 DSGVO mit der DSGVO nicht zu vereinbaren.1348 Kritisch ist deswegen Sattlers Erwägung zu betrachten, Art. 13 Abs. 2 lit. b DIRL des ursprünglichen Kommissionsvorschlags zur DIRL als einen gesetzlichen Erlaubnistatbestand auf Basis von Art. 6 Abs. 1 lit. c DSGVO einzuordnen.1349 Die DIRL sah in ihrer Vorschlagsfassung in Art. 13 Abs. 2 lit. b DIRL vor, dass, nach Beendigung eines Vertrags über digitale Inhalte durch den Verbraucher, der Anbieter alle Maßnahmen zu ergreifen hätte, um die zukünftige Nutzung der personenbezogenen Daten zu unterlassen, die der Anbieter in Verbindung mit der Bereitstellung der digitalen Inhalte gesammelt hat. Ausgenommen wurden von Art. 13 Abs. 2 lit. b DIRL a. E. jedoch diejenigen Inhalte, „die der Verbraucher gemeinsam mit anderen erzeugt hat, die die Inhalte weiterhin nutzen“. Da diese Inhalte auch personenbezogene Daten enthalten, wurde insofern vertreten, dass Art. 13 Abs. 2 lit. b DIRL eine Rechtsgrundlage darstelle, welche die Weiternutzung entsprechender personenbezogener Daten auch nach Beendigung des Vertrags ermöglicht hätte, unabhängig davon, ob eine datenschutzrechtliche Einwilligung vorlag oder widerrufen wurde.1350 Im endgültigen Vorschlag der DIRL wurde Art. 13 Abs. 2 1346 A. A. Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 228, 229; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 28–30; 41, 46. 1347 Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 8, 77. Vgl. zudem Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 87, 88, 90, Frenzel, in: Paal / Pauly DSGVO / BDSG, 3. Aufl. 2021, Art. 6 DSGVO, Rn. 43. 1348 EG 10 S. 1 DSGVO. Vgl. zudem Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 87; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 77. 1349 Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 228, 229; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 29–30. 1350 Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 228, 229; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 29, 30, 41.
§ 10 Qualifizierung der Austauschverhältnisse
229
lit. b DIRL jedoch gestrichen und stattdessen mit Art. 3 Abs. 8 DIRL sowie Art. 16 Abs. 2 DIRL auf die Geltung der DSGVO verwiesen.1351 cc) Legitimierung über Art. 6 Abs. 4 DSGVO Schließlich kann noch erwogen werden, ob über Art. 6 Abs. 4 DSGVO im nationalen Recht ein Erlaubnistatbestand geschaffen werden könnte, welcher eine nachträgliche Abänderung eines ursprünglich nicht-kommerziellen Verarbeitungszwecks zu einem kommerziellen legitimieren könnte.1352 Gemäß Art. 6 Abs. 4 lit. a–e DSGVO ist eine umfassende Interessenabwägung anzustellen, um die Zulässigkeit einer Datenverarbeitung zu einem anderen Zweck als demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, festzustellen, wenn der geänderte Verarbeitungszweck weder von einer datenschutzrechtlichen Einwilligung noch von einer gesetzlichen Rechtsgrundlage gedeckt ist.1353 Nach dem Wortlaut von Art. 6 Abs. 4 DSGVO ist das Zulässigkeitserfordernis der Interessenabwägung für eine nachträgliche Zweckänderung aber nur notwendig, soweit die Datenverarbeitung zu dem neuen Zweck nicht bereits auf eine Einwilligung der betroffenen Person gestützt werden kann oder durch eine Rechtsvorschrift der Union oder der Mitgliedstaaten legitimiert wird, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele darstellt. Klärungs bedürftig ist mithin erneut, ob die Union oder die Mitgliedstaaten über Art. 6 Abs. 4 DSGVO eigenständige Erlaubnistatbestände für zweckändernde Weiterverarbeitungen schaffen können. Im Ergebnis wird dies jedoch wiederum abzulehnen sein.1354 Andernfalls würden die Vorschriften zur Zweckänderung nicht nur ein Spezialregime einführen, welches die Vollharmonisierung und die Gewährleistung eines einheitlichen, europaweiten Datenschutzniveaus gefährdet, sondern auch die
1351
Siehe oben Fn. 885. Zur ungeklärten Einordnung von Art. 6 Abs. 4 DSGVO hinsichtlich Funktion und Rechtsnatur: Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 71 ff.; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 181 ff. 1353 Eingehend hierzu Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 186 ff.; Roßnagel, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 32 ff. Gerade ein Wechsel von einem nicht-kommerziellen zu einem kommerziellen Verarbeitungszweck dürfte jedoch nur selten mit dem Zweckbindungsgrundsatz nach Art. 5 Abs. 1 lit. c DSGVO vereinbar sein und auf Art. 6 Abs. 4 DSGVO gestützt werden können. Vgl. EG 50 S. 1 DSGVO und Roßnagel, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 38, 42. 1354 So die überwiegende Meinung in Literatur und Rechtsprechung: BVerwG, Urteil vom 27. 09. 2018 – 7 C 5/17, juris, Rn. 27; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 77; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 180, 200 m. w. N. zum Meinungsstand. 1352
230
Teil 3: Die Einordnung der Austauschverhältnisse
durch Art. 6 Abs. 3 DSGVO an nationale Öffnungsklauseln gestellten Rechtmäßigkeitsanforderungen unterlaufen werden.1355 Unabhängig von der Streitfrage der Einordnung wurden im nationalen Recht innerhalb des BDSG jedoch auch keine Erlaubnistatbestände geschaffen, die nachträgliche Zweckänderungen zugunsten einer kommerziellen Datenverarbeitung im Privatrechtsverkehr gestatten würden. Normiert wurde die Zulässigkeit einer Datenverarbeitung durch nichtöffentliche Stellen zu anderen Zwecken als denjenigen, zu welchen die Daten erhoben wurden, im nationalen Recht in § 24 Abs. 1 BDSG. Eine Zweckänderung ist danach nur zulässig, wenn die Datenverarbeitung zur Gefahrenabwehr oder zur Strafverfolgung (Nr. 1) bzw. für die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche (Nr. 2) erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen.1356 Unabhängig davon, ob § 24 Abs. 1 Nr. 2 BDSG überhaupt mit Unionsrecht vereinbar ist und angewendet werden kann, gestattet die Vorschrift jedenfalls keine von den Anforderungen des Art. 6 Abs. 4 DSGVO abgekoppelte Zweckänderung zugunsten einer Datenverarbeitung zu rein kommerziellen Zwecken.1357 Zusammenfassend ist zu konstatieren, dass de lege lata im nationalen Recht keine Rechtsgrundlage auf Basis einer Öffnungsklausel existiert, welche die Verarbeitung von personenbezogenen Daten zu kommerziellen Zwecken innerhalb von Privatrechtsverhältnissen legitimieren würde. Die Schaffung eines entsprechenden Erlaubnistatbestands über die Öffnungsklauseln des Art. 6 Abs. 2–4 DSGVO wäre auch nicht mit der DSGVO vereinbar. Die kommerzielle Verarbeitung personen bezogener Daten kann mithin nicht auf Art. 6 Abs. 1 lit. c DSGVO gestützt werden. c) Wahrung berechtigter Interessen (lit. f) aa) Zwecksetzung von Art. 6 Abs. 1 lit. f DSGVO Art. 6 Abs. 1 lit. f DSGVO beinhaltet die zentrale Abwägungsnorm für den privaten Rechtsverkehr zur Legitimierung von Datenverarbeitungen, welche sich 1355 Art. 6 Abs. 4 DSGVO statuiert demnach eine Zweckänderungsbefugnis, welche an eine bereits nach Art. 6 Abs. 1–3 DSGVO zulässige Datenverarbeitung anknüpft. BVerwG, Urteil vom 27. 09. 2018 – 7 C 5/17, juris, Rn. 27; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 7, 78; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 200. Im Ergebnis ebenso Hacker, Datenprivatrecht, 2020, 288, 289. A. A. BGH, Beschluss vom 24. 09. 2019 – VI ZB 39/18, juris, Rn. 35; Länderarbeitsgruppe, „Digitaler Neustart“ – Berichte vom 01. 10. 2018 und 15. 04. 2019, 117. Kritisch hierzu: Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 200. 1356 Umfasst sind von letzterer Variante sowohl die gerichtliche wie auch die außergericht liche Verfolgung zivilrechtlicher Ansprüche. Vgl. Herbst, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, § 24 BDSG, Rn. 11. 1357 Vgl. Herbst, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, § 24 BDSG, Rn. 13, 14 m. w. N.
§ 10 Qualifizierung der Austauschverhältnisse
231
nicht auf die Einwilligung oder sonstige gesetzliche Erlaubnistatbestände stützen lassen.1358 Die Verarbeitung personenbezogener Daten ist hiernach rechtmäßig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Nach Art. 6 Abs. 1 Uabs. 2 DSGVO gilt der Erlaubnis tatbestand nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.1359 Nach Art. 21 DSGVO besitzt das Datensubjekt zudem ein Widerspruchsrecht gegen die Verarbeitung von personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. e sowie lit. f DSGVO.1360 Aufgrund seiner abstrakten, technikneutralen Formulierung kommt Art. 6 Abs. 1 lit. f DSGVO als Generalklausel die „Funktion eines Überdruckventils“ für Privatrechtsverhältnisse zu, welche es ermöglichen soll, auf disruptive technologische Entwicklungen und neuartige Geschäftsmodelle zu reagieren, ohne zahlreiche Spezialregelungen schaffen zu müssen.1361 Aufgrund der Unbestimmtheit des Wortlauts des Erlaubnis tatbestands und der ausfüllungsbedürftigen Interessenbegriffe fällt der nationalen und europäischen Rechtsprechung die komplexe Aufgabe zu, eine Kasuistik hierzu herauszubilden.1362
bb) Rechtliche Vorgaben der Interessenabwägung Gemäß EG 47 S. 1 Hs. 2 DSGVO sind bei der Interessenabwägung die vernünftigen Erwartungen der betroffenen Person zu berücksichtigen, die auf deren Beziehung zu dem Verantwortlichen beruhen.1363 Nach EG 47 S. 3 DSGVO ist für
1358
Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 45; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 141; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 6 DSGVO, Rn. 56. 1359 Vgl. auch EG 47 S. 5 DSGVO. 1360 Dieses gilt nach Art. 21 Abs. 2 DSGVO im Fall der Direktwerbung absolut, wonach die personenbezogenen Daten gemäß Art. 21 Abs. 3 DSGVO nicht mehr für diese Zwecke auf Basis dieser Erlaubnistatbestände verarbeitet werden dürfen. Hierzu Herbst, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 21 DSGVO, Rn. 10 ff., 26–30. 1361 Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 227, 228. 1362 Ebenda. Von erheblicher Bedeutung für die Auslegung der Vorschrift ist insbesondere das konkretisierungsbedürfte Tatbestandsmerkmal der berechtigten Interessen. Vgl. Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 47–49; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 144, 145. 1363 EG 47 S. 2 DSGVO führt exemplarisch hierzu an, dass ein berechtigtes Interesse vorliegen könnte, wenn eine maßgebliche und angemessene Beziehung zwischen dem Datensubjekt und dem Verantwortlichen besteht, etwa wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.
232
Teil 3: Die Einordnung der Austauschverhältnisse
das Bestehen eines berechtigten Interesses an einer Datenverarbeitung auch zu berücksichtigen, ob das Datensubjekt zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen diese erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für einen bestimmten Zweck erfolgt.1364 Das Tatbestandsmerkmal des berechtigten Interesses wird nach herrschender Auffassung weit verstanden und umfasst nicht nur rechtliche, sondern auch wirtschaftliche und ideelle Interessen.1365 Erfasst sind Datenverarbeitungen im eigenen kommerziellen Interesse des Verantwortlichen wie auch im wirtschaftlichen Interesse dritter Personen.1366 Ob im konkreten Fall ein berechtigtes (schutzwürdiges) Interesse vorliegt, ist normativ unter Einbeziehung der Vorgaben der DSGVO sowie unter Berücksichtigung des Verarbeitungszwecks zu entscheiden.1367 So kann nach EG 47 S. 7 DSGVO die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.1368 In die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO einzubeziehen sind jedoch nur Datenverarbeitungen, die zur Wahrung der berechtigen Interessen erforderlich sind. Bestehen alternative Wege, durch die sich das verfolgte Interesse ebenso effektiv verwirklichen lässt und durch welche die Interessen oder Grundrechte und Grundfreiheiten des Datensubjekts weniger beeinträchtigt werden würden, so ist die Datenverarbeitung bereits nicht erforderlich.1369 Das Erforderlichkeitskriterium nach Art. 6 Abs. 1 lit. f DSGVO ist dementsprechend eng auszulegen, sodass eine Datenverarbeitung 1364
Nach EG 47 S. 4 DSVO können die Interessen des Datensubjekts die Anbieterinteressen insbesondere dann überwiegen, wenn dieses vernünftigerweise nicht mit einer weitergehenden Verarbeitung rechnen musste. Gemäß EG 47 S. 6 DSGVO soll jedenfalls die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang ein berechtigtes Interesse des jeweiligen Verantwortlichen darstellen. 1365 Siehe Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 49 m. w. N.; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 146a; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 6 DSGVO, Rn. 57. 1366 Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 49; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 6 DSGVO, Rn. 65, 67. 1367 BVerwG, Urteil vom 27. 03. 2019 – 6 C 2/18, juris, Rn. 47; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 48, 49; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 146a, 147. 1368 Weitere Vorgaben der DSGVO finden sich unter anderem in EG 49 DSGVO, betreffend das grundsätzlich berechtigte Interesse einer Übermittlung von personenbezogenen Daten für interne Verwaltungszwecke innerhalb einer Unternehmensgruppe, sowie in EG 50 DSGVO, welcher grundsätzlich die Gewährleistung der Netz- und Informationssicherheit als berechtigtes Interesse einordnet. Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 147 m. w. N. 1369 Vgl. EuGH, Urteil vom 11. 12. 2019 – C-708/18, juris, Rn. 47; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 147a; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 50. Dies wird regelmäßig anzunehmen sein, wenn die Verwirklichung der berechtigten Interessen auch durch die Verarbeitung anonymisierter Daten erzielt werden kann. Vgl. EuGH, Urteil vom 16. 12. 2008 – C-524/06, juris, Rn. 65; Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 100.
§ 10 Qualifizierung der Austauschverhältnisse
233
nicht allein darauf gestützt werden kann, dass diese für den Verantwortlichen am wirtschaftlichsten ist.1370 Ist die Erforderlichkeit zu bejahen, sind, unter Berücksichtigung der konkreten Umstände der Datenverarbeitung im Einzelfall und im Rahmen der anzustellenden Interessenabwägung, die einander gegenüberstehenden Abwägungspositionen zu ermitteln und zu beurteilen.1371 Auf Seiten des Datensubjekts als betroffene Person sind nicht nur berechtigte Interessen, sondern sämtliche Interessen in die Abwägung einzustellen.1372 Neben dem Zweck, der Art, dem Bedeutungsinhalt der Daten und dem Umfang der Datenverarbeitung sind nach EG 47 S. 1–4 DSGVO bei der Interessenabwägung die Vorhersehbarkeit bzw. Branchenüblichkeit von Verarbeitungsvorgängen sowie die vernünftigen Erwartungen des Datensubjekts zu berücksichtigen, die auf dessen Beziehung zu dem Verantwortlichen beruhen.1373 Ebenso ist zu berücksichtigen, wie intensiv die Rechte und Interessen der betroffenen Person durch eine Datenverarbeitung berührt werden: je umfangreicher, eingriffsintensiver und nachteilhafter für das Datensubjekt die Datenverarbeitung ist, desto höheren Anforderungen muss das berechtigte Interesse des Verantwortlichen genügen.1374 Eine größere Eingriffsintensität liegt demnach vor, wenn personenbezogene Daten aus Quellen stammen, die nicht allgemein zugänglich sind, und wenn sie Informationen über die Privatsphäre des Datensubjekts beinhalten.1375 cc) Relevanz innerhalb datengetriebener Austauschgeschäfte Für die Verarbeitung personenbezogener Daten innerhalb datengetriebener Austauschgeschäfte wird daraus abgeleitet werden können, dass grundsätzlich eingriffsintensive Datenverarbeitungsvorgänge zur Finanzierung der jeweiligen Geschäftsmodelle sich nicht durch Art. 6 Abs. 1 lit. f DSGVO legitimieren lassen. 1370 Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 147a; Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 100. Vgl. auch EuGH, Urteil vom 11. 12. 2019 – C-708/18, juris, Rn. 46; EuGH, Urteil vom 04. 05. 2017 – C-13/16, juris, Rn. 30, jeweils zur früheren Datenschutz-RL, wonach sich die Ausnahmen vom Datenschutz „auf das absolut Notwendige beschränken müssen“. 1371 EuGH, Urteil vom 11. 12. 2019 – C-708/18, juris, Rn. 32, 52, 53; EuGH, Urteil vom 04. 05. 2017 – C-13/16, juris, Rn. 31; EuGH, Urteil vom 19. 10. 2016 – C-582/14, juris, Rn. 62; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 51. 1372 Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 51; Schulz, in: Gola DSGVO, 2. Aufl. 2018, Art. 6 DSGVO, Rn. 58. 1373 EuGH, Urteil vom 11. 12. 2019 – C-708/18, juris, Rn. 56–69; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 6 DSGVO, Rn. 53; Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 105, 106, 108. Vgl. auch BVerwG, Urteil vom 27. 03. 2019 – 6 C 2/18, juris, Rn. 47. 1374 Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 105–107; EuGH, Urteil vom 11. 12. 2019 – C-708/18, juris, Rn. 47, 54. 1375 EuGH, Urteil vom 11. 12. 2019 – C-708/18, juris, Rn. 54, 55; EuGH, Urteil vom 04. 05. 2017 – C-13/16, juris, Rn. 32. Eingehend hierzu: Hornung / Gilga, CR 2020, 367, 376 ff.
234
Teil 3: Die Einordnung der Austauschverhältnisse
Gerade die Personalisierung von Werbung – als wirtschaftliches Anbieterinte resse und Grundlage der Wertschöpfung entsprechender Geschäftsmodelle – wird grundsätzlich nicht das Interesse der Datensubjekte an einem Schutz ihrer personenbezogenen Daten aufwiegen oder überwiegen. Zwar ist davon auszugehen, dass sich Datensubjekte entsprechend EG 47 S. 3 DSGVO der Funktionsweise datenfinanzierter Geschäftsmodelle bewusst sind, jedoch genügt dies nicht, um den Eingriff in die informationelle Selbstbestimmung des Datensubjekts und die Gegenläufigkeit entsprechender Datenverarbeitungen zu den Interessen der Datensubjekte auszugleichen.1376 Letztlich gründen datengetriebene Geschäftsmodelle ihre ökonomische Daseinsberechtigung auf der Verarbeitung erheblicher Mengen persönlichkeitsrelevanter Daten aus der Privatsphäre der betroffenen Personen.1377 Den auf der Schaltung personalisierter Werbung basierenden Geschäftsmodellen liegt gerade das inhärente Bedürfnis zugrunde, durch die Verknüpfung und Analyse der anfallenden personenbezogenen Daten zahlreiche Rückschlüsse auf Charaktereigenschaften, finanzielle und familiäre Verhältnisse, Lebensgewohnheiten und Interessen der Datensubjekte zu ziehen und dadurch die Zielgruppenaussteuerung soweit wie möglich zu präzisieren.1378 Als besonders eingriffsintensiv werden daher die Bildung von komplexen Persönlichkeitsprofilen von Datensubjekten, die Nutzung von externen Datenquellen sowie die Nachverfolgung von Internetnutzern über mehrere Webseiten hinweg, wie im Rahmen des Behavioral Targeting, einzustufen sein.1379 Nachteilhaft für Datensubjekte sind überdies die Risiken einer Preisdiskriminierung und eines Daten- oder Identitätsdiebstahls zu bewerten, welche mit der Erfassung, Verarbeitung und Speicherung erheblicher Mengen personenbezogener Daten überhaupt erst ermöglicht werden.1380 EG 47 S. 7 DSGVO, welcher das Direktmarketing betrifft, greift in diesen Konstellationen aufgrund der erheblichen Eingriffsintensität personalisierter Werbung nicht, da dieser grundsätzlich auf die Belange konventioneller Direktwerbung im Rahmen bestehender Kundenbeziehungen ausgelegt ist.1381 Darüber hinaus 1376
Hierzu bereits oben S. 180 ff. Eingehend hierzu oben S. 45 ff., 51 ff. sowie Länderarbeitsgruppe, „Digitaler Neustart“ – Berichte vom 01. 10. 2018 und 15. 04. 2019, 23, 24. 1378 Vgl. Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 105. Ausführlich zu den wirtschaftlichen Rahmenbedingungen vollkommen und teilweise datenfinanzierter Geschäftsmodelle siehe jeweils oben S. 45 ff., 51 ff., 61 f., 175 f. 1379 Europäischer Datenschutzausschuss, Guidelines 8/2020 on the targeting of social media users, 2020, Rn. 10 ff., 36 ff.; Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 106; Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 171b, 176. Vgl. auch EG 38 S. 2 DSGVO. 1380 Zur Preisdiskriminierung durch die Differenzierung nach personenbezogenen Kriterien siehe oben Fn. 160. Weiterführende Nachweise hierzu bei Länderarbeitsgruppe, „Digitaler Neustart“ – Berichte vom 01. 10. 2018 und 15. 04. 2019, 24 ff., 121; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 314 ff. sowie Schantz, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 6 DSGVO, Rn. 107, Fn. 238 m. w. N. 1381 Vgl. Buchner / Petri, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 6 DSGVO, Rn. 175. Im Ergebnis ebenso Becker, CR 2021, 87, 95, 96; Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 186; Wendehorst / Westphalen, NJW 2016, 3745, 3746. 1377
§ 10 Qualifizierung der Austauschverhältnisse
235
stammen die personenbezogenen Daten, welche innerhalb datengetriebener Austauschgeschäfte mit kommerzieller Zwecksetzung verarbeitet werden, größtenteils aus Quellen, welche nicht durch das Datensubjekt öffentlich zugänglich gemacht wurden.1382 Maßgeblich wird auf die Umstände des konkreten Einzelfalls im Rahmen einer umfassenden Interessenabwägung abzustellen sein, ob eine konkrete Datenverarbeitung auf berechtigten Interessen basiert und ob die Interessen und grundrechtlichen Verbürgungen des Datensubjekts die berechtigten Interessen des Anbieters nicht überwiegen. Zu konstatieren ist, dass in der Praxis auch Datenverarbeitungsvorgänge mit wirtschaftlicher Zweckrichtung regelmäßig auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden.1383 Häufig wird der Erlaubnistatbestand auch für das Anbieten individualisierter Produkte oder für die Datenanalyse zur Schulung von Vertriebsmitarbeitern herangezogen.1384 Übereinstimmend mit der herrschenden Auffassung in der Literatur1385 und Rechtsprechung1386 können jedoch kommerzielle Datenverarbeitungsvorgänge zu Zwecken der Gewinnerzielung im Rahmen datengetriebener Austauschgeschäfte grundsätzlich nicht durch Art. 6 Abs. 1 lit. f DSGVO legitimiert werden. d) Resümee zum Gegenleistungscharakter der Datenpreisgabe Festhalten lässt sich, dass die Datenverarbeitung zu Zwecken der Finanzierung datengetriebener Geschäftsmodelle nicht durch einen gesetzlichen ErlaubnistatDarüber hinaus ist auf den Wortlaut des Erwägungsgrunds („kann“) zu verweisen, welcher nur die hypothetische Möglichkeit eines berechtigten Interesses hervorhebt. 1382 Hierzu eingehend bereits oben S. 95 f. 1383 Vgl. oben Fn. 970–976, 998, 1000 sowie Hacker, ZfPW 2019, 148, 163, Fn. 105, 106 m. w. N. 1384 Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 227 m. w. N. 1385 Europäischer Datenschutzausschuss, Guidelines 8/2020 on the targeting of social media users, 2020, Rn. 50, 59, 72, 77; Bunnenberg, Privates Datenschutzrecht, 2020, 67–69; Hacker, Datenprivatrecht, 2020, 286; Bundeskartellamt, Beschluss vom 06. 02. 2019 – B6-22/16, Rn. 727 ff., 870; Art. 29 Datenschutzgruppe, WP 251, 2018, 14, 15; Riehm, in: Pertot / SchmidtKessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 185, 186; Leinemann, Personenbezogene Daten als Entgelt, 2020, 181, 182; Langhanke, Daten als Leistung, 2018, 103, bezogen auf die Rechtslage unter dem BDSG a. F.; Wendehorst / Westphalen, NJW 2016, 3745, 3746, 3747. Wohl im Ergebnis ebenso: Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 240, 241. Weitere Nachweise zum Meinungsstand finden sich bei Mischau, ZEuP 2020, 335, 344 Fn. 29; Hacker, ZfPW 2019, 148, 163, Rn. 104. 1386 KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 241; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 129, 132. Vgl. auch EuGH, Urteil vom 24. 09. 2019 – C-136/17, juris, Rn. 53; EuGH, Urteil vom 13. 05. 2014 – C-131/12, juris, Rn. 56, 81, 97, wonach grundsätzlich das Geheimhaltungsinteresse einer nicht prominenten Person das wirtschaftliche Interesse eines Suchmaschinenbetreibers überwiegt.
236
Teil 3: Die Einordnung der Austauschverhältnisse
bestand gedeckt ist.1387 Als tauglicher Erlaubnistatbestand für die rechtmäßige Verarbeitung zu entsprechenden Zwecken innerhalb datengetriebener Austauschgeschäfte kommt daher nur die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht. Entsprechendes wird auch für datengetriebene Austauschgeschäfte anzunehmen sein, welche die kommerzielle Verarbeitung besonders schutzwürdiger personenbezogener Daten nach Art. 9 Abs. 1 DSGVO zum Gegenstand haben.1388 Einen Gegenleistungscharakter besitzt diese Einwilligungserteilung auf Basis von Art. 9 Abs. 2 lit. a DSGVO jedoch nur, wenn diese nicht allein zur Bereitstellung der Anbieterleistung benötigt wird und eine Datenverarbeitung zu kommerziellen Zwecken stattfindet.1389 Innerhalb vollkommen oder teilweise datenfinanzierter Austauschgeschäfte ist der Erteilung der datenschutzrechtlichen Einwilligung sowie der Überlassung von personenbezogenen Daten zum Zweck der Kommerzialisierung damit Gegenleistungscharakter zuzusprechen.1390 Eine Überlassung von personenbezogenen Daten, welche durch gesetzliche Erlaubnistatbestände legitimiert wird, ist dagegen nicht gegenleistungsfähig.1391 6. Verknüpfung der Leistungen Zu konkretisieren ist, auf welche Weise die datenbasierte Leistung des Datensubjekts mit der Leistung des Anbieters verknüpft ist. Wie bereits aufgezeigt wurde, besitzt diese Gegenleistungscharakter und schließt die objektive wie auch die subjektive Unentgeltlichkeit der Anbieterleistung aus. Entsprechend ist eine „wirtschaftlich-inhaltliche“ Verknüpfung der Anbieterleistung und der datenbasierten Gegenleistung des Datensubjekts zu konstatieren.1392 Leistung und Gegenleistung weisen dementsprechend eine rechtliche Abhängigkeit voneinander auf.1393 1387 Ebenso Leinemann, Personenbezogene Daten als Entgelt, 2020, 181, 182; Riehm, in: ertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 186. Vgl. auch BGH, BeP schluss vom 23. 06. 2020 – KVR 69/19, juris, Rn. 63, wonach jedoch der Verwertung von Nutzerdaten im Rahmen eines sozialen Netzwerks „die wirtschaftliche Bedeutung einer Gegenleistung zukommt, wenn die Datenverwertung über den Vertragszweck hinausgeht“. 1388 Bei diesen kommt eine Legitimierung über Art. 6 Abs. 1 lit. b DSGVO nicht in Betracht, weshalb grundsätzlich seitens des Anbieters stets eine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO einzuholen sein wird. Eingehend hierzu oben S. 126 f. sowie unten Fn. 1560. 1389 Dies unterstreicht EG 51 S. 5 DSGVO, wonach die allgemeinen Grundsätze und andere Bestimmungen der DSGVO, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, zusätzlich zu den speziellen Anforderungen an eine Verarbeitung personen bezogener Daten nach Art. 9 Abs. 1 DSGVO gelten sollten (Hervorhebung durch den Verfas ser). 1390 Diese beiden Pflichten des Datensubjekts mit Gegenleistungscharakter werden folgend unter dem Begriff der datenbasierten Leistung bzw. der datenbasierten Leistungspflichten zusammengefasst. 1391 Hierzu oben bei Fn. 1286, 1289. 1392 Vgl. Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 11. 1393 Siehe oben Fn. 1224.
§ 10 Qualifizierung der Austauschverhältnisse
237
Die Unentgeltlichkeit ausschließende Verknüpfung der Anbieterleistung und der datenbasierten Gegenleistung des Datensubjekts kann synallagmatisch, konditional oder kausal ausgestaltet sein.1394 Allen Verknüpfungsformen liegt der Zweck zugrunde, dass der von den Parteien intendierte Zusammenhang und Austauschcharakter der verbundenen Leistungen nach Möglichkeit auch bei Störungen einer Leistung gewahrt bleibt.1395 a) Synallagmatische Verknüpfung Bei der synallagmatischen Verknüpfungsform erfolgt die Verknüpfung der Leistungspflichten anhand der Regelungen über den gegenseitigen Vertrag gemäß den §§ 320–326 BGB und der darin verkörperten Einredetheorie.1396 Hiernach wird die Nichterfüllung einer Leistung durch eine Partei im Prozess grundsätzlich nur berücksichtigt, wenn die Einrede durch die andere Partei tatsächlich erhoben wurde (§§ 320–322 BGB).1397 Die Besonderheit der rechtlichen Verknüpfung im Rahmen gegenseitiger Verträge liegt in der Finalität und der wechselseitigen Abhängigkeit der Leistungspflichten voneinander.1398 Nach dem Grundsatz „do ut des“ werden die Verpflichtungen gerade zum Erhalt der Leistung des jeweils anderen Vertragsteils willens eingegangen und geschuldet.1399 Wie schon das Pflichtenprogramm ist auch das Vorliegen der wechselseitigen Abhängigkeit der Leistungspflichten innerhalb eines Rechtsgeschäfts anhand der Parteivereinbarung zu bestimmen.1400 Entsprechen die Leistungspflichten einem gesetzlichen Vertragstypus mit anerkannt synallagmatischer Verknüpfung, wird grundsätzlich von gegenseitigen Leistungs 1394 BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 18; Leinemann, Personenbezogene Daten als Entgelt, 2020, 87; Hacker, ZfPW 2019, 148, 167; Linardatos, in: SpechtRiemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 539, 540; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 93, 94; Chiusi, in: Staudinger BGB, Neubearbeitung 2021, § 516 BGB, Rn. 45. 1395 Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 7. 1396 So die h. M.: BGH, Urteil vom 07. 10. 1998 – VIII ZR 100/97, juris, Rn. 10, 16; RG, Urteil vom 08. 04. 1902 – II 23/02, RGZ 51, 170, 171, 172; Nachweise hierzu bei Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 11, 12; Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 26, 29; Gernhuber, Das Schuldverhältnis, 1989, 329–332. 1397 BGH, Urteil vom 07. 10. 1998 – VIII ZR 100/97, juris, Rn. 10, 16; RG, Urteil vom 08. 04. 1902 – II 23/02, RGZ 51, 170, 171, 172; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 11. 1398 Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 5; Gernhuber, Das Schuldverhältnis, 1989, 312 ff. 1399 Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 5; BGH, Urteil vom 21. 10. 1954 – IV ZR 128/54, juris, Rn. 28; RG, Urteil vom 05. 04. 1935 – II 327/34, RGZ 147, 340, 342. 1400 BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 18, 19; Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 5, 31; Gernhuber, Das Schuldverhältnis, 1989, 312–314.
238
Teil 3: Die Einordnung der Austauschverhältnisse
pflichten auszugehen sein.1401 Ausdrückliche Vereinbarungen über die Gegenseitigkeit als solche sind in der Praxis aber nur selten anzutreffen.1402 Außerhalb gesetzlicher Vertragstypen oder verkehrstypischer Verträge mit typisierter Fallgestaltung ist die Feststellung der Gegenseitigkeit daher eine Auslegungsfrage.1403 Liegen nach der Parteivereinbarung wechselseitig zu erbringende Leistungspflichten vor, wird regelmäßig von einem Gegenseitigkeitsverhältnis auszugehen sein.1404 b) Konditionale Verknüpfung Bei einer konditionalen Verknüpfung stellt die Erbringung der Leistung einer Vertragspartei dagegen nur die Bedingung für die Verpflichtung zur Leistungserbringung der anderen Vertragspartei dar.1405 Eine der beiden Leistungen wird hierbei unbedingt zugesagt, während der Anspruch auf die Gegenleistung erst bei Bewirkung der Leistung entsteht.1406 Diese Verknüpfungsform ist in Form einer Bedingung gemäß § 158 BGB ausgestaltet. Wie bei einer synallagmatischen Verknüpfung wird der Erhalt der Gegenleistung bei einer konditionalen Verknüpfung durch die Erbringung der eigenen Leistung bezweckt.1407 In Abgrenzung zu einer synallagmatischen Verknüpfung im Rahmen gegenseitiger Verträge liegen jedoch keine wechselseitigen Leistungsansprüche gleichzeitig vor.1408 Aufgrund der Abhängigkeit der Verpflichtung zur Leistungserbringung vom Bedingungseintritt kann die Leistung der anderen Vertragspartei nicht gefordert werden. Die zur unbedingten Leistung verpflichtete Vertragspartei kann die Gegenleistung vor der Bewirkung ihrer Leistung weder einklagen noch die Leistung von der Leistungserbringung durch die andere Partei abhängig machen.1409 Die Leistungserbringung 1401 Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 31, 33 ff. 1402 Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 48. 1403 Ebenda. 1404 Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 48; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 27. 1405 BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 18; BGH, Urteil vom 16. 06. 2010 – VIII ZR 259/09, juris, Rn. 13; BGH, Urteil vom 10. 01. 1951 – II ZR 18/50, NJW 1951, 268; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 8. 1406 BGH, Urteil vom 16. 06. 2010 – VIII ZR 259/09, juris, Rn. 13; BGH, Urteil vom 10. 01. 1951 – II ZR 18/50, NJW 1951, 268; Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 55; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540. 1407 Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 27. 1408 Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 55; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540. 1409 Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 55; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 27; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540; Hacker, ZfPW 2019, 148, 167, 168.
§ 10 Qualifizierung der Austauschverhältnisse
239
stellt somit eine Wirksamkeitsbedingung der Gegenleistungspflicht dar.1410 Eine konditionale Verknüpfung ist zudem abgeschwächt in der Form möglich, dass die Leistungspflicht der einen Vertragspartei dadurch bedingt ist, dass die andere Vertragspartei, ohne hierzu verpflichtet zu sein, rein faktisch eine Leistung erbringt oder ein sonstiger vereinbarter Umstand eintritt.1411 c) Kausale Verknüpfung Schließlich kann die Verknüpfung in der Form erfolgen, dass eine Partei eine Leistung zu dem Zweck erbringt, um die andere Partei zu einer an sich nicht geschuldeten Leistung zu veranlassen.1412 In dieser Konstellation wird die Leistung zum Erhalt einer Gegenleistung erbracht, ohne dass ein Anspruch auf diese besteht oder die Gegenleistung als Wirksamkeitsbedingung für die eigene Leistungspflicht ausgestaltet ist.1413 So wird bei der Fallgruppe der Vorleistungsfälle eine Leistung trotz fehlender oder noch nicht erfolgter vertraglicher Einigung erbracht, um die andere Partei zum Vertragsschluss oder zur Erbringung der angestrebten Gegenleistung zu bewegen.1414 Bei der Fallgruppe der Veranlassungsfälle hingegen soll der Empfänger durch die Leistung zu einem Verhalten veranlasst werden, das nicht Gegenstand einer vertraglichen Verpflichtung ist oder nicht rechtswirksam vereinbart werden kann.1415 Die Bewirkung der erstrebten Gegenleistung konstituiert in diesen Fällen nur die Geschäftsgrundlage und den bereicherungsrechtlichen Behaltensgrund für die erbrachte Leistung.1416 Wird dieser Zweck verfehlt und bewirkt die andere Partei entgegen den Erwartungen die Leistung dennoch nicht, so kann die erbrachte Leistung nach § 812 Abs. 1 S. 2 Alt. 2 BGB kondiziert werden.1417
1410
Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 27. 1411 Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 56. 1412 BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 18; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 9; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 28; Leinemann, Personenbezogene Daten als Entgelt, 2020, 88; Hacker, ZfPW 2019, 148, 168. 1413 Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 59; Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 28; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540. 1414 Vgl. BGH, Urteil vom 26. 10. 1979 – V ZR 88/77, juris, Rn. 14; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 9. 1415 Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 9; Hacker, ZfPW 2019, 148, 168. 1416 Koch, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 516 BGB, Rn. 28; Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 59. 1417 BGH, Urteil vom 26. 10. 1979 – V ZR 88/77, juris, Rn. 14; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 9.
240
Teil 3: Die Einordnung der Austauschverhältnisse
7. Verknüpfungsform datengetriebener Austauschverhältnisse Aufgrund der vielfältigen Erscheinungsformen datengetriebener Austausch geschäfte ist die konkrete Ausgestaltung der Parteivereinbarung im Einzelfall dafür entscheidend, welche Art der Verknüpfung anzunehmen ist.1418 Mangels gesetzlicher Regelung der Verknüpfungsform ist durch Vertragsauslegung jeweils auf die Verknüpfung abzustellen, die in der Lage ist, die Interessenlage der Parteien und die Zwecksetzung der Austauschgeschäfte adäquat abzubilden.1419 In der Praxis erfolgt die vertragliche Ausgestaltung datengetriebener Austauschgeschäfte in der Mehrzahl der Fälle durch die als AGB zu qualifizierenden Datenschutzerklärungen der jeweiligen Anbieter.1420 Die Erhebung und die Verarbeitung von personenbezogenen Daten zu kommerziellen Zwecken werden in den Nutzungsbedingungen wie auch den Datenschutzerklärungen der Anbieter dabei überwiegend nur deskriptiv als gegebener Umstand umschrieben und auf die Einwilligung oder auf gesetzliche Erlaubnistatbestände der DSGVO gestützt.1421 Eine rechtliche Verpflichtung zur aktiven Überlassung von Daten, zur Duldung der Datenerhebung oder zur Erteilung einer datenschutzrechtlichen Einwilligung wird in der Praxis nur in seltenen Fällen explizit vereinbart.1422 a) Grundsätzliche Ablehnung einer kausalen Verknüpfung Eine kausale Verknüpfung dürfte bei typischen datengetriebenen Austausch geschäften nur selten der Interessenlage der Parteien entsprechen und wird grundsätzlich zu verneinen sein.1423 Die Erbringung der datenbasierten Leistung und die Bereitstellung der Anbieterleistung erfolgen in der Praxis überwiegend zeitgleich zu dem Zeitpunkt, in dem das Datensubjekt den Nutzungsbedingungen und der Datenschutzerklärung des Anbieters zustimmt.1424 Grundsätzlich wird seitens der Anbieter durch technische Vorrichtungen, wie eine zwingende Registrierung und Zustimmung, sichergestellt, dass der Nutzer erst zu oder nach diesem Zeitpunkt die angestrebte Leistung erhält.1425 Typischerweise fehlt es damit schon an dem 1418
Vgl. BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 18, 19; Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 5, 31. 1419 BGH, Beschluss vom 06. 11. 2013 – XII ZB 434/12, juris, Rn. 19; Hacker, ZfPW 2019, 148, 168; Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 31. 1420 Siehe oben S. 190 f. sowie Hacker, ZfPW 2019, 148, 168; vgl. auch Leinemann, Personen bezogene Daten als Entgelt, 2020, 98, 99. 1421 Hierzu oben bei Fn. 1015 sowie oben bei Fn. 1032–1036. 1422 Siehe oben Fn. 1034. 1423 So auch Hacker, ZfPW 2019, 148, 170, 171; im Ergebnis ebenso Linardatos, in: SpechtRiemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540. 1424 Vgl. Hacker, ZfPW 2019, 148, 170, 171; Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 193; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 15. 1425 Hierzu bereits oben bei Fn. 1041.
§ 10 Qualifizierung der Austauschverhältnisse
241
für Vorleistungsfälle wie auch Veranlassungsfälle konstitutiven Merkmal des zeitlichen Auseinanderfallens von Leistung und angestrebter Gegenleistung.1426 In diesen Fällen besteht im Regelfall mangels Ausbleibens der erwarteten Gegenleistung kein Bedürfnis für eine Rückabwicklung einer erbrachten Leistung über die condictio ob rem nach § 812 Abs. 1 S. 2 Alt. 2 BGB.1427 Weiter ist davon auszugehen, dass sich im Rahmen eines datengetriebenen Austauschverhältnisses zwei Parteien gegenüberstehen, die aus Sicht der jeweils anderen Partei nach dem objektiven Empfängerhorizont ihre Leistung zu dem Zweck erbringen, die Leistung der anderen Partei auf verbindlicher, rechtmäßiger und rechtssicherer Grundlage zu erhalten.1428 Fehlen ausdrücklich anderslautende Vereinbarungen, so ist davon auszugehen, dass der Anbieter zur Diensterbringung rechtlich verpflichtet sein soll und nicht nur eine bloße Exspektanz des Nutzers besteht.1429 Eine kausale Verknüpfung könnte daher nur in besonderen Konstellationen mit atypischen Umständen angenommen werden, in denen eine Partei mit ihrer Leistung trotz Fehlens einer vertraglichen Einigung in Vorleistung geht oder der Anspruch auf die Anbieterleistung bzw. die Datenpreisgabe nicht rechtswirksam vereinbart werden kann.1430 In den typischen Fällen datengetriebener Austauschgeschäfte entspricht eine kausale Verknüpfung der Leistungen jedoch nicht der Interessenlage der Parteien und wird dementsprechend, soweit ersichtlich, auch nicht vertreten. b) Synallagmatische oder konditionale Verknüpfung Ob in typischen Konstellationen ohne ausdrückliche Abrede nun eine synallagmatische oder eine konditionale Verknüpfung anzunehmen sein wird, ist in der Literatur stark umstritten. Seitens der Rechtsprechung besteht gegenwärtig noch keine eindeutige, höchstrichterliche Klärung dieser Problematik, jedoch nimmt ein Großteil der inhaltlich oftmals nur dürftigen Rechtsprechung das Vorliegen eines entgeltlichen Vertrages mit Leistungspflichten im Gegenseitigkeitsverhältnis an.1431 Im Schrifttum, welches sich bisher mit dieser Frage befasste, wird 1426
Hacker, ZfPW 2019, 148, 171 m. w. N. Ebenda. 1428 Zur typischen Interessenlage der Vertragsparteien datengetriebener Austauschgeschäfte siehe oben S. 175 ff., 179 ff. 1429 Ebenso Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540; Hacker, ZfPW 2019, 148, 170, 171. Dies ist entspricht auch dem Regelfall datengetriebener Austauschgeschäfte, wonach die Leistung des Anbieters häufig Dauerschuldcharakter aufweist, z. B. bei der Bereitstellung eines (datenfinanzierten) E-Mail-Accounts oder eines sozialen Netzwerkes. 1430 In der Praxis dürften entsprechende Austauschgeschäfte zwischen Verbrauchern und Anbietern, die Daten kommerzialisieren, nur in Ausnahmekonstellationen anzutreffen sein. 1431 EuGH, Urteil vom 29. 07. 2019 – C-40/17, juris, Rn. 80, wonach die Möglichkeit, über personenbezogene Daten für die „eigenen wirtschaftlichen Zwecke verfügen zu können, die Gegenleistung […] darstellt“, welche für den seitens des Anbieters gewährten Vorteil erbracht wird; OLG Stuttgart, Urteil vom 23. 01. 2019 – 4 U 214/18, juris, Rn. 115, wonach das Pflich 1427
242
Teil 3: Die Einordnung der Austauschverhältnisse
überwiegend eine synallagmatische Verknüpfung vertreten.1432 Daneben wird in neuerer Literatur häufiger eine konditionale Verknüpfung der Leistungen in Erwägung gezogen.1433 Weiter finden sich Stimmen, die eine konkrete Festlegung vermeiden und aufgrund der Abhängigkeit vom Einzelfall sowohl eine synallagmatische als auch eine konditionale Verknüpfung für möglich erachten.1434 Die DIRL überlässt die Qualifizierung der Leistung des Verbrauchers wie auch die Verknüpfungsform der Leistungen dem nationalen Recht.1435 Im Hinblick auf die Streitfrage ist zu konstatieren, dass nahezu sämtliche Meinungen, die eine syntenprogramm des Vertragsverhältnisses im Rahmen der Facebook-Nutzung „im Austausch von digitalen Inhalten gegen personenbezogene Daten“ liegt; OLG Stuttgart, Beschluss vom 06. 09. 2018 – 4 W 63/18, juris, Rn. 64, nach welchem ein „Austauschvertrag“ in der Form „‚Digitale Inhalte gegen personenbezogene Daten‘“ vorliegt; LG Berlin, Urteil vom 19. 11. 2013 – 15 O 402/12, juris, Rn. 30, welches „ein Gegenseitigkeitsverhältnis“ annimmt. Weniger deutlich: KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 242; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 138, 139; LG München I, Urteil vom 09. 03. 2006 – 12 O 12679/05, juris, Rn. 61. Vgl. auch BGH, Beschluss vom 23. 06. 2020 – KVR 69/19, juris, Rn. 63, den Nutzerdaten im Rahmen der Nutzung von Facebook „im Verhältnis der Nutzer zu dem Netzwerkbetreiber als Intermediär die wirtschaftliche Bedeutung einer Gegenleistung“ zuschreibend und von einem „Leistungs-Gegenleistungs-Zusammenhang“ sprechend. A. A. OLG München, Urteil vom 08. 12. 2020 – 18 U 5493/19 Pre, juris, Rn. 101; KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 70, 71; LG Hamburg, Urteil vom 07. 08. 2009 – 324 O 650/08, juris, Rn. 20. Für weitere Einzelheiten zu den aufgeführten Entscheidungen siehe oben Fn. 1154. 1432 Leinemann, Personenbezogene Daten als Entgelt, 2020, 100 ff., 116 ff., 123, 124; Adelberg, Rechtspflichten und -grenzen der Betreiber sozialer Netzwerke, 2020, 148, 151, 152; Hoffmann / Schmidt, GRUR 2021, 679, 682; Kumkar, ZfPW 2020, 306, 326; Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 166, 167, 173–175; Czajkowski / Müller-ter Jung, CR 2018, 157, 159; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94, 95, 107; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 541, 542, für den Fall der Datenhingabe als maßgebliche Gegenleistung; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 7; Sattler, JZ 2017, 1036, 1037; Specht, JZ 2017, 763, 770; Rosenkranz, GPR 2018, 28, 33; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 201, 202, 209; Metzger, AcP 2016, 817, 835; Langhanke, Daten als Leistung, 2018, 131 m. w. N. zu noch früherer Literatur vor Einführung der DSGVO; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221–223; Bräutigam, MMR 2012, 635, 640; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 268. Im Hinblick auf die versicherungsrechtliche Telematik: Rudkowski, ZVersWiss 2017, 453, 486, 487, ein Synallagma beim Telematik-Tarif zwischen Datenüberlassung und Prämienrabattierung annehmend. 1433 Hacker, ZfPW 2019, 148, 168 ff.; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 541, für den Fall der Einwilligungserteilung als Inhalt der Leistungspflicht des Datensubjekts; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 39; Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 82. 1434 So Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 15, der, ohne tiefer darauf einzugehen, sowohl eine synallagmatische als auch eine konditionale Verknüpfung für möglich hält; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 541, 542, die Verknüpfungsform jeweils vom Leistungsinhalt abhängig ansehend. 1435 Hierzu bereits oben bei Fn. 552.
§ 10 Qualifizierung der Austauschverhältnisse
243
allagmatische Verknüpfungsform vertreten, sich nicht mit der Möglichkeit einer konditionalen Verknüpfungsform auseinandersetzen, wobei die synallagmatische Verknüpfung zumeist pauschal aufgrund des Vorliegens einer entgeltlichen Gegenleistung des Datensubjekts angenommen wird.1436 Bedeutung weist die konkrete Verknüpfungsform von Leistung und Gegenleistung innerhalb datengetriebener Austauschgeschäfte nicht nur für deren vertragstypologische Einordnung,1437 sondern auch für die Anwendbarkeit der Regelungen über gegenseitige Verträge nach §§ 320–326 BGB auf.1438 Neben der Vorzugswürdigkeit des Verknüpfungsmodells, welches die Zwecksetzung und die Funktionsweise datengetriebener Vertragsverhältnisses sowie die Interessenlage der Parteien am ehesten angemessen abbildet, besitzt die Verknüpfungsform darüber hinaus auch Einfluss auf die (praktische) Umsetzung der Abhängigkeit der Anbieterleistung von der datenbasierten Gegenleistung.1439 aa) Das Synallagma als etablierte Literaturmeinung Von der älteren – meist nicht differenzierenden – Literaturmeinung wurde für die Annahme einer synallagmatischen Verknüpfung von Anbieterleistung und datenbasierter Gegenleistung primär ins Feld geführt, dass diese Annahme der wirtschaftlichen Zwecksetzung datengetriebener Austauschverträge entspricht sowie die Interessenlage der Vertragsparteien adäquat und wirklichkeitsnah abbildet.1440 Die gegenseitigen Leistungspflichten werden um des Erhalts der jeweils anderen willens eingegangen, was einer synallagmatischen Abhängigkeit der Verpflichtungen entspricht.1441 Wird seitens der Vertragsparteien der Austausch der Leistung des Anbieters im Gegenzug gegen die Datenübermittlung und Einwilli 1436 Kritisch hierzu Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540 ff. Eine Abgrenzung hinsichtlich konditionaler und synallagmatischer Verknüpfungsform findet sich nur bei Linardatos und in der neueren Literatur: Hacker, ZfPW 2019, 148, 168 ff.; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 8, 39. 1437 Siehe unten S. 289 f. 1438 Hierzu unten bei Fn. 1483. 1439 Eingehend hierzu unten bei Fn. 1477–1482. 1440 Statt vieler: Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94, 95, das Vorliegen bewusst eingegangener gegenseitiger Verpflichtungen seitens Anbieter und Datensubjekt hervorhebend; Langhanke, Daten als Leistung, 2018, 131, auf den fehlenden Altruismus der Anbieter datengetriebener Geschäftsmodelle und deren wirtschaftliches Interesse an der Kommerzialisierung der erstrebten Daten abstellend; Leinemann, Personenbezogene Daten als Entgelt, 2020, 117, sich auf die Interessenlage der Parteien und die Einnahme einer realitätsnahen Betrachtungsweise stützend, „die auch die wirtschaftlichen Zusammenhänge berücksichtigt“. Ebenso auf die Zwecksetzung des Vertrages rekurrierend: Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 201, 202; Metzger, AcP 2016, 817, 833–835; Czajkowski / Müller-ter Jung, CR 2018, 157, 159. 1441 Vgl. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94, 95; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 201, 202; Metzger, AcP 2016, 817, 833–835, 849.
244
Teil 3: Die Einordnung der Austauschverhältnisse
gungserteilung intendiert und vertraglich zum Erhalt der jeweils anderen Leistung gefordert, ist der Einwand einer Partei, welche im Nachhinein dennoch diesen synallagmatischen Zusammenhang leugnet, rechtlich unbeachtlich.1442 bb) Irrelevanz des Einwands der fehlenden Durchsetzbarkeit Als Hauptargument gegen die Annahme einer synallagmatischen Verknüpfung von Einwilligungserteilung und Anbieterleistung wird das Fehlen einer durchsetzbaren Verpflichtung zur Einwilligungserteilung aufgrund der Uneinschränkbarkeit des Widerrufsrechts nach Art. 7 Abs. 3 S. 1 DSGVO ins Feld geführt.1443 Infolgedessen nehmen Vertreter der Auffassung an, dass in diesem Fall nur eine konditionale Verknüpfung möglich sei.1444 Eine synallagmatische Verknüpfung wäre dagegen nur möglich, wenn man die Leistungspflicht in der faktischen Datenüberlassung erblickt.1445 Diese Schlussfolgerung weist jedoch mehrere Unzulänglichkeiten auf. Anzuerkennen ist grundsätzlich die europarechtliche Vorgabe, dass es sowohl der Leistungspflicht zur Erteilung der Einwilligung als auch der Leistungspflicht zur kommerziellen Datenüberlassung an der (gerichtlichen) Durchsetzbarkeit mangelt und eine Einschränkung des Widerrufsrechts nicht zulässig ist.1446 Dies folgt aus den Vorgaben der DSGVO, insbesondere EG 42 S. 5 DSGVO.1447 Auf die – nach 1442 Ähnlich Schmidt-Kessel / Grimm, ZfPW 2017, 84, 94, nach welchen dieser Partei widersprüchliches Verhalten vorzuwerfen wäre. Vgl. auch Metzger, AcP 2016, 817, 835, 849, nach welchem es den Interessen widersprechen und dem mutmaßlichen Parteiwillen zuwiderlaufen würde, wenn in diesem Fall das Vorliegen eines Vertrags mit wechselseitigen Pflichten zu verneinen wäre. 1443 KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 70; Riehm, in: Pertot / SchmidtKessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 193, 194, 197. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 541; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 39, unter Verweis auf Linardatos und unter Abänderung ihrer noch in Specht, JZ 2017, 763, 770 vertretenen Meinung. Ebenso Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 82. 1444 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 541; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 39. Das KG Berlin stellte hierzu keine weiterführenden Erwägungen an. Vgl. KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 70, 71. Ebenso kritisch diesbezüglich Hacker, Datenprivatrecht, 2020, 346, 347. 1445 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 541. 1446 Zur Problematik der fehlenden Einschränkbarkeit des Widerrufsrechts siehe oben S. 141 ff. Zur fehlenden Durchsetzbarkeit der Leistung: Schmidt-Kessel / Grimm, ZfPW 2017, 84, 92, 103. 1447 Siehe oben S. 153 ff. sowie Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 208, 209.
§ 10 Qualifizierung der Austauschverhältnisse
245
vorliegend vertretener Konzeption anzunehmende – eigenständige Leistungspflicht in Bezug auf die Datenüberlassung zu kommerziellen Zwecken lassen sich diese Ausführungen übertragen.1448 Nicht zwingend ist jedoch, infolge der jederzeitigen Widerruflichkeit und fehlenden Erzwingbarkeit von Einwilligungserteilung und Datenüberlassung zu kommerziellen Zwecken das Vorliegen von Leistungspflichten und eine synallagmatische Verknüpfung im Sinne eines gegenseitigen Vertrags auszuschließen. So existieren zahlreiche Rechtspositionen sowie diesen zugrundeliegende Leistungspflichten im Zivilrecht, deren Bestand und Fortgeltung von Gestaltungsrechten und von der (bedingungslosen) Willkür einer Vertragspartei abhängig sind und damit im Endeffekt nicht gegen deren Willen durchsetzbar sind.1449 Als Beispiele können das Widerrufsrecht bei Verbraucherverträgen gemäß §§ 355 ff., 312 ff. BGB oder die Vereinbarung eines vertraglichen Rücktrittsrecht nach § 346 Abs. 1 Var. 1 BGB angeführt werden.1450 Ähnlich ist zudem die Situation der Ausübung einer vereinbarten (auflösenden) Potestativbedingung gemäß § 158 Abs. 2 BGB zu bewerten. Im Ausgangspunkt betreffen entsprechende Gestaltungsrechte zwar nur den Bestand des zugrundeliegenden Verpflichtungsgeschäfts und nicht die Wirksamkeit der datenschutzrechtlichen Einwilligung, jedoch wird in diesen Konstellationen grundsätzlich davon auszugehen sein, dass das Datensubjekt bei Auflösung des Vertragsverhältnisses zugleich gemäß Art. 7 Abs. 3 DSGVO auch seine Einwilligung widerruft.1451 Dass die datenbasierten Leistungspflichten dem Anbieter keine einklagbare Rechtsposition verschaffen, schließt die Annahme eines gegenseitigen Vertrags mit synallagmatischen Leistungspflichten somit nicht
1448
Ähnlich Metzger, AcP 2016, 817, 850 sowie Hacker, Datenprivatrecht, 2020, 213, 215, 216. Zur Ablehnung der Konstruktion der Einwilligung als Wirksamkeitsvoraussetzung des Verpflichtungsvertrags von Linardatos siehe oben S. 197 ff. Unmittelbar erlischt mit Ausübung des Widerrufsrechts nur die datenschutzrechtliche Einwilligung. Die weitere Datenerhebung und Datenverarbeitung werden dadurch jedoch auch unrechtmäßig, soweit diese ausschließlich auf Basis der Einwilligung legitimiert werden konnte. Als Konsequenz ist somit ebenfalls die (gerichtliche) Erzwingbarkeit der Pflicht zur Überlassung von personenbezogenen Daten zu kommerziellen Zwecken aufgrund der Uneinschränkbarkeit des datenschutzrechtlichen Widerrufsrechts ausgeschlossen. Zwischen der Durchsetzbarkeit der Einwilligungserteilung und der Pflicht zur Überlassung von Daten, welche nur auf Basis der Einwilligung erhoben werden dürfen, ist daher ein Gleichlauf anzunehmen. Weiterführend und zur dogmatischen Einordnung dieser Leistungspflicht siehe unten S. 260. 1449 Auch steht die Ausübung von Gestaltungsrechten grundsätzlich im Belieben des Inhabers des Gestaltungsrechts. Ebenso Langhanke, Daten als Leistung, 2018, 119, wonach die Möglichkeit des jederzeitigen Widerrufs gerade nicht das Bestehen einer Leistungspflicht ausschließt, da „der bedingungslose und von der Willkür des Kunden abhängige Widerruf einer zuvor mit Rechtsbindungswillen erteilten Willenserklärung [..] der deutschen Rechtsordnung nicht fremd [ist]“. 1450 Von der Willkür einer Vertragspartei hängt darüber hinaus auch die Erhebung von peremptorischen Einreden, wie der Einrede der Verjährung nach § 214 Abs. 1 BGB oder den Einreden wegen wirtschaftlicher und persönlicher Unzumutbarkeit der Leistungserbringung gemäß § 275 Abs. 2 bzw. Abs. 3 BGB ab, welche die Durchsetzbarkeit einer Leistungspflicht dauerhaft ausschließen. 1451 Eingehend hierzu unten bei Fn. 1790, 1979, 1980.
246
Teil 3: Die Einordnung der Austauschverhältnisse
aus.1452 Widersprüchlich ist darüber hinaus, dass Teile der Gegenansicht zwar einerseits die Einschränkbarkeit des Widerrufsrechts vertreten, aber andererseits eine durchsetzbare Leistungspflicht und eine synallagmatische Verknüpfung in Bezug auf die datenschutzrechtliche Einwilligung verneinen.1453 cc) Das konditionale Verknüpfungsmodell Hackers Die Ablehnung einer synallagmatischen Verknüpfungsform findet sich nur vereinzelt in der Literatur.1454 Insbesondere Hacker entwickelte eine detaillierte Ansicht, dass die Leistung des Anbieters und die Gegenleistung des Datensubjekts konditional verknüpft seien.1455 Als Gegenleistung des Datensubjekts stellt Hacker hierbei auf die Datenüberlassung ab, wobei diese keine vertragliche Pflicht, sondern eine Potestativbedingung in Form einer aufschiebenden Bedingung i. S. v. § 158 Abs. 1 BGB als ein zukünftiges, ungewisses Ereignis darstellen würde.1456 Die Datenüberlassung ist hiernach eine aufschiebende Bedingung für die Verpflichtung des Anbieters zur Diensterbringung, welche jedoch nicht „die endgültige Wirksamkeit des Rechtsgeschäfts im Sinne einer dauerhaften Verpflichtung zur Dienstebereitstellung“ zur Folge haben soll, sondern nur für die Zeitspanne der kontinuierlichen Datenüberlassung.1457 Der Anbieter würde die Diensterbringung 1452
Ebenso Leinemann, Personenbezogene Daten als Entgelt, 2020, 100; Langhanke, Daten als Leistung, 2018, 119; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 208, 209; Metzger, AcP 2016, 817, 834, 835, Fn. 75 m. w. N. Im Ergebnis auch Hacker, Datenprivatrecht, 2020, 223, 224, für den Fall des Vorliegens einer synallagmatischen Verknüpfung. Zu den Auswirkungen der fehlenden Durchsetzbarkeit auf die rechtliche Qualifizierung der datenbasierten Gegenleistung des Datensubjekts siehe unten S. 272 ff., 320 ff. 1453 Siehe Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 535 ff., 541. Zu der erwähnten Auffassung von Linardatos siehe oben S. 149 ff. 1454 So beispielsweise Beurskens, die Erteilung einer datenschutzrechtlichen Einwilligung als Gegenleistung und ein daran anknüpfendes Synallagma zur Anbieterleistung unter Anführung des Vermögenswerts der bloßen Übermittlung personenbezogener Daten anzweifelnd. Vgl. Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 89–91. Zur Ablehnung einer synallagmatischen Verknüpfung im Fall des Abstellens auf die Erteilung einer datenschutzrechtlichen Einwilligung seitens Linardatos siehe oben Fn. 1444. 1455 Hacker, ZfPW 2019, 148, 168 ff. Ebenso Hacker, Datenprivatrecht, 2020, 198, 199, 344, welcher diese Auffassung auch seiner Habilitationsschrift zugrunde legt. Ähnlich Becker, CR 2021, 230, 235; Bunnenberg, Privates Datenschutzrecht, 2020, 72, 258, 259, 278, welche dabei auf Hackers Modell rekurrieren. Die Erwägungen Hackers aufgreifend, jedoch nicht weiter erörternd: Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 56. 1456 Hacker, ZfPW 2019, 148, 172, Fn. 170; Hacker, Datenprivatrecht, 2020, 198, 214. Wenn Datenüberlassung und Vertragsschluss zusammenfallen, dann nimmt Hacker eine Gegenwartsbedingung analog § 158 BGB an. Zu Hackers Ablehnung bezüglich der datenschutzrechtlichen Einwilligung als Inhalt der Leistungspflicht siehe oben S. 197. 1457 Hacker, ZfPW 2019, 148, 175, wonach sich dies jedoch nicht durch eine klassische auflösende Bedingung umsetzen lässt, da eine solche die endgültige Unwirksamkeit des Rechts-
§ 10 Qualifizierung der Austauschverhältnisse
247
zeitlich nur so lange schulden, wie personenbezogene Daten „auch kontinuierlich überlassen werden“.1458 Diese zeitliche Begrenzung will Hacker dogmatisch entweder über eine auflösende Bedingung nach § 158 Abs. 2 BGB mit modifizierter Rechtsfolge oder über eine im Rahmen der Vertragsfreiheit vereinbarungsfähige „atypische Dauerbedingung“ umsetzen.1459 Hacker argumentiert, dass diese Konstruktion einer konditionalen Verknüpfung es ermögliche, die Probleme der datenschutzrechtlichen Einwilligung durch ein Abstellen auf die Datenüberlassung zu umgehen.1460 Außerdem würde diese Konstruktion der Realität einer „durch Code prädeterminierte[n] Leistungserbringung durch den Anbieter“ entsprechen und die Interessenlage der Vertragsparteien abbilden.1461 Gegen die Annahme eines Synallagmas, was einen hinreichend verständigen Durchschnittsverbraucher im Rahmen des objektiven Empfängerhorizonts voraussetzt, führt Hacker die im Rahmen des Privacy Paradox beschriebenen Rationalitätsdefizite an sowie das fehlende Bewusstsein des durchschnittlichen Datensubjekts, bewusst eine Gegenleistung zu erbringen.1462 Eine synallagmatische Verknüpfung der Leistungen im Sinne eines „do ut des“ sei daher eine „reine Fiktion“.1463 Auch ohne das Bewusstsein, einen Leistungsaustausch einzugehen, bliebe der Charakter der Datenpreisgabe als Gegenleistung durch eine konditionale Verknüpfung gewährleistet.1464 Dies entspräche der Interessenlage beider Vertragsparteien, weil diese an einer „genuinen Verpflichtung“ zur Datenüberlassung nicht interessiert seien.1465 So könnten die Datensubjekte jederzeit, ohne Beeinträchtigung ihrer informationellen Selbstbestimmung, die Datenübermittlung beenden, ohne Zurückbehaltungsrechten ausgesetzt zu sein oder datenschutzrechtliche Ansprüche geltend machen zu müssen.1466 Die Anbieter wären aus Reputationsgründen und der Gefahr, nur noch qualitativ minderwertigere Daten zu erhalten, geschäfts zur Folge hätte, was gerade nicht intendiert wäre, wenn nur eine vorübergehende Nichtüberlassung von Daten vorliegt. 1458 Ebenda. 1459 Hacker, ZfPW 2019, 148, 175, 176; Hacker, Datenprivatrecht, 2020, 198, 229. Umsetzung der ersten Variante: Nach Vertragsschluss und erfolgter Datenüberlassung würde eine hierauf folgende Nichtüberlassung der Daten eine auflösende Bedingung (§ 158 Abs. 2 BGB) darstellen, jedoch nicht mit der üblichen Rechtsfolge des Erlöschens der Leistungspflicht des Anbieters und dem „Entstehen eines Rückabwicklungsschuldverhältnisses“, sondern der fehlenden Durchsetzbarkeit der Anbieterpflicht bis zur Wiederaufnahme der Datenüberlassung. Umsetzung der zweiten und seitens Hacker präferierten Variante: Die Datenüberlassung bestimmt als atypische aufschiebende Dauerbedingung (§ 158 Abs. 1 BGB) „in jeder logischen Sekunde“ die Wirksamkeit der Verpflichtung des Anbieters. Eine entsprechende „Dauerbedingung [würde sich] als kontinuierliche zeitliche Abfolge von aufschiebenden Bedingungen [konstruieren]“ lassen (Hervorhebung im Original). 1460 Vgl. Hacker, ZfPW 2019, 148, 171–175; 179. 1461 Hacker, ZfPW 2019, 148, 176, 177; Hacker, Datenprivatrecht, 2020, 229. 1462 Hacker, ZfPW 2019, 148, 171. 1463 Ebenda (Hervorhebung im Original). 1464 Ebenda. 1465 Hacker, ZfPW 2019, 148, 173–175. Ähnlich Hacker, Datenprivatrecht, 2020, 229. 1466 Hacker, ZfPW 2019, 148, 173.
248
Teil 3: Die Einordnung der Austauschverhältnisse
regelmäßig ohnehin nicht daran interessiert, die Datenpreisgabe einzuklagen.1467 Der Einsatz technischer Mittel zur Verhinderung einer Datenpreisgabe seitens der Datensubjekte würde dann zudem keine Verletzung einer Vertragspflicht konstituieren, sondern ein typisches Risiko datengetriebener Geschäftsmodelle darstellen.1468 Soweit eine Verpflichtung zur Datenüberlassung durch die Parteien nicht ausdrücklich vereinbart ist, sei daher im Regelfall davon auszugehen, dass eine konditionale Verknüpfung der Leistungen vorliege.1469 Nur wenn eine vertragliche Verpflichtung ausdrücklich vereinbart worden ist, würde dagegen eine synallagmatische Verknüpfung angenommen werden können.1470 c) Würdigung der Streitfrage Als Ausgangspunkt der Würdigung wird an die vorangegangene Erkenntnis angeknüpft, dass sich die Leistung des Datensubjekts aus zwei Elementen zusammensetzt: erstens die Erteilung einer datenschutzrechtlichen Einwilligung zur Gestattung der Datenverarbeitung zu kommerziellen Zwecken, zweitens die Überlassung der personenbezogenen Daten, deren Erhebung und Verarbeitung dem Anbieter durch die Einwilligung gestattet wird.1471 In Bezug auf das Modell von Hacker ist zu konstatieren, dass dieses eine weitgehend gelungene Umsetzung eines konditionalen Verknüpfungsansatzes darstellt. Nach hier vertretener – entgegengesetzter – Auffassung ist jedoch, bei fehlender expliziter Regelung der Verknüpfungsform oder bei ausdrücklicher Vereinbarung einer Leistungspflicht des Datensubjekts, in der Regel von einer synallagmatischen Verknüpfung auszugehen. Die synallagmatische Verknüpfung von Anbieterleistung und datenbasierter Gegenleistung entspricht nicht nur dem objektiven Empfängerhorizont, sondern ist auch in der Lage, eine rechtlich unkompliziert umsetzbare Einordnung der datenbasierten Leistung und eine sachgerechte rechtliche Behandlung von datengetriebenen Austauschverhältnissen zu gewährleisten.1472 Vermieden wird dadurch insbesondere eine rechtlich nicht haltbare Aufweichung des maßgeblichen Empfängerhorizonts gemäß §§ 133, 157 BGB, wonach standardmäßig von uninformierten Datensubjekten auszugehen wäre, welche weder Kenntnis von der Werthaltigkeit ihrer personenbezogenen Daten noch von der Funktionsweise datengetriebener Geschäftsmodelle besitzen.1473 Der Interessenlage der Vertragsparteien und der Zwecksetzung datengetriebener 1467
Ebenda. Hacker, ZfPW 2019, 148, 174, welcher als Beispiele hierfür die Verweigerung von Cookies und den Einsatz von Adblocker und Trackingblocker anführt. 1469 Hacker, ZfPW 2019, 148, 172. 1470 Hacker, ZfPW 2019, 148, 172, 173. 1471 Siehe oben S. 193 f., 205. Von der Würdigung ausgenommen ist die Überlassung von personenbezogenen Daten, welche zur Durchführung des Austauschverhältnisses notwendig sind und daher weder Gegenleistungscharakter besitzen noch Teil des Synallagmas sein können. Hierzu oben S. 217 ff., 235 f. 1472 Zur dogmatischen und konstruktiven Umsetzung siehe unten S. 252 ff., 266 ff., 293 ff. 1473 Eingehend hierzu oben S. 182 ff., 202. 1468
§ 10 Qualifizierung der Austauschverhältnisse
249
Austauschgeschäfte entsprechend, ist vielmehr davon auszugehen, dass die gegenseitigen Leistungspflichten von Anbieter und Datensubjekt zum Erhalt der jeweils anderen Leistung eingegangen und geschuldet werden, was einer synallagmatischen Verknüpfung entspricht.1474 Dem steht die fehlende Durchsetzbarkeit der Verpflichtungen zur Einwilligungserteilung und zur kommerziellen Datenüberlassung nicht entgegen.1475 Darüber hinaus ermöglicht die synallagmatische Verknüpfung die Annahme eines gegenseitigen Vertrags und die Anwendung der §§ 320–326 BGB. Weigert sich das Datensubjekt, die geschuldete datenbasierte Leistung zu gewähren oder wird dem Anbieter diese infolge der Ausübung des Widerrufsrechts entzogen, so besitzt der Anbieter die Möglichkeit, die (weitere) Erbringung seiner Leistung nach § 320 Abs. 1 BGB zu verweigern.1476 Die Einrede des nichterfüllten Vertrags ist damit in der Lage, die gängige Praxis der Kopplung des Beginns und der Fortführung der Leistungserbringung des grundsätzlich nicht vorleistungspflichtigen Anbieters von der Erlangung der datenbasierten Gegenleistung sachgerecht rechtlich abzubilden.1477 Im Gegensatz zu dem Freigabemechanismus eines konditionalen Verknüpfungsmodells – etwa in Form einer atypischen aufschiebenden Dauerbedingung – in Bezug auf die Gewährung der Anbieterleistung, räumt die Annahme einer synallagmatischen Verknüpfung den Vertragsparteien dadurch auch Flexibilität ein.1478 So verbleibt die Entscheidung, dem Datensubjekt die Gewährung der Anbieterleistung zu entziehen, durch ein Abstellen auf § 320 Abs. 1 BGB in der Hand des Anbieters und unterliegt keinem rigiden Automatismus.1479 Auch die 1474
Siehe oben S. 182 ff., 186 f. In dieser Hinsicht verstrickt sich Hacker zudem in Widersprüche, wenn einerseits im Hinblick auf den durchschnittlichen Verbraucher vom objektiven Empfängerhorizont gemäß §§ 133, 157 BGB abgewichen werden soll, jedoch andererseits auf diesen abgestellt wird, um die konditionale Verknüpfung als den im Zweifel gewollten Regelfall zu begründen. Vgl. Hacker, ZfPW 2019, 148, 171, 172. 1475 Siehe oben S. 244 ff. 1476 Die Nichterbringung der datenbasierten Leistung wie auch der Widerruf der datenschutzrechtlichen Einwilligung haben grundsätzlich keine Auswirkungen auf den Bestand der datenbasierten Leistungspflichten. Ausführlich hierzu unten bei Fn. 1527, 1528 sowie unten S. 330. Ausführlich zur Anwendbarkeit und zur elementaren Bedeutung von § 320 Abs. 1 BGB im Rahmen datengetriebener Vertragsverhältnisse siehe unten S. 255 ff. sowie unten bei Fn. 1642. 1477 Ebenso Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 209; Hacker, ZfPW 2019, 148, 175, dies als Vorteil eines synallagmatischen Verknüpfungsmodells anerkennend; Metzger, AcP 2016, 817, 835. 1478 Zu diesem „Alles-oder-Nichts-Mechanismus“ des konditionalen Verknüpfungsmodells von Hacker siehe oben bei Fn. 1458, 1459, 1461. Im Regelfall wird ein entsprechender Automatismus auch nicht der Interessenlage der Parteien entsprechen, wenn nicht die Leistungspflicht des Anbieters, sondern das zugrundeliegende Vertragsverhältnis auflösend bedingt sein soll. Hierzu unten S. 327 f. 1479 Hierdurch wird es dem Anbieter ermöglicht, flexibel zu entscheiden, ob und wann – im Fall eines Ausbleibens der datenbasierten Gegenleistung – dem Datensubjekt die Anbieterleistung entzogen werden soll. Insbesondere bei internetbasierten Austauschgeschäften wie sozialen Netzwerken oder onlinebasierten Computerspielen wird es bis zur Etablierung einer gewissen
250
Teil 3: Die Einordnung der Austauschverhältnisse
Bedenken von Hacker hinsichtlich der Interessenlage der Parteien stehen einer synallagmatischen Verknüpfung nicht entgegen.1480 Aufgrund der fehlenden Durchsetzbarkeit und Einklagbarkeit der Leistungspflichten sowie der datenschutzrechtlich zwingenden Vorgabe nach EG 42 S. 5 DSGVO, dass aus der Zurückziehung der Einwilligung keine Nachteile für das Datensubjekt erwachsen dürfen, ist das Datensubjekt auch im Fall des Abstellens auf die datenschutzrechtliche Einwilligung jederzeit dazu berechtigt, die Preisgabe seiner Daten zu beenden, ohne einen Rechtsbruch zu begehen.1481 Dies widerspricht auch nicht den Anbieterinteressen, da infolge der fehlenden Durchsetzbarkeit – wie im Fall einer konditionalen Verknüpfung – keine zusätzlichen Risiken für die Reputation der Anbieter oder für die Datenqualität drohen. Eine synallagmatische Verknüpfung vermeidet darüber hinaus die dogmatisch kompliziert umzusetzende Bedingungskonstruktion der konditionalen Verknüpfung.1482 Schließlich lässt sich so auch die erheblich umstrittene Streitfrage vermeiden, ob und inwieweit Vorschriften, die auf gegenseitige Verträge zugeschnitten sind, auch auf Verträge mit konditionaler Leistungsverknüpfung anzuwenden sind.1483 Bei datengetriebenen Austauschgeschäften mit kommerzieller Zwecksetzung wird daher die Annahme einer synallagmatischen Verknüpfung im Regelfall vorzugswürdig sein. Im konkreten Einzelfall ist die Verknüpfungsform jedoch anhand der getroffenen Parteivereinbarung und der konkreten Umstände des Vertrags zu bestimmen. Eine konditionale Verknüpfung wäre danach nur in den Sonderfällen anzunehmen, in denen eine rechtliche Verpflichtung des Datensubjekts zur Datenübermittlung und zur Erteilung einer datenschutzrechtlichen Einwilligung zu kommerziellen Zwecken durch die Vertragsparteien explizit ausgeschlossen wird.1484 Größe der Nutzerbasis im Interesse der Anbieter liegen, möglichst wenig Nutzer zu verlieren, bis eine gewisse Stabilisierung der Nutzerzahlen erreicht wurde. Ausführlich zur Generierung von Marktmacht im Bereich digitaler (plattformbasierter) Geschäftsmodelle durch Netzwerkeffekte Volmar, Digitale Marktmacht, 2019, 230 ff. 1480 Siehe oben bei Fn. 1465–1467. 1481 Siehe oben S. 153 ff., 244 ff. 1482 Siehe oben Fn. 1459. So müsste entweder die typische Rechtsfolge von § 158 Abs. 2 BGB abbedingt werden (Var. 1) oder eine sich aus mehreren aufschiebenden Bedingungen zusammensetzende atypische Dauerbedingung konstruiert werden (Var. 2), um das konditionale Verknüpfungsmodell umzusetzen. Siehe Hacker, ZfPW 2019, 148, 175, 176 Fn. 193, 197, dies ebenso als einen Schwachpunkt seiner Ansicht feststellend. 1483 Vgl. Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540 m. w. N. Gegen eine Anwendbarkeit: Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540, 541; Schmidt, in: BeckOK BGB, 57. Ed. 2021, § 320 BGB, Rn. 5, 12; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 10–12; Gernhuber, Das Schuldverhältnis, 1989, 319. Für eine Anwendbarkeit: Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 6, 54, 56; Grüneberg, in: Palandt BGB, 80. Aufl. 2021, Einf v § 320 BGB, Rn. 7; Hacker, ZfPW 2019, 148, 180. 1484 Vgl. Hacker, ZfPW 2019, 148, 176, 177; Hacker, Datenprivatrecht, 2020, 198, aus der entgegengesetzten Position argumentierend.
§ 10 Qualifizierung der Austauschverhältnisse
251
8. Ergebnisse der Untersuchung der Entgeltlichkeit Festzuhalten ist, dass für eine Einordnung von datengetriebenen Austausch geschäften in die unentgeltlichen Vertragstypen die Anbieterleistung sowohl objektiv als auch subjektiv unentgeltlich zu sein hat. Für die Bestimmung der Entgeltlichkeit ist im Ausgangspunkt auf die konkrete Ausgestaltung der Parteivereinbarungen und auf die Interessenlage der Vertragsparteien im Einzelfall abzustellen. Die Erlangung personenbezogener Daten als faktische Position mit Vermögenswert wie auch die datenschutzrechtliche Einwilligung im Hinblick auf die Datenverarbeitung zu kommerziellen Zwecken schließen eine objektive Unentgeltlichkeit bereits aus. In datengetriebenen Austauschgeschäften mit dem Geschäftsmodell der Verarbeitung personenbezogener Daten zu kommerziellen Zwecken ist zudem die subjektive Unentgeltlichkeit zu verneinen. Beide Vertragsparteien sind sich in diesen Konstellationen der Werthaltigkeit der Datenpreisgabe, der Kommerzialisierungsintention der Anbieter wie auch der rechtlichen Abhängigkeit der Anbieterleistung von der datenbasierten Gegenleistung des Datensubjekts bewusst. Eine Qualifizierung als unentgeltliches Rechtsgeschäft wird zumeist bereits aufgrund der ausschließlich eigennützigen Interessen der Anbieter abzulehnen sein.1485 Innerhalb datengetriebener Austauschgeschäfte mit kommerzieller Zwecksetzung besitzt die datenbasierte Leistung zudem Gegenleistungscharakter. Kann die Verarbeitung von personenbezogenen Daten zu kommerziellen Zwecken innerhalb von Vertragsverhältnissen nicht vollständig auf gesetzliche Erlaubnistatbestände gestützt werden, ist zur Rechtmäßigkeit der Verarbeitung zwingend die datenschutzrechtliche Einwilligung des Datensubjekts nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Festzuhalten ist, dass gerade Datenverarbeitungsvorgänge mit kommerzieller Zwecksetzung nicht durch die gesetzlichen Erlaubnistatbestände der Art. 6 Abs. 1 lit. b, lit. c sowie lit. f DSGVO legitimiert werden können. Entsprechende datengetriebene Austauschgeschäfte sind daher stets als entgeltliche Rechtsgeschäfte zu qualifizieren. Die auf unentgeltliche Rechtsgeschäfte anwendbaren Haftungsprivilegierungen und Sondervorschriften sind somit nicht Dies gilt für den Fall, dass der Anbieter, trotz Ausschlusses einer rechtlichen Verpflichtung zur Datenübermittlung und zur Einwilligungserteilung, die personenbezogenen Daten zu kommerziellen Zwecken verarbeiten will. Zur Rechtmäßigkeit dieser Datenverarbeitung ist auch in dieser Konstellation das Vorliegen einer datenschutzrechtlichen Einwilligung zwingend erforderlich. 1485 Dies gilt ebenso für eine Einordnung unter die Rechtsinstitute der gemischten Schenkung und der Schenkung unter Auflage (§ 525 BGB). Hierzu allgemein: Chiusi, in: Staudinger BGB, Neubearbeitung 2021, § 516 BGB, Rn. 64 ff. m. w. N. Eine Schenkung unter Auflage scheitert grundsätzlich bereits an der rechtlichen Verknüpfung von Leistung und Gegenleistung. Eine gemischte Schenkung wird zumeist, neben fehlenden Anhaltspunkten für das Vorliegen einer teilweise intendierten Unentgeltlichkeit, auch aufgrund des ökonomischen Werts der datenbasierten Gegenleistung und der häufig nur geringen Kosten der Erbringung der Anbieterleistung abzulehnen sein. Hierzu Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 15; Leinemann, Personenbezogene Daten als Entgelt, 2020, 119.
252
Teil 3: Die Einordnung der Austauschverhältnisse
anwendbar. Aufgrund der Interessenlage der Parteien und der Zwecksetzung der Austauschgeschäfte ist im Regelfall dabei von einer synallagmatischen Verknüpfung von Anbieterleistung und datenbasierter Gegenleistung des Datensubjekts auszugehen. Eine konditionale Verknüpfung der Leistungen wird nur in Ausnahmekonstellationen anzunehmen sein, in denen, trotz intendierter kommerzieller Datenverarbeitung, eine Leistungspflicht des Datensubjekts explizit ausgeschlossen wurde. V. Dogmatische Grundstruktur der Datenpreisgabe Zur Konkretisierung der datenbasierten Leistungspflichten ist zu klären, inwieweit die einzelnen Bestandteile der Datenpreisgabe durch das Datensubjekt die Kernelemente einer Leistungspflicht erfüllen.1486 Differenziert wird vorliegend zwischen der Pflicht zur Erteilung einer abredegemäßen Einwilligung entsprechend Art. 6 Abs. 1 lit. a DSGVO (1.), der Pflicht zur Überlassung von personenbezogenen Daten zum Zweck der Kommerzialisierung (2.) sowie der Überlassung von personenbezogen Daten, welche zur Durchführung von datengetriebenen Austauschverhältnissen zwingend erforderlich sind (3.). Den Grundtypus der Leistungspflicht bzw. des Schuldverhältnisses i. e. S. stellt die erzwingbare Verbindlichkeit gemäß § 241 Abs. 1 BGB dar, die den Gläubiger dazu berechtigt, vom Schuldner eine Leistung zu fordern.1487 Als Mindestvoraussetzung muss diese Leistungsbeziehung den Rechtsgrund für die Leistung i. S. v. § 812 Abs. 1 BGB enthalten, welcher „dem Gläubiger das Leistungssubstrat“ zuweist und diesem das Behalten der erbrachten Leistung gestattet.1488 Im Verhältnis zum Schuldner begründet dieser rechtliche Behaltensgrund eine relative Vermögenszuweisung zugunsten des Gläubigers.1489 Darüber hinaus beinhaltet eine erzwingbare Verbindlichkeit einen Leistungsbefehl im Sinne eines Leistensollens, 1486 Wird auf die einzelne Leistungsbeziehung innerhalb eines Schuldverhältnisses in Form einer Leistungspflicht abgestellt, wird diese Rechtsbeziehung zwischen Schuldner und Gläubiger auch als „Schuldverhältnis im engeren Sinn“ (i. e. S.) bezeichnet. Gernhuber, Das Schuldverhältnis, 1989, 7; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 36 ff. 1487 Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 346–348; Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 3, 4; Siber, Der Rechtszwang im Schuldverhältniss nach deutschem Reichsrecht, 1903, 68, 69. 1488 Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 348, 349; Larenz, Lehrbuch des Schuldrechts AT, 14. Aufl. 1987, 29. Zur hier nicht weiter erörterten Streitfrage, ob der verfolgte Leistungszweck oder das Schuldverhältnis den rechtlichen Grund i. S. v. § 812 Abs. 1 BGB verkörpert: Larenz / Canaris, Lehrbuch des Schuldrechts BT II/2, 13. Aufl. 1994, 136, 137; Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 415–417 m. w. N. 1489 Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 349.
§ 10 Qualifizierung der Austauschverhältnisse
253
was ihr den Charakter einer Leistungspflicht verleiht.1490 Über den rechtlichen Behaltensgrund hinausgehend, beinhaltet die Leistungspflicht somit eine an den Schuldner gerichtete Aufforderung, die Leistung an den Gläubiger zu bewirken.1491 Beim Grundtypus der erzwingbaren Leistungspflicht liegt schließlich noch ein Anspruch i. S. v. § 194 Abs. 1 BGB als Forderungsrecht des Gläubigers auf die Leistung vor, welcher es ermöglicht, die Erfüllung der Leistungspflicht des Schuldners durch (gerichtlichen) Rechtszwang durchzusetzen.1492 1. Die Pflicht zur Einwilligungserteilung a) Behaltensgrund und Leistensollen des Datensubjekts Der Rechtsgrund für das Behalten der Leistung ergibt sich innerhalb datengetriebener Austauschgeschäfte aus den zugrundeliegenden Verpflichtungsgeschäften, welche als Zweck die Einwilligungserteilung durch das Datensubjekt im Austausch gegen die Anbieterleistung vorsehen.1493 Im Fall der Wirksamkeit des zugrundeliegenden Verpflichtungsvertrags besteht somit ein bereicherungsrecht licher Behaltensgrund hinsichtlich der erteilten Einwilligung.1494 Ebenso lässt sich das Leistensollen aus der Zwecksetzung und der anzutreffenden Interessenlage im Rahmen datengetriebener Austauschgeschäfte mit kommerzieller Zwecksetzung ableiten.1495 So sind die Vertragsparteien entsprechende Vertragsverhältnisse mit Rechtsbindungswillen eingegangen und verfolgen mit deren Abschluss typischerweise das Ziel, jeweils die Leistung der anderen Partei auf rechtssicherer und rechtmäßiger Grundlage für die Dauer des Verpflichtungsgeschäfts zu erhal 1490
Dieser Aspekt wird von der rechtswissenschaftlichen Literatur auch unter dem Begriff der Schuld gefasst. Eingehend: Gernhuber, Das Schuldverhältnis, 1989, 63 ff.; Larenz, Lehrbuch des Schuldrechts AT, 14. Aufl. 1987, 23, 24; Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 348, 351 ff.; Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 6. 1491 Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 351, 352; Gernhuber, Das Schuldverhältnis, 1989, 63, 64. 1492 Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 348, 354 ff. Diesbezüglich wird auch von der Haftung des Schuldners im Sinne eines „sanktionierende[n] Rechtszwang[s]“ gesprochen. Hierzu Gernhuber, Das Schuldverhältnis, 1989, 65. Vgl. auch Larenz, Lehrbuch des Schuldrechts AT, 14. Aufl. 1987, 22 ff.; Siber, Der Rechtszwang im Schuldverhältniss nach deutschem Reichsrecht, 1903, 69 ff. 1493 Korrespondierend hierzu lässt sich auch dem Datenschutzrecht ein entsprechender Rechtsgedanke aus Art. 17 Abs. 1 lit. a DSGVO entnehmen, welcher ein Löschungsrecht des Datensubjekts statuiert, wenn der Zweck der Datenverarbeitung erfüllt wurde oder entfallen ist. Vgl. Worms, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 17 DSGVO, Rn. 25, 26. 1494 Im Ergebnis ebenso: Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 193, 194; Metzger, AcP 2016, 817, 840, Fn. 100; Hacker, ZfPW 2019, 148, 180. 1495 Vgl. Herzholz, AcP 1929, 257, 265, wonach innerhalb gegenseitiger Verträge deren Zwecksetzung und das Leistensollen im Hinblick auf die einzelnen Leistungspflichten eine Einheit bilden.
254
Teil 3: Die Einordnung der Austauschverhältnisse
ten.1496 Dem entsprechend liegen nach dem objektivierten Parteiwillen im Zweifel im Synallagma stehende Leistungspflichten vor.1497 Die Leistungspflicht kann dabei „unabhängig von den Möglichkeiten ihrer Durchsetzung und den Rechtsfolgen ihrer Verletzung“ bestehen.1498 Aufgrund der wirtschaftlichen Zwecksetzung und des Austauschcharakters datengetriebener Vertragsverhältnisse wird grundsätzlich anzunehmen sein, dass beide Parteien rechtlich dazu angehalten sein sollen, die ihrerseits versprochene Leistung auch zu bewirken. b) Eingeschränkte Durchsetzbarkeit der Leistungspflicht aa) Unzulässigkeit der Leistungsdurchsetzung durch Rechtszwang Hinsichtlich der rechtlichen Durchsetzbarkeit der Leistungspflicht zur Erteilung der Einwilligung ist zu konstatieren, dass aufgrund ihrer europarechtlichen Ausgestaltung durch das Datenschutzrecht eine Erzwingung der Einwilligungserteilung seitens des Anbieters als Gläubiger durch unmittelbaren wie mittelbaren Rechtszwang unzulässig ist.1499 Untermauern lässt sich dieses Ergebnis durch die bereits gefundenen Erkenntnisse. So steht die fehlende rechtliche Erzwingbarkeit der Verpflichtung zur Einwilligungserteilung und der Annahme eines Vertrags im Gegenseitigkeitsverhältnis nicht entgegen.1500 Aus der datenschutzrechtlichen Vorgabe der Uneinschränkbarkeit des Widerrufsrechts nach Art. 7 Abs. 3 S. 1 DSGVO sowie EG 42 S. 5 DSGVO folgt, dass die Einwilligungspflicht nicht zwangsweise durchgesetzt werden kann und dem Datensubjekt aus der Verweigerung oder aus der Zurückziehung der Einwilligung keine Nachteile erwachsen dürfen.1501 Aus 1496
Siehe oben S. 175 ff., 187 ff. Siehe oben S. 248 ff. 1498 Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 351, 352; jeweils m. w. N. zur Problematik der „Schuld ohne Haftung“: Gernhuber, Das Schuldverhältnis, 1989, 67, 68, wonach „ein Leistensollen ohne Rechtszwang“ sowie „ein nicht bewehrter Leistungsbefehl“ statthaft sind; Mayer, Haftung und Paarbeziehung, 2017, 30, wonach „die Rechtsordnung dem Schuldner ein rechtliches Sollen vorgeben kann, ohne für den Fall einer Missachtung des Gebots zwingend eine Sanktion“ vorzusehen. A. A. wohl Siber, Der Rechtszwang im Schuldverhältniss nach deutschem Reichsrecht, 1903, 17, 18, 68. 1499 Ebenso Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 209. Im Ergebnis auch für eine Anwendung von § 320 BGB plädierend, jedoch darüber hinausgehend auch die Möglichkeit eines Rücktrittsrechts erwägend: Schmidt-Kessel / Grimm, ZfPW 2017, 84, 104, 105; Metzger, AcP 2016, 817, 835, 852, 853, 859, 860, zudem eine Haftung des Datensubjekts für zulässig erachtend. Abhängig von dem jeweiligen Umsetzungsmodell ebenfalls eine Anwendung von § 320 BGB sowie auch von § 273 Abs. 1 BGB erwägend: Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 39; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 541, 542. A. A. in Bezug auf § 320 BGB hingegen Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 197, 198. 1500 Siehe oben bei Fn. 1449, 1452. 1501 Siehe oben bei Fn. 883, 884, 1447. 1497
§ 10 Qualifizierung der Austauschverhältnisse
255
geschlossen sein dürften mithin die Leistungsdurchsetzung durch unmittelbaren Rechtszwang, wie durch eine Klage auf Erteilung der Einwilligung i. S. v. § 894 ZPO, sowie durch mittelbaren Rechtszwang wie einer Haftung des Datensubjekts bei Nichterfüllung der Leistungspflicht.1502 Die Verweigerung der Einwilligung wie auch deren Widerruf konstituieren demnach keine Pflichtverletzung dar, wodurch jedenfalls diese Handlungen keine Haftung des Datensubjekts in Form von Schadens- oder Wertersatz, keinen Rücktrittsgrund zugunsten des Anbieters oder sonstige Ansprüche nach sich ziehen können.1503 Zu befürworten ist dementsprechend die Normierung einer Vorschrift, welche klarstellt, dass die Nichterfüllung der datenbasierten Leistungspflichten keine Ansprüche gegen das Datensubjekt begründen kann.1504 bb) Anwendbarkeit der Einrede des nichterfüllten Vertrags Umstritten ist im Schrifttum, ob auch die Geltendmachung der Einrede des nichterfüllten Vertrags seitens des Anbieters im Hinblick die Pflicht zur Einwilligungserteilung ausgeschlossen ist.1505 So wird seitens Riehm ein Ausschluss der Einrede des nichterfüllten Vertrags nach § 320 Abs. 1 S. 1 BGB mit der Begründung vertreten, dass das Zurückbehaltungsrecht eine durchsetzbare Leistungspflicht voraussetze und die Geltendmachung der Einrede zudem als Nachteil i. S. v. EG 42 S. 5 DSGVO zu werten wäre, da die Ausübung von Zurückbehaltungsrechten seitens des Anbieters den Mitteln des privaten Rechtszwangs zuzuordnen sei.1506 Hacker hingegen erachtet die Einrede des nichterfüllten Vertrags 1502
Eingehend hierzu im Abschnitt zum Leistungsstörungsrecht siehe unten S. 320 ff. Ausführlich hierzu unten S. 321 ff., 326 ff. Im Ergebnis ebenso: Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 209; Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 192, 198; Hacker, Datenprivatrecht, 2020, 224; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221, 222. Vgl. zudem Schmidt-Kessel / Grimm, ZfPW 2017, 84, 103, die Konstruktion einer „gerechtfertigten Nichterfüllung“ und das Bestehen einer Leistungspflicht bis zu einer Ausübung des Widerrufsrechts als vorteilhaft erachtend; Specht, JZ 2017, 763, 767, aufgrund des gesetzlichen Widerrufsrechts eine schuldhaft verursachte Pflichtverletzung verneinend. A. A. Langhanke, Daten als Leistung, 2018, 137, 138, wonach auch im Fall des Widerrufs der Einwilligung im Einzelfall eine Schadensersatzpflicht des Datensubjekts auf Ersatz des negativen Interesses möglich wäre, sowie Metzger, AcP 2016, 817, 852, 853. 1504 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 209, welche sich im Rahmen ihres Vorschlags nur auf die Pflicht zur Erteilung einer Einwilligung bezieht. Aufgrund der vorliegend vertretenen Zweiteilung der datenbasierten Leistung wird dies auf eine Pflicht zur Datenüberlassung zu kommerziellen Zwecken zu erstrecken sein. Hierzu unten S. 260. 1505 So Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 197; Riehm, in: Specht-Riemenschneider / Buchner et al. (Hrsg.), Festschrift für Jürgen Taeger, 2020, 55, 71, 72. A. A. Hacker, Datenprivatrecht, 2020, 225, 226. 1506 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 190–194, 197. 1503
256
Teil 3: Die Einordnung der Austauschverhältnisse
für anwendbar, da ein Anspruch auf Abgabe einer datenschutzrechtlichen Einwilligung – bei Annahme einer synallagmatischen Verknüpfung – bestehe und maßgeblich für die Anwendbarkeit von § 320 Abs. 1 S. 1 BGB auf das Vorliegen einer Nichtleistung seitens des Datensubjekt abzustellen sei.1507 Im Ergebnis vermag letztere Ansicht zu überzeugen. So stehen weder die Uneinschränkbarkeit des Widerrufsrechts nach Art. 7 Abs. 3 S. 1 DSGVO noch das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO, unter Berücksichtigung der EG 42 S. 5, 43 S. 2 DSGVO, einer Anwendbarkeit der Einrede des nichterfüllten Vertrags und dem Vorliegen einer wirksamen Leistungspflicht im Wege.1508 Auch das Fehlen der Erzwingbarkeit von Einwilligungserteilung und Datenüberlassung zu kommerziellen Zwecken hindert nicht die Annahme einer synallagmatisch verknüpften Leistungspflicht, welche die Einrede des nichterfüllten Vertrags voraussetzt.1509 Für die Anwendbarkeit von § 320 Abs. 1 S. 1 BGB ist das Vorliegen eines durchsetzbaren Anspruchs, welcher die (gerichtliche) Erzwingbarkeit des Leistungsinteresses des Gläubigers ermöglicht, nicht zwingend erforderlich, sondern lediglich das Bestehen einer wirksamen und fälligen Leistungspflicht, welche im Synallagma steht.1510 Hierfür streitet im ersten Zugriff bereits der Wortlaut von § 320 Abs. 1 S. 1 BGB, wonach – im Gegensatz zu § 273 Abs. 1 BGB – für ein Bestehen der Einrede des nichterfüllten Vertrags zugunsten einer Vertragspartei genügt, dass diese aus einem gegenseitigen Vertrag verpflichtet ist.1511 Eine durchsetzbare Leistungspflicht wird auch seitens des Telos von § 320 Abs. 1 S. 1 BGB
1507 Hacker, Datenprivatrecht, 2020, 225, 226, das Fehlen der Durchsetzbarkeit der Pflicht zur Erteilung der datenschutzrechtlichen Einwilligung als unbeachtlich einstufend. 1508 Hierzu bereits jeweils oben S. 137 ff., 153 ff. 1509 So auch Hacker, Datenprivatrecht, 2020, 225, 226, A. A. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 197; Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 356. Eingehend zur Irrelevanz des Einwands der fehlenden Durchsetzbarkeit für die Annahme einer Leistungspflicht siehe oben S. 244 ff. 1510 Ebenso Hacker, Datenprivatrecht, 2020, 226. Nicht sich explizit mit der Frage der Anwendbarkeit von § 320 Abs. 1 S. 1 BGB befassend, aber das Vorliegen synallagmatisch verknüpfter Hauptleistungspflichten im Rahmen datengetriebener Austauschgeschäfte mit kommerzieller Zwecksetzung bejahend: Leinemann, Personenbezogene Daten als Entgelt, 2020, 100; Langhanke, Daten als Leistung, 2018, 119, 131; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 209; Metzger, AcP 2016, 817, 83. Die Durchsetzbarkeit der Gegenforderung wird auch nicht von der Kommentarliteratur oder der Rechtsprechung gefordert. Vgl. BGH, Urteil vom 19. 05. 2006 – V ZR 40/05, juris, Rn. 20–22; Grüneberg, in: Palandt BGB, 80. Aufl. 2021, § 320 BGB, Rn. 4, 5; Schwarze, in: Staudinger BGB, Neubearbeitung 2020, § 320 BGB, Rn. 15; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 320 BGB, Rn. 27, 33. Ausführlich zur Fälligkeit der datenbasierten Leistungspflichten siehe unten S. 314. 1511 Hervorhebung seitens des Verfassers. Daneben darf die Vertragspartei, welche die Einrede erhebt, nicht vorleistungspflichtig sein und die Gegenleistung der anderen Vertragspartei nicht bereits erfüllt worden sein. Hierzu Grüneberg, in: Palandt BGB, 80. Aufl. 2021, § 320 BGB, Rn. 7–9, 15–18.
§ 10 Qualifizierung der Austauschverhältnisse
257
nicht vorausgesetzt.1512 Dem Zurückbehaltungsrecht liegt der Zweck zugrunde, einerseits Druck auf den Schuldner auszuüben, um ihn zur vertragsgemäßen Leistung anzuhalten und andererseits zu gewährleisten, dass die andere Vertragspartei nicht gezwungen ist ihre Leistung zu erbringen, ohne auch die Gegenleistung zu erhalten.1513 Dem entsprechend ordnet § 320 Abs. 1 S. 3 BGB auch die Unanwendbarkeit von § 273 Abs. 3 BGB an, wonach die Ausübung des Zurückbehaltungsrechts ebenfalls nicht durch Sicherheitsleistung abgewendet werden kann.1514 Ein Befriedigungsrecht zugunsten derjenigen Vertragspartei, welche die Einrede erhebt, begründet § 320 Abs. 1 S. 1 BGB hingegen gerade nicht.1515 Das Zurück behaltungsrecht ist schließlich auch nicht den Rechtsinstituten zuzuordnen, durch welche eine zwangsweise Durchsetzung der Leistungspflicht ermöglicht wird.1516 So wird durch die Erhebung der Einrede nur Druck ausgeübt und für die andere Vertragspartei ein Anreiz gesetzt, ihre Leistung zu erbringen.1517 Durch die alleinige Ausübung der Einrede des nichterfüllten Vertrags ist es mithin nicht möglich, das Gläubigerinteresse endgültig durchzusetzen und eine Erfüllung des Vertragszwecks zu erzwingen.1518 Eine Gleichstellung der Einrede des nichterfüllten Vertrags nach § 320 Abs. 1 BGB mit Mitteln eines „vollziehenden“ Rechtszwangs, wie bei den Rechtsinstituten der Aufrechnung (§§ 387 ff. BGB), der Selbsthilfe (§ 229 BGB) oder den Befriedigungsrechten nach den §§ 1003 BGB, 371 HGB, ist als unpassend abzulehnen.1519
1512
Hierfür spricht in systematischer Hinsicht auch § 215 BGB, welcher die Geltendmachung von Zurückbehaltungsrechten auch nach Verjährungseintritt noch ermöglicht. Hierzu BGH, Urteil vom 19. 05. 2006 – V ZR 40/05, juris, Rn. 7, 21, wonach synallagmatisch verknüpfte Leistungspflichten nach dem Willen der Parteien „in einem dauerhaften Abhängigkeitsverhältnis [stehen]“ und diese Verbindung – unabhängig von dem Eintritt einer etwaigen Verjährung – „erst mit dem Eintritt des geschuldeten Leistungserfolgs [entfällt]“. 1513 BGH, Urteil vom 26. 10. 2016 – VIII ZR 211/15, juris, Rn. 23; Grüneberg, in: Palandt BGB, 80. Aufl. 2021, § 320 BGB, Rn. 1; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 320 BGB, Rn. 1. 1514 Vgl. Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 320 BGB, Rn. 1. 1515 Grüneberg, in: Palandt BGB, 80. Aufl. 2021, § 320 BGB, Rn. 1; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 320 BGB, Rn. 1. 1516 So auch Mayer, Haftung und Paarbeziehung, 2017, 16. A. A. Riehm, in: Pertot / SchmidtKessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 197; Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 356. Nicht eindeutig hingegen Gernhuber, Das Schuldverhältnis, 1989, 70, zwar die Geltendmachung von Zurückbehaltungsrechten der Ausübung von privatem Rechtszwang zusprechend, jedoch diese nicht zum Inhalt eines Anspruchs bzw. einer Forderung zählend. 1517 Ebenso Mayer, Haftung und Paarbeziehung, 2017, 16. 1518 So begründet das Zurückbehaltungsrecht nach §§ 320 Abs. 1, 322 Abs. 1 BGB im Ausgangspunkt lediglich ein Leistungsverweigerungsrecht, welches als Einrede geltend gemacht werden muss und nur zu einer Verurteilung des anderen Teils zur Erfüllung Zug um Zug führt. Vgl. Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 320 BGB, Rn. 45; Larenz, Lehrbuch des Schuldrechts AT, 14. Aufl. 1987, 205 ff. 1519 Hervorhebung seitens des Verfassers. A. A. Riehm, in: Grigoleit / Petersen (Hrsg.), Privat rechtsdogmatik im 21. Jahrhundert, 2017, 345, 356.
258
Teil 3: Die Einordnung der Austauschverhältnisse
Auch vermag das weite Begriffsverständnis des Nachteils i. S. v. EG 42 S. 5 DSGVO der Gegenauffassung nicht zu überzeugen. Weigert sich das Datensubjekt, die vertraglich geschuldete Einwilligung zu erteilen oder wird die Einwilligung dem Anbieter nach Vertragsschluss durch Ausübung des Widerrufsrechts wieder entzogen, entfällt durch eine Ausübung des Zurückbehaltungsrechts vielmehr allein der Vorteil, den das Datensubjekt überhaupt erst durch die bewusste Eingehung des datengetriebenen Austauschgeschäfts in Form eines synallagmatischen Leistungsaustausches im Gegenzug für die Erteilung seiner Einwilligung erhalten hat. Von einem Nachteil i. S. v. EG 42 S. 5 DSGVO kann in diesen Konstellationen nicht die Rede sein, da sich die ursprüngliche Rechtsstellung des Datensubjekts nicht verschlechtert hat.1520 Vielmehr ist das Datensubjekt gerade in der Hinsicht schon privilegiert, dass es völlig nach seinem Belieben entscheiden kann, wie lange der Leistungsaustausch für dieses von Vorteil ist, und dass es, ohne Rücksicht auf den Anbieter nehmen zu müssen, diesem die Einwilligung als Gegenleistung jederzeit, ohne Nachteile in Kauf nehmen zu müssen, wieder entziehen kann.1521 Das so bestehende, vertraglich vereinbarte Äquivalenzverhältnis durch eine darüber hinausgehende Besserstellung des Datensubjekts zu beeinträchtigen und eine Bereicherung des Datensubjekts trotz Verweigerung der Einwilligungserteilung oder trotz Widerrufs der Einwilligung zu ermöglichen, ist nur schwer begründbar und ist, wenn überhaupt, nur in absoluten Ausnahmefällen zuzulassen.1522 Das Datenschutzrecht dient dem Schutz der informationellen Selbstbestimmung natürlicher Personen und gewährleistet dem Datensubjekt sich frei zu entscheiden, ob es seine Daten preisgeben möchte.1523 Es bezweckt jedoch gerade nicht, über die Gewährleistung einer freien Entscheidungsmöglichkeit hinaus in ein vertraglich vereinbartes Äquivalenzverhältnis von Leistung und Gegenleistung dergestalt einzugreifen, dass die Freiwilligkeit der Einwilligungserteilung eine bedingungslose Gewährung der Anbieterleistung erfordern würde.1524 Legitimerweise sichert die Einrede des nichterfüllten Vertrags nach § 320 Abs. 1 BGB den Anbieter wie auch das Datensubjekt diesbezüglich ab, dass der Beginn und der Fortgang der Leistungserbringung von der Erbringung der Gegenleistung der anderen Vertrags 1520
A. A. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 190, 191, diese strenge Auslegung von EG 42 S. 5 DSGVO vertretend. Eingehend hierzu unten S. 276 ff. 1521 Vgl. auch Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 209. 1522 Zu diesen Fällen siehe oben bei Fn. 794, 795. A. A. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 191–193, wonach dem Datensubjekt, wenn dem Anbieter die Einwilligung bei Vertragseingehung einmal erteilt wurde, im Gegenzug erhaltene Vorteile nachträglich auch bei Ausübung des Widerrufsrechts nicht mehr genommen werden dürften. 1523 Siehe oben S. 84 ff. 1524 Dies unterstreicht EG 7 S. 2 DSGVO, dem zu entnehmen ist, dass der Datenschutz primär das Datensubjekt vor einen Kontrollverlust über seine Daten schützen soll. Eine andere Auffassung hätte überdies nicht nur eine gravierende Entwertung der grundrechtlichen Positionen des Anbieters zur Folge, sondern auch eine Entwertung der europarechtlich geschützten Vertragsfreiheit beider Vertragsparteien über ein datenschutzrechtlich notwendiges Maß hinaus. Hierzu siehe oben S. 99. Zu entsprechenden Bedenken siehe auch oben bei Fn. 816, 845.
§ 10 Qualifizierung der Austauschverhältnisse
259
partei abhängen.1525 Dieser Mechanismus ist dem Grundtypus datengetriebener Geschäftsmodelle inhärent und stellt ein charakteristisches Merkmal entsprechender Austauschgeschäfte in der Praxis dar.1526 Bestätigt wird dies dadurch, dass das Datensubjekt im Widerrufsfall auch nur eine zeitweise Unterbrechung der Datenpreisgabe bezwecken kann, ohne das zugrundeliegende Vertragsverhältnis beenden zu wollen.1527 So kann seitens des Datensubjekts im Rahmen der Ausübung des Widerrufsrechts statt der Löschung seiner personenbezogenen Daten nach Art. 17 Abs. 1 lit. b DSGVO auch gemäß Art. 18 Abs. 1 lit. b DSGVO nur eine Einschränkung der Datenverarbeitung oder eine Begrenzung des Widerrufs auf einzelne Verarbeitungsschritte gewünscht sein.1528 Auch geht der europäische Gesetzgeber grundsätzlich von der Anwendbarkeit von Zurückbehaltungsrechten aus. So soll den Mitgliedstaaten gemäß EG 15 S. 1 DIRL es auch nach wie vor freistehen, beispielsweise die Rechte von Vertragsparteien auf Zurückbehaltung der Erfüllung ihrer Verpflichtungen oder von Teilen davon zu regeln. Die Anwendbarkeit der Einrede des nichterfüllten Vertrags gewährleistet innerhalb datengetriebener Austauschgeschäfte damit nicht nur die Verwirklichung des vereinbarten Äquivalenzverhältnisses, sondern stellt auch ein konstitutives Merkmal ihrer Rechtsnatur als entgeltliche Rechtsgeschäfte dar, indem sich hierdurch die rechtliche Abhängigkeit von Leistung und Gegenleistung realisiert. c) Erkenntnisse zur dogmatischen Grundstruktur Die Pflicht zur Einwilligungserteilung konstituiert damit sowohl den Rechtsgrund für das Behalten der erteilten Einwilligung als auch einen Leistungsbefehl an das Datensubjekt als Schuldner, diese Pflicht zu bewirken. Auch wenn die datenschutzrechtliche Einwilligung im Nachhinein widerrufen wird, fungiert die Pflicht zur Einwilligungserteilung weiterhin als Behaltensgrund für die Einwilligung und als bereicherungsrechtlicher Rechtsgrund für in den Zeitraum ihres Bestehens fallende (kommerzielle) Datenverarbeitungsvorgänge, die auf Grundlage der Einwilligung vorgenommen wurden.1529 Hinsichtlich der Durchsetzbarkeit der Leistungspflicht ist, aufgrund der europarechtlichen Vorgaben zur Freiwilligkeit der Einwilligungserteilung, seitens des Anbieters in den Fällen der Verweigerung der 1525
Hierzu siehe oben bei Fn. 1476, 1477. Siehe oben bei Fn. 1041, 1424, 1425, 1477. 1527 Hierzu jeweils oben bei Fn. 805–807 sowie unten bei Fn. 1892. 1528 Ebenda. 1529 So auch Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 193, 194. Zum Fortbestand des Kausalgeschäfts als Behaltensgrund für bereits ausgetauschte Leistungen siehe auch unten bei Fn. 1914, 2220. Lag hingegen bereits zu Beginn des datengetriebenen Austauschverhältnisses keine wirksame Pflicht zur Einwilligungserteilung vor oder ist diese gemäß § 142 Abs. 1 BGB durch Anfechtung des Verpflichtungsgeschäfts ex tunc nichtig geworden, so bestand zu keinem Zeitpunkt ein rechtlicher Behaltensgrund. Eingehend zur bereicherungsrechtlichen Abschöpfung kommerzieller Datenverarbeitungsvorgänge unten S. 378 ff. 1526
260
Teil 3: Die Einordnung der Austauschverhältnisse
Einwilligungserteilung bzw. des Widerrufs der Einwilligung ausschließlich eine Vorenthaltung seiner Leistung durch die Geltendmachung der Einrede des nichterfüllten Vertrags nach § 320 Abs. 1 BGB statthaft. Diese Pflicht verleiht der datenbasierten Leistung des Datensubjekts innerhalb datengetriebener Austauschgeschäfte ihr charakteristisches Gepräge und stellt eine primäre Hauptleistungspflicht dar.1530 2. Die Pflicht zur Datenüberlassung zu kommerziellen Zwecken Im Rahmen datengetriebener Austauschgeschäfte ist das Datensubjekt neben der Pflicht zur Einwilligungserteilung zudem zur Überlassung von personenbezogenen Daten verpflichtet, deren kommerzielle Nutzung durch die Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO legitimiert wird.1531 Da die Datenverarbeitung zu kommerziellen Zwecken vom Bestand der Einwilligung abhängt, ist auch die Rechtmäßigkeit der faktischen Datenüberlassung zu kommerziellen Zecken unter den Vorbehalt der jederzeitigen Widerruflichkeit der datenschutzrechtlichen Einwilligung zu stellen.1532 Aus der Nichtüberlassung entsprechender personenbezogener Daten dürfen folglich – den Ausführungen zur Pflicht der Einwilligungserteilung gemäß – dem Datensubjekt keine Nachteile erwachsen, da sonst die europarechtlichen Vorgaben der Art. 7 Abs. 3 S. 1 DSGVO sowie EG 42 S. 5 DSGVO unterlaufen würden. Zwischen der Pflicht zur Datenüberlassung zu kommerziellen Zwecken und der Pflicht zur Erteilung der Einwilligung zur Legitimierung der Verarbeitung dieser Daten ist damit größtenteils ein Gleichlauf anzunehmen.1533 Im Hinblick auf die überlassenen Daten bzw. die aus der kommerziellen Datenverarbeitung gezogene Wertschöpfung konstituiert die Leistungspflicht sowohl den Rechtsgrund für das Behalten der personenbezogenen Daten als auch den Leistungsbefehl im Sinne des Leistensollens. Zur Durchsetzung der Leistungspflicht steht dem Anbieter wiederum nur die Einrede des nichterfüllten Vertrags zur Verfügung.1534 Die Pflicht zur Datenüberlassung zu kommerziellen Zwecken prägt neben der Pflicht zur Einwilligungserteilung die Leistung des Datensubjekts und dient der Erreichung des Zwecks, der seitens der Anbieter datengetriebener Austauschverhältnisse mit deren Eingehung verfolgt wird. Sie ist damit ebenso als primäre Hauptleistungspflicht zu qualifizieren.1535 1530 Zur typenprägenden Eigenschaft der Einwilligungserteilung siehe oben S. 178 f., 199 ff. sowie unten S. 282 ff. Zur Klassifizierung der vertragscharakteristischen Leistungspflichten: Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 26, 29; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 142, 144 ff. 1531 Siehe oben bei Fn. 1141, 1142 sowie S. 199 ff., 205. 1532 Hierzu bereits oben bei Fn. 1448. 1533 Siehe oben bei Fn. 1180–1184. 1534 Hierzu oben bei Fn. 1494–1497 sowie bei Fn. 1529. 1535 Zur Abgrenzung von Haupt- und Nebenleistungspflichten siehe oben bei Fn. 933–935. Theoretisch könnte man daher erwägen, die Überlassungspflicht auch als Bestandteil der Pflicht zur Einwilligungserteilung zu sehen. Hiergegen sprechen jedoch die Verfügungsähn-
§ 10 Qualifizierung der Austauschverhältnisse
261
3. Die Überlassung notwendiger Daten Schließlich benötigt der Anbieter die Überlassung derjenigen personenbezogenen Daten, welche für die Durchführung des Austauschverhältnisses entsprechend Art. 6 Abs. 1 lit. b, c DSGVO in tatsächlicher wie auch rechtlicher Hinsicht zwingend erforderlich sind. Die Rechtmäßigkeit der Erhebung und Verarbeitung dieser Daten besteht kraft gesetzlicher Erlaubnistatbestände, wodurch die Überlassung bzw. eigenständige Erhebung dieser personenbezogenen Daten nicht als Teil des synallagmatischen Leistungsaustausches zwischen Datensubjekt und Anbieter gewertet werden kann und keine Gegenleistung darstellt.1536 Zu klären ist, ob auch in der Überlassung der für die Erbringung der Anbieterleistung notwendigen Daten eine Leistungspflicht des Datensubjekts zu sehen ist. a) Obliegenheit als Regelfall Die Überlassung notwendiger Daten durch das Datensubjekt im Rahmen datengetriebener Austauschverhältnisse könnte als bloße Obliegenheit in Gestalt einer erforderlichen Mitwirkungshandlung des Datensubjekts als Gläubiger der Anbieterleistung zu qualifizieren sein.1537 Die Obliegenheit stellt eine Verhaltensanforderung dar, die seitens des Gläubigers zwar nicht im Rahmen einer Leistungspflicht geschuldet ist, bei deren Nichtbeachtung dieser jedoch eine Einbuße an seiner eigenen Rechtsposition erleiden kann.1538 Eine Erzwingung des obliegenden Verhaltens wie auch eine Haftung des Adressaten sind damit ausgeschlossen.1539 Bewirkt die Erfüllung der Obliegenheit einen Vorteil beim anderen Vertragsteil des zugrundeliegenden Schuldverhältnisses, konstituiert das Verpflichtungs geschäft einen Rechtsgrund für das Behalten des erlangten Vorteils.1540 Darüber hinaus fehlen jedoch die für eine durchsetzbare Leistungspflicht wesentlichen lichkeit der Einwilligungserteilung und der daraus folgenden Anwendung des Trennungs- und Abstraktionsprinzips. Hierzu unten S. 294 ff. Zudem wird durch die Annahme eigenständiger Pflichten eine Vermischung von personenbezogenen Daten und datenschutzrechtlicher Einwilligung als eigenständige Rechtsgegenstände vermieden. 1536 Siehe oben bei Fn. 1286, 1289 sowie S. 235 f. 1537 Zum Begriff der Obliegenheit im Schuldrecht: Ernst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Einl. SchuldR, Rn. 14; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 120 ff. m. w. N.; Larenz, Lehrbuch des Schuldrechts AT, 14. Aufl. 1987, 389. Kritisch zum Obliegenheitsbegriff: Gernhuber, Das Schuldverhältnis, 1989, 16, Fn. 29. 1538 Ernst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Einl. SchuldR, Rn. 14, 15; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 123, 127; Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 351. 1539 Ernst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Einl. SchuldR, Rn. 14, 15; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 127, 131. 1540 Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 129; Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 351.
262
Teil 3: Die Einordnung der Austauschverhältnisse
Merkmale des Leistensollens wie auch eines Anspruchs auf Durchsetzung der Verhaltensanforderung.1541 Für die grundsätzliche Einordnung der notwendigen Datenüberlassung als bloße Obliegenheit spricht die typische Ausgestaltung datengetriebener Austauschgeschäfte. So wird in der Mehrzahl datengetriebener Geschäftsmodelle durch technische Maßnahmen sichergestellt, dass das Datensubjekt erst dann die Anbieterleistung (vollständig) nutzen kann, wenn dem Anbieter die notwendigen Daten für die Durchführung des Austauschgeschäfts und die Erbringung der Anbieterleistung überlassen wurden. Exemplarisch hierfür lassen sich die Datenübermittlung für die Scorewertberechnung durch die verbauten bzw. mitgeführten technischen Geräte im Rahmen von Telematik-Tarifen und Datenverarbeitungsvorgänge, welche zur Erbringung personalisierter Dienstleistungen zwingend erforderlich sind, anführen.1542 Vergleichbar hierzu müssen bei der Nutzung von sozialen Medien oder Netzwerken verschiedene Angaben zur Identität des Datensubjekts sowie die Kommunikationsinhalte und Kontaktierungsmöglichkeiten, wie eine E-Mailadresse oder eine Telefonnummer, verarbeitet werden. Dasselbe gilt für die Benutzung von Suchfeldern im Rahmen von Softwareanwendungen oder einer Suchmaschine, wo stets der Suchbegriff erhoben werden muss, um den Suchvorgang einzuleiten. Bei datengetriebenen Austauschgeschäften im Internet wird darüber hinaus die IP-Adresse des Datensubjekts benötigt, welche – in Kombination mit weiteren Informationen – regelmäßig ein personenbezogenes Datum darstellen wird.1543 Für das Vorliegen einer Obliegenheit lässt sich in all diesen Fällen ins Feld führen, dass bei Nichtüberlassung der notwendigen Daten – als erforderliche Mitwirkungshandlung – das Datensubjekt zwar Nachteile in Form der (teilweisen) Vorenthaltung der Anbieterleistung oder des Verlustes von Rechten und Vorteilen aus dem Vertrag erleidet, die Nichtüberlassung der notwendigen Daten jedoch keine erzwingbare Leistungspflicht darstellt, aus der eine Haftung des Datensubjekts abgeleitet werden kann.1544 So erfolgen Datenverarbeitungsvorgänge, welche auf Art. 6 Abs. 1 lit. b, c DSGVO gestützt werden, ausschließlich dazu, es dem Anbieter zu ermöglichen, die Anbieterleistung in rechtlicher und tatsächlicher Hinsicht erbringen zu können.1545 Im Rahmen teilweise oder vollkommen datenfinanzierter Austauschgeschäfte wird bei der Nichtüberlassung von notwendigen Daten es daher 1541
Vgl. BGH, Urteil vom 13. 06. 1957 – II ZR 35/57, juris, Rn. 7; RG, Urteil vom 19. 06. 1931 – VII 393/30, RGZ 133, 117, 122; Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 348, 351. Eingehend zur Abgrenzung von Leistungspflicht und Obliegenheit: Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 128 ff. 1542 Hierzu bereits oben bei Fn. 1067, 1306. Vgl. auch Hacker, ZfPW 2019, 148, 169, 176. 1543 Hierzu oben S. 128 f. 1544 Verweigert das Datensubjekt hingegen bereits die Überlassung personenbezogener Daten, die zum Abschluss des Vertrags mit dem Anbieter, wie im Fall einer Registrierung, erforderlich sind, so liegt schon keine Annahme des Vertragsangebots des Anbieters durch das Datensubjekt vor. Hierzu oben S. 191 f. 1545 Hierzu jeweils oben S. 219 ff., 226 ff.
§ 10 Qualifizierung der Austauschverhältnisse
263
bereits an einem ersatzfähigen Schaden des Anbieters fehlen.1546 Einer Schadensersatzpflicht des Datensubjekts stehen aufgrund des Vorliegens eines gesetzlichen Erlaubnistatbestands die europarechtlichen Einschränkungen nach Art. 7 Abs. 3, Abs. 4 DSGVO sowie die EG 42 S. 5, 43 S. 2 DSGVO – vom Wortlaut ausgehend – zwar nicht direkt entgegen. Die europarechtlichen Vorgaben zur Schadloshaltung des Datensubjekts nach EG 42 S. 5 DSGVO, in den Fällen der Verweigerung der Einwilligungserteilung bzw. des Widerrufs der Einwilligung, sind jedoch auch im Fall der Nichtüberlassung notwendiger Daten zu beachten. Eine Haftung des Datensubjekts, welche auf der verpassten Kommerzialisierung personenbezogener Daten beruht, kann somit nicht darauf gestützt werden, dass sich das Datensubjekt weigert, für die Vertragserfüllung notwendige Daten zu überlassen.1547 In der Regel besteht bei typischen datengetriebenen Austauschgeschäften als internetbasierten Massengeschäften mit vernachlässigbarem Leistungsaufwand auch kein sonstiges Bedürfnis, eine Haftung des Datensubjekts bei Nichtüberlassung der notwendigen Daten anzunehmen.1548 Die Überlassung von notwendigen personenbezogenen Daten liegt in diesen Konstellationen überwiegend im Interesse des Datensubjekts, welches andernfalls Nachteile erleidet.1549 Wurde der Vertrag mit dem Datensubjekt bereits abgeschlossen, so erlischt bei der Verweigerung der Übermittlung der notwendigen Daten grundsätzlich nur der Anspruch des Datensubjekts auf die Anbieterleistung oder das Datensubjekt verliert einen anderen, ihm gewährten Vorteil.1550 Im Regelfall datengetriebener Austauschgeschäfte wird deswegen eine Obliegenheit anzunehmen sein. b) Nebenleistungspflicht als Ausnahme Im konkreten Einzelfall kann die Überlassung notwendiger Daten auch als echte Leistungspflicht zu qualifizieren sein.1551 Dies wird insbesondere dann anzunehmen sein, wenn eine Pflicht zur Überlassung notwendiger Daten innerhalb des Vertragsverhältnisses ausdrücklich vereinbart wurde oder – nach der Ausge 1546 Zu diesem (teils umstrittenen) Kriterium: Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 129 m. w. N. 1547 Hierzu oben bei Fn. 1533, 1503 sowie S. 260 sowie weiterführend unten Fn. 1954. 1548 Zu den niedrigen Grenzkosten für die Erbringung der Anbieterleistung im Rahmen internetbasierter datengetriebener Austauschgeschäfte siehe oben Fn. 1039, 1485. 1549 Zur Relevanz eines selbstschädigenden Charakters für die Annahme einer Obliegenheit: Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 123, 128, 131 m. w. N.; Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 25. 1550 Vertieft hierzu unten S. 336 f. Als Beispiel hierfür können wiederum Telematik-Versicherungen herangezogen werden, die, für den Fall der Nichtüberlassung der notwendigen Fahrdaten, nur den Verlust der Prämien reduktion des Versicherungsnehmers vorsehen, wenn die Datenüberlassung nicht ausdrücklich als Leistungspflicht vereinbart wurde. Nachweise hierbei Hacker, ZfPW 2019, 148, 169. 1551 Zur Abgrenzung zwischen Leistungspflichten und Obliegenheiten: Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 128 ff.
264
Teil 3: Die Einordnung der Austauschverhältnisse
staltung des Vertrags, seiner Zwecksetzung und der Interessenlage der Vertragsparteien – von einer verbindlichen, durchsetzbaren Leistungspflicht auszugehen ist.1552 Eine Leistungspflicht dürfte aufgrund der Umstände eines Vertrags im Einzelfall insbesondere dann angenommen werden können, wenn dem Anbieter durch das Ausbleiben der vorzunehmenden Mitwirkungshandlung ein Schaden droht, welcher nicht ausschließlich auf einer verpassten Kommerzialisierung der personenbezogenen Daten des Datensubjekts beruht. Dies ist beispielsweise anzunehmen, wenn die Überlassung von Daten notwendig ist, um die Leistung des Anbieters rechtzeitig oder überhaupt erbringen zu können und diesem dadurch, wie im Fall einer verspäteten Abnahme der Werkleistung oder Kaufsache (§§ 433 Abs. 2, 640 Abs. 1 BGB), Schäden entstehen.1553 Entsprechende Leistungspflichten verfolgen insbesondere den Zweck, den Anbieter in die Lage zu versetzen, seine Leistung in tatsächlicher wie auch rechtlicher Hinsicht erbringen zu können und dienen damit nicht nur der Erbringung der Anbieterleistung, sondern liegen auch im Interesse des Anbieters zur Vermeidung drohender Schäden.1554 Sie sind in Ausnahmefällen daher als leistungsbezogene Nebenpflichten in Form von Mitwirkungspflichten einzuordnen.1555 Entsprechende Leistungspflichten konstituieren nicht nur den Rechtsgrund für das Behalten der notwendigen Daten, sondern beinhalten auch einen Leistungsbefehl sowie einen durch Rechtszwang durchsetzbaren Anspruch.1556 Die europarechtlichen Vorgaben der DSGVO stehen im Hinblick auf die Durchsetzbarkeit einer Pflicht zur Überlassung notwendiger Daten damit grundlegend nur der Ersatzfähigkeit von Schäden aufgrund einer verpassten Kommerzialisierung personenbezogener Daten entgegen, welche ausschließlich auf die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestützt werden kann.1557 1552 Vgl. RG, Urteil vom 19. 06. 1931 – VII 393/30, RGZ 133, 117, 122; RG, Urteil vom 28. 06. 1904 – VII 56/04, RGZ 58, 342, 34; Dötterl, in: BeckOGK BGB, Stand: 15. 02. 2021, § 293 BGB, Rn. 12; Feldmann, in: Staudinger BGB, Neubearbeitung 2019, Vor. zu §§ 293–304 BGB, Rn. 12, 13. Zur Konstellation der ausdrücklichen Vereinbarung einer Leistungspflicht siehe Hacker, ZfPW 2019, 148, 169 m. w. N. In Abgrenzung zu Obliegenheiten sind vertragliche Leistungspflichten zum Leistungsinhalt eines Vertrags zu zählen. Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 123. 1553 Vgl. Dötterl, in: BeckOGK BGB, Stand: 15. 02. 2021, § 293 BGB, Rn. 12 ff.; Feldmann, in: Staudinger BGB, Neubearbeitung 2019, § 293 BGB, Rn. 18. Anzunehmen wäre dies bei (internetbasierten) Verträgen, in denen aufgrund der fehlenden Datenübermittlung die Leistung der anderen Vertragspartei nicht an das Datensubjekt ausgeliefert werden konnte und dem Anbieter für die verzögerte Bereitstellung oder die (digitale) Lagerung des Leistungsgegenstands deswegen zusätzliche Kosten entstehen. 1554 Vgl. Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 6; Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 173 ff., 214 ff. m. w. N. zu Kasuistik und Rechtsprechung. 1555 Zu dieser Klassifizierung: Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 42, 62 ff. Ähnlich Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 540, 541. 1556 Vgl. BGH, Urteil vom 13. 06. 1957 – II ZR 35/57, juris, Rn. 7 sowie Riehm, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, 2017, 345, 348 ff. 1557 Hierzu oben bei Fn. 1547.
§ 10 Qualifizierung der Austauschverhältnisse
265
Trotz des Bestehens eines gesetzlichen Erlaubnistatbestands wird hinsichtlich der Durchsetzbarkeit einer Pflicht zur Übermittlung von notwendigen Daten zu berücksichtigen sein, dass die Datenpreisgabe die informationelle Selbstbestimmung des Datensubjekts tangiert und einen persönlichkeitsrelevanten Charakter besitzt.1558 In Ausnahmefällen wird sich das Datensubjekt daher auf § 275 Abs. 3 BGB berufen können, um die notwendige Überlassung bestimmter personenbezogener Daten zu verweigern.1559 Das Datensubjekt wird hiernach die Überlassung erforderlicher Daten verweigern können, wenn dessen Interesse an einer Geheimhaltung seiner personenbezogenen Daten das Interesse des Anbieters an deren Erlangung überwiegt. Zu beachten ist hierbei, dass gerade für die Kommerzialisierung von besonders sensiblen Kategorien personenbezogener Daten i. S. v. Art. 9 Abs. 1 DSGVO stets eine Einwilligung vorzuliegen hat.1560 Eine Berufung auf § 275 Abs. 3 BGB wird daher nur in besonderen Ausnahmefällen anzunehmen sein, in denen eine Überlassung ähnlich persönlichkeitsrelevanter Daten geschuldet ist, die nicht unter den Verbotskatalog Art. 9 Abs. 1 DSGVO fallen und deren Verarbeitung durch einen gesetzlichen Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO gestattet ist.1561 VI. Resümee zu den festgestellten Einordnungskriterien Zusammenfassend lässt sich festhalten, dass datengetriebene Austauschgeschäfte als entgeltliche Rechtsgeschäfte in der Regel durch im Synallagma stehende Leistungspflichten von Anbieter und Datensubjekt geprägt sind. Die datenbasierte 1558
Zum Grundrecht auf informationelle Selbstbestimmung siehe oben S. 84 ff. Ähnlich: Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 189; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 103, die Berufung auf § 275 Abs. 3 BGB jeweils unter dem Gesichtspunkt der Durchsetzbarkeit einer Pflicht zur Einwilligungserteilung diskutierend. 1560 Eine Datenverarbeitung ist danach allein in den abschließend aufgeführten Fällen nach Art. 9 Abs. 2 DSGVO zulässig, wobei der Ausnahmekatalog gerade keine Regelung enthält, welche die Datenverarbeitung zur Vertragserfüllung i. S. v. Art. 6 Abs. 1 lit. b DSGVO rechtfertigt. Weil Art. 9 DSGVO als lex specialis Sperrwirkung gegenüber Art. 6 Abs. 1 DSGVO entfaltet, ist ein Rückgriff auf die allgemeinen Erlaubnistatbestände zumindest zulasten der Datensubjekte unzulässig. Hierzu oben Fn. 1388, 1389 sowie Hornung / Gilga, CR 2020, 367, 374; Albers / Veit, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 9 DSGVO, Rn. 24 ff. 1561 Nicht von Art. 9 Abs. 1 DSGVO erfasst wären beispielsweise Informationen über das Verhältnis zu Freunden, Angehörigen oder Arbeitskollegen oder über Verhaltensweisen, welche gesellschaftlich verpönt oder dem Datensubjekt peinlich sind. Unzumutbar ist dementsprechend die Erfüllung einer Verpflichtung zur Überlassung von sensiblen Daten, welche die Privatssphäre des Datensubjekts betreffen und deren Preisgabe diesen unangemessen stark beeinträchtigen bzw. negative Folgen im sozialen Bereich mit sich bringen würde. Vgl. Caspers, in: Staudinger BGB, Neubearbeitung 2019, § 275 BGB, Rn. 108. Notwendig könnte eine entsprechende Datenüberlassung etwa zur Erbringung hochpersonalisierter Partnerschaftsvorschläge im Rahmen professioneller Partnervermittlungsportale sein. Vgl. oben Fn. 1067. Wegen des in diesen Fällen demgegenüber nur wenig schutzwürdigen Leistungsinteresses des Anbieters wird das Datensubjekt dazu berechtigt sein, die Datenüberlassung unter Berufung auf § 275 Abs. 3 DSGVO verweigern zu können. 1559
266
Teil 3: Die Einordnung der Austauschverhältnisse
Leistung des Datensubjekts ist zweigeteilt in einerseits die Pflicht zur Einwilligungserteilung sowie andererseits die Pflicht zur Überlassung der personenbezogenen Daten, deren kommerzielle Verarbeitung durch die Einwilligung gestattet wird. Die einzelnen Leistungspflichten verleihen der datenbasierten Leistung des Datensubjekts und damit auch den datengetriebenen Austauschgeschäften mit kommerzieller Zwecksetzung ihr charakteristisches Gepräge und sind dogmatisch als primäre Hauptleistungspflichten zu qualifizieren. Sie beinhalten jeweils den Rechtsgrund für das Behalten der Einwilligung bzw. der personenbezogenen Daten sowie den Leistungsbefehl an das Datensubjekt, die Pflicht zu bewirken. Hinsichtlich der Elemente der Durchsetzbarkeit der datenbasierten Leistungspflichten ist aufgrund der europarechtlichen Vorgaben ausschließlich eine Vorenthaltung der Anbieterleistung durch die Geltendmachung der Einrede des nichterfüllten Vertrags seitens des Anbieters statthaft. Aufgrund des Fehlens wesentlicher Elemente der Durchsetzbarkeit können diese, die datenbasierte Leistung ausmachenden Pflichten als „durchsetzungsbeschränkte“ Leistungspflichten bezeichnet werden.1562 Die Überlassung notwendiger Daten stellt dagegen grundsätzlich keinen Teil des vertraglichen Synallagmas dar und besitzt keinen Gegenleistungscharakter. In der Regel wird die notwendige Datenüberlassung innerhalb datengetriebener Austauschverhältnisse als Obliegenheit einzuordnen sein, die ausschließlich zum Verlust von Rechten oder sonstigen Vorteilen des Datensubjekts führen kann.
B. Konkretisierung der vertragstypologischen Einordnung I. Ausgangspunkt Für die rechtliche Einordnung datengetriebener Austauschgeschäfte, welche die Verarbeitung personenbezogener Daten zu kommerziellen Zwecken verfolgen, ist festzuhalten, dass diese typischerweise als entgeltliche Vertragsverhältnisse zu qualifizieren sind, die durch eine beliebig ausgestaltete Anbieterleistung und eine hiermit synallagmatisch verknüpfte datenbasierte Gegenleistung eines Datensubjekts geprägt werden.1563 Zur vertragstypologischen Einordnung typischer datengetriebener Geschäftsmodelle wird folgend zunächst deren vertragliche Qualifizierung dargestellt, wenn für die Erbringung der Anbieterleistung als Gegenleistung nicht die Kommerzialisierung personenbezogener Daten, sondern ausschließlich eine monetäre Gegenleistung zugrunde liegt. Anschließend wird die rechtliche Qualifizierung der datenbasierten Leistung vorgenommen, wobei die hieraus fol 1562 A. A. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 192, wonach unter Zugrundelegung seiner Auffassung die Annahme einer Leistungspflicht „zu dem absonderlichen Ergebnis einer völlig sanktionslosen vertraglichen Pflicht führen“ würde. 1563 Siehe oben S. 187 ff., 251 f. Die datenbasierte Leistung des Datensubjekts weist zudem Dauerschuldcharakter auf, weshalb Dauerschuldverhältnisse vorliegen. Hierzu oben S. 204 f.
§ 10 Qualifizierung der Austauschverhältnisse
267
genden Implikationen für die vertragstypologische Einordnung datengetriebener Vertragsverhältnisse thematisiert werden. II. Datengetriebene Austauschgeschäfte gegen monetäres Entgelt Grundlegend ist für die rechtliche Einordnung typischer datengetriebener Vertragsverhältnisse mit einer Geldzahlungspflicht als Gegenleistung auf die Vielgestaltigkeit und Beliebigkeit der im konkreten Fall vereinbarten Anbieterleistung als prägendes Charakteristikum zu verweisen.1564 Lässt sich die Anbieterleistung unter Berücksichtigung des vereinbarten Pflichtenprogramms und der Interessenlage der Vertragsparteien einem gesetzlichen Vertragstypus zuordnen, welcher eine Geldzahlungspflicht des anderen Vertragsteils als Gegenleistung vorsieht, werden entsprechende Austauschverhältnisse unproblematisch unter diesem Vertragstypus eingeordnet werden können.1565 Konstellationen der dauerhaften Überlassung eines körperlichen oder unkörperlichen Gegenstands gegen eine Zahlung von Geld sind demnach als Kaufverträge nach § 433 BGB bzw. § 453 Abs. 1 BGB i. V. m. §§ 433 ff. BGB einzuordnen. Liegt der Anbieterleistung dagegen die vorübergehende Überlassung eines körperlichen oder unkörperlichen Gegenstands zugrunde, werden entsprechende Verträge als Mietverträge nach § 535 BGB oder Rechtspachtverträge nach § 581 BGB i. V. m. §§ 535 ff. BGB zu qualifizieren sein. Wird seitens des Anbieters die Herbeiführung eines Erfolgs oder die Erbringung einer Tätigkeit geschuldet, unterfallen entsprechende Verträge hingegen den Werkvertragstypen nach §§ 631 ff. BGB oder dem Dienstvertragsrecht nach §§ 611 ff. BGB. Im Fall von Telematik-Tarifen ist der Versicherungsvertrag als die Versicherung eines Risikos gegen monetäres Entgelt – entsprechend der herrschenden Meinung – gemäß § 1 VVG dogmatisch als eigenständiger schuldrechtlicher Vertragstypus sui generis mit synallagmatisch verknüpften Leistungspflichten einzuordnen.1566 Für die dominierenden internetbasierten Austauschgeschäfte ist die vertrags typologische Einordnung mangels ihrer gesetzlichen Kodifizierung jedoch grundlegend vom konkreten Leistungsgegenstand abhängig und aufgrund der häufigen Vermischung mehrerer Leistungen innerhalb neuartiger Vertragskonstellationen in besonderer Weise rechtlich komplex.1567 Internetbasierte Vertragsverhältnisse ermöglichen häufig nicht nur einen ortsunabhängigen Zugriff auf einzelne Softwareanwendungen, auf Webinhalte oder verschiedene Dienstleistungen, sondern stellen 1564
Siehe oben S. 192 f. Hierzu oben S. 162. 1566 Hierzu Looschelders, in: Münchener Kommentar zum VVG, 2. Aufl. 2016, § 1 VVG, Rn. 72, 73, 82–84; Schwarze, in: Staudinger BGB, Neubearbeitung 2020, Vor. zu §§ 320–326 BGB, Rn. 42; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 320 BGB, Rn. 21. 1567 Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 12 ff., 15 ff. 1565
268
Teil 3: Die Einordnung der Austauschverhältnisse
regelmäßig zugleich auch benötigte Hardwarekomponenten (z. B. Datenspeicher oder Prozessorleistung) zur Softwarenutzung bereit oder ganze Online-Plattformen zur Verfügung, auf denen unterschiedlichste Einzelleistungen miteinander kombiniert werden.1568 Die Leistungsbeziehung zwischen Anbieter und Kunden besteht zumeist nicht nur punktuell, sondern ist auf eine längere Zeit angelegt.1569 Überwiegend wird von Dauerschuldverhältnissen auszugehen sein, die verschiedene Leistungspflichten enthalten, welche rechtlich jeweils eigenständig zu qualifizieren sind und sich im Ausnahmefall auch auf das Vertragsverhältnis in seiner Gesamtheit auswirken können.1570 Gemäß den Begriffsbestimmungen der DIRL kann nach Art. 1 DIRL i. V. m. Art. 2 Nr. 1 sowie Nr. 2 DIRL dabei zwischen der Bereitstellung von digitalen Inhalten und digitalen Dienstleistungen unterschieden werden, was jedoch gemäß EG 12 S. 2 DIRL für die vertragstypologische Einordnung des jeweiligen Vertragsverhältnisses innerhalb des nationalen Vertragsrechts keine Bedeutung aufweist.1571 Besondere Relevanz für internetbasierte datengetriebene Austauschgeschäfte besitzen insbesondere die dauerhafte und die vorübergehende Überlassung von Software sowie die Programm- und Dienstnutzung über das Internet (Cloud-Computing). All diesen Leistungen ist gemein, dass sie alternativ gegen eine Zahlung von Geld, gegen eine datenbasierte Gegenleistung oder unentgeltlich angeboten werden können. Aufgrund der Schwerpunktsetzung auf Austauschverhältnisse mit datenbasierter Gegenleistung erfolgt die Darstellung der Qualifizierung von Austauschgeschäften mit Geldzahlungspflicht nur überblicksartig.
1568 Zur softwarebasierten Diensterbringung über das Internet im Rahmen des Cloud-Computings siehe unten S. 270 f. Zur Kombination verschiedener Einzelleistungen im Rahmen von Internetdiensten und Plattformverträgen siehe Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 477 ff. m. w. N. sowie Schöttle, in: Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 25, Rn. 252. Allgemein zur vertragstypologischen Einordnung von Plattformnutzungsverträgen siehe Winde, Die Regulierung anlagevermittelnder und -beratender Internet-Plattformen, 2019, 109, 110 m. w. N. 1569 Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 10. 1570 Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 10, 12, 13, 477 ff., hierfür Verträge in den Bereichen des Access-Providing, der Nutzung spezieller Softwareangebote im Rahmen von Online-Plattformen sowie bei Gesamtverträgen im Bereich von Host-Providing-Dienstleistungen und der Internetdomainbeschaffung anführend. 1571 Nach Art. 2 Nr. 1 DIRL stellen „digitale Inhalte“ Daten dar, die in digitaler Form erstellt und bereitgestellt werden. Der Begriff der „digitalen Dienstleistungen“ umfasst gemäß Art. 2 Nr. 2 lit. a DIRL alle Dienstleistungen, die dem Verbraucher die Erstellung, Verarbeitung oder Speicherung von Daten in digitaler Form oder den Zugang zu solchen Daten ermöglichen. Nach Art. 2 Nr. 2 lit. b DIRL zählen hierzu auch Dienstleistungen, die die gemeinsame Nutzung der vom Verbraucher oder von anderen Nutzern der entsprechenden Dienstleistung in digitaler Form hochgeladenen oder erstellten Daten oder sonstige Interaktionen mit diesen Daten ermöglichen.
§ 10 Qualifizierung der Austauschverhältnisse
269
1. Dauerhafte und vorübergehende Überlassung von Software So wird für die Qualifizierung der dauerhaften entgeltlichen Softwareüberlassung – als Download oder verkörpert auf einem Datenträger ohne geschuldete vorherige Erstellung des Computerprogramms (sog. „Standardsoftware“) – gegen monetäres Entgelt vertreten, entweder Kaufrecht direkt nach § 433 BGB oder über die Verweisungsregel nach § 453 Abs. 1 BGB anzuwenden.1572 Ebenso wird eine lizenzvertragliche Qualifizierung1573 erwogen. Im Bereich der dauerhaften entgeltlichen Softwareüberlassung mit geschuldeter vorheriger Erstellung des Computerprogramms (sog. „Individualsoftware“)1574 wird dagegen die Anwendung von Werkvertragsrecht1575 oder Kaufvertragsrecht über §§ 651 S. 1 BGB angenommen.1576 Für die vorübergehende entgeltliche Softwareüberlassung wird dagegen, neben einer lizenzvertraglichen Einordnung, die Anwendung von Mietrecht nach §§ 535 ff. BGB oder der Vorschriften über die Rechtspacht nach § 581 BGB i. V. m. §§ 535 ff. BGB in Betracht gezogen.1577 Unentgeltliche Softwareüberlassungsverträge ohne Gegenleistung sind dem Schenkungsrecht oder dem Recht der Leihe zuzuweisen.1578
1572 Hierzu tendiert die h. M.: Vgl. BGH, Urteil vom 15. 11. 2006 – XII ZR 120/04, juris, Rn. 15; Kast, in: Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 12, Rn. 41 ff. m. w. N.; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 238, 239; Wilhelmi, in: BeckOGK BGB, Stand: 01. 04. 2021, § 453 BGB, Rn. 179; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 25, 26; Hoeren, Softwareüberlassung als Sachkauf, 1989, 30 ff., 57. Ähnlich Bösert, Nießbrauch an Computerprogrammen, 1992, 169 ff., 328 ff., 375, 376, wonach bei der Softwareüberlassung von einem Fahrnisnießbrauch i. S. v. §§ 1030, 1032 BGB ausgegangen wird, dessen Bestellung grundsätzlich kaufvertragsrechtlich einzuordnen wäre. 1573 Hilty, MMR 2003, 3, 14, 15; Heussen, GRUR 1987, 779, 789, 791. 1574 Zu den Begriffen von Individualsoftware und Standardsoftware siehe auch Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 120, 121. 1575 So die h. M.: BGH, Urteil vom 25. 03. 2010 – VII ZR 224/08, juris, Rn. 14; BGH, Urteil vom 15. 05. 1990 – X ZR 128/88, juris, Rn. 18; Schippel, MMR 2021, 8, 9; Bräutigam / Rücker, CR 2006, 361, 366–368; Schmidl, MMR 2004, 590, 592; Wilhelmi, in: BeckOGK BGB, Stand: 01. 04. 2021, § 453 BGB, Rn. 179; Stieper, in: Staudinger BGB, Neubearbeitung 2017, § 90 BGB, Rn. 15. 1576 Schweinoch, CR 2010, 1, 4, 6–8; Redeker, CR 2004, 88, 91; Kast, in: Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 12, Rn. 69–70 m. w. N. 1577 Die h. M. vertritt eine mietrechtliche Einordnung: BGH, Urteil vom 15. 11. 2006 – XII ZR 120/04, juris, Rn. 14, 15; Roth-Neuschild, in: Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 13, Rn. 8 ff., 22 ff. m. w. N.; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 33; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 188–191, 224 f., wonach für den Fall der zeitweisen Überlassung von Individualsoftware von einem Vertrag mit werkvertraglichen und pachtvertragsrechtlichen Elementen auszugehen wäre. 1578 Hierunter fallen insbesondere Open-Source-Software und Freeware. Zum Meinungsstand: Kast, in: Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, § 12, Rn. 42; Druschel / Oehmichen, CR 2015, 233, 234; Lenhard, Vertragstypologie von Softwareüberlassungsverträgen, 2006, 349 ff.
270
Teil 3: Die Einordnung der Austauschverhältnisse
2. Softwarebasierte Diensterbringung über das Internet Einen Sonderfall stellt dabei die vorübergehende entgeltliche Gewährung der Softwarenutzung oder eines sonstigen Dienstes über das Internet dar, welche, je nach konkreter Erscheinungsform, auch unter die Begriffe ASP („Application Service Providing“) und Cloud-Computing gefasst werden kann oder übergreifend als softwarebasierte Erbringung von Diensten über das Internet bezeichnet wird.1579 Hinsichtlich des Cloud-Computing ist zu konstatieren, dass sich infolge des technischen Fortschritts eine Vielzahl von Geschäftsmodellen etabliert hat, die über die internetbasierte Bereitstellung von Software hinausgehen.1580 So können Anbieter einem Kunden über das Internet den Zugriff auf Softwareanwendungen („Software as a Service“) und auf Entwicklungsumgebungen für Software („Platform as a Service“) wie auch Hardwarestrukturen („Infrastructure as a Service“) beliebig dezentral zur Verfügung stellen, wodurch der Kunde seine eigenen informationstechnologischen Strukturen und Aufwendungen auf ein Minimum reduzieren kann.1581 Die vertragstyplogische Einordnung der softwarebasierten Diensterbringung über das Internet gegen monetäres Entgelt ist aufgrund der Vielgestaltigkeit und Komplexität cloudbasierter Geschäftsmodelle stets davon abhängig, welche Leistungsgegenstände auf der Anbieterseite dem jeweiligen Vertragsverhältnis im Einzelfall zugrunde liegen.1582 Die herrschende Meinung unterwirft SaaS-Verträge und IaaS-Verträge, infolge der geschuldeten Anbieterleistung zur vorübergehenden Bereitstellung von Software oder technologischer Infrastruktur, direkt oder unter analoger Anwendung dem Mietrecht.1583 Je nach Ausgestaltung des Pflichtenprogramms kann auf einzelne Leistungspflichten auch das Recht anderer gesetz licher Vertragstypen anzuwenden sein sowie eine Einordnung als typengemischte Verträge in Betracht gezogen werden.1584 Aufgrund der individuell – je nach Geschäftsmodell – ausgestalteten Leistungspflichten ist es zudem oftmals schwierig,
1579 In die Thematik einführend und einen Überblick verschaffend: Schuster / Reichl, CR 2010, 38 ff.; Boehm, ZEuP 2016, 358, 359 ff. 1580 Vgl. Schuster / Reichl, CR 2010, 38, 39; Boehm, ZEuP 2016, 358, 362 ff. 1581 Weiter untergliedern lässt sich diese Aufteilung in die Bereitstellung von Datenspeicherkapazitäten („Data as a Service“), die Bereitstellung von Netzwerken und Kommunikationsmitteln („Network as a Service“ sowie „Communication as a Service“). Im Endeffekt kann von „XaaS“ gesprochen werden, wobei X für jeden Dienst steht, der einen softwarebasierten Dienst darstellt, welcher über das Internet bereitgestellt werden kann. Schuster / Reichl, CR 2010, 38–40; Boehm, ZEuP 2016, 358, 36, 363. 1582 Hierzu bereits oben bei Fn. 1567 sowie Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 137, 138, 145. 1583 BGH, Urteil vom 15. 11. 2006 – XII ZR 120/04, juris, Rn. 14 ff.; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 135, 145; Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 386 ff. 1584 So wird, neben einer Anwendung von Mietvertragsrecht, auch eine Anwendung von Dienst- oder Werkvertragsrecht zur rechtlichen Behandlung von Cloud-Computing-Verträgen erwogen. Hierzu Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 134 ff., umfassend und m. w. N. zum Meinungsstand in Literatur und Rechtsprechung.
§ 10 Qualifizierung der Austauschverhältnisse
271
die Hauptleistungen zu identifizieren, die den Verträgen ihr charakteristisches Gepräge verleihen.1585 Im kodifizierten Recht finden sich keine spezifischen Regelungen zur zivilrechtlichen Behandlung internetbasierter Austauschgeschäfte. Als Beispiel für die ungeklärte vertragliche Qualifizierung von internetbasierten Geschäftsmodellen kann das Streaming herangezogen werden: Es lässt sich umschreiben als das Ansehen eines Filmes, eines Videoclips, das Hören eines Hörbuchs oder Musiktitels oder der Konsum eines sonstigen Mediums über das Internet, zeitgleich mit dem Download der hierfür erforderlichen Dateien und deren nur temporären Speicherung auf dem Computer des Kunden.1586 Je nachdem, ob das Streaming in Form des Live-Streamings, des On-Demand-Streamings oder im Rahmen eines Abonnements sowie entgeltlich oder unentgeltlich erfolgt, können entsprechende Vertragsverhältnisse mit monetärer Gegenleistung unterschiedlichen Vertragstypen zuzuordnen sein.1587 Im Hinblick auf das Live-Streaming kommt, abhängig von der Entgeltlichkeit, eine auftrags- oder dienstvertragsrechtliche Einordnung sowie für das On-Demand-Streaming eine Qualifizierung als Mietvertrag, Leihvertrag oder Rahmenvertrag in Frage.1588 Die entgeltliche Bereitstellung von E-Mail-Dienstleistungen wird üblicherweise als ein Vertrag mit werk- oder dienstvertraglichen und mietvertraglichen Elementen eingeordnet.1589 Verträge über die entgeltliche Nutzung sozialer Netzwerke hingegen werden, je nach Ansicht, dienst-, werk- oder mietvertragsrechtlich bzw. als typengemischter Vertrag qualifiziert.1590
1585
Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 135, 136; Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 15, 16. 1586 Unterschieden werden muss hierbei weiter zwischen dem „Live-Streaming“ und dem „On-Demand-Streaming“. Beim On-Demand-Streaming kann der Kunde auf die Videodateien ortsunabhängig und zu beliebiger Zeit zugreifen. Der Zugriff kann dabei punktuell auf einzelne Medien oder im Rahmen eines Abonnements längerfristig erfolgen. Beim Live-Streaming erfolgt dagegen die Übertragung des Mediums zeitgleich mit der Erstellung des Medieninhalts, wie die Aufnahme eines Videos in Echtzeit. Hierzu Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 165, 167 ff., 174 ff. 1587 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 172 ff., 181, 182. 1588 Ebenda. 1589 Dies ist im Einzelnen umstritten: Vgl. Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 195 ff., 203 m. w. N. 1590 Vgl. LG Frankfurt, Urteil vom 03. 09. 2020 – 2-03 O 282/19, juris, Rn. 63 m. w. N.; Adelberg, Rechtspflichten und -grenzen der Betreiber sozialer Netzwerke, 2020, 148 ff.; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 19; Bräutigam, MMR 2012, 635, 640; Redeker, in: Hoeren / Sieber et al. (Hrsg.), Handbuch Multimedia-Recht, 54. EL. 2020, Rn. 1–493, Rn. 420, 421; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 196–198 m. w. N., welche eine Regelung der vertragstypologischen Einordnung von Verträgen im Hinblick auf die Nutzung sozialer Netzwerke aufgrund der unterschiedlichen Erscheinungsformen und des raschen technologischen Wandels nicht als sinnvoll erachtet.
272
Teil 3: Die Einordnung der Austauschverhältnisse
III. Rechtliche Einordnung der datenbasierten Gegenleistung In diesem Abschnitt erfolgt die rechtliche Qualifizierung der datenbasierten Gegenleistung und die daraus sich ergebenden Konsequenzen für die vertragstypologische Einordnung datengetriebener Austauschgeschäfte werden gezogen. Die europäische Gesetzgebung überlässt die Frage der rechtlichen Qualifizierung ausdrücklich dem nationalen Recht.1591 In der Literatur ist das Meinungsbild zu dieser Thematik, angesichts der zahlreichen umstrittenen Vorfragen hinsichtlich des Leistungsgegenstands und der Verknüpfung der Leistungen, vielfältig und heterogen. Abzulehnen ist jedenfalls die Auffassung, welche von der Unbeachtlichkeit der datenbasierten Gegenleistung ausgeht und datengetriebene Austauschverhältnisse mit kommerzieller Zwecksetzung als unentgeltliche Verträge qualifiziert.1592 1. Einordnung als Tausch Eine Auffassung erwägt eine tauschrechtliche Qualifizierung des Austauschverhältnisses, wodurch nach § 480 BGB die Vorschriften über das Kaufrecht auf die datenbasierte Gegenleistung anzuwenden wären.1593 Soweit näher spezifiziert, wird dabei angenommen, dass eine Form des (Rechts)tausches nach §§ 480, 453 Abs. 1 Var. 1 BGB im Hinblick auf die datenschutzrechtliche Einwilligung oder ein Tausch im Hinblick auf die personenbezogenen Daten als sonstiger Gegenstand nach §§ 480, 453 Abs. 1 Var. 2 BGB vorliegen würde.1594 Eine Begründung für eine tauschrechtliche Einordnung und dafür, dass die Vorschriften des Kaufrechts für die rechtliche Behandlung datengetriebener Austauschgeschäfte angemessen seien, bleibt 1591
Nachweise hierzu oben bei Fn. 552. Hierzu oben S. 214 f. 1593 Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 25, 26; Druschel, Die Behandlung digitaler Inhalte im Gemeinsamen Europäischen Kaufrecht (GEKR), 2014, 86, 87, 90 ff.; Druschel / Oehmichen, CR 2015, 233, 234, für den Fall der Überlassung personenbezogener Daten „als geldwerte ‚Gegenleistung‘“ für die dauerhafte Bereitstellung digitaler Inhalte, wobei hierbei fälschlicherweise § 488 BGB zitiert wird; Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 86, unter Verweis auf Druschel / Oehmichen; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 48, wobei in der Neuauflage hieran nicht weiter festgehalten wurde; Buchner, DuD 2010, 39, 41; Specht, JZ 2017, 763, 764, eine tauschrechtliche Qualifizierung im Fall einer punktuellen Austauschbeziehung annehmend, bei welcher die Gegenleistung allein in der Preisgabe personenbezogener Daten oder zusätzlich in einer Geldzahlung besteht. 1594 So erwägt Specht das Kaufrecht über § 453 Abs. 1 Var. 2 BGB auf den gesamten Austauschvertrag anzuwenden, wenn die Gegenleistung des Datensubjekts in der faktischen Überlassung personenbezogener Daten als sonstiger Gegenstand im Sinne der Vorschrift zu sehen wäre. Hierzu Specht, JZ 2017, 763, 764. Ebenso wohl Druschel / Oehmichen, CR 2015, 233, 234; im Ergebnis auf die Einwilligung abstellend, jedoch nur unspezifiziert auf die Vorschriften über den Tausch nach § 480 BGB verweisend: Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 25, 26; ebenso ohne weitere Ausführungen: Buchner, DuD 2010, 39, 41 sowie Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 86. 1592
§ 10 Qualifizierung der Austauschverhältnisse
273
die Auffassung jedoch weitestgehend schuldig.1595 Als maßgebliches Argument wird im Wesentlichen nur vorgebracht, dass es keinen Unterschied machen dürfe, ob das Datensubjekt seine Gegenleistung in Form einer Geldzahlung oder durch die Preisgabe seiner personenbezogenen Daten erbringe – und dies den Anbietern von nur scheinbar kostenlosen Austauschgeschäften entgegenzuhalten sei.1596 Eine tauschrechtliche Einordnung ist im Ergebnis als nicht sachgerecht abzulehnen. Diese wäre aufgrund der Beliebigkeit der Anbieterleistung im Rahmen datengetriebener Austauschgeschäfte allenfalls auch nur in der Lage, diejenigen Vertragskonstellationen rechtlich abzubilden, bei denen die Anbieterleistung, wie bei der dauerhaften Überlassung von Software, bei Erbringung gegen eine Geldzahlung kaufrechtlich zu qualifizieren wäre. Versagen würde diese Qualifizierung gerade für die Hauptfälle der internetbasierten datengetriebenen Austauschgeschäfte, welche in Form von Dauerschuldverhältnissen vorliegen.1597 Auch widerspricht eine tauschrechtliche Qualifizierung der Rechtsnatur der datenbasierten Gegenleistung des Datensubjekts. Diese liegt in der Überlassung personenbezogener Daten und der Verschaffung einer datenschutzrechtlichen Einwilligung zu deren kommerziellen Datenverarbeitung über den gesamten Zeitraum des Austauschverhältnisses und besitzt damit Dauerschuldcharakter.1598 Die Einwilligung gewährt dem Anbieter als Vertragspartei ein zeitweiliges Recht, die Daten entsprechend dem Inhalt der Einwilligung zu nutzen, welches jederzeit durch den Widerruf nach Art. 7 Abs. 3 DSGVO ex nunc beendet werden kann. Datengetriebene Austauschverhältnisse sind damit stets als Dauerschuldverhältnisse zu qualifizieren.1599 Mit einem Tauschverträgen zugrundeliegenden punktuellen Austauschverhältnis, dessen Zweck in der Verschaffung einer grundsätzlich endgültigen Rechtsposition besteht, ist die Rechtsnatur der datenbasierten Leistung des Datensubjekts kaum zu vereinbaren.1600 1595
Buchner, DuD 2010, 39, 41, wonach es sich bei datengetriebenen Austauschgeschäften um einen „gegenseitigen Vertrag in Form eines Tausches ‚Einwilligung gegen Leistung‘ handelt“ sowie ein „Tauschmodell“ vorliegen würde, wobei Buchner diesen Ansatz jedoch nicht weiter ausführt. Ebenso mangelt es an spezifischen Erwägungen hierzu bei Specht, Faust, Mössner, Druschel / Oehmichen sowie Druschel. 1596 Vgl. Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, 25, 26; Buchner, DuD 2010, 39, 41, auf das Interesse des Anbieters abstellend, den „Tauschcharakter [der Datenpreisgabe] zu verschleiern“; Druschel, Die Behandlung digitaler Inhalte im Gemeinsamen Europäischen Kaufrecht (GEKR), 2014, 85–87; Druschel / Oehmichen, CR 2015, 233, 234, auf das Vorliegen einer vermögenswerten Gegenleistung hinweisend; Mössner, in: BeckOGK BGB, 01. 03. 2021, § 90 BGB, Rn. 86. 1597 Siehe oben S. 267 ff. 1598 Siehe oben S. 205. 1599 Hierzu oben bei Fn. 1206–1210. 1600 Ebenso Metzger, AcP 2016, 817, 835, 836; Westermann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 433 BGB, Rn. 3. Ähnlich Sattler, JZ 2017, 1036, 1038. Dieser Gedanke trifft nicht nur hinsichtlich der erteilten Einwilligung, sondern auch auf die faktisch überlassenen personenbezogenen Daten als vermögenswerte Positionen zu. Diese werden bei datengetriebenen Austauschgeschäften nicht dauerhaft überlassen, sondern sind grundsätzlich gemäß Art. 17 Abs. 1 lit. a, lit. b DSGVO nach Zweckerfüllung oder Einwilligungswiderruf zu löschen.
274
Teil 3: Die Einordnung der Austauschverhältnisse
Unter Verwendung der doppelten Verweisung von § 480 BGB sowie § 453 Abs. 1 BGB müsste des Weiteren versucht werden, die auf einem punktuellen Güteraustausch basierenden, deshalb hier unpassenden Vorschriften des Kaufrechts auf die datenbasierte Gegenleistung in Form der Datenübermittlung und der Einwilligungserteilung anzuwenden.1601 Im Hinblick auf die datenschutzrechtliche Einwilligung wäre demnach zu fordern, dass diese entsprechend § 453 Abs. 1 Var. 1 BGB dem Anbieter dergestalt erteilt wird, dass dieser dauerhaft das Recht zur Kommerzialisierung erwerben würde und im Gegenzug das Datensubjekt die Rechte an seinen personenbezogenen Daten verliert.1602 Dies ist mangels Zulässigkeit der Einräumung von absoluten Rechten an personenbezogenen Daten jedoch rechtlich nicht möglich und widerspricht fundamental dem europäischen Datenschutzrecht wie auch dem Grundrecht auf informationelle Selbstbestimmung.1603 Eine tausch- wie auch eine kaufrechtliche Qualifizierung der datenbasierten Gegenleistung ist daher sowohl aus dogmatischen als auch aus vertragstypologischen Gründen abzulehnen. 2. Einordnung als Naturalobligation Seitens einiger Stimmen im Schrifttum wird eine Qualifizierung der datenbasierten Gegenleistung als Naturalobligation bzw. als unvollkommene Verbindlichkeit erwogen.1604 Diese Rechtsinstitute zeichnen sich dadurch aus, dass die Verbindlichkeiten vom Schuldner zwar erfüllt werden können und einen Rechtsgrund für den Erhalt der Leistung für den Gläubiger darstellen, jedoch die Leistungserbringung vom Gläubiger nicht mit Rechtszwang durchgesetzt werden kann.1605 Naturalobligationen können kraft Gesetzes vorliegen wie auch kraft Abrede durch 1601 Metzger, AcP 2016, 817, 835; zum Grundtypus des Kaufvertrags: Westermann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 433 BGB, Rn. 1, 2; zum Tauschvertrag: Westermann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 480 BGB, Rn. 1. 1602 Vgl. Wilhelmi, in: BeckOGK BGB, Stand: 01. 04. 2021, § 453 BGB, Rn. 1–3, 20, 145; Beckmann, in: Staudinger BGB, Neubearbeitung 2013, § 453 BGB, Rn. 1, 12, 14. 1603 Hierzu eingehend oben S. 84 ff., 88 ff. sowie Fn. 484. Zur entgegenstehenden Uneinschränkbarkeit des Widerrufsrechts siehe oben S. 153 ff. 1604 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 103, Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221. Keine genaue Festlegung erfolgt hingegen in Langhanke, Daten als Leistung, 2018, 126–130, wonach verschiedene Einordnungsmöglichkeiten erwogen werden und datengetriebene Austauschverhältnisse nur pauschal als Dauerschuldverhältnisse qualifiziert werden. Hierzu bereits oben Fn. 1205. Zwischen den Rechtsinstituten wird häufig nicht unterschieden, weswegen es bei der Verwendung der Begrifflichkeiten häufig an Klarheit mangelt. Entsprechend Meier, in: BeckOGK BGB, 01. 02. 2021, § 656 BGB, Rn. 19, wird vorliegend zwischen unvollkommenen Verbindlichkeiten, welchen schon gar kein Erfüllungsanspruch zugrunde liegt, und Naturalobligationen, bei denen dieser lediglich nicht durchsetzbar ist, unterschieden. Vgl. auch Olzen, in: Staudinger BGB, Neubearbeitung 2019, Einleitung zu § 241 BGB, Rn. 248, 249. Die Auffassung von Langhanke / Schmidt-Kessel und Schmidt-Kessel / Grimm geht dementsprechend von dem Vorliegen einer Naturalobligation aus. 1605 Vgl. Olzen, in: Staudinger BGB, Neubearbeitung 2019, Einleitung zu § 241 BGB, Rn. 248, 249; Meier, in: BeckOGK BGB, 01. 02. 2021, § 656 BGB, Rn. 19.
§ 10 Qualifizierung der Austauschverhältnisse
275
die Vertragsparteien vereinbart werden.1606 Gesetzlich vorgeschriebene Natural obligationen bestehen beispielsweise in den Fällen des Ehemaklervertrags nach § 656 BGB sowie bei Spiel und Wette nach § 762 BGB.1607 Für eine Qualifizierung als Naturalobligationen würde sprechen, dass damit der fehlenden Durchsetzbarkeit der Verpflichtung zur Erteilung der datenschutzrechtlichen Einwilligung Rechnung getragen werden kann.1608 Gegen eine entsprechende Qualifizierung bestehen aber erhebliche Einwände. So besitzt eine Einstufung als Naturalobligation einen Ausnahmecharakter und drückt eine grundsätzliche Missbilligung der Abschlüsse entsprechender Rechtsgeschäfte durch den Gesetzgeber aus.1609 Die fehlende Erzwingbarkeit der datenbasierten Gegenleistung folgt jedoch nicht aus der Missbilligung des Abschlusses datenbasierter Leistungspflichten innerhalb privatrechtlicher Austauschgeschäfte, sondern aus der datenschutzrechtlich vorgegebenen Uneinschränkbarkeit des Widerrufsrechts bezüglich der datenschutzrechtlichen Einwilligung.1610 Das Datenschutzrecht bezweckt mit der Uneinschränkbarkeit des Widerrufsrechts nach Art. 7 Abs. 3 DSGVO und der Schadloshaltung des Datensubjekts gemäß EG 42 S. 5 DSGVO aber primär nicht, den Abschluss datengetriebener Vertragsverhältnisse oder die Vereinbarung datenbasierter Leistungspflichten zu verhindern, sondern – unabhängig von dem Bestehen oder der Rechtsnatur eines zugrundeliegenden Vertragsverhältnisses – das Recht des Datensubjekts auf informationelle Selbstbestimmung sicherzustellen.1611 Demgemäß stehen die datenschutzrechtlichen Vorgaben auch nicht der Ausübung der Einrede des nichterfüllten Vertrags seitens des Anbieters entgegen, deren Geltendmachung bei Annahme einer Naturalobligation mangels Existenz einer fälligen Leistungspflicht ausgeschlossen wäre.1612 Schließ 1606
Hinsichtlich der konkreten Rechtswirkungen von Vereinbarungen, welche die prozessuale Durchsetzbarkeit von Forderungen entsprechend einer Naturalobligation ausschließen, besteht keine Einigkeit. Vgl. Olzen, in: Staudinger BGB, Neubearbeitung 2019, Einleitung zu § 241 BGB, Rn. 247, 251 m. w. N. 1607 BGH, Urteil vom 25. 05. 1983 – IVa ZR 182/81, juris, Rn. 16; Olzen, in: Staudinger BGB, Neubearbeitung 2019, Einleitung zu § 241 BGB, Rn. 248; Langhanke, Daten als Leistung, 2018, 126. Über die konkrete Einordnung herrscht Streit: vgl. Meier, in: BeckOGK BGB, 01. 02. 2021, § 656 BGB, Rn. 19 m. w. N. 1608 Schmidt-Kessel / Grimm, ZfPW 2017, 84, 103; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 221. 1609 Jeweils mit Nachweisen hierzu: Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 21; Meier, in: BeckOGK BGB, 01. 02. 2021, § 656 BGB, Rn. 2; Habersack, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 762 BGB, Rn. 1. 1610 Hierzu oben Fn. 1446, 1447. Ebenso Kumkar, ZfPW 2020, 306, 327; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 21, 22; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 36. 1611 Hierzu oben bei Fn. 828, 883. 1612 Vgl. Gernhuber, Das Schuldverhältnis, 1989, 106, 107; Olzen, in: Staudinger BGB, Neubearbeitung 2019, Einleitung zu § 241 BGB, Rn. 249. Zur datenschutzrechtlichen Vereinbarkeit der Anwendung von Zurückbehaltungsrechten innerhalb datengetriebener Austauschgeschäfte oben S. 255 ff.
276
Teil 3: Die Einordnung der Austauschverhältnisse
lich besitzen datengetriebene Austauschverträge keinen aleatorischen Gehalt, welcher typischerweise Rechtsgeschäften mit Naturalobligationen zugrunde liegt.1613 Eine Einordnung der datenbasierten Gegenleistung unter das Rechtsinstitut der Naturalobligation ist daher abzulehnen.1614 3. Einordnung als Obliegenheit a) Konzeption nach Riehm Eine ähnliche Qualifikation wird von Riehm vertreten, der – in Anlehnung an die Handschenkung nach § 516 Abs. 1 BGB – das Vorliegen eines Realvertrags annimmt.1615 Datengetriebene Austauschverhältnisse würden im Hinblick auf die Erteilung der datenschutzrechtlichen Einwilligung zu keiner Zeit einen durchsetzbaren Anspruch oder eine Leistungspflicht beinhalten.1616 Dem zugrundeliegenden Vertragsverhältnis käme demnach nur „die Funktion eines bereicherungsrecht lichen Rechtsgrundes für das Behaltendürfen der aufgrund der Einwilligung in die Datenverarbeitung erlangten Datennutzungsmöglichkeit zu“.1617 Eine (vermeint liche) vertragliche Verpflichtung zur Erteilung einer Einwilligung wäre dabei – abhängig vom Einzelfall – als bloße Rechtsgrundabrede, als Naturalobligation oder als Obliegenheit des Datensubjekts zu qualifizieren.1618 In seltenen Fällen könne zudem eine „quasi-synallagmatische“ Verknüpfung von Leistung und Gegenleistung vorliegen, wenn die Vertragsparteien dies – wenn auch rechtlich unwirksam vereinbart – intendierten und der Anbieter in Vorleistung gegangen ist.1619 Ähnlich wie Linardatos erwägt Riehm dabei, die datenschutzrechtliche Einwilligung als aufschiebende Bedingung nach § 158 Abs. 1 BGB für die Wirksamkeit des Vertrags einzuordnen.1620
1613
Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 209. Zur in dieser Arbeit vertretenen Konzeption datenbasierter Leistungspflichten siehe oben S. 205, 252 ff. Im Ergebnis ebenso im Rahmen seines Modells: Hacker, ZfPW 2019, 148, 170. 1615 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 194–196, welcher hierunter einen Vertrag versteht, aus welchem sich „zu keinem Zeitpunkt ein durchsetzbarer Anspruch auf die Einwilligung“ ergibt und welchem, in Bezug auf eine erteilte Einwilligung, allein die Funktion eines „schuldrechtliche[n] Rechtsgrund[s]“ zukommt. Dieselben Gedanken vertritt der Autor ebenfalls in Riehm, in: Specht-Riemenschneider / Buchner et al. (Hrsg.), Festschrift für Jürgen Taeger, 2020, 55, 64 ff. 1616 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 193, 194. 1617 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 193. 1618 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 192, 196. 1619 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 201. In diesem Fall wird seitens des Autors eine Anwendung der condictio ob rem nach § 812 Abs. 1 S. 2 Alt. 2 BGB vertreten. 1620 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 194, 195, 203. Zur Auffassung von Linardatos siehe oben bei Fn. 1165. 1614
§ 10 Qualifizierung der Austauschverhältnisse
277
Riehm stützt diese Konzeption im Wesentlichen auf den hohen Stellenwert der informationellen Selbstbestimmung, auf die Uneinschränkbarkeit des Widerrufsrechts nach Art. 7 Abs. 3 DSGVO sowie auf eine Auslegung von EG 42 S. 5 DSGVO, nach welcher das Datensubjekt durch eine Verweigerung der Erteilung der Einwilligung oder durch eine Ausübung seines Widerrufsrechts keine Nachteile erleiden darf.1621 Dem folgend fallen hierunter nicht nur die (klageweise) Erzwingbarkeit eines Anspruchs auf die Einwilligung gemäß § 894 ZPO sowie Sanktionen nach dem Leistungsstörungsrecht, die zu einer Verschlechterung der ursprünglichen Rechtsstellung ohne Eingehung des Austauschgeschäfts führen würden, sondern ebenfalls Ansprüche auf Schadensersatz nach §§ 280 ff. BGB oder auf Wertersatz im Rahmen eines Rücktritts nach §§ 346, 323 ff. BGB.1622 Unzulässig soll darüber hinaus „auch jeder Verlust von Vorteilen [sein], die aufgrund des Vertrags schon erworben wurden“ und welche das Datensubjekt im Gegenzug für die Erteilung seiner Einwilligung im Rahmen des Austauschgeschäfts erhalten hat.1623 Aus dem ex nunc wirkenden Widerruf nach Art. 7 Abs. 3 S. 2 DSGVO folge, dass das Datensubjekt, wie auch der Anbieter, „alle [..] zu diesem Zeitpunkt infolge der Einwilligung zugeflossenen Vorteile behalten kann“.1624 Als Konsequenz einer strengen Auslegung von EG 42 S. 5 BGB schließt Riehm auch das Zurückbehaltungsrecht des Anbieters nach § 320 Abs. 1 BGB aus, was damit begründet wird, dass Zurückbehaltungsrechte den Mitteln des privaten Rechtszwangs zuzuordnen seien.1625 Anknüpfend daran sei auch eine Kündigung des Anbieters im Fall des Widerrufs der Einwilligung nach § 314 BGB und eine Nichterbringung der Anbieterleistung nur unter besonderen Umständen zulässig, bei denen unter Berücksichtigung von EG 42 S. 5 DSGVO abzuwägen sei, ob dem Anbieter ein weiteres Festhalten an dem Vertrag zugemutet werden könne.1626 Durch die Einordnung der datenschutzrechtlichen Einwilligung als Wirksamkeitsbedingung für den Vertragsschluss würde zudem sichergestellt werden, dass der Anbieter nur Verträge eingeht, die seinen Bedingungen entsprechen.1627 Anders als bei einer Pflicht zur Einwilligungserteilung würde damit bei dieser „Bedin-
1621
Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 180 ff., 187 ff. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 190–193. Zivilrechtlich stünde einem Anspruch auf Erteilung der Einwilligung zudem § 275 Abs. 3 DSGVO wie auch § 242 BGB entgegen. Vgl. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 189. Ausführlich hierzu unten S. 322 ff. 1623 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 191. 1624 Ebenda. 1625 Weitere Nachweise hierzu oben Fn. 1516. 1626 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 201, 202. 1627 Nur wenn das Datensubjekt eine wirksame Einwilligung erteilt, würde danach die Willenserklärung des Anbieters wirksam werden und ein Rechtsgrund hinsichtlich des Behaltens der Anbieterleistung zugunsten des Datensubjekts bestehen. Siehe Riehm, in: Pertot / SchmidtKessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 194, 195. 1622
278
Teil 3: Die Einordnung der Austauschverhältnisse
gungskonstruktion gerade kein Rechtszwang zur Einwilligung, sondern nur eine faktische Verknüpfung“ vorliegen.1628 b) Würdigung Der Auffassung von Riehm zur Erfassung der datenbasierten Gegenleistung ist in vielen Aspekten beizupflichten. So wird die bloße Datenüberlassung seitens des Datensubjekts als nicht ausreichend erachtet und die Einwilligung zu Kommerzialisierungszwecken als maßgebliche Gegenleistung anerkannt.1629 Weiter liegt der Auffassung die Uneinschränkbarkeit des Widerrufsrechts nach Art. 7 Abs. 3 DSGVO zugrunde, ein absolutes Kopplungsverbot nach Art. 7 Abs. 4 DSGVO wird abgelehnt, eine enge Auslegung von Art. 6 Abs. 1 lit. b DSGVO vertreten sowie eine Berufungsmöglichkeit auf Art. 6 Abs. 1 lit. f DSGVO zur Legitimierung kommerzieller Datenverarbeitungen verneint.1630 Zuzustimmen ist auch der Ablehnung einer (klageweisen) Erzwingbarkeit der Einwilligungserteilung, wie auch der Ablehnung einer Haftung des Datensubjekts auf Schadens- oder Wertersatz bei Verweigerung der Einwilligungserteilung oder im Falle einer Ausübung des Widerrufsrechts.1631 Beizupflichten ist Riehm darüber hinaus auch bei der grundsätzlichen Ablehnung einer kausalen Verknüpfung zwischen der Anbieterleistung und der Gegenleistung des Datensubjekts.1632 In einigen Punkten wirft das Modell Riehms jedoch Bedenken und offene Fragen auf. Eine Einordnung der datenbasierten Leistung als Naturalobligation ist aus den schon genannten Gründen abzulehnen.1633 Offensichtlich ist, dass der Autor, trotz Ablehnens einer Leistungspflicht, das Vorliegen eines entgeltlichen Rechtsgeschäfts annimmt.1634 Nicht ausdrücklich klargestellt wird dabei, inwieweit Leistung und Gegenleistung rechtlich miteinander verknüpft sind. Im Gegensatz zu Hackers Modell mit einer konditionalen Leistungsverknüpfung stellt Riehm nämlich nicht auf die faktische Datenüberlassung als maßgebliche Gegenleistung ab, sondern auf die datenschutzrechtliche Einwilligung.1635 Deren wirksame Er 1628
Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 195. Vgl. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 178, 179. 1630 Eingehend zu diesen Punkten jeweils oben S. 137 ff., 151 ff., 219 ff., 230 ff. Im Ergebnis ebenso Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 180–186. 1631 Siehe oben Fn. 1621. Eingehend hierzu oben bei Fn. 884 sowie S. 254 ff. 1632 Hierzu oben S. 240 f. Ebenso Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 201. 1633 Siehe oben S. 274 ff. 1634 Vgl. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 179–181, wonach „bei Verträgen mit Daten als ‚Gegenleistung‘ neben die eigentliche Datenübertragung […] vor allem die Einwilligung des Betroffenen in die Verarbeitung der Daten treten [muss]“. Unpassend ist daher der Vergleich vollkommen und teilweise datenfinanzierter Austauschgeschäfte mit der Handschenkung als Musterbeispiel eines unentgeltlichen Rechtsgeschäfts. Siehe oben Fn. 1615. 1635 Zu dem Modell von Hacker siehe oben S. 246 ff. 1629
§ 10 Qualifizierung der Austauschverhältnisse
279
teilung fungiert demnach als aufschiebende Bedingung für die Wirksamkeit der Willenserklärung des Anbieters zum Vertragsschluss.1636 Diese Funktion der Einwilligungserteilung ähnelt dabei in diesem – abzulehnenden – Aspekt dem Modell von Linardatos, welcher jedoch eine synallagmatische Verknüpfung auf Basis einer Leistungspflicht zur Datenüberlassung annimmt.1637 So besitzt das Datensubjekt in der Praxis typischerweise keinen Einfluss auf die Wirksamkeit der formularmäßig eingeholten Einwilligungserklärung, weswegen es nicht gerechtfertigt ist, dem Datensubjekt, aufgrund von Fehlerquellen in der Risikosphäre des Anbieters, den Anspruch auf die Anbieterleistung zu versagen.1638 Unklar bleibt damit, wie Leistung und Gegenleistung im Rahmen datengetriebener Austauschgeschäfte als entgeltliche Verträge – im Regelfall – miteinander verknüpft sein sollen.1639 Vor allem bei der expliziten Vereinbarung einer Leistungspflicht des Datensubjekts fehlt ein schlüssiges Konzept zur Einordnung entsprechender datengetriebener Austauschgeschäfte. Nicht zielführend ist es, bei diesen als Konsequenz stets eine kausale Verknüpfungsform annehmen zu müssen, die aufgrund der erwähnten Bedenken nur im absoluten Ausnahmefall angenommen werden sollte.1640 Weiter ist es – wie bereits im Abschnitt zur dogmatischen Grundstruktur der Pflicht zur Einwilligungserteilung ausgeführt – kaum überzeugend zu begründen, dass EG 42 S. 5 DSGVO auch einen Ausschluss von Zurückbehaltungsrechten des Anbieters bezweckt.1641 Der in § 320 Abs. 1 BGB verankerte Mechanismus der Abhängigkeit der Bereitstellung und der fortlaufenden Gewährung der Anbieterleistung von der datenbasierten Gegenleistung ist vielmehr als ein charakteristisches Merkmal datengetriebener Austauschgeschäfte zu qualifizieren.1642 Für die Annahme von datenbasierten Leistungspflichten wie auch einer synallagmatischen Verknüpfung von Leistung und Gegenleistung sprechen darüber hinaus der Vertragszweck, der datengetriebenen Austauschgeschäften zugrunde liegt, wie auch die Interessenlage der Vertragsparteien.1643 Neben einem Rechtsgrund für das Behalten der Leistung und für das Leistensollen des Datensubjekts wird durch die Annahme entsprechender Leistungspflichten die Anwendbarkeit von § 320 Abs. 1 BGB gewährleistet, wodurch sowohl eine rechtssichere und realitätsnahe Abbildung typischer datengetriebener Austauschgeschäfte garantiert wird als auch die ökonomische Relevanz und der Austauschcharakter der Datenpreisgabe 1636 Vgl. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 194, 195, 203. 1637 Zum Modell von Linardatos siehe oben S. 197 ff., 244 ff. Zur Ablehnung dieses Modells und der Einwilligung als Wirksamkeitsbedingung siehe oben S. 201 ff. 1638 Ausführlich hierzu oben bei Fn. 1098–1201. 1639 Falls eine konditionale Verknüpfung angedacht wäre, so ist diesbezüglich auf die ausgeführten Bedenken gegen das Modell von Hacker und gegen die Konstruktion einer atypischen Dauerbedingung zu verweisen. Hierzu siehe oben S. 248 ff. 1640 Siehe oben Fn. 1632. 1641 Ausführlich hierzu oben S. 255 ff. 1642 Hierzu m. w. N. siehe oben bei Fn. 1526, 1527. 1643 Siehe oben S. 201 ff., 248 ff.
280
Teil 3: Die Einordnung der Austauschverhältnisse
konturiert werden.1644 Für das Vorliegen synallagmatisch verknüpfter Leistungspflichten spricht des Weiteren die Inflexibilität von Bedingungskonstruktionen, die dem Anbieter keinen Entscheidungsspielraum eröffnen, eigenständig über die fortlaufende Gewährung der Anbieterleistung zu entscheiden.1645 Schließlich ist in praktischer Hinsicht kaum ein Unterschied zwischen einer Verknüpfung der Leistungspflichten in Form einer faktischen – wie auch konditional ausgestalteten – Bedingungskonstruktionen und der hier vertretenen synallagmatischen Verknüpfung bei Annahme von Leistungspflichten festzustellen. In beiden Konstellationen wird das Datensubjekt im Fall der Nichtbewirkung seiner Gegenleistung die Anbieterleistung grundsätzlich nicht weiter in Anspruch nehmen können.1646 Dieser Gedanke lässt sich auf die Wahl der Vertragseingehung als Anknüpfungspunkt der aufschiebenden Bedingung anstelle des Bestehens des Anspruchs auf die Anbieterleistung durch Riehm übertragen.1647 Eine Einordnung als Rechtsgrundabrede oder Obliegenheit besitzt auch diesbezüglich damit keinen Mehrwert und bewirkt, um der – abzulehnenden – strikten Auslegung von EG 42 S. 5 DSGVO zu begegnen, nur eine unnötige Verschiebung der Problematik. Im Ergebnis besteht daher kein Grund, eine Einordnung als Realvertrag wie auch eine Qualifizierung der datenbasierten Gegenleistung als Obliegenheit oder bloße Rechtsgrundabrede einem synallagmatischen Verknüpfungsmodell vorzuziehen. 4. Lizenzvertragliche Einordnung a) Übersicht über den Meinungsstand Von einem Teil der Literatur wird eine lizenzvertragsähnliche Qualifikation der datenbasierten Gegenleistung vertreten, wonach auf die datenbasierte Leistung die Vorschriften des Pacht- oder Mietrechts anzuwenden wären.1648 Dies entspricht 1644
Siehe oben bei Fn. 1041, 1127, 1128, 1424, 1425, 1477 sowie bei Fn. 1525–1528. Hierzu bereits oben bei Fn. 1478, 1479. 1646 Vgl. Hacker, ZfPW 2019, 148, 179, 180, der auf die „Sicherungs-, Druck- und Ausgleichsfunktion“ der Bedingungskonstruktion im Rahmen einer konditionalen Leistungsverknüpfung hinweist, welche die rechtliche Abhängigkeit der sich gegenüberstehenden Leistungspflichten gewährleiste. 1647 So könnte stattdessen, beispielsweise wie bei dem Modell von Hacker, auf die Wirksamkeit des Anspruchs auf die Anbieterleistung als Anknüpfungspunkt der Bedingung abgestellt werden, wodurch nicht nur eine weitere Inanspruchnahme der Anbieterleistung durch das Datensubjekt verhindert, sondern auch ungewollte Auswirkungen auf den Bestand des zugrundeliegenden Vertragsverhältnisses vermieden werden würden. Zu dem Ansatz von Hacker siehe oben bei Fn. 1456, 1457. 1648 Metzger, AcP 2016, 817, 837, 838 m. w. N.; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 552–554, dies für den Fall nicht nur punktueller Austauschverhältnisse erwägend; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 19; Specht, JZ 2017, 763, 764, 765; Sattler, in: Schmidt-Kessel / Grimm 1645
§ 10 Qualifizierung der Austauschverhältnisse
281
auch einer starken Meinung in Literatur und Rechtsprechung zur Rechtsnatur des Lizenzvertrags im Allgemeinen, welche Lizenzverträge überwiegend dem Pachtrecht unterstellt.1649 Die wohl herrschende Lehre und weite Teile der Rechtsprechung stufen dagegen den Lizenzvertrag als Vertrag sui generis ein, welcher zwar wesentliche Elemente einer (Rechts)Pacht aufweist, in seiner Vielgestaltigkeit aber keinem gesetzlich normierten Vertragstypus eindeutig zugeordnet werden kann, weshalb sich eine schematische Anwendung der Vorschriften eines bestimmten gesetzlichen Vertragstypus verbietet.1650 Mangels Kodifizierung des Lizenzvertrags als gesetzlicher Vertragstypus soll auch auf die datenbasierte Gegenleistung durch das Datensubjekt nur pragmatisch und punktuell auf einzelne Regelungen der §§ 581 ff., 535 ff. BGB zurückgegriffen werden.1651 Die Vertreter dieser Auffassung stützen diese Qualifizierung überwiegend auf die Vergleichbarkeit der Datenpreisgabe innerhalb datengetriebener Austauschgeschäfte mit kommerzieller Zwecksetzung mit der Konstellation bei immaterialgüterrechtlichen Lizenzverträgen.1652 Die datenbasierte Leistung entspreche in ihrer Erscheinungsform der bei Lizenzverträgen typischen Gestattung einer „zeitlich beschränkten Nutzung eines rechtlich geschützten immateriellen (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 11, 12, welcher zwar nicht direkt auf die Lizenz abstellt, jedoch, neben einer Anwendung von Kaufrecht über § 453 Abs. 1 Var. 2 BGB, einen Datenüberlassungsvertrag in Form eines Pachtvertrags als vorzugswürdig ansieht. Für eine Anwendung von Mietvertragsrecht wohl auch Schuster, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 307 BGB, Rn. 50, unter Verweis auf Metzger. Hoffmann / Schmidt, GRUR 2021, 679, 682; Bräutigam, MMR 2012, 635, 640, welche neben einer mietrechtlichen auch eine kaufrechtliche Qualifizierung erwägen. Diese Meinung nur erwähnend, jedoch keine eigene Qualifikation vornehmend: Leinemann, Personenbezogene Daten als Entgelt, 2020, 110. 1649 BGH, vom 17. 11. 2005 – IX ZR 162/04, juris, Rn. 21; Groß, Der Lizenzvertrag, 12. Aufl. 2020, Rn. 19, 23, 24; Fehrenbacher, JR 2001, 309, 312, 315; Weidenkaff, in: Palandt BGB, 80. Aufl. 2021, Einf v § 581 BGB, Rn. 7; Schaub, in: Staudinger BGB, Neubearbeitung 2018, Vor. zu § 581 BGB, Rn. 83; jeweils m. w. N. In der Rechtswissenschaft hat sich jedoch keine einheitliche Qualifizierung des Lizenz vertrags bislang durchsetzen können. Neben der pachtrechtlichen Einordnung wird auch eine Qualifizierung als Miete, Rechtskauf oder Gesellschaftsvertrag vertreten. Umfassend und m. w. N. hierzu Groß, Der Lizenzvertrag, 12. Aufl. 2020, Rn. 19; McGuire, Die Lizenz, 2012, 650 ff. 1650 Eingehend hierzu und m. w. N. zu Vertretern dieser Ansicht McGuire, Die Lizenz, 2012, 658–662, Fn. 159 sowie 666 ff. Zur Einordnung durch die Rechtsprechung siehe etwa BGH, Urteil vom 04. 11. 1987 – VIII ZR 314/86, juris, Rn. 19; BGH, Urteil vom 15. 06. 1951 – I ZR 121/50, BGHZ 2, 331, 333, 334; RG, Urteil vom 19. 10. 1926 – VI 272/26, RGZ 115, 17, 20. Weitere Nachweise finden sich bei Groß, Der Lizenzvertrag, 12. Aufl. 2020, Rn. 19, Fn. 29, 30. 1651 Metzger, AcP 2016, 817, 837, 838; ähnlich Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 19. 1652 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 19; Metzger, AcP 2016, 817, 837; Bräutigam, MMR 2012, 635, 639, 640. Vgl. auch BGH, vom 17. 11. 2005 – IX ZR 162/04, juris, Rn. 21, die Lizenzierung von Software als einen der Rechtspacht unterfallenden Nutzungsvertrag klassifizierend.
282
Teil 3: Die Einordnung der Austauschverhältnisse
Gutes“ durch den Lizenzgeber.1653 Das aus dem Lizenzvertrag herzuleitende Nutzungsrecht an den personenbezogenen Daten würde dabei keine dingliche, sondern nur obligatorische Wirkung entfalten können.1654 Dies folgt aus der fehlenden Anerkennung dinglicher Nutzungsrechte an personenbezogenen Daten wie auch aus der Unabdingbarkeit der jederzeitigen Widerruflichkeit der Einwilligung zum Schutz der informationellen Selbstbestimmung.1655 Gegen eine lizenzvertragsrechtliche Einordnung durch eine Qualifizierung der datenbasierten Gegenleistung als eine das Austauschverhältnis prägende Hauptleistungspflicht spricht sich hingegen insbesondere der Länderarbeitsbericht aus:1656 Die datenschutzrechtliche Einwilligung als Kern der datenbasierten Gegenleistung würde demnach nichts für die rechtliche Einordnung datengetriebener Austauschgeschäfte hergeben.1657 So erfolge die wirtschaftliche Kommerzialisierung personenbezogener Daten in verschiedensten zivilrechtlichen Konstellationen im Hinblick auf die verfolgten Geschäftsmodelle und die jeweils geschuldete Anbieterleistung, weshalb zwischen datenfinanzierten Vertragsverhältnissen nur geringe Gemeinsamkeiten bestünden.1658 Die Vereinbarung der datenbasierten Gegenleistung präge nach dem Länderarbeitsbericht daher ebenso wenig einen Vertragstypus wie die Vereinbarung einer Geldzahlung in Form einer Wertverschaffungsschuld als Gegenleistung.1659 b) Vorzugswürdigkeit der lizenzvertraglichen Qualifizierung Die Einwände gegen eine lizenzvertragliche Qualifizierung der datenbasierten Leistung vermögen jedoch nicht zu überzeugen. Hierfür sprechen im Wesentlichen drei Gründe: So fehlt es erstens an der unterstellten Vergleichbarkeit einer Datenpreisgabe zu kommerziellen Zwecken mit einer bloßen Wertverschaffungsschuld, weshalb der datenbasierten Gegenleistung ein vertragstypenprägender Charakter 1653 Metzger, AcP 2016, 817, 837. Vgl. auch Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 12, auf die vertragstypologische Nähe zum Pachtvertrag hinweisend. Im Ergebnis wohl ebenso Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 552, 554. 1654 Ausführlich hierzu: Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 552–554, wobei jedoch nicht nachvollziehbar diesem Nutzungsvertrag als rein obligatorisch wirkende Gestattungsform auch kaufrechtliche Elemente zugesprochen werden, was aber nicht weiter ausgeführt wird. 1655 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 553. Ausführlich hierzu oben S. 87 ff., 153 ff. 1656 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 212, 213; ähnlich Hacker, ZfPW 2019, 148, 177, 178, welcher die Frage des Vertragstypus nicht weiter verfolgt, da dieser primär von der vereinbarten Anbieterleistung abhängen würde. 1657 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 213. 1658 Ebenda. 1659 Ebenda.
§ 10 Qualifizierung der Austauschverhältnisse
283
nicht auf dieser Basis abgesprochen werden kann. Zweitens gibt es de lege lata keinen geeigneteren Normbestand, der eine Anwendung sachgerechter Normen ohne dogmatische Brüche auf die datenbasierte Leistung ermöglicht, als eine flexible Anwendung einzelner Normen im Rahmen einer lizenzvertraglichen Qualifizierung. Schließlich ist drittens eine lizenzvertragliche Einordnung aus Gründen der Rechtssicherheit geboten, da bereits nach geltendem Recht verschiedene Verträge über die Verwertung von Persönlichkeitsmerkmalen lizenzvertraglich eingeordnet werden und eine unterschiedliche Behandlung datengetriebener Austauschgeschäfte kaum zu rechtfertigen ist. Die datenbasierten Leistungspflichten sind dementsprechend als typenprägende Hauptleistungspflichten zu qualifizieren.1660 aa) Typenprägender Charakter der datenbasierten Gegenleistung Die Überlassung personenbezogener Daten wie auch die datenschutzrechtliche Einwilligung können schon deswegen nicht pauschal mit einer Geldzahlung als Wertverschaffungsschuld gleichgesetzt werden, da der wirtschaftliche Wert personenbezogener Daten von verschiedenen Faktoren abhängig ist und personenbezogene Daten – im Gegensatz zu Geld – keinen spezifischen Nennwert aufweisen.1661 So enthalten personenbezogene Daten bestimmte Informationen über eine natürliche Person, welche den Daten, kraft ihrer individuellen Bedeutungsinhalte, einen wirtschaftlichen Wert verleihen.1662 Anders als Geld kann unterschiedlichen personenbezogenen Daten aufgrund ihres variierenden semantischen Gehalts jeweils ein individueller Vermögenswert zugewiesen werden.1663 Vergleichbar hiermit kann auch Geld nicht ohne weiteres eine vertragstypenprägende Funktion abgesprochen werden, wenn nur bestimmte Geldstücke mit Sammlerwert dauerhaft oder vorübergehend bzw. entgeltlich oder unentgeltlich überlassen werden sollen.1664 Auch gelten, abhängig von der verkörperten Information mit Personenbezug, 1660
Eingehend hierzu oben S. 252 ff. Vgl. Freitag, in: BeckOGK BGB, Stand: 15. 03. 2021, § 244 BGB, Rn. 62 ff., 71; Creifelds et al., Rechtswörterbuch, 24. Aufl. 2020, „Geld“ sowie „Nominalitätsgrundsatz“. Ausführlich zur Wertbestimmung von personenbezogenen Daten unten S. 386 ff. 1662 Zum semantischen Gehalt personenbezogener Daten siehe oben S. 34 f., 91 ff. Zur Korrelation von personenbezogenem Bedeutungsinhalt und Vermögenswert siehe oben Fn. 135, bei Fn. 472 sowie unten S. 386 ff. 1663 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 213. So bestimmt der Bedeutungsinhalt der jeweiligen personenbezogenen Daten und dadurch die Konkretisierung des Datensubjekts als Teil der Zielgruppe innerhalb datengetriebener Geschäftsmodelle den Preis, der seitens der Werbeträger für eine Werbeschaltung zu zahlen ist; hierzu oben S. 54 ff., 57 f., 60 f. 1664 Zu dem Sonderstatus von Sammlermünzen als gesetzliches Zahlungsmittel ohne zwingenden Nominalwert: Freitag, in: BeckOGK BGB, Stand: 15. 03. 2021, § 244 BGB, Rn. 15. Abhängig von der vertraglichen Vereinbarung und den Umständen des Einzelfalls wäre die Überlassung der Sammlermünze als körperlicher Gegenstand je nach Konstellation kauf-, miet-, schenkungs- oder leihvertragsrechtlich zu qualifizieren. 1661
284
Teil 3: Die Einordnung der Austauschverhältnisse
unterschiedliche Vorschriften für die Datenverarbeitung. So unterliegen besonders schützenswerte personenbezogene Daten nach Art. 9 DSGVO verschiedenen Sonderregelungen hinsichtlich ihrer Erhebung und Verarbeitung zu kommerziellen Zwecken.1665 Weiter können personenbezogene Daten mehreren Personen zuzuordnen sein, wenn der Bedeutungsinhalt einer Information eine Identifikation verschiedener natürlicher Personen als Vermögenswert ermöglicht.1666 Mit einer Geldsummenschuld in Höhe des vereinbarten Nennbetrags als Wertverschaffungsschuld und gesetzliches Zahlungsmittel hat die datenbasierte Leistung damit im Ergebnis kaum etwas gemein.1667 Ebenso kann nicht aus der Vielgestaltigkeit datengetriebener Geschäftsmodelle und der Vielfalt der zu ihrer Umsetzung abgeschlossenen Vertragsverhältnisse das Fehlen eines vertragstypenprägenden Charakters der datenbasierten Leistung abgeleitet werden. So entscheiden der Bedeutungsinhalt und der kommerzielle Verarbeitungszweck der erhobenen personenbezogenen Daten nicht nur über den konkreten Vermögenswert ihrer kommerziellen Nutzung, sondern auch über die auf die Datenverarbeitung anzuwendenden Vorschriften.1668 Die datenschutzrechtliche Einkleidung der datenbasierten Gegenleistung besitzt dabei erhebliche Bedeutung für die Durchsetzbarkeit der datenbasierten Leistungspflichten, die Haftung des Datensubjekts, die Entgeltlichkeit des Austauschverhältnisses sowie deren Einordnung als Dauerschuldverhältnisse.1669 Mit einer Wertverschaffungsschuld in Gestalt einer Geldzahlung als Hauptleistungspflicht ohne vertragstypenprägende Bedeutung kann die Preisgabe personenbezogener Daten zu kommerziellen Zwecken damit nicht gleichgesetzt werden. Der datenbasierten Leistung kommt daher eine typenprägende Funktion zu. bb) Vorliegen eines sachgerechten Regelungsregimes Die lizenzvertragliche Qualifikation weist zudem die notwendige Flexibilität auf, um eine rechtlich sachgerechte Behandlung der datenbasierten Gegenleistung zu gewährleisten. So ermöglicht eine Einordnung unter dem gesetzlich in seiner Grundstruktur nicht kodifizierten Lizenzvertrag eine pragmatische Anwendung einzelner passender Vorschriften für die rechtliche Handhabung der ebenfalls unkodifizierten datengetriebenen Austauschgeschäfte, ohne diese sach 1665
Siehe oben S. 126 f. Zur Mehrrelationalität personenbezogener Daten siehe oben Fn. 421. 1667 Vgl. Creifelds et al., Rechtswörterbuch, 24. Aufl. 2020, „Geldschuld“ sowie Freitag, in: BeckOGK BGB, Stand: 15. 03. 2021, § 244 BGB, Rn. 67–70 m. w. N. Als gesetzliches Zahlungsmittel gelten nach Art. 128 AEUV, Art. 11 S. 2 Euro-II-VO in der Europäischen Union allein die von der EZB und den nationalen Zentralbanken ausgegebenen Geldmittel. Nach allgemeiner Auffassung zählen hierzu auch Buchgeld und E-Geld. Freitag, in: BeckOGK BGB, Stand: 15. 03. 2021, § 244 BGB, Rn. 25. 1668 Hierzu bereits oben bei Fn. 1661–1665. 1669 Hierzu jeweils oben S. 204 f., 217 ff., 244 ff., 252 ff. 1666
§ 10 Qualifizierung der Austauschverhältnisse
285
widrig in einen unpassenden Vertragstypus pressen zu müssen.1670 Der typische Lizenzvertrag stellt entsprechend der engen Begriffsbildung nach McGuire einen „nicht notwendig entgeltliche[n] Vertrag über die Erteilung eines vertraglichen Nutzungsrechts an einem fremden Immaterialgüterrecht“ dar, welcher „ein zeitlich begrenztes Dauerschuldverhältnis zwischen Lizenzgeber und Lizenznehmer begründet“ und „sich durch den vertraglichen Charakter des Nutzungsrechts“ sowie das „Fehlen einer Zuordnungsänderung“ in Bezug auf das lizenzierte Recht auszeichnet.1671 Mit Ausnahme eines immaterialgüterrechtlichen Charakters von personenbezogenen Daten und datenschutzrechtlicher Einwilligung erfüllt die datenbasierte Leistung innerhalb datengetriebener Austauschgeschäfte mit kommerzieller Zwecksetzung alle Merkmale eines Lizenzvertrags. Auch stellt die Einschränkung auf Immaterialgüterrechte auch kein zwingendes Merkmal eines Lizenzvertrags dar. In der Literatur finden sich ebenso zahlreiche Meinungen, wonach neben Immaterialgüterrechten auch Persönlichkeitsrechte sowie sonstige Immaterialgüter als Gegenstand von Lizenzverträgen einbezogen werden sollen.1672 Als Konsequenz ist demnach im Hinblick auf die datenbasierte Leistung nur zu berücksichtigen, dass an personenbezogenen Daten keine absoluten Rechte bestehen können, wodurch die seitens des Anbieters erlangte Position nur relativen Schutz aufweist und ebenfalls keinen Sukzessionsschutz gewährt.1673 Dogmatisch ließe sich die datenbasierte Leistung grundsätzlich problemlos unter die Leistungsverpflichtung des Lizenzgebers nach § 581 Abs. 1 S. 1 BGB fassen. Eine Einordnung unter den weiten Gegenstandsbegriff des § 581 BGB trägt sowohl der fehlenden Sacheigenschaft personenbezogener Daten als auch dem Charakter der rechtsgeschäftlichen Gestattung der kommerziellen Datenverarbeitung auf der Grundlage der datenschutzrechtlichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO Rechnung.1674 Die überlassenen personenbezogenen Daten als unkörperliche Gegenstände wie auch die datenschutzrechtliche Einwilligung als Rechtsposition können somit als verpachtete Gegenstände qualifiziert werden, zu deren Gebrauchsgewährung das Datensubjekt gegenüber dem Anbieter verpflichtet ist. Das Datensubjekt als Lizenzgeber überlässt hiernach für die Dauer des datengetriebenen Austauschverhältnisses dem Anbieter, entsprechend der vertraglichen 1670
Zu den vielgestaltigen Ansätzen innerhalb der Rechtswissenschaft, betreffend die konkrete Qualifizierung des Lizenzvertrags, siehe Fehrenbacher, JR 2001, 309, 312; McGuire, Die Lizenz, 2012, 650 ff.; Groß, Der Lizenzvertrag, 12. Aufl. 2020, Rn. 19, jeweils m. w. N. 1671 McGuire, Die Lizenz, 2012, 627, 628. 1672 Vgl. McGuire, Die Lizenz, 2012, 620, 621 m. w. N. 1673 Ebenso Schur, GRUR 2020, 1142, 1144, 1145. Vgl. McGuire, Die Lizenz, 2012, 627. So bleiben ausschließliche und einfache Nutzungsrechte im Urheberrecht gemäß § 33 UrhG grundsätzlich gegenüber später eingeräumten Nutzungsrechten sowie bei einem Verzicht oder Wechsel des Rechtsinhabers wirksam. Hierzu: Soppe, in: BeckOK UrhG, 30. Ed. 2021, § 33 UrhG, Rn. 1–5. Zur Verneinung absoluter Rechte an personenbezogenen Daten siehe oben S. 97 f. 1674 Zum pachtrechtlichen Gegenstandsbegriff: Herrler, in: Staudinger BGB, Neubearbeitung 2018, § 581 BGB, Rn. 5, 6. Zur Qualifizierung von personenbezogenen Daten als unkörperliche Gegenstände nach dem BGB sowie der datenschutzrechtlichen Einwilligung als Rechtsposition siehe oben S. 100 f., 104 ff.
286
Teil 3: Die Einordnung der Austauschverhältnisse
Vereinbarung, die personenbezogenen Daten und gestattet dem Anbieter die kommerzielle Nutzung der Daten zu den vorgesehenen Verarbeitungszwecken. Auch entspricht die pachtrechtliche Einordnung dem Dauerschuldcharakter der datenbasierten Leistung, der ebenfalls ein charakteristisches Merkmal von Lizenzverträgen darstellt.1675 Hinsichtlich der auf die datenbasierte Gegenleistung anzuwendenden Normen schafft die lizenzvertragliche Einordnung die Flexibilität, die ihre besonderen Leistungsgegenstände und deren datenschutzrechtlichen Vorgaben zwingend erfordern. Auch wenn eine Subsumtion unter die rechtspachtrechtliche Leistungsverpflichtung nach § 581 Abs. 1 S. 1 BGB naheliegend erscheint, ist zu konstatieren, dass ein Großteil der gesetzlichen Vorschriften über die Pacht ungeeignet ist, das Pflichtenprogramm und das Leistungsstörungsrecht der datenbasierten Gegenleistung auszugestalten.1676 So geht das Pachtrecht vom Vorliegen einer vollständig durchsetzbaren Leistungspflicht des Verpächters aus, welcher grundsätzlich die Überlassung körperlicher Gegenstände zugrunde liegt.1677 Aufgrund des disruptiven Geschäftsmodells vollkommen und teilweise datenfinanzierter Vertragsverhältnisse, welche erst durch den technologischen Fortschritt ermöglicht wurden, kann eine Einpassung in den hierfür nicht geschaffenen Vertragstypus der Pacht jedoch auch nicht erwartet werden. Aus diesem Grund ist eine überwiegend pachtrechtliche Einordnung der datenbasierten Leistung – trotz Vorliegens eines tauglichen Anknüpfungspunkts im Hinblick auf § 581 Abs. 1 S. 1 BGB – abzulehnen. Für die Qualifizierung datengetriebener Austauschgeschäfte mit kommerzieller Zwecksetzung als Lizenzverträge und für deren rechtliche Behandlung ist diese Einschätzung jedoch nur von geringer Bedeutung. Als entgeltliche Rechtsgeschäfte und Dauerschuldverhältnisse mit Leistungspflichten im Synallagma stellen entsprechende datengetriebene Austauschgeschäfte gegenseitige Verträge dar.1678 Auf die datenbasierte Leistung des Datensubjekts sind im Ausgangspunkt damit jedenfalls die Vorschriften des Allgemeinen Teils des BGB und des Schuldrechts, einschließlich der Vorschriften über Dauerschuldverhältnisse, sowie die Regelungen 1675 Zum Dauerschuldcharakter der datenbasierten Leistungspflichten siehe oben S. 205 f. sowie oben bei Fn. 1598, 1599. Zum Lizenzvertrag als Dauerschuldverhältnis: BGH, vom 17. 11. 2005 – IX ZR 162/04, juris, Rn. 21; BGH, Urteil vom 23. 03. 1982 – X ZR 76/80, juris, Rn. 29; Groß, Der Lizenzvertrag, 12. Aufl. 2020, Rn. 20; McGuire, Die Lizenz, 2012, 624, 625 m. w. N. 1676 Ebenso Schur, Die Lizenzierung von Daten, 2020, 174 ff.; Schur, GRUR 2020, 1142, 1145. Vgl. auch McGuire, Die Lizenz, 2012, 688, die auf das Anknüpfen zahlreicher Normen des Pachtrechts an das Vorliegen eines „körperlichen Substrat[s] bzw. den Besitz der Pachtsache“ sowie auf die fehlende Tauglichkeit der Vorschriften der Rechtspacht, „das spezifische Regelungsbedürfnis des Lizenzvertrags zu befriedigen“, verweist. 1677 Vgl. Harke, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 581 BGB, Rn. 1, 2, 59. Noch deutlicher sind die Vorschriften des Mietrechts, welche grundsätzlich für die Verpflichtung zur vorübergehenden Überlassung einer körperlichen Mietsache konzipiert wurden, welche über die Verweisung nach § 581 Abs. 2 BGB entsprechende Anwendung finden würden. Hierzu Mugdan, Die gesamten Materialien zum Bürgerlichen Gesetzbuch für das Deutsche Reich, Neudruck der Ausgabe Berlin 1899, 1979, Band 2 – Recht der Schuldverhältnisse, 205, 235. 1678 Siehe oben S. 205, 265 ff.
§ 10 Qualifizierung der Austauschverhältnisse
287
für gegenseitige Verträge anzuwenden.1679 Die Hauptleistungspflichten des Datensubjekts können darüber hinaus in § 581 Abs. 1 S. 1 BGB verortet werden. Soweit durch die Anwendung des Normenbestands gesetzlicher Vertragstypen keine angemessenen Ergebnisse für die Handhabung des Pflichtenprogramms der datenbasierten Leistung und des anzuwendenden Leistungsstörungsrechts erzielt werden können, kann, gemäß der auf atypische Verträge anzuwendenden Methodik, eine Lückenfüllung vorzunehmen sein.1680 cc) Gleichlauf mit der bestehenden Rechtspraxis Ausschlaggebendes Argument für eine lizenzvertragliche Einordnung der datenbasierten Leistung ist, dass nach geltendem Recht bereits zahlreiche Verträge, die die Verwertung von Persönlichkeitsmerkmalen betreffen, lizenzvertraglich eingeordnet werden. So ist dies in der Rechtswissenschaft für das Namensrecht nach § 12 BGB in Bezug auf den bürgerlichen Namen und für das Recht am eigenen Bild i. S. v. §§ 22, 23 KUG anerkannt.1681 Vor allem im Bereich des Personality Merchandising spielen Lizenzverträge bei der Verwertung von Persönlichkeitsmerkmalen von Prominenten in der Praxis eine erhebliche Rolle.1682 Die Leistung des Lizenzgebers innerhalb entsprechender Verwertungsverträge weist mit der datenbasierten Leistung im Rahmen datengetriebener Austauschgeschäfte eine Vielzahl von Gemeinsamkeiten auf, weswegen eine Ungleichbehandlung kaum zu rechtfertigen ist. So sind, mit Ausnahme der speziellen Normierung von §§ 12 BGB, 22 KUG, im Ausgangspunkt identische Leistungsgegenstände gegeben. Der bürgerliche Name und das eigene Bildnis als Wiedergabe des äußeren Erscheinungsbildes mit Wiedererkennungswert sind stets als personenbezogene Daten zu qualifizieren.1683 So ermöglichen der bürgerliche Name wie auch das Bildnis potenziell die Identifikation der dahinterstehenden natürlichen Person und stellen in ihrer jeweiligen Verkörperungsform syntaktische Informationen mit Personenbezug als semantischem Gehalt dar. Der Anwendungsbereich der DSGVO ist damit für die Verarbeitung dieser Persönlichkeitsmerkmale in Datenform eröffnet.1684 Für die kommerzielle 1679
Siehe oben Fn. 943. Zur rechtlichen Behandlung atypischer Verträge siehe oben S. 163 ff. 1681 Siehe oben Fn. 582 sowie Metzger, AcP 2016, 817, 837; Säcker, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 12 BGB, Rn. 77, 85 ff.; Niebel, in: BeckOGK BGB, Stand: 15. 03. 2021, § 12 BGB, Rn. 70. 1682 Vgl. Hahn, Moderecht, 2020, 13, 20–22; Unseld, Die Kommerzialisierung personen bezogener Daten, 2010, 1–3, 5–8 m. w. N. 1683 Hierzu Sattler, NJW 2020, 3623, 3627 sowie oben S. 108 ff. Zu den Schutzgegenständen des eigenen Bildnisses und des bürgerlichen Namens: Engels, in: BeckOK UrhG, 30. Ed. 2021, § 22 KUG, Rn. 19–27 sowie Säcker, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 12 BGB, Rn. 8, 9. 1684 Zu ihrer rechtmäßigen Verarbeitung ist daher ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO erforderlich. Vgl. Engels, in: BeckOK UrhG, 30. Ed. 2021, § 22 KUG, Rn. 10a–10c; Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 16, 17, 38, 48. 1680
288
Teil 3: Die Einordnung der Austauschverhältnisse
Verarbeitung von personenbezogenen Daten, welche Informationen über den bürgerlichen Namen oder das Bildnis einer natürlichen Person enthalten, beansprucht die DSGVO damit dieselbe Geltung wie für personenbezogene Daten, welche sonstige Informationen mit Personenbezug enthalten. Diese durch die informationelle Selbstbestimmung und das allgemeine Persönlichkeitsrecht geschützten Informationen lassen sich von den Datensubjekten als Persönlichkeitsrechtsträger loslösen und begründen damit eine verkehrsfähige Rechtsposition, welche grundsätzlich Vermögenswert besitzt.1685 Personenbezogene Daten sind als persönlichkeitsrelevante Informationen sowohl in Form der speziell normierten Ausprägungen der § 12 BGB, §§ 22, 23 KUG als auch in Form sonstiger Persönlichkeitsmerkmale einer identifizierbaren natürlichen Person zu den „immateriellen Rechtsobjekt[en] des allgemeinen Persönlichkeitsrechts“ zu zählen.1686 Spätestens ab dem Inkrafttreten der DSGVO ist eine datenschutzrechtliche Gleichbehandlung sämtlicher personenbezogener Daten geboten, sodass für die kommerzielle Verarbeitung des bürgerlichen Namens wie auch des eigenen Bildnisses grundsätzlich keine abweichenden Kriterien mehr anzulegen sind. So wird die Verarbeitung von Bildnissen natürlicher Personen zu rein kommerziellen Zwecken – außerhalb der Bereiche des Journalismus, der Wissenschaft, der Kunst und der Literatur gemäß Art. 85 DSGVO – vorrangig anhand der Anforderungen der DSGVO zu messen sein.1687 Als Einwand gegen eine einheitliche Qualifizierung der Preisgabe personen bezogener Daten zu kommerziellen Zwecken könnte angeführt werden, dass gerade bei professionellen Verwertungsverträgen im Bereich des Persönlichkeitsrechts die vorzufindende Interessenlage von der bei datengetriebenen Austauschgeschäften abweicht.1688 So sei sich das Datensubjekt bei professionellen Verwertungsverträgen der kommerziellen Verwertung seiner Persönlichkeitsmerkmale bewusst und würde dieser ausdrücklich im Rahmen einer vertraglichen Vereinbarung zustimmen.1689 Bei datengetriebenen Vertragsverhältnissen würde dagegen „der Ein 1685
Ähnlich Unseld, Die Kommerzialisierung personenbezogener Daten, 2010, 283, 284. Unseld, Die Kommerzialisierung personenbezogener Daten, 2010, 283. Nicht zuzustimmen ist indessen Unselds Einordnung von personenbezogenen Daten als Immaterialgüterrechte. Dies scheitert an ihrer fehlenden Anerkennung als eigentumsähnliches Recht und der fehlenden Möglichkeit, dingliche Rechtspositionen an ihnen zu bestellen. Hierzu oben Fn. 477 sowie S. 97 f. 1687 Hierzu Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 229, Fn. 77; Engels, in: BeckOK UrhG, 30. Ed. 2021, § 22 KUG, Rn. 10a–10e m. w. N. Vgl. auch BGH, Urteil vom 07. 07. 2020 – VI ZR 246/19, juris, Rn. 11. Die Annahme einer grundsätzlichen Unwiderruflichkeit einer datenschutzrechtlichen Einwilligung bei der Verarbeitung des Bildnisses einer natürlichen Person zu rein sonstigen kommerziellen Zwecken außerhalb der Gebiete von Art. 85 Abs. 1, 2 DSGVO ist damit im Ausgangspunkt nicht weiter haltbar. Zum Meinungsstand: Lauber-Rönsberg / Hartlaub, NJW 2017, 1057, 1061, 1062; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 12; Specht, in: Dreier / Schulze UrhG, 6. Aufl. 2018, § 22 KUG, Rn. 35. 1688 Vgl. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 12; Specht, in: Dreier / Schulze UrhG, 6. Aufl. 2018, § 22 KUG, Rn. 35. 1689 Ebenda. 1686
§ 10 Qualifizierung der Austauschverhältnisse
289
willigung häufig eine nur fingierte Informiertheit zugrunde lieg[en]“.1690 Dem ist jedoch mit Verweis auf die Einzelfallabhängigkeit und Heterogenität potentieller Wissens- und Rationalitätsdefizite zu widersprechen. So ist nach dem maßgeblichen objektiven Empfängerhorizont gerade davon auszugehen, dass das Datensubjekt sich der Preisgabe seiner personenbezogenen Daten und der Erteilung seiner datenschutzrechtlichen Einwilligung als datenbasierte Gegenleistung bewusst ist.1691 Angesichts der fehlenden Unterscheidung innerhalb der DSGVO im Hinblick auf eine professionelle Zwecksetzung einer kommerziellen Datenverarbeitung im Rahmen der Anforderungen an die Informiertheit des Datensubjekts wird dies jedoch keinen hinreichenden Grund bilden, um eine unterschiedliche Bewertung der Einordnung des jeweils zugrundeliegenden Vertragsverhältnisses zu rechtfertigen. Im Hinblick auf die etablierte Rechtspraxis ist aus Gründen der Rechtssicherheit die datenbasierte Leistung somit lizenzvertraglich zu qualifizieren. IV. Auswirkungen auf die vertragstyplogische Einordnung Auch wenn sich die datenbasierte Leistung eines Datensubjekts unter den Tatbestand des § 581 Abs. 1 S. 1 BGB subsumieren lässt, reicht dies aufgrund ihres spezifischen Merkmals der eingeschränkten Durchsetzbarkeit und der fehlenden Kongruenz mit dem Grundtypus des Pachtvertrags nicht aus, um die datenbasierte Leistung noch maßgeblich dem Pachtrecht zuzuordnen. Wird die Leistung des Anbieters außer Betracht gelassen, so werden Lizenzverträge mit datenbasierter Hauptleistung demnach als Verträge sui generis bzw. atypische Verträge im engeren Sinne zu qualifizieren sein.1692 Unabhängig von ihrer konkreten Erscheinungsform sind datengetriebene Austauschgeschäfte – übereinstimmend mit der herrschenden Meinung in Literatur1693 und Rechtsprechung1694 – damit zumin-
1690
Ebenda. Siehe oben S. 182 ff. 1692 So die h. M. allgemein für Lizenzverträge. Vgl. Groß, Der Lizenzvertrag, 12. Aufl. 2020, Rn. 19 m. w. N.; McGuire, Die Lizenz, 2012, 658 ff., 688, 689. 1693 Adelberg, Rechtspflichten und -grenzen der Betreiber sozialer Netzwerke, 2020, 151; Hacker, ZfPW 2019, 148, 178; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 551; Czajkowski / Müller-ter Jung, CR 2018, 157, 159; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 12, Fn. 43; Sattler, JZ 2017, 1036, 1038; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 19; Specht, JZ 2017, 763, 765, 770; Metzger, AcP 2016, 817, 837, 838; Datta / Klein, CR 2017, 174, 180, 181; Bräutigam, MMR 2012, 635, 640. 1694 BGH, Urteil vom 14. 03. 2017 – VI ZR 721/15, juris, Rn. 22, eine Qualifizierung als „entgeltlicher Vertrag“ für möglich erachtend, bei dem sich Anbieterleistung und datenbasierte Gegenleistung gegenüberstehen. Vgl. auch KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 242; OLG Stuttgart, Urteil vom 23. 01. 2019 – 4 U 214/18, juris, Rn. 62, 115; OLG Stuttgart, Beschluss vom 06. 09. 2018 – 4 W 63/18, juris, Rn. 64, welches einen Vertrag „sui generis“ annimmt; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 138, 139; LG Berlin, Urteil vom 19. 11. 2013 – 15 O 402/12, juris, Rn. 30; LG München I, Urteil 1691
290
Teil 3: Die Einordnung der Austauschverhältnisse
dest den atypischen Verträgen im weiteren Sinne zuzuordnen. Entsprechend der Ausgestaltung der Anbieterleistung und des Pflichtenprogramms stellen daten getriebene Vertragsverhältnisse gemäß § 311 Abs. 1 BGB im Einzelfall entweder typengemischte Verträge mit atypischer Gegenleistung oder Verträge sui generis dar. Der erste Fall wird anzunehmen sein, wenn die Anbieterleistung noch einem gesetzlich kodifizierten Vertragstypus zugeordnet werden kann. Der zweite Fall wird hingegen vorliegen, wenn auch die Anbieterleistung sich keinem kodifizierten Vertragstypus mehr zuordnen lässt. Ist aufgrund des expliziten Ausschlusses einer Leistungspflicht des Datensubjekts eine konditionale Verknüpfung gegeben, wird ebenso ein atypischer Vertrag anzunehmen sein.1695 V. Datenschutzrechtliche Verortung des Austauschvertrags? Als weiteren Ansatz erwägt Bräutigam eine datenschutzrechtliche Verortung des datengetriebenen Austauschvertrags in § 28 Abs. 1 S. 1 Nr. 1 BDSG a. F.1696 Diese Vorschrift statuiert die Zulässigkeit der Verarbeitung personenbezogener Daten oder deren Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke, wenn die Datenverarbeitung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Datensubjekt als Betroffenen erforderlich ist. Die Vorschrift könne nach Bräutigam als Anknüpfungspunkt für eine datenschutzrechtliche Einordnung datengetriebener Vertragsverhältnisse dienen, da „die Datenverarbeitung zu Werbezwecken nicht losgelöst vom eigentlichen Vertragsverhältnis, sondern praktisch als vertragliche Gegenleistung“ erfolgen würde.1697 Abzustellen sei in Fortentwicklung des Normzwecks also darauf, welche Daten erforderlich sind, um die Pflichten aus einem datengetriebenen Vertragsverhältnis zu erfüllen.1698 Gegen diese Verortung wendet Langhanke zurecht ein, dass eine Anwendung des Erlaubnistatbestands des § 28 BDSG a. F. und eine vollständige Legitimierung datengetriebener Vertragsverhältnisse nicht nur die Einwilligung des Datensubjekts obsolet werden ließe, sondern das Datensubjekt auch nur noch bei Vorliegen gesetzlicher Gestaltungsrechte in der Lage wäre, die Datenverarbeitung durch vom 09. 03. 2006 – 12 O 12679/05, juris, Rn. 61. Vgl. auch BGH, Urteil vom 12. 07. 2018 – III ZR 183/17, juris, Rn. 19, das die Rechtsnatur des Vertrages über die Nutzung von Facebook mangels Entscheidungsrelevanz jedoch unbeantwortet lässt. A. A. KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 70, 71; LG Hamburg, Urteil vom 07. 08. 2009 – 324 O 650/08, juris, Rn. 20. Weitere Details zu den einzelnen Entscheidungen oben Fn. 1154, 1431. 1695 Vgl. Hacker, ZfPW 2019, 148. 178, wonach ein „gemischte[r] Vertrag in Form eines Vertrags mit doppelt atypischer Gegenleistung (hinsichtlich Verknüpfung und Daten)“ besteht. 1696 Bräutigam, MMR 2012, 635, 640, am Beispiel der Nutzung eines sozialen Netzwerks ohne monetäre Gegenleistung des Nutzers. 1697 Ebenda. 1698 Ebenda.
§ 11 Erkenntnisse zur vertragstypologischen Einordnung
291
den Anbieter zu verhindern.1699 Übertragen auf die nunmehr geltende Rechtslage entspricht die Auffassung von Bräutigam der abzulehnenden weiten Auslegung von Art. 6 Abs. 1 lit. b DSGVO, wonach der Anbieter die Reichweite der Erforderlichkeit der Datenverarbeitung für die Vertragserfüllung selbst bestimmen könnte.1700 Den Einwänden von Langhanke ist daher beizupflichten und einer datenschutzrechtlichen Verortung von datengetriebenen Vertragsverhältnissen zu widersprechen.
§ 11 Erkenntnisse zur vertragstypologischen Einordnung Als Ergebnis der vertragstypologischen Einordnung datengetriebener Austauschgeschäfte ist festzuhalten, dass diese in der Regel als entgeltliche, gegenseitige Verträge und Dauerschuldverhältnisse zu qualifizieren sind. Den Kern der Leistung des Datensubjekts stellt die Pflicht zur Erteilung einer datenschutzrechtlichen Einwilligung zur Legitimierung der Datenverarbeitung zu kommerziellen Zwecken dar. Daneben ist das Datensubjekt zur Überlassung der personenbezogenen Daten verpflichtet, deren Erhebung und Verarbeitung dem Anbieter durch die Einwilligung gestattet wird. Die Überlassung notwendiger Daten stellt hingegen typischerweise eine Obliegenheit des Datensubjekts dar. Ausgestaltet werden die datenbasierten Leistungspflichten durch die Vorgaben des europäischen Datenschutzrechts. So ist das Datensubjekt im Rahmen seines uneinschränkbaren Widerrufsrechts nach Art. 7 Abs. 3 S. 1 DSGVO jederzeit dazu berechtigt, seine datenschutzrechtliche Einwilligung zu widerrufen. Die datenbasierten Leistungspflichten sind mithin nicht durchsetzbar. Aus der Ausübung seines Widerrufsrechts oder der Verweigerung der Einwilligungserteilung dürfen dem Datensubjekt nach EG 42 S. 5 DSGVO keine Nachteile erwachsen. Die Einrede des nichterfüllten Vertrags ist hingegen weiterhin anwendbar. Nach Art. 7 Abs. 4 DSGVO ist zudem das Kopplungsverbot zu beachten, das im Einzelfall zu der Unwirksamkeit der Einwilligungserteilung führen kann. Mangels Vergleichbarkeit der datenbasierten Leistung mit einer Geldzahlungspflicht in Form einer Geldsummenschuld kann den datenbasierten Leistungspflichten zudem nicht ihr typenprägender Charakter abgesprochen werden. Im Hinblick auf die vertragstypologische Einordnung der Leistung ist diese im Ausgangspunkt lizenzvertraglich zu qualifizieren. Die lizenzvertragliche Einordnung ermöglicht für die rechtliche Behandlung der datenbasierten Leistung, trotz ihrer fehlenden Kodifikation und ihres datenschutzrechtlichen Korsetts, einen pragmatischen Zugriff auf einzelne passende Vorschriften gesetzlicher Vertragstypen, ohne dabei dogmatische Brüche in Kauf nehmen oder die Leistungspflichten in einen nicht hierfür geschaffenen Vertragstypus pressen zu müssen. Schließlich ist eine lizenz 1699
Langhanke, Daten als Leistung, 2018, 102, 103. Siehe oben S. 220 ff.
1700
292
Teil 3: Die Einordnung der Austauschverhältnisse
vertragliche Einordnung schon aus Gründen der Rechtssicherheit geboten, da Verträge über die Verwertung von Persönlichkeitsmerkmalen bereits nach geltender Rechtspraxis lizenzvertraglich eingeordnet werden. Eine unterschiedliche Behandlung der datenbasierten Leistung eines Datensubjekts innerhalb eines datengetriebenen Austauschgeschäfts ist daher nicht gerechtfertigt. Auf die Leistung des Datensubjekts sind damit jedenfalls die Vorschriften des Allgemeinen Teils des BGB sowie des Schuldrechts, einschließlich der Vorschriften über Dauerschuldverhältnisse, und die Regelungen für gegenseitige Verträge anzuwenden. Zudem kann auf einzelne Regelungen gesetzlicher Vertragstypen zurückgegriffen werden, wenn deren Anwendung im Hinblick auf die Zwecksetzung des Vertrags und unter Berücksichtigung der Interessenlage der Vertragsparteien angemessen ist. Abhängig von der konkreten Ausgestaltung der Anbieterleistung im Einzelfall sind datengetriebene Vertragsverhältnisse mit kommerzieller Zwecksetzung damit den typengemischten Verträgen mit atypischer Gegenleistung oder den Verträgen sui generis zuzuordnen.
Teil 4
Konsequenzen der rechtlichen Qualifizierung Unter Zugrundelegung der Erkenntnisse aus der rechtlichen Qualifikation datengetriebener Austauschverhältnisse werden nachfolgend die Konsequenzen für das Pflichtenprogramm der datenbasierten Leistungspflichten und das einschlägige Leistungsstörungsrecht untersucht. Störungen der Anbieterleistung werden dabei nur an den Stellen berücksichtigt, an denen diese für den Bestand datengetriebener Vertragsverhältnisse und für die datenbasierte Leistung von besonderer Bedeutung sind. Diese Einschränkung liegt darin begründet, dass die jeweilige Anbieterleistung im Rahmen datengetriebener Austauschgeschäfte unterschiedlichst ausgestaltet sein kann und damit, abhängig vom vereinbarten Leistungsinhalt, beliebige Erscheinungsformen anzunehmen vermag.1701 Zugrunde zu legen ist weiter, dass bei Vorliegen einer datenbasierten Gegenleistung des Datensubjekts die Anbieterleistung stets entgeltlich erfolgt und entsprechende Austauschgeschäfte entgeltliche Rechtsgeschäfte konstituieren.1702 Für die rechtliche Erfassung der datenbasierten Leistung als typenprägende Hauptleistung innerhalb datengetriebener Austauschgeschäfte ist der konkrete Inhalt der Anbieterleistung daher nur von untergeordneter Bedeutung. Im Folgenden werden zuerst die allgemeinen Aspekte und das Pflichtenprogramm der datenbasierten Leistungspflichten behandelt. Daran anknüpfend werden die Auswirkungen von Leistungsstörungen auf die datenbasierte Leistung und auf das Vertragsverhältnis als Gesamtheit untersucht. Darauffolgend werden die Schranken der Vertragsfreiheit nach §§ 134, 138 BGB sowie das Recht der Allgemeinen Geschäftsbedingungen im Hinblick auf die Vereinbarung einer datenbasierten Leistung dargestellt. Abschließend wird noch auf die bereicherungsrechtliche Kondiktionsfähigkeit des durch die kommerzielle Datennutzung erlangten Vermögenswerts und auf die Wertbestimmung von personenbezogenen Daten eingegangen.
1701 Siehe oben S. 192 f., 267 ff. Auch auf die DIRL wird dementsprechend nur eingegangen, wenn deren Regelungen für die rechtliche Handhabung der datenbasierten Leistung Relevanz aufweisen. Nach Art. 3 Abs. 10 DIRL sowie EG 12 DIRL werden die nicht geregelten Gegenstände der Pflichten des Verbrauchers und der Rechte des Anbieters größtenteils dem nationalen Recht überlassen. Hierzu bereits oben bei Fn. 552, 553 sowie Metzger, AcP 2016, 817, 848, 849, 859. 1702 Siehe oben S. 251 f.
294
Teil 4: Konsequenzen der rechtlichen Qualifizierung
§ 12 Allgemeine Aspekte der Leistungspflichten A. Anwendbarkeit des Trennungs- und Abstraktionsprinzips Zu klären ist zunächst die Anwendung des Trennungsprinzips sowie des Abstraktionsprinzips als wesentliche Bestandteile der deutschen Zivilrechtsdogmatik auf die datenbasierte Leistung. Nach dem Trennungsprinzip sind schuldrechtliche Verpflichtungsgeschäfte und dingliche Verfügungsgeschäfte voneinander zu trennen.1703 Das Abstraktionsprinzip betrifft hingegen die Frage, ob und wie sich die Unwirksamkeit des Verpflichtungsgeschäfts auf die Wirksamkeit des dazugehörigen Verfügungsgeschäfts auswirkt.1704 Die Verfügung stellt ein Rechtsgeschäft dar, welches auf ein bereits bestehendes Recht einwirkt, indem dieses übertragen, belastet, inhaltlich verändert oder aufgehoben wird.1705 Datengetriebene Austauschgeschäfte begründen mit der Verpflichtung des Anbieters und des Datensubjekts zur jeweiligen Leistungserbringung jedenfalls ein schuldrechtliches Verpflichtungsgeschäft, welches als atypischer Vertrag zu qualifizieren ist.1706 Der DIRL ist dabei keine Aussage zu entnehmen, ob bei der Bereitstellung von Daten oder deren Zusage gemäß Art. 3 Abs. 1 Uabs. 2 DIRL zwischen Verpflichtungs- und Verfügungsgeschäft zu trennen ist.1707 Ob für den Vollzug der datenbasierten Leistungspflichten ein Verfügungsgeschäft erforderlich ist, ist davon abhängig, inwieweit die Überlassung personenbezogener Daten oder die Erteilung der datenschutzrechtlichen Einwilligung eine dingliche Verfügung erfordern. Für eine Anwendung des Trennungs- und Abstraktionsprinzips müssen die datenbasierten Leistungspflichten folglich neben ihrer Begründung im Rahmen des ihnen zugrundeliegenden Verpflichtungsgeschäfts ein Verfügungsgeschäft zu ihrem Vollzug aufweisen.
I. Die Verpflichtung zur Datenüberlassung Die faktische Überlassung von personenbezogenen Daten als Gegenstände und Immaterialgüter besitzt keinen Verfügungscharakter. Nach geltendem Recht sind 1703 Brox / Walker, Allgemeines Schuldrecht, 45 Aufl. 2021, § 1, Rn. 9; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 445. 1704 Hierzu jeweils Brox / Walker, Allgemeines Schuldrecht, 45 Aufl. 2021, § 1, Rn. 11; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 476, 477. 1705 BGH, Urteil vom 03. 12. 1998 – III ZR 288–96, juris, Rn. 9; Regenfus, in: BeckOGK BGB, Stand: 01. 04. 2021, § 185 BGB, Rn. 5; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 450; Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 187. 1706 Siehe oben S. 291 f. 1707 Metzger, AcP 2016, 817, 831; Specht, JZ 2017, 763, 765. Nach Art. 3 Abs. 10 DIRL sowie EG 12 DIRL unterfällt diese Frage daher dem nationalen Recht.
§ 12 Allgemeine Aspekte der Leistungspflichten
295
an den einzelnen personenbezogenen Daten keine vermögenswerten Rechtspositionen anerkannt, auf die durch die faktische Datenüberlassung oder im Zusammenhang mit ihr unmittelbar eingewirkt werden könnte. So ist die syntaktische Informationsebene von personenbezogenen Daten de lege lata rechtlich keinem Rechtsträger zugeordnet.1708 Auch auf die semantische Ebene von personenbezogenen Daten in Form des Informationsbezugs zu einer natürlichen Person wird durch die Datenüberlassung, mangels Anerkennung absoluter Rechtspositionen hieran, nicht verfügungsähnlich eingewirkt.1709 Die Ebene der strukturellen Information betrifft schließlich nur die Rechtsstellung an dem Datenträger als körperlichem Gegenstand und folgt dem zivilrechtlichen Eigentum.1710 Der Vollzug der Verpflichtung zur Überlassung personenbezogener Daten weist damit keinen Verfügungscharakter auf. Auf die Pflicht zur Datenüberlassung ist das Trennungs- und Abstraktionsprinzip aus diesen Gründen nicht anwendbar. II. Die Verpflichtung zur Einwilligungserteilung 1. Trennungsprinzip Anders ist hingegen die Lage bei der Pflicht zur Einwilligungserteilung zu bewerten. Die datenschutzrechtliche Einwilligung gestattet es dem Einwilligungsempfänger, in das Recht auf informationelle Selbstbestimmung des Datensubjekts einzugreifen und dessen personenbezogene Daten dem Inhalt der Einwilligung entsprechend zu verarbeiten.1711 Einzuräumen ist dabei, dass die Einwilligung nicht die enge Definition einer Verfügung erfüllt.1712 Die Einwilligung bewirkt keine inhaltliche Änderung, Belastung, Aufhebung oder Übertragung des Rechts auf informationelle Selbstbestimmung.1713 Das Datensubjekt übt durch die Einwilligungserteilung dieses Recht selbst aus, wodurch dem Empfänger, ähnlich der Gewährung rechtsgeschäftlicher Vertretungsmacht, ein rechtliches Dürfen eingeräumt wird, jedoch ohne dass die Erteilung der Einwilligung den Verfügungsbegriff erfüllt.1714 1708
Siehe oben S. 89 ff. Siehe oben S. 91 ff. 1710 Siehe oben S. 88 f. 1711 Hierzu bereits oben bei Fn. 577. 1712 Ebenso Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 187; Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 83, 84. A. A. Metzger, AcP 2016, 817, 832; Specht, JZ 2017, 763, 765, die Voraussetzungen einer Verfügung bereits infolge der Einwirkung auf die informationelle Selbstbestimmung des Datensubjekts als gegeben erachtend. 1713 Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 83 m. w. N. 1714 Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 83, 84; Ohly, „Volenti non fit iniuria“, 2002, 211, 212, welcher der „Einräumung einer widerruflichen Einwilligungsbefugnis“ eine rechtsgestaltende Wirkung zuspricht und diese „als Minus gegenüber der Verfügung“ einordnet. 1709
296
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Der datenschutzrechtlichen Einwilligung ist damit ein verfügungsähnlicher Charakter zuzusprechen.1715 Darüber hinaus spricht für eine Anwendbarkeit des Trennungsprinzips die Ausgestaltung der datenschutzrechtlichen Einwilligung durch die DSGVO.1716 Diese legt für die Wirksamkeit der Einwilligung eigenständige Anforderungen fest, die vom Schicksal des schuldrechtlichen Verpflichtungsgeschäfts unabhängig sind und keine Differenzierung danach vornehmen, ob die Einwilligung innerhalb bzw. außerhalb eines Schuldverhältnisses erteilt wird.1717 Weiter spricht hierfür, dass die Eingehung der Verpflichtung zur Erteilung der datenschutzrechtlichen Einwilligung und deren Erfüllung nicht zeitlich zusammenfallen müssen.1718 Von einer Trennung von Verpflichtungsgeschäft und Einwilligungserteilung wird zudem seitens Art. 8 Abs. 3 DSGVO ausgegangen. So sieht Art. 8 Abs. 3 DSGVO eine getrennte Beurteilung der Wirksamkeit der datenschutzrechtlichen Einwilligung des Minderjährigen und der Gültigkeit von Verträgen nach nationalem Recht vor, welche durch den Minderjährigen geschlossen wurden.1719 Es ist daher von der Anwendbarkeit des Trennungsprinzips auf die Einwilligung und den ihr zugrundeliegenden Schuldvertrag auszugehen.1720 2. Abstraktionsprinzip Die Anwendbarkeit des Abstraktionsprinzips auf das Verhältnis zwischen schuldrechtlichem Vertrag und erteilter datenschutzrechtlicher Einwilligung ist umstritten.1721 Bei Geltung des Abstraktionsprinzips hat die Unwirksamkeit des Verpflichtungsgeschäfts im Grundsatz keine Auswirkungen auf den Bestand des dazugehörigen Verfügungsgeschäfts. Maßgeblicher Zweck des Abstraktionsprin 1715 Ebenso Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 82–84 m. w. N.; Specht, JZ 2017, 763, 765; Ohly, „Volenti non fit iniuria“, 2002, 212. Im Ergebnis ebenso Lahusen, AcP 2021, 1, 14, 15, 20. A. A. Langhanke, Daten als Leistung, 2018, 150, 151, 167, 168, einen Verfügungscharakter ablehnend, jedoch die Anwendbarkeit des Trennungsprinzips trotzdem bejahend. 1716 Hierzu oben S. 130 ff. 1717 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 187. Zu den Wirksamkeitsvoraussetzungen der Einwilligung und den begrenzten Möglichkeiten der Statuierung abweichender nationaler Regelungen im Rahmen der Öffnungsklauseln: Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 5 ff., 15 ff. 1718 Hierzu bereits oben bei Fn. 571. 1719 Hierzu Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 8 DSGVO, Rn. 14; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 17. 1720 So auch die h. L.: Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 187; Langhanke, Daten als Leistung, 2018, 150; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 17; Specht, JZ 2017, 763, 765; Metzger, AcP 2016, 817, 832, 833. 1721 Eine ausführliche Darstellung des Meinungsstands hierzu findet sich bei Langhanke, Daten als Leistung, 2018, 163–166.
§ 12 Allgemeine Aspekte der Leistungspflichten
297
zips ist die Sicherheit des Rechtsverkehrs, dessen Vertrauen auf die Wirksamkeit des Erfüllungsgeschäfts im Fall der Unwirksamkeit des Verpflichtungsgeschäfts geschützt werden soll.1722 a) Argumente gegen die Geltung des Abstraktionsprinzips Die Auffassung, die sich gegen eine Anwendung des Abstraktionsprinzips ausspricht, stützt sich maßgeblich darauf, dass hierfür kein Bedürfnis bestehe und der Verkehrsschutzgedanke nicht auf die Einwilligung übertragbar sei.1723 Das Abstraktionsprinzip sei vielmehr auf dingliche Verfügungen im Rahmen des BGB – insbesondere im Sachenrecht – ausgerichtet, um einen Ausgleich zwischen Verkehrsschutz und Eigentümerinteressen zu finden, und würde von der Interessenlage bei der Kommerzialisierung von Persönlichkeitsmerkmalen erheblich abweichen.1724 So seien persönlichkeitsrechtliche Befugnisse, zu denen auch die Erteilung einer datenschutzrechtlichen Einwilligung zu zählen ist, im Gegensatz zu dinglichen Rechten nur begrenzt oder überhaupt nicht verkehrsfähig.1725 Gegen eine Anwendung des Abstraktionsprinzips wird weiter angeführt, dass sich die Einwilligung primär nur in Zweipersonenverhältnissen auswirken würde, durch den zugrundeliegenden Vertrag zweckgebunden ausgestaltet sei, nicht gutgläubig erworben werden könne und nur in Ausnahmefällen übertragbar sei.1726 Deswegen bestünde keine Notwendigkeit, das Abstraktionsprinzip über dessen normativ bestimmten Anwendungsbereich hinaus zu erweitern.1727 b) Vorzugswürdigkeit des Abstraktionsprinzips Die wohl überwiegende Meinung geht dagegen von der Geltung des Abstraktionsprinzips und der grundsätzlichen Unabhängigkeit der Wirksamkeit der Einwilligungserteilung von jener des Verpflichtungsgeschäfts aus.1728 Trotz der nachvollziehbaren und gewichtigen Einwände der Gegenauffassung überwiegen 1722
Olzen, in: Staudinger BGB, Neubearbeitung 2019, Einleitung zu § 241 BGB, Rn. 33; ugdan, Die gesamten Materialien zum Bürgerlichen Gesetzbuch für das Deutsche Reich, M Neudruck der Ausgabe Berlin 1899, 1979, Band 3 – Sachenrecht, 4. 1723 Vgl. Ohly, „Volenti non fit iniuria“, 2002, 449–451. Weitere Nachweise hierzu finden sich bei Langhanke, Daten als Leistung, 2018, 164, 165. 1724 Ohly, „Volenti non fit iniuria“, 2002, 450. 1725 Ebenda. 1726 Ohly, „Volenti non fit iniuria“, 2002, 449. 1727 Ohly, „Volenti non fit iniuria“, 2002, 449. 1728 Die Geltung des Abstraktionsprinzips annehmend: Kumkar, ZfPW 2020, 306, 331; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 18; Langhanke, Daten als Leistung, 2018, 163 ff., 167 m. w. N. zu weiteren Vertretern dieser Ansicht; Specht, JZ 2017, 763, 765, 766. Im Ergebnis wohl auch Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 207, 208; Metzger, AcP 2016, 817, 833, 860 ff.
298
Teil 4: Konsequenzen der rechtlichen Qualifizierung
die Vorteile der grundsätzlichen Unabhängigkeit der Wirksamkeit des Verpflichtungsgeschäfts von jener der Einwilligungserteilung. So schafft eine unabhängige Beurteilung von Einwilligung und Verpflichtungsgeschäft eine klare Struktur für die rechtliche Behandlung datengetriebener Austauschgeschäfte, indem sich das Verhältnis von Vertrag und Einwilligung dadurch präzise bestimmen lässt und für Rechtssicherheit sorgt.1729 Die Anwendung des Abstraktionsprinzips steht zudem im Einklang mit den europarechtlichen Vorgaben der DSGVO. Hierfür lässt sich erneut Art. 8 Abs. 3 DSGVO ins Feld führen.1730 Weicht das nationale Zivilrecht zulässigerweise bei dem Zustandekommen, der Gültigkeit oder den Rechtsfolgen eines Vertrags mit Beteiligung von Minderjährigen von den Vorgaben der DSGVO im Hinblick auf die Wirksamkeit der Einwilligungserteilung eines Minderjährigen ab und erachtet die zugrundeliegende Verpflichtung als unwirksam, so ist die Einwilligung dennoch wirksam, wenn die Voraussetzungen der Art. 8 Abs. 1, 2 BGB erfüllt sind.1731 Schließlich wird dadurch auch zur Rechtssicherheit beigetragen, indem nicht geklärt werden muss, ob die Rechtmäßigkeit einer Datenverarbeitung mitsamt der Einwilligung entfallen ist oder weiterhin fortbesteht, wenn die Datenverarbeitung auf einen alternativen gesetzlichen Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO gestützt werden kann.1732 Die Anwendbarkeit des Trennungsprinzips wie auch des Abstraktionsprinzips im Hinblick auf die Erteilung der datenschutzrechtlichen Einwilligung fördert damit die Rechtssicherheit und ist aus diesen Gründen zu befürworten.
B. Stellvertretungs- und Minderjährigenrecht Die Erteilung der datenschutzrechtlichen Einwilligung erfordert, dass der Erklärende einwilligungsfähig ist.1733 Bei einem (vollständigen) Fehlen der Einwilligungsfähigkeit des Datensubjekts sind analog Art. 8 Abs. 1 DSGVO dessen ge 1729
Vgl. Langhanke, Daten als Leistung, 2018, 165, 166; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 18. 1730 Siehe oben bei Fn. 1719. 1731 Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 8 DSGVO, Rn. 14; Frenzel, in: Paal / Pauly DSGVO / BDSG, 3. Aufl. 2021, Art. 8 DSGVO, Rn. 15. A. A. Metzger, AcP 2016, 817, 840; Bräutigam, MMR 2012, 635, 638, welche im Fall des Vertragsschlusses mit Minderjährigen eine Durchbrechung des Abstraktionsgrundsatzes befürworten. Jedoch ist dies ist nur schwierig mit der Zwecksetzung der DSGVO nach EG 10 S. 1 DSGVO zu vereinbaren, europaweit ein einheitliches Schutzniveau zu gewährleisten. Gemildert wird diese Problematik dadurch, dass den Minderjährigen, neben bereicherungsrechtlichen Ansprüchen, stets auch das jederzeitige Widerrufsrecht nach Art. 7 Abs. 3 DSGVO zusteht. In besonderen Ausnahmefällen kann zudem gemäß § 139 BGB eine Unwirksamkeit der Einwilligung bei Unwirksamkeit des Verpflichtungsgeschäfts angenommen werden. Hierzu unten S. 332 f. 1732 In diesem Fall liegt zwar kein vollkommen datenfinanziertes Geschäftsmodell vor, jedoch kann dadurch Rechtsklarheit auch in denjenigen Konstellationen geschaffen werden, in denen zusätzlich zu dem Vorliegen von gesetzlichen Erlaubnistatbeständen eine Einwilligung erteilt wurde. 1733 Die Einsichtsfähigkeit kann dabei von der Geschäftsfähigkeit nach den §§ 104 ff. BGB abweichen. Ausführlich hierzu oben bei Fn. 757, 758.
§ 12 Allgemeine Aspekte der Leistungspflichten
299
setzliche Vertreter zur Abgabe der Einwilligungserklärung befugt.1734 Im Hinblick auf den Abschluss datengetriebener Vertragsverhältnisse und die Abgabe entsprechender Willenserklärungen durch geschäftsunfähige Personen oder Minderjährige finden die Vorschriften über die Geschäftsfähigkeit gemäß §§ 104 ff. BGB Anwendung.1735 Die Willenserklärungen des Minderjährigen zur Eingehung des Verpflichtungsgeschäfts wie auch zur Erteilung der datenschutzrechtlichen Einwilligung stehen unter dem Zustimmungsvorbehalt der gesetzlichen Vertreter nach § 107 BGB, wenn diese als nicht lediglich rechtlich vorteilhaft einzustufen sind.1736 Sowohl die Eingehung der datenbasierten Leistungspflichten als auch die Erteilung der Einwilligung sind für den Minderjährigen als rechtlich nachteilhaft einzustufen: So begründet der Abschluss des Vertragsverhältnisses die datenbasierten Leistungspflichten, welche das Datensubjekt dazu verpflichten, dem Anbieter personenbezogene Daten zu überlassen und eine vereinbarungsgemäße Einwilligung zu erteilen, welche diesem ein Einwirken auf das informationelle Selbstbestimmungsrecht des Betroffenen gestattet.1737 Üblicherweise wird zudem die Geltung der AGB der Anbieter vereinbart, welche zahlreiche Bestimmungen enthalten, die vom gesetzlichen Schutzstandard abweichen und als rechtlich nachteilhaft für den Minderjährigen einzustufen sein werden.1738 Gleiches trifft auch auf die Erteilung der datenschutzrechtlichen Einwilligung zu, welche dem Anbieter es gestattet, in die informationelle Selbstbestimmung des Minderjährigen einzugreifen und dessen personenbezogene Daten entgegen dem grundsätzlichen Verbot mit Erlaubnisvorbehalt der DSGVO zu verarbeiten.1739 Als Sonderregelungen zur Einwilligungserteilung durch Minderjährige im Rahmen von Diensten der Informationsgesellschaft werden die Regelungen der §§ 2, 106 ff. BGB jedoch von Art. 8 Abs. 1 DSGVO verdrängt.1740 Wegen des persönlichkeitsrelevanten Charak 1734
Mangels Regelungen innerhalb der DSGVO, welche die Vertretungsbefugnis nicht einwilligungsfähiger Personen festlegen, ist hierzu ein Rückgriff auf nationales Recht erforderlich. Hacker, Datenprivatrecht, 2020, 357. Zur Vertretungsbefugnis der gesetzlichen Vertreter siehe auch Schild, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 4 DSGVO, Rn. 130. Ungeklärt ist dagegen, inwieweit auch eine gewillkürte Stellvertretung im Rahmen der – hierzu schweigenden – DSGVO zulässig ist. Zum Meinungsstand: Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 31. Eingehend hierzu Hacker, Datenprivatrecht, 2020, 363, 364. 1735 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 26. 1736 Zu der rechtsgeschäftlichen Rechtsnatur der datenschutzrechtlichen Einwilligung innerhalb datengetriebener Austauschgeschäfte siehe oben S. 104 ff. 1737 Metzger, AcP 2016, 817, 839; Bräutigam, MMR 2012, 635, 637; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 248. 1738 Vgl. Bräutigam, MMR 2012, 635, 637. 1739 Vgl. EG 38 S. 1, 2 DSGVO. Ausführlich hierzu und mit zahlreichen Nachweisen zur Nachteilhaftigkeit der Einwilligung: Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 162 ff., 180, 181. Vgl. zudem Langhanke, Daten als Leistung, 2018, 50; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 248; Ohly, „Volenti non fit iniuria“, 2002, 318–321. 1740 Hierzu bereits oben S. 134 f. sowie Fn. 580. Zu den Implikationen des Art. 8 Abs. 1 DSGVO für formularmäßig zu erteilende Einwilligungen innerhalb von AGB: Ernst, ZD 2017, 110, 111.
300
Teil 4: Konsequenzen der rechtlichen Qualifizierung
ters der Disposition über das Recht auf informationelle Selbstbestimmung ist von einer Doppelzuständigkeit von gesetzlichem Vertreter und Minderjährigem bei dem Abschluss des Verpflichtungsgeschäfts auszugehen, wonach zur Wirksamkeit des Rechtsgeschäfts auch die Zustimmung des Minderjährigen zum Rechtsgeschäft erforderlich ist.1741
C. Besonderheiten des Verbraucherschutzrechts I. Europäische Hintergründe der Verbraucherschutzvorschriften Das in §§ 312 ff., 355 ff. BGB geregelte Verbraucherschutzrecht setzt in weiten Teilen die Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates vom 25. 10. 2011 über die Rechte der Verbraucher (VerbRRL) um.1742 Diese wurde geringfügig durch den Erlass der Pauschalreiserichtlinie vom 25. 11. 2015 geändert, wodurch Pauschalreiseverträge nach Art. 3 Abs. 3 lit. g VerbRRL teilweise vom Anwendungsbereich der Richtlinie ausgenommen wurden.1743 Berücksichtigt wird vorliegend zudem die Neufassung der VerbRRL durch die Richtlinie 2019/2161 des Europäischen Parlaments und des Rates vom 27. 11. 2019.1744 Durch die Änderungs-RL bezweckt der europäische Gesetzgeber unter anderem, Kohärenz zwischen der VerbRRL und der DIRL zu schaffen.1745 Die ebenfalls zum europäischen Verbraucherschutzrecht zu zählende DIRL wird erst an späterer Stelle im Rahmen des Leistungsstörungsrechts eingehend behandelt.1746 Die Neufassung der Richt 1741 Hierzu Hacker, Datenprivatrecht, 2020, 231; Metzger, AcP 2016, 817, 839 m. w. N. Maßgebliches Argument hierfür ist die Verhinderung von persönlichkeitsrechtlichen „Disposition[en] gegen den Willen des Minderjährigen“, welcher mit zunehmendem Alter in die Lage versetzt werden soll, sein Recht auf informationelle Selbstbestimmung selbst wahrzunehmen. Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, 139, 181–184. Für die Einwilligungserteilung wird dagegen eine Doppelzuständigkeit seit Inkrafttreten der DSVGO abzulehnen sein, da eine kumulative Einwilligung seitens der Verordnung nicht vorgesehen ist. Siehe Kienle, PinG 2020, 208, 210, 211; Klement, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 8 DSGVO, Rn. 27. 1742 Richtlinie über die Rechte der Verbraucher vom 25. 10. 2011, ABl. L 304/64, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32011L0083&from=DE [zuletzt geprüft am 02. 05. 2021]. 1743 Richtlinie über Pauschalreisen und verbundene Reiseleistungen vom 25. 11. 2015, zur Änderung der Verordnung (EG) Nr. 2006/2004 und der Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 90/314/EWG des Rates, ABl. L 326/1, abrufbar unter https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32015 L2302:DE:HTML#ntc11-L_2015326DE.01000101-E0011 [zuletzt geprüft am 02. 05. 2021]. 1744 Siehe oben Fn. 31. 1745 Vgl. EG 32 Änderungs-RL sowie Mischau, ZEuP 2020, 335, 354. Auch soll gemäß EG 56 S. 2, 57 Änderungs-RL mit der Neufassung der VerbRRL das nationale Vertragsrecht im Hinblick auf den Abschluss, die Gültigkeit und die Folgen von Verträgen unberührt bleiben. 1746 Siehe unten S. 339 ff. Nicht behandelt wird hingegen mangels Bedeutung für die datenbasierten Leistungspflichten die Richtlinie des Europäischen Parlaments und des Rates 2019/771 vom 20. 05. 2019 über bestimmte vertragsrechtliche Aspekte des Warenkaufs, zur Änderung der
§ 12 Allgemeine Aspekte der Leistungspflichten
301
linie ist gemäß Art. 8 Änderungs-RL am 07. 01. 2020 als zwanzigster Tag nach dem 18. 12. 2019 als Tag ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft getreten. Nach Art. 7 Abs. 1 Änderungs-RL haben die Mitgliedstaaten die Richtlinie bis zum 28. 11. 2021 umzusetzen und ab dem 28. 05. 2022 die Rechtsvorschriften anzuwenden. Vor Ablauf der Umsetzungsfrist besteht zwar grundsätzlich noch keine Pflicht zu einer richtlinienkonformen Interpretation des nationalen Rechts, jedoch wäre diese in Form einer „antizipierende[n] Richtlinienkonformität“ bereits ab Inkrafttreten zulässig.1747 Vorliegend wird im Ausgangspunkt auf den geltenden Rechtsrahmen abgestellt und darauffolgend die Neufassung der Richtlinie dargestellt, soweit diese Änderungen der bisherigen Rechtslage beinhaltet. Berücksichtigt wird zudem der Gesetzesentwurf der BReg vom 13. 01. 2021, welcher sich bereits mit der Umsetzung der Änderungs-RL ins nationale Zivilrecht befasst.1748 Von besonderer Relevanz für datengetriebene Austauschgeschäfte, welche häufig als Fernabsatzverträge einzuordnen sein werden, sind insbesondere die Auswirkungen des verbraucherrechtlichen Widerrufs gemäß §§ 355 Abs. 1, 312g, 312c BGB und die Anwendbarkeit der „Buttonlösung“ nach § 312j Abs. 2, 3 BGB. II. Anwendbarkeit der Verbraucherschutzvorschriften 1. Geltende Rechtslage Werden datengetriebene Vertragsverhältnisse zwischen Verbrauchern (§ 13 BGB) auf der einen und Unternehmern (§ 14 BGB) auf der anderen Seite als Vertragsparteien abgeschlossen, sind diese gemäß § 310 Abs. 3 BGB als Verbraucherverträge zu qualifizieren. Nach § 312 Abs. 1 BGB ist de lege lata auf diese das Verbraucherschutzrecht nach §§ 312 ff. BGB anzuwenden, soweit der Verbrauchervertrag eine entgeltliche Leistung des Unternehmers zum Gegenstand hat. Der Entgeltbegriff des § 312 Abs. 1 BGB ist richtlinienkonform weit auszulegen und umfasst sämtliche Leistungen des Verbrauchers an den Unternehmer, die für diesen einen Nutzen aufweisen.1749 Damit begründen auch konditional oder kausal verknüpfte Verordnung (EU) 2017/2394 und der Richtlinie 2009/22/EG sowie zur Aufhebung der Richtlinie 1999/44/EG (Warenkauf-RL), ABl. L 136/28, abrufbar unter https://eur-lex.europa.eu/legalcontent/DE/TXT/PDF/?uri=CELEX:32019L0771&from=DE [zuletzt geprüft am 02. 05. 2021]. 1747 Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, 71. EL. 2020, Art. 288 AEUV, Rn. 133 m. w. N. 1748 Siehe oben Fn. 32. Die Neufassung von Vorschriften durch die Entwürfe zur Umsetzung der DIRL sowie der VerbRRL n. F. werden folgend mit BGB-E, UKlaG-E sowie EGBGB-E gekennzeichnet. 1749 Maßgeblich wird hierfür auf Art. 3 Abs. 1 VerbRRL abgestellt, welcher die Geltung der Richtlinie für „jegliche Verträge“ zwischen einem Unternehmer und einem Verbraucher anordnet. Statt aller: Busch, in: BeckOGK BGB, Stand: 01. 04. 2021, § 312 BGB, Rn. 11, 11.1; Wendehorst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 312 BGB, Rn. 37. Für eine weite Auslegung plädiert auch die Gesetzesbegründung zur Umsetzung der VerbRRL: BTDrucks. 7/13951, 72.
302
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Gegenleistungen des Verbrauchers die Entgeltlichkeit der Unternehmerleistung.1750 In der Gesetzesbegründung zu § 312 Abs. 1 BGB werden darüber hinaus explizit auch Vertragsverhältnisse einbezogen, „bei denen der Verbraucher für die Erbringung einer Dienstleistung oder die Lieferung einer Ware dem Unternehmer im Gegenzug personenbezogene Daten mitteilt und in deren Speicherung, Nutzung oder Weitergabe einwilligt“.1751 Datengetriebene Austauschgeschäfte als entgeltliche Verträge erfüllen dementsprechend die Voraussetzungen für die Anwendbarkeit der Verbraucherschutzvorschriften nach § 312 Abs. 1 BGB.1752 Auszunehmen sind hiervon jedoch diejenigen Vertragsverhältnisse, bei denen die Verarbeitung personenbezogener Daten ausschließlich auf der Grundlage von gesetzlichen Erlaubnistatbeständen erfolgt, wodurch die Datenüberlassung keinen Gegenleistungscharakter besitzt und nicht als entgeltlich qualifiziert werden kann.1753 Abhängig von der Ausgestaltung des Vertrags und der konkreten Anbieterleistung im Einzelfall sind daher die Schutzvorschriften, Informationspflichten und Widerrufsrechte des Verbraucherschutzrechts auch auf datengetriebene Austauschverhältnisse anzuwenden.1754 2. Änderungen infolge VerbRRL n. F. und BGB-E Hinsichtlich des Anwendungsbereichs der Richtlinie auf datengetriebene Austauschgeschäfte sieht die Richtlinie keine Änderungen zur bisher geltenden Rechtslage vor. Nach dem neuen Wortlaut von Art. 3 Abs. 1 S. 1 VerbRRL n. F. wird die Geltung der Richtlinie nun schlicht für „alle Verträge“ angeordnet, die zwischen einem Unternehmer und einem Verbraucher geschlossen werden, bei denen der Verbraucher einen Preis zahlt oder die Zahlung eines Preises zusagt. Nach dem neu eingefügten Art. 3 Abs. 1a VerbRRL n. F. gilt die Richtlinie in weitgehender Übereinstimmung mit der DIRL nunmehr explizit auch für Verträge, bei denen der Unternehmer dem Verbraucher digitale Inhalte, die nicht auf einem körperlichen Datenträger geliefert werden, bereitstellt oder deren Bereitstellung zusagt oder für den Verbraucher digitale Dienstleistungen bereitstellt oder deren Bereitstellung zusagt und der Verbraucher dem Unternehmer personenbezogene Daten bereit 1750
Wendehorst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 312 BGB, Rn. 36. BT-Drucks. 7/13951, 72. 1752 Eingehend zur Entgeltlichkeit siehe oben S. 209 f. Ebenso Leinemann, Personenbezogene Daten als Entgelt, 2020, 122, 123; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 549, 550; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 29; Metzger, AcP 2016, 817, 845, 846; Busch, in: BeckOGK BGB, Stand: 01. 04. 2021, § 312 BGB, Rn. 11. 1753 Siehe oben S. 251 f. Vgl. auch Wendehorst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 312 BGB, Rn. 38. 1754 Hervorzuheben sind insbesondere die seitens des Anbieters zu erfüllenden Informationspflichten nach §§ 312a Abs. 2, 312d Abs. 1 BGB, Art. 246, 246a EGBGB. Weiterführend hierzu: Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 549, 550; Czajkowski / Müller-ter Jung, CR 2018, 157, 161 ff. 1751
§ 12 Allgemeine Aspekte der Leistungspflichten
303
stellt oder deren Bereitstellung zusagt.1755 Bezüglich dieser Vertragsgegenstände wurden zudem weitere Informationspflichten des Unternehmers in die Richtlinie aufgenommen.1756 Ausgenommen vom Anwendungsbereich werden nach Art. 3 Abs. 1a Hs. 2 VerbRRL n. F. – wiederum im Einklang mit Art. 3 Abs. 1 Uabs. 2 DIRL – alle privatrechtlichen Vertragskonstellationen, in denen die Datenverarbeitung bereits durch die gesetzlichen Erlaubnistatbestände der Art. 6 Abs. 1 lit. b, c DSGVO abgedeckt ist.1757 Im Hinblick auf sonstige entgeltliche Verträge, die weder die Zahlung eines Preises noch eine datenbasierte Leistung vorsehen, dürfte die Änderung des Wortlauts von Art. 3 Abs. 1 S. 1 VerbRRL n. F. hingegen eine Einschränkung des Anwendungsbereichs der Richtlinie bedeuten. Die derzeitige weite Interpretation von § 312 Abs. 1 BGB wird damit nicht weiter gerechtfertigt werden können. Dem entsprechend wird von den Gesetzesentwürfen zur Umsetzung der DIRL und der VerbRRL n. F. konsequenterweise vorgesehen, die Vorschrift des § 312 Abs. 1 BGB neu zu fassen und auf das Entgeltlichkeitserfordernis zu verzichten.1758 Gemäß § 312 BGB-E1759 soll demzufolge im Hinblick auf die Anwendbarkeit der Verbraucherschutzvorschriften zwischen der Verpflichtung des Verbrauchers zur Zahlung eines Preises (Abs. 1) und der Bereitstellung von personenbezogenen Daten durch den Verbraucher oder der Verpflichtung hierzu (Abs. 1a) unterschieden werden.1760 § 312 Abs. 1a S. 2 BGB-E bezweckt damit, Art. 3 Abs. 1a Hs. 2 VerbRRL n. F. umzusetzen und, nimmt Datenverarbeitungsvorgänge aus, die ausschließlich deswegen vorgenommen werden, um die Leistungspflicht des Unternehmers oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und zu keinem anderen Zweck 1755 Eingeführt wurden überdies Begriffsbestimmungen für personenbezogene Daten (Art. 2 Nr. 4a VerbRRL n. F.) und digitale Dienstleistungen (Art. 2 Nr. 16 VerbRRL n. F.). In Übereinstimmung mit der DIRL wurde diesbezüglich auch die Begriffsbestimmung für digitale Inhalte angepasst (Art. 2 Nr. 11 VerbRRL n. F.). Hierzu EG 30 Änderungs-RL. 1756 Siehe Art. 4 Nr. 3–5 Änderungs-RL. Eingehend hierzu Mischau, ZEuP 2020, 335, 356, 357. 1757 EG 31, 33 Änderungs-RL. Ausführlich zu Art. 6 Abs. 1 lit. b, c DSGVO oben S. 219 ff., 226 ff. 1758 BReg, Gesetzesentwurf zur Umsetzung der Änderungs-RL, 17; BReg, Gesetzesentwurf zur Umsetzung der DIRL, 38. 1759 § 312 BGB-E – Anwendungsbereich (1) Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auf Verbraucherverträge anzuwenden, bei denen sich der Verbraucher zu der Zahlung eines Preises verpflichtet. (1a) Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet. (3)–(8) […]. 1760 Hierzu BReg, Gesetzesentwurf zur Umsetzung der DIRL, 4, 5, 38. Unter Preis soll danach „jedenfalls eine vereinbarte Geldleistung zu verstehen“ sein, worunter entsprechend Art. 2 Nr. 7 DIRL auch eine digitale Darstellung eines Werts fallen würde.
304
Teil 4: Konsequenzen der rechtlichen Qualifizierung
verarbeitet werden.1761 Hinsichtlich der Auslegung des Begriffes der personen bezogenen Daten wie auch der Ausnahmetatbestände soll dabei maßgeblich auf die Regelungen der DSGVO abzustellen sein.1762 Die Bereitstellung von personenbezogenen Daten soll entsprechend den Vorgaben der DSGVO dabei „im weitest möglichen Sinne“ verstanden werden und alle Verarbeitungsvorgänge seitens des Unternehmers umfassen.1763 Datengetriebene Austauschgeschäfte mit kommerzieller Zwecksetzung, welche auf der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO basieren, werden folglich de lege lata wie auch de lege ferenda dem Anwendungsbereich des Verbraucherschutzrechts unterfallen, während als unentgeltlich einzuordnende Vertragsverhältnisse, bei denen die (vorgesehene) Datenverarbeitung bereits durch Art. 6 Abs. 1 lit. b, c DSGVO legitimiert ist, hiervon auszunehmen sind.1764 Zutreffend wird auch vom Gesetzesentwurf zur Umsetzung der DIRL angenommen, dass die Rechtmäßigkeit der Datenverarbeitung im Grundsatz keinen Einfluss auf die Geltung der §§ 312 ff. BGB-E haben darf und diese auch im Fall eines datenschutzrechtlich rechtswidrig handelnden Unternehmers anzuwenden sind.1765 III. Das verbraucherrechtliche Widerrufsrecht 1. Voraussetzungen des Widerrufsrechts a) Geltende Rechtslage Die bedeutendste Fallgruppe datengetriebener Austauschgeschäfte, mit denen vollkommen datenfinanzierte Geschäftsmodelle verfolgt werden, stellen inter 1761 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 5. § 312 Abs. 1a S. 1 BGB-E nimmt dabei im Gegensatz zu § 327 Abs. 3 BGB-E keine Einschränkung des sachlichen Anwendungsbereichs auf Verträge betreffend die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen vor, da diese gemäß §§ 312 ff. BGB bereits de lege lata auf sämtliche Verträge angewendet werden, die eine entgeltliche Leistung des Unternehmers zum Gegenstand haben. Hierzu: BReg, Gesetzesentwurf zur Umsetzung der Änderungs-RL, 17 sowie unten S. 343 f. 1762 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 39, 40, 45, 46. Siehe oben S. 121 ff. sowie oben bei Fn. 1757. 1763 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 39, 45. Dies soll dabei unabhängig davon gelten, ob das Datensubjekt aktiv an der Datenerhebung mitgewirkt hat oder die personen bezogenen Daten automatisiert durch den Unternehmer erhoben wurden. Eingehend hierzu oben S. 67 f. sowie bei Fn. 1144. 1764 Hingegen wird eine Legitimierung über Art. 6 Abs. 1 lit. f DSGVO nicht genügen, um die Eröffnung des Anwendungsbereichs von § 312 Abs. 1a BGB zu verhindern. Ableiten lässt sich dies aus dem engen Wortlaut von Art. 3 Abs. 1a Hs. 2 VerbRRL n. F. und § 312 Abs. 1a S. 2 BGB-E, welche eine Verarbeitung zu anderen Zwecken ausschließen. Hierzu auch EG 33 Änderungs-RL; BReg, Gesetzesentwurf zur Umsetzung der DIRL, 39, 40 sowie Mischau, ZEuP 2020, 335, 343, 344. 1765 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 39 45, auf die fehlende Beurteilungsfähigkeit der Verbraucher hinsichtlich der Rechtmäßigkeit der Datenverarbeitung abstellend.
§ 12 Allgemeine Aspekte der Leistungspflichten
305
netbasierte Massengeschäfte wie beispielsweise die Bereitstellung von sozialen Medien, Suchmaschinen, Streamingportalen, Computerprogrammen und Apps oder von anderen internetbasierten Diensten dar.1766 Entsprechende Vertragsverhältnisse werden grundsätzlich nach § 312c Abs. 1 BGB als Fernabsatzverträge zu qualifizieren sein, da Verbraucher und Unternehmer in diesen Konstellationen den Vertrag ausschließlich über das Internet als Fernkommunikationsmittel abschließen; und zwar typischerweise im Rahmen von individuellen Webauftritten oder (drittbetriebenen) Online-Plattformen als dafür vorgesehene Fernabsatzsysteme.1767 § 312g Abs. 1 BGB statuiert für diesen Fall zugunsten des Verbrauchers ein Widerrufsrecht gemäß § 355 Abs. 1 S. 1 BGB.1768 Liegt die Unternehmerleistung in der Lieferung von digitalen Inhalten nach § 312f Abs. 3 BGB, welche sich nicht auf einem körperlichen Datenträger befinden, kann das Widerrufsrecht gemäß § 356 Abs. 5 BGB zum Erlöschen gebracht werden.1769 Erheblich umstritten war hierbei, ob § 356 Abs. 5 BGB, wie auch der Ausschluss der Wertersatzpflicht des Verbrauchers im Widerrufsfall nach § 357 Abs. 9 BGB, nur für punktuelle Leistungen (wie den Download eines Films oder Hörbuchs) oder auch bei wiederkehrenden Leistungen im Rahmen von Dauerschuldverhältnissen (wie bei Abonnements von Diensten) gilt.1770 Der EuGH befasste sich in einem kürzlich erschienenen Urteil mit dieser Frage und entschied unter Verweis auf die Begriffsbestimmung von digitalen Inhalten in EG 19 S. 1 VerbrRRL, dass digitale Dienstleistungen im Rahmen von Partnervermittlungsverträgen nicht unter das Begriffsverständnis einer Lieferung von digitalen Inhalten im Sinne der Richtlinie fallen.1771 De lege ferenda wird dies nunmehr durch die strikte Trennung von digitalen Inhalten, Dienstleistungen und digitalen Dienstleistungen in Art. 2 Nr. 6, Nr. 11 sowie Nr. 16 VerbrRRL n. F. klargestellt.1772 Die fristgerechte Ausübung des Widerrufsrechts nach § 312g Abs. 1 BGB hat zur Folge, dass der Verbraucher und der Unternehmer gemäß § 355 Abs. 1
1766
RL.
Eine Aufzählung weiterer digitaler Inhalte und Dienstleistungen enthält EG 30 Änderungs-
1767 Vgl. auch Czajkowski / Müller-ter Jung, CR 2018, 157, 158, 161, dabei datengetriebene Austauschverhältnisse als „datenfinanzierte Premiumdienste“ bezeichnend; Busch, in: BeckOGK BGB, Stand: 01. 01. 2021, § 312c BGB, Rn. 14, 28. 1768 Der Ausnahmekatalog des § 312g Abs. 2 BGB wird im Rahmen internetbasierter, datengetriebener Austauschgeschäfte aufgrund des überwiegenden Anknüpfens an eine Lieferung von (versiegelten) körperlichen Gegenständen oder ihrer spezifischen Regelungsgegenstände jedoch nur selten einschlägig sein. 1769 Voraussetzung hierfür ist, dass der Unternehmer mit der Ausführung des Vertrags vor Ablauf der Widerrufsfrist beginnt und vorher der Verbraucher der vorzeitigen Vertragsausführung ausdrücklich zugestimmt hat und seine Kenntnis vom Erlöschen seines Widerrufsrechts in diesem Fall bestätigt hat. 1770 Grund hierfür ist, dass innerhalb von § 356 Abs. 5 BGB und § 357 Abs. 9 BGB ausschließlich auf die Lieferung digitaler Inhalte abgestellt wird. Eingehend hierzu: AG Hamburg, Urteil vom 16. 01. 2017 – 12 C 196/16, juris, Rn. 11, 12; Mörsdorf, in: BeckOGK BGB, Stand: 15. 02. 2021, § 356 BGB, Rn. 11, 57 m. w. N. zum Meinungsstand. 1771 EuGH, Urteil vom 08. 10. 2020 – C-641/19, juris, Rn. 44–45. 1772 Ebenso Mörsdorf, in: BeckOGK BGB, Stand: 15. 02. 2021, § 356 BGB, Rn. 11.
306
Teil 4: Konsequenzen der rechtlichen Qualifizierung
S. 1 BGB nicht mehr an ihre bei Vertragsschluss abgegebene Willenserklärung gebunden sind; bereits empfangene Leistungen sind daraufhin nach § 357 BGB zurückzugewähren.1773 Das verbraucherrechtliche Widerrufsrecht gemäß § 355 BGB stellt ein eigenständiges Gestaltungsrecht dar und existiert unabhängig von dem datenschutzrechtlichen Widerrufsrecht nach Art. 7 Abs. 3 DSGVO.1774 So führt ein wirksamer verbraucherrechtlicher Widerruf zwar zum Erlöschen des Vertragsverhältnisses und wandelt dieses in ein Rückgewährschuldverhältnis um, besitzt jedoch grundsätzlich keine unmittelbaren Auswirkungen auf den Bestand der erteilten datenschutzrechtlichen Einwilligung.1775 b) Änderungen infolge VerbRRL n. F. und BGB-E Die VerbRRL n. F. unterscheidet unter Verweis auf die DIRL nunmehr ebenfalls zwischen digitalen Inhalten und digitalen Dienstleistungen.1776 Auf die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen durch einen Unternehmer finden die Bestimmungen zum Widerrufsrecht gemäß EG 30, 31 Änderungs-RL ausdrücklich Anwendung. Im Hinblick auf den Ausschluss des Widerrufsrechts nach § 312g Abs. 2 BGB statuieren Art. 16 Abs. 1 lit. a sowie lit. m VerbRRL n. F. künftig, dass die verschärften Anforderungen zum Ausschluss des Widerrufsrechts bei der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen nur noch dann erfüllt werden müssen, wenn der Vertrag den Verbraucher zur Zahlung eines Preises verpflichtet.1777 Bei Vorliegen einer rein datenbasierten Gegenleistung ist hingegen das Widerrufsrecht des Verbrauchers bereits dann ausgeschlossen, wenn der Unternehmer die Dienstleistung oder die Bereitstellung digitaler Inhalte vollständig bewirkt hat.1778 Gerade im Hinblick auf die typischen datengetriebenen Vertragsverhältnisse im Bereich der sozialen Medien und Netzwerke, welchen eine 1773 Zur Problematik der Rückgewähr und der Schwierigkeit der Bestimmung eines Wert ersatzes für die Nutzung internetbasierter Anbieterleistungen: Czajkowski / Müller-ter Jung, CR 2018, 157, 163. 1774 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 29. 1775 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 210, 211. Zu den Rechtsfolgen der Ausübung des verbraucherrechtlichen Widerrufsrechts: Fritsche, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 355 BGB, Rn. 59, 60. Jedoch wird im Regelfall davon auszugehen sein, dass zugleich auch der Widerruf der Einwilligung seitens des Datensubjekts konkludent erklärt wird. Weiterführend hierzu unten bei Fn. 1790. 1776 Siehe oben Fn. 1571, 1755. 1777 Vgl. Mischau, ZEuP 2020, 335, 359, 360. Entsprechend normieren Art. 7 Abs. 3 sowie Art. 8 Abs. 8 VerbRRL n. F. jeweils eine Pflicht des Unternehmers bei Verträgen mit einer Zahlungspflicht des Verbrauchers, dass dieser im Fall einer Leistungserbringung vor Ablauf der Widerrufsfrist ein entsprechendes ausdrückliches Verlangen des Verbrauchers einzuholen hat und den Verbraucher informiert, dass dadurch sein Widerrufsrecht erlöschen kann. Hierzu EG 39, 42 Änderungs-RL. 1778 Zur Umsetzung dieser Bestimmungen siehe § 356 Abs. 4 Nr. 1, Abs. 5 Nr. 1 BGB-E. Hierzu BReg, Gesetzesentwurf zur Umsetzung der Änderungs-RL, 4, 5, 17, 29–31.
§ 12 Allgemeine Aspekte der Leistungspflichten
307
Anbieterleistung mit Dauerschuldcharakter zugrunde liegt, wird ein Ausschluss des Widerrufsrechts damit kaum möglich sein.1779 Hinsichtlich des Wertersatzanspruchs des Unternehmers gegen den Verbraucher für die Inanspruchnahme einer Dienstleistung oder die Bereitstellung digitaler Inhalte legt Art. 14 Abs. 4 lit. a, b VerbRRL n. F. fest, dass der Verbraucher keinen Wertersatz für eine bereits vor Ablauf der Widerrufsfrist ganz oder teilweise erbrachte Anbieterleistung zu leisten hat, wenn der Unternehmer seinen Informationspflichten nicht nachgekommen ist oder der Verbraucher einer Vertragsdurchführung vor Ablauf der Widerrufsfrist nicht ausdrücklich zugestimmt hat. Für die Bereitstellung von digitalen Inhalten, die nicht auf einem körperlichen Datenträger geliefert werden, kann die bisherige Regelung des § 357 Abs. 9 BGB fortbestehen, da die Voraussetzungen für das Bestehen einer Wertersatzpflicht infolge eines Widerrufs durch den Verbraucher nach Art. 14 Abs. 4 lit. b VerbRRL n. F. und die Anforderungen eines Ausschlusses des Widerrufsrechts gemäß Art. 16 Abs. 1 lit. m VerbRRL n. F. deckungsgleich sind.1780 Besteht die Unternehmerleistung hingegen in der Erbringung einer (digitalen) Dienstleistung, statuiert Art. 14 Abs. 3, Abs. 4 lit. a VerbRRL n. F. eine Wertersatzpflicht des Verbrauchers, wenn dieser gemäß Art. 7 Abs. 3 VerbRRL n. F. bzw. Art. 8 Abs. 8 VerbRRL n. F. verlangt, dass der Unternehmer vor Ablauf der Widerrufsfrist mit der Vertragsdurchführung beginnen soll.1781 Da diese Wertersatzpflicht nach Art. 14 Abs. 3 S. 2 VerbRRL n. F. „auf der Grundlage des vertraglich vereinbarten Gesamtpreises“ zu bestimmen ist, ist davon auszugehen, dass, bei Fehlen einer Geldzahlungspflicht des Verbrauchers, dieser im Fall rein datenfinanzierter Vertragsverhältnisse keinen Wertersatz zu leisten haben wird.1782 Gestützt wird dieses Ergebnis auch dadurch, dass Art. 14 Abs. 3 VerbRRL n. F. maßgeblich als Voraussetzung einer Wertersatzpflicht auf das Verlangen nach Art. 7 Abs. 3, Art. 8 Abs. 8 VerbRRL n. F. abstellt, dass „der Vertrag den Verbraucher zur Zahlung“ verpflichtet.1783 Im Hinblick auf daten 1779 Vgl. oben Fn. 1569, 1570 sowie BReg, Gesetzesentwurf zur Umsetzung der ÄnderungsRL, 30. 1780 Gerade im Rahmen datengetriebener Vertragsverhältnisse wird das Widerrufsrecht bereits allein durch die Lieferung der Inhalte entfallen, wodurch sich die Frage des Wertersatzes im Widerrufsfall nicht stellt. Zur Umsetzung in § 357a Abs. 3 BGB-E: BReg, Gesetzesentwurf zur Umsetzung der Änderungs-RL, 6, 17, 32, 33. Siehe auch Mischau, ZEuP 2020, 335, 361. Eingehend zur pragmatischen Umsetzung im Rahmen des derzeit geltenden Rechts: Fritsche, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 357 BGB, Rn. 54. 1781 Ausgeschlossen ist diese Wertersatzpflicht daher, wenn der Unternehmer nach Art. 14 Abs. 4 lit. a VerbRRL n. F. die Informationspflichten gemäß Art. 6 Abs. 1 lit. h, j VerbRRL n. F. nicht erfüllt hat oder wenn kein ausdrückliches Verlangen des Verbrauchers zur vorzeitigen Vertragsausführung vorliegt. 1782 Ebenso Mischau, ZEuP 2020, 335, 361, 362, welche jedoch diese Frage als noch nicht abschließend geklärt einordnet. 1783 Vgl. EG 37, 38, 44 Änderungs-RL. Entsprechend erfordert richtigerweise § 357a Abs. 2 BGB-E, welcher Art. 14 Abs. 3 VerbRRL n. F. umsetzt, das Vorliegen von „Dienstleistungen, für die der Vertrag die Zahlung eines Preises vorsieht“. Vgl. BReg, Gesetzesentwurf zur Umsetzung der Änderungs-RL, 6, 32.
308
Teil 4: Konsequenzen der rechtlichen Qualifizierung
getriebene Vertragsverhältnisse wird demnach im Widerrufsfall der Verbraucher regelmäßig nach Art. 14 Abs. 2a VerbRRL n. F. nur dazu verpflichtet sein, die Nutzung der digitalen Inhalte oder der digitalen Dienstleistungen sowie deren Zurverfügungstellung an Dritte zu unterlassen.1784 Korrespondierend hierzu darf der Unternehmer nach Art. 13 Abs. 8 VerbRRL n. F. jede weitere Nutzung der digitalen Inhalte oder der digitalen Dienstleistungen durch den Verbraucher unterbinden, insbesondere indem er unbeschadet des Absatzes 6 den Zugang des Verbrauchers zu den digitalen Inhalten oder digitalen Dienstleistungen oder das Nutzerkonto des Verbrauchers sperrt.1785 2. Rückgewähr der datenbasierten Leistung a) Geltende Rechtslage De lege lata ist ungeklärt, inwieweit die datenbasierte Leistung des Verbrauchers seitens des Unternehmers im Fall des Widerrufs nach § 355 Abs. 3 S. 1 BGB zurückzugewähren ist. Grundsätzlich wird die Rückgewähr der empfangenen Leistungen in Natur geschuldet.1786 Im Ausgangspunkt beinhaltet die Rückgewährpflicht des Anbieters damit zunächst die Löschung der personenbezogenen Daten des Datensubjekts.1787 Über die Datenlöschung hinaus könnte eine Rückgewähr der empfangenen Leistungen weiter die tatsächliche Herausgabe der erhobenen und verarbeiteten Daten erfordern.1788 Die Herausgabe der personenbezogenen Daten, welche auf Basis der Einwilligung verarbeitet wurden, könnte dabei entsprechend Art. 15 Abs. 3 DSGVO (Recht auf Erhalt einer Kopie) vorgenommen werden.1789 Diese Rechtsfolgen des verbraucherrechtlichen Widerrufs folgen jedoch – unabhängig von dessen Vorliegen – auch aus dem Datenschutzrecht der
1784
Umgesetzt soll diese Pflicht des Verbrauchers in § 357 Abs. 8 BGB-E i. V. m. § 327p Abs. 1 S. 1 BGB-E werden. Hierzu BReg, Gesetzesentwurf zur Umsetzung der Änderungs-RL, 5; BReg, Gesetzesentwurf zur Umsetzung der DIRL, 15, 83, 84. 1785 Umgesetzt soll dieses Recht des Unternehmers in § 357 Abs. 8 BGB-E i. V. m. § 327p Abs. 1 S. 2, 3 BGB-E werden. BReg, Gesetzesentwurf zur Umsetzung der Änderungs-RL, 5; BReg, Gesetzesentwurf zur Umsetzung der DIRL, 15, 84. 1786 Mörsdorf, in: BeckOGK BGB, Stand: 15. 02. 2021, § 355 BGB, Rn. 96. 1787 Czajkowski / Müller-ter Jung, CR 2018, 157, 163. 1788 Vgl. Czajkowski / Müller-ter Jung, CR 2018, 157, 163, wobei kritisch angemerkt wird, dass der Verbraucher hieran regelmäßig kein Interesse haben wird. 1789 Hiernach hat das Datensubjekt das Recht, sämtliche personenbezogenen Daten, die es dem Anbieter als datenschutzrechtlich Verantwortlichem bereitgestellt hat und Gegenstand der Verarbeitung waren, zu erhalten. Die Datenkopie kann dabei in beliebiger Form erfolgen. Stellt der Verbraucher seinen Antrag auf Herausgabe der Daten elektronisch, so ist gemäß Art. 15 Abs. 3 S. 3 DSGVO die Datenkopie hingegen in einem gängigen elektronischen Format (etwa einer E-Mail mit einer angehängten Word-, Excel- oder PDF-Datei) zur Verfügung zu stellen. Vgl. Schmidt-Wudy, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 15 DSGVO, Rn. 83–83.2; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 211.
§ 12 Allgemeine Aspekte der Leistungspflichten
309
DSGVO. So wird durch die Ausübung des verbraucherrechtlichen Widerrufsrechts nach §§ 133, 157 BGB zugleich auch ein Widerruf der Einwilligung nach Art. 7 Abs. 3 DSGVO und damit ein Erlöschen der datenschutzrechtlichen Einwilligung ex nunc anzunehmen sein.1790 Infolgedessen hat der Unternehmer nach Art. 17 Abs. 1 lit. b DSGVO alle personenbezogenen Daten zu löschen, deren Verarbeitung ausschließlich über die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bzw. Art. 9 Abs. 2 lit. a DSGVO legitimiert wurde. Nach Art. 15 Abs. 3 DSGVO besitzt das Datensubjekt des Weiteren zu jeder Zeit einen Anspruch auf den Erhalt einer Kopie aller personenbezogenen Daten, die Gegenstand der Datenverarbeitung des Unternehmers waren.1791 Einen eigenständigen Mehrwert würde der Widerruf damit nur bieten, wenn auch die seitens des Unternehmers aus der kommerziellen Verarbeitung der überlassenen personenbezogenen Daten gezogene Wertschöpfung dem Verbraucher herauszugeben wäre. Da eine bereits erfolgte Monetarisierung naturgemäß nicht mehr rückgängig zu machen ist, wird zu klären sein, ob der Unternehmer stattdessen zum Wertersatz verpflichtet ist.1792 Kritisch wird diesbezüglich angemerkt, dass eine solche Wertersatzpflicht nur schwer umsetzbar wäre, da der Wert personenbezogener Daten von deren Bedeutungsinhalt und dem Kontext ihrer Verarbeitung abhängig ist.1793 Im Gegensatz zu § 346 Abs. 1 BGB sehen die §§ 355 Abs. 3 S. 1, 357 BGB keinen Anspruch des Verbrauchers auf Wertersatz für die aus seiner Gegenleistung gezogenen Nutzungen des Unternehmers vor.1794 Vielmehr sind die Vorschriften zur Rückgewährverpflichtung des Unternehmers gemäß § 357 Abs. 2–4 BGB darauf zugeschnitten, dass eine Geldzahlung des Verbrauchers als Leistung vorliegt – und somit auf deren Rückerstattung begrenzt ist.1795 Die Annahme einer Wertersatzpflicht des Unternehmers dürfte daher bereits aufgrund des vollharmonisierenden Geltungsanspruchs der Richtlinie nach Art. 4 VerbRRL ausgeschlossen sein, wonach die Einführung von strengeren wie auch von weniger strengen Rechtsvorschriften zur Gewährleistung eines anderen Verbraucherschutzniveaus seitens der Mitgliedstaaten unzulässig ist. Der verbraucherrechtliche Widerruf hat daher, über die Beendigung des zugrundeliegenden Verpflichtungs 1790
So besteht mit Wegfall des zugrundeliegenden Vertrages auch kein Interesse des Verbrauchers mehr, dem Anbieter weiterhin die (kommerzielle) Verarbeitung seiner personenbezogenen Daten zu gestatten. Weiterführend hierzu und zu der vergleichbaren Situation im Rahmen des Beendigungsrechts der DIRL unten bei Fn. 1979, 1980. Zur umgekehrten Konstellation des Widerrufs der Einwilligung siehe unten bei Fn. 1915. 1791 Siehe auch Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 211, 212. 1792 Vgl. Mischau, ZEuP 2020, 335, 359, 360; Czajkowski / Müller-ter Jung, CR 2018, 157, 163; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 210. 1793 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 210, 211; Czajkowski / Müller-ter Jung, CR 2018, 157, 163. Eingehend hierzu m. w. N. siehe oben bei Fn. 1662, 1663 sowie unten S. 386 ff. 1794 Eine entsprechende Pflicht des Unternehmers ist auch in Art. 13 VerbRRL nicht enthalten. 1795 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 210.
310
Teil 4: Konsequenzen der rechtlichen Qualifizierung
geschäfts ex nunc und die Rückgewähr der datenbasierten Leistung im Rahmen der Betroffenenrechte der DSGVO hinaus, keine weiteren spezifischen Folgen für den Unternehmer. Insbesondere wird im Widerrufsfall kein Wertersatz für eine bereits abgeschlossene Verarbeitung personenbezogener Daten zu kommerziellen Zwecken zu leisten sein.1796 b) Änderungen infolge VerbRRL n. F. und BGB-E Die Regelung von Art. 13 VerbRRL n. F. bestätigt die bisher geltende Rechtslage. Klarstellend wird durch Art. 13 Abs. 4 VerbRRL n. F. angeordnet, dass, in Bezug auf die personenbezogenen Daten des Verbrauchers, die Vorschriften der DSGVO einzuhalten sind.1797 Eine Wertersatzpflicht des Unternehmers für bereits kommerzialisierte personenbezogene Daten im Widerrufsfall findet damit auch in die Neufassung der vollharmonsierenden Richtlinie wie auch in den Gesetzesentwurf keinen Eingang. IV. „Button-Lösung“ nach § 312j Abs. 2, 3 BGB Seitens des Schrifttums wird zudem eine Anwendbarkeit der Hinweispflicht für Verbraucherverträge im elektronischen Geschäftsverkehr mit einer entgeltlichen Leistung des Unternehmers nach § 312j Abs. 2, 3 BGB, über die Konstellation einer Geldzahlungspflicht des Verbrauchers hinaus, auch für den Fall der Vereinbarung einer datenbasierten Leistung befürwortet.1798 Wäre die „Button-Lösung“ auf die datenbasierte Leistung anzuwenden, würde der Unternehmer die aus § 312j Abs. 3 BGB folgende Pflicht zur ausdrücklichen Kennzeichnung des Verpflichtungsvorgangs des Verbrauchers nur dann erfüllen, wenn der Bestellvorgang gut lesbar auf einer Schaltfläche erfolgt, auf welcher mit einer eindeutigen Formulierung kenntlich gemacht wird, dass die Bestellung gegen die Erteilung einer Einwilligung und die Überlassung von personenbezogenen Daten erfolgt.1799 Nach § 312j Abs. 4 BGB kommt ein entsprechender Vertrag gemäß § 312j Abs. 2 BGB somit nur zustande, wenn der Unternehmer die Pflicht aus § 312j Abs. 3 BGB erfüllt. 1796 Dem entsprechend plädiert die Länderarbeitsgruppe für die Schaffung einer vergleich baren Regelung wie § 357 Abs. 9 BGB, durch welche eine Wertersatzpflicht des Unternehmers ausgeschlossen wird. Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 211. 1797 Vgl. EG 33 Änderungs-RL. 1798 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 215, 216; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 550. Unentschlossen Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 30, welche dies als eine rechtspolitische Entscheidung des Gesetzgebers ansieht. Ablehnend hingegen Metzger, AcP 2016, 817, 846. 1799 Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 215.
§ 12 Allgemeine Aspekte der Leistungspflichten
311
Für eine Anwendbarkeit der „Button-Lösung“ auf datengetriebene Vertragsverhältnisse wird vorgebracht, dass dem Verbraucher dadurch vor Augen geführt werden würde, dass er die Anbieterleistung nur im Gegenzug für eine vertragliche Gegenleistung in Form seiner Daten erhält.1800 Die Anwendung der Pflicht auf datenbasierte Gegenleistungen würde Transparenz schaffen und sei „sach- und interessengerecht“.1801 Anzupassen wäre jedoch die Rechtsfolge eines Verstoßes gegen die Pflicht gemäß § 312j Abs. 4 BGB, wonach, so die herrschende Meinung im Schrifttum, in richtlinienkonformer Auslegung die Norm nur eine Bindung des Verbrauchers zu verhindern bezweckt, jedoch nicht einem Vertragsschluss und einer Leistungspflicht des Unternehmers entgegensteht.1802 Dies entspricht dem Wortlaut von Art. 8 Abs. 2 Uabs. 2 S. 3 VerbRRL, wonach der Verbraucher durch den Vertrag oder die Bestellung nicht gebunden ist, wenn der Unternehmer diese Anforderungen nicht einhält. Demnach wäre von einer relativen Unwirksamkeit des Vertrags auszugehen, wonach dem Unternehmer kein durchsetzbarer Leistungsanspruch zustünde, der Verbraucher jedoch weiterhin Vertragserfüllung verlangen könnte.1803 Letztendlich sprechen aber gewichtige Gründe gegen eine Anwendbarkeit von § 312j Abs. 2, 3 BGB auf Vertragsverhältnisse mit einer datenbasierten Gegenleistung des Verbrauchers. So unterscheidet die VerbRRL n. F. nunmehr explizit zwischen einer Zahlungspflicht und einer datenbasierten Leistung des Verbrauchers.1804 Nach dem unverändert gebliebenen Art. 8 Abs. 2 VerbRRL n. F. sind die „Button-Lösung“ wie auch ihre Rechtsfolge im Verstoßfall weiterhin nur auf Verträge anzuwenden, welche den Verbraucher zu einer Zahlung verpflichten. Schon in Bezug auf die bisherige Rechtslage lagen keine Anhaltspunkte vor, dass dieser Regelungskomplex auf den Fall einer datenbasierten Gegenleistung zu übertragen wäre.1805 Dieses Ergebnis wurde durch die VerbRRL n. F. und das Fehlen einer Erweiterung des Anwendungsbereichs des Art. 8 Abs. 2 VerbRRL bestätigt. Infolge des Inkrafttretens der VerbRRL n. F. am 07. 01. 2020 sollte diese Entscheidung des europäischen Gesetzgebers bereits de lege lata Berücksichtigung finden.1806 Zu 1800
Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 215; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 550. 1801 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 215. 1802 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 216, auf die fehlende Schutzwürdigkeit des Unternehmers verweisend. Zum Meinungsstand: Wendehorst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 312j BGB, Rn. 32, 33 m. w. N. 1803 Zu den Möglichkeiten der dogmatischen Umsetzung: Wendehorst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 312j BGB, Rn. 32, 33 m. w. N. 1804 Siehe oben S. 302 ff. 1805 Vgl. Metzger, AcP 2016, 817, 846. 1806 Zum Inkrafttreten der Änderungs-RL und zur richtlinienkonformen Interpretation des nationalen Rechts ab dem Zeitpunkt des Inkrafttretens einer europäischen Richtlinie siehe oben bei Fn. 1747. Inwieweit die „Button-Lösung“ gemäß § 312j Abs. 2–5 BGB im Rahmen der Erbringung einer datenbasierten Gegenleistung anzuwenden ist, wird daher hier nicht weiter verfolgt.
312
Teil 4: Konsequenzen der rechtlichen Qualifizierung
treffend soll daher § 312j Abs. 2 BGB laut Gesetzesentwurf dahingehend geändert werden, dass nunmehr ein Verbrauchervertrag im elektronischen Geschäftsverkehr vorzuliegen hat, „der den Verbraucher zur Zahlung verpflichtet“.1807 V. Erweiterung von § 312a Abs. 3 BGB Dasselbe wird für die Bestimmung im Hinblick auf die Vereinbarung zusätzlicher Zahlungen nach § 312a Abs. 3 BGB gelten. Diese Norm sieht gegenwärtig vor, dass ein Unternehmer eine Vereinbarung, die auf eine über das vereinbarte Entgelt für die Hauptleistung hinausgehende Zahlung des Verbrauchers gerichtet ist, nur ausdrücklich mit dem Verbraucher getroffen werden kann.1808 Seitens des Länderarbeitsberichts wird auch hierbei befürwortet, § 312a Abs. 3 BGB um eine Regelung zu ergänzen, wonach der Verbraucher einer Vereinbarung ebenfalls ausdrücklich zustimmen muss, wenn dieser, über ein bereits vereinbartes Entgelt für die Hauptleistung hinaus, zu einer datenbasierten Leistung verpflichtet werden soll.1809 Art. 22 VerbRRL, welcher durch § 312a Abs. 3 BGB umgesetzt wird, sieht eine ausdrückliche Zustimmung des Verbrauchers jedoch abermals nur vor, wenn der Verbraucher zu einer zusätzlichen Zahlung verpflichtet werden soll. Aus den bereits angeführten Erwägungen und der fehlenden Modifizierung von Art. 22 VerbRRL n. F. wird eine Erweiterung des Anwendungsbereichs auf ein zusätzliches Entgelt in Form einer datenbasierten Leistung daher ebenfalls zu verneinen sein.
§ 13 Inhalt der datenbasierten Leistungspflichten A. Leistungshandlung oder Leistungserfolg Mit der datenbasierten Leistung verpflichtet sich das Datensubjekt dazu, dem Anbieter eine datenschutzrechtliche Einwilligung gemäß der Vereinbarung im Rahmen des Verpflichtungsgeschäfts zu erteilen und dem Anbieter die personenbezogenen Daten zu überlassen, deren Erhebung und Verarbeitung damit gestattet werden. Im Hinblick auf die datenbasierten Leistungspflichten ist zu bestimmen, ob diese typischerweise verhaltensbezogen oder erfolgsbezogen ausgestaltet sind.1810
1807
Vgl. BReg, Gesetzesentwurf zur Umsetzung der Änderungs-RL, 4. Die Vorschrift verfolgt den Zweck, die Privatautonomie von Verbrauchern zu schützen, indem sie die konkludente Vereinbarung von Zusatzentgelten oder Nebenleistungen erschwert. Wendehorst, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 312a BGB, Rn. 44. 1809 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 216. 1810 Vgl. Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 135; Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 18; Mansel, in: Jauernig BGB, 18. Aufl. 2021, § 241 BGB, Rn. 7; Langhanke, Daten als Leistung, 2018, 123–125. 1808
§ 13 Inhalt der datenbasierten Leistungspflichten
313
Eine verhaltensbezogene Leistungspflicht verpflichtet den Schuldner grundsätzlich nur zur Vornahme des pflichtgemäßen Verhaltens, also dazu, alles seinerseits Erforderliche zu tun.1811 Neben der Vornahme der Leistungshandlung kann nach §§ 241 Abs. 1, 362 BGB jedoch die Bewirkung eines darüber hinausgehenden konkreten Leistungserfolgs geschuldet sein.1812 Der Leistungserfolg wurde herbeigeführt, wenn eine Befriedigung des Gläubigerinteresses tatsächlich eingetreten ist.1813 Welche Art der Leistung geschuldet wird, ist im Einzelfall durch Auslegung des konkreten Vertragsinhalts zu bestimmen.1814 Bei der Verpflichtung zur Erteilung einer der vertraglichen Vereinbarung entsprechenden Einwilligung ist dementsprechend klärungsbedürftig, ob, neben der Vornahme der Leistungshandlung in Form der Abgabe der geforderten Einwilligungserklärung, die Wirksamkeit der Einwilligung als darüber hinausgehender Leistungserfolg geschuldet wird.1815 Dies ist, wie bereits an anderer Stelle erörtert, aufgrund der fehlenden Möglichkeit des Datensubjekts, Defizite aus dem alleinigen Verantwortungsbereich der Anbieter zu korrigieren, grundsätzlich zu verneinen.1816 Ebenso wird die Verpflichtung zur Datenüberlassung typischerweise durch die Geschäftsbedingungen der Anbieter konkretisiert und damit verhaltensbezogen ausgestaltet sein. So erfolgt die geschuldete Überlassung von personenbezogenen Daten zu rein kommerziellen Zwecken auf Basis der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und verpflichtet das Datensubjekt grundsätzlich nur die Erhebung und Verarbeitung der personenbezogenen Daten zu dulden, die im Laufe des Austauschverhältnisses anfallen.1817 Bei personenbezogenen Daten, die zur Erbringung der Anbieterleistung und zur Erfüllung des Vertrags zwingend erforderlich sind (Art. 6 Abs. 1 lit. b DSGVO) oder zu deren Verarbeitung der Anbieter rechtlich verpflichtet ist (Art. 6 Abs. 1 lit. c DSGVO), wird die Nebenleistungspflicht oder
1811 Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 18; Mansel, in: Jauernig BGB, 18. Aufl. 2021, § 241 BGB, Rn. 7. 1812 Relevant wird diese Frage nur, solange die Leistungshandlung nicht bereits mit dem Leistungserfolg identisch ist. Vgl. Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 135; Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 18. 1813 Mansel, in: Jauernig BGB, 18. Aufl. 2021, § 241 BGB, Rn. 7. 1814 Olzen, in: Staudinger BGB, Updatestand: 12. 08. 2020, § 241 BGB, Rn. 135; Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 18; Mansel, in: Jauernig BGB, 18. Aufl. 2021, § 241 BGB, Rn. 7. 1815 Vgl. Langhanke, Daten als Leistung, 2018, 124, 125. 1816 Siehe oben bei Fn. 1197–1200. Von der Argumentation her ebenso Linardatos, in: SpechtRiemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 528, 529, jedoch dies für die Einordnung der Einwilligung als Wirksamkeitsbedingung anführend. A. A. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 9, welche die Thematik jedoch nur oberflächlich anschneidet. Langhanke, Daten als Leistung, 2018, 125, welche dieses Argument ebenfalls anführt, im Ergebnis jedoch nicht nachvollziehbar die Leistungspflicht zur Einwilligungserteilung dennoch erfolgsbezogen einordnet. 1817 Eingehend hierzu oben bei Fn. 1181–1183.
314
Teil 4: Konsequenzen der rechtlichen Qualifizierung
die Obliegenheit zur Überlassung notwendiger Daten stattdessen erfolgsbezogen auf eine aktive Bereitstellung dieser spezifischen Daten gerichtet sein.
B. Leistungszeit und Leistungsort Bezüglich Leistungszeit und Fälligkeit der datenbasierten Leistungspflichten des Datensubjekts existieren keine speziellen Vorschriften, weshalb allgemein auf § 271 BGB abzustellen ist.1818 Der Anbieter kann daher, in Ermangelung einer abweichenden Vereinbarung, nach § 271 Abs. 1 BGB die datenbasierte Leistung grundsätzlich sofort verlangen.1819 Dies entspricht der gängigen Praxis, wonach Einwilligungserteilung und Datenüberlassung typischerweise zeitgleich mit dem Abschluss des Vertrags stattfinden bzw. unmittelbar im Anschluss zu erfolgen haben.1820 Gestützt wird dies zudem vom typischen Regelungsmechanismus datengetriebener Austauschgeschäfte, nach welchem der Anbieter, im Fall der Nichterfüllung der Leistungspflichten seitens des Datensubjekts, die Erbringung seiner Leistung nach § 320 Abs. 1 BGB verweigern kann, was das Vorliegen einer fälligen Leistungspflicht voraussetzt.1821 Ebenso wird mangels vorrangiger Regelung hinsichtlich des Leistungsorts der datenbasierten Leistungspflichten auf § 269 BGB abzustellen sein. Der Leistungsort kennzeichnet „den Ort, an dem der Schuldner seine Leistungshandlung vorzunehmen hat“, während der „Ort, an dem die Erfüllungswirkung dieser Leistung für den Gläubiger […] eintritt“, den Erfolgsort darstellt.1822 Bestehen innerhalb eines Schuldverhältnisses mehrere Leistungspflichten, ist der Leistungsort für jede Leistungspflicht eigenständig zu bestimmen.1823 Wurde der Leistungsort nicht konkret vereinbart und ist auch nicht aus sonstigen Umständen abzuleiten, so liegt dieser nach § 269 Abs. 1 BGB am Wohnsitz des Schuldners i. S. v. § 7 BGB.1824 Bei der datenbasierten Leistung ist im vorliegenden Fall auf die Pflicht zur Erteilung einer datenbasierten Einwilligung und auf die Pflicht zur Datenüberlassung abzustellen. Charakteristisch für die Hauptanwendungsfälle datengetriebener Vertragsverhältnisse ist, dass diese über das Internet vorgenommen, durchgeführt und abgewi 1818
Die DIRL beinhaltet nur eine Regelung zur Leistungszeit der Anbieterleistung. Danach hat der Anbieter gemäß Art. 5 Abs. 1 DIRL seine Leistung, soweit nichts anderes vereinbart wurde, sofort zu erbringen. Vgl. auch § 327b BGB-E. Hierzu BReg, Gesetzesentwurf zur Umsetzung der DIRL, 7, 53 ff. 1819 Ebenso Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 554, 555. 1820 Hierzu oben bei Fn. 1424. 1821 Vgl. Schmidt, in: BeckOK BGB, 57. Ed. 2021, § 320 BGB, Rn. 13; Emmerich, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 320 BGB, Rn. 33. 1822 Beurskens, in: BeckOGK BGB, Stand: 01. 10. 2020, § 269 BGB, Rn. 11. Vgl. auch Bittner / Kolbe, in: Staudinger BGB, Neubearbeitung 2019, § 269 BGB, Rn. 2. 1823 Beurskens, in: BeckOGK BGB, Stand: 01. 10. 2020, § 269 BGB, Rn. 3. 1824 Bittner / Kolbe, in: Staudinger BGB, Neubearbeitung 2019, § 269 BGB, Rn. 3, 4.
§ 13 Inhalt der datenbasierten Leistungspflichten
315
ckelt werden, sodass die Leistungsbewirkung nicht an einem bestimmten Ort zu erfolgen hat. So kann das Datensubjekt bei internetbasierten Austauschgeschäften die Erteilung der Einwilligung und die Überlassung der personenbezogenen Daten ortsgebunden über ein stationäres Endgerät, z. B. über einen PC, wie auch ortsungebunden über mobile Endgeräte wie Laptops, Smartphones oder Tablets bewirken.1825 Die Übermittlung der elektronischen Daten, welche die Einwilligung und die zu überlassenden personenbezogenen Daten als Leistungsgegenstände aufgrund ihres semantischen Gehalts verkörpern, geht dabei vom Zwischenspeicher des Endgeräts des Datensubjekts aus.1826 Der Leistungsort, als Ort der vertrags gemäßen Vornahme der Leistungshandlung, wird deshalb grundsätzlich der Wohnsitz des Datensubjekts sein.1827 Die Erfüllungswirkung der Leistung tritt demnach dann ein, wenn diese Daten auch den Speicher des vom Anbieter vorgesehenen Endsystems erreicht haben.1828 Der Erfolgsort wird daher im Regelfall nicht beim Schuldner, sondern beim (Wohn)sitz des Gläubigers liegen, was im Ergebnis einer Schickschuld entspricht.1829 Dies unterstreicht auch der Umstand, dass das Datensubjekt gemäß § 269 Abs. 3 BGB in der Regel die (absolut marginalen) Kosten für Strom und Internet zu übernehmen hat, um dem Anbieter die datenbasierte Leistung zu übermitteln.
C. Richtigkeit der überlassenen Daten In den Grenzen der Vertragsfreiheit ist es dem Anbieter nicht nur gestattet, die Reichweite der zu erteilenden Einwilligung festzulegen, sondern auch eine bestimmte Beschaffenheit der zu überlassenden Daten zu vereinbaren. Eine konkrete Sollbeschaffenheit der Daten kann individuell ausgehandelt worden sein oder sich aus den AGB des Anbieters ergeben.1830 Bedeutsame Beispiele sind seitens vieler Anbieter in ihren Nutzungsbedingungen verwendete Klauseln, welche eine ausdrückliche Verpflichtung vorsehen, dass nur richtige bzw. wahrheitsgemäße Daten 1825
Eingehend hierzu oben S. 38 f. Siehe oben S. 67. 1827 Dies entspricht auch der ähnlich gelagerten Problematik, wie der Leistungsort bei „Verträgen über die Nutzung dezentral betriebener Onlinedienste“ zu bestimmen ist. Hierzu Beurskens, in: BeckOGK BGB, Stand: 01. 10. 2020, § 269 BGB, Rn. 44. 1828 Siehe oben S. 67. 1829 Vgl. Krüger, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 269 BGB, Rn. 7. Bei der Einwilligung als zu übermittelnde Willenserklärung lässt sich dies aus § 130 Abs. 1 BGB ableiten, wonach diese in den Machtbereich des Empfängers zu gelangen hat. Bei einer Verpflichtung zur aktiven Überlassung bestimmter Daten werden diese auch erst im Endgerät des Datensubjekts erzeugt und müssen von dort aus über das Internet das Endgerät des Anbieters erreichen. Eine Holschuld wäre dagegen bei einer bloßen Pflicht zur Duldung der Datenerhebung und Datenverarbeitung anzunehmen, da hier der Anbieter die Daten beim Datensubjekt selbst erfasst. 1830 Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 169. 1826
316
Teil 4: Konsequenzen der rechtlichen Qualifizierung
überlassen werden dürfen.1831 Für Anbieter datengetriebener Austauschgeschäfte stellt die Erlangung zutreffender Daten ein erhebliches wirtschaftliches Interesse dar, welches, je nach Geschäftsmodell, in unterschiedlicher Intensität vorliegt.1832 Sind entsprechende Pflichten ausdrücklich vorgesehen, sind diese – vorbehaltlich einer Wirksamkeitskontrolle bei AGB oder im Fall einer Individualabrede innerhalb der Grenzen der §§ 134, 138, 242 BGB – als Vertragspflichten aufzufassen.1833 Bei notwendigen Datenüberlassungen i. S. v. Art. 6 Abs. 1 lit. b, lit. c DSGVO ist wiederum in der Regel davon auszugehen, dass bloße Obliegenheiten vorliegen.1834 Gerade im Fall datengetriebener Geschäftsmodelle, deren Umsetzung, wie bei Telematik-Tarifen, essenziell auf die Verarbeitung zutreffender Daten angewiesen ist, wird auch bei fehlender ausdrücklicher Vereinbarung eine entsprechende Nebenleistungspflicht oder Obliegenheit anzunehmen sein.1835 Dagegen dürfte bei Fehlen einer ausdrücklichen Verpflichtung zur Überlassung korrekter Daten oder bei einem Geschäftsmodell, dessen Durchführung nicht elementar auf die Überlassung zutreffender Daten angewiesen ist, grundsätzlich keine Verpflichtung des Datensubjekts zur Angabe richtiger Daten bestehen.1836 Dies ist insbesondere dann anzunehmen, wenn das Datensubjekt seine Daten nicht aktiv preisgibt, sondern diese eigenständig durch den Anbieter automatisiert erhoben werden.1837 Hierfür spricht auch der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO i. V. m. Art. 25 DSGVO, deren Einhaltung als Anbieterinteresse zu erachten ist, und dass die Preisgabe korrekter Daten als ein größeres Risiko für das Datensubjekt zu bewerten ist.1838 Schließlich lässt sich gegen die grundsätzliche Annahme einer Pflicht zur Überlassung korrekter Daten zudem der hohe Stellenwert der informa 1831 So Facebook, NB, Abschnitt „3.1. Wer Facebook nutzen kann“. Siehe oben Fn. 993. Weitere Nachweise zu entsprechenden Klauseln finden sich bei Hacker, ZfPW 2019, 148, 172, Fn. 173; Metzger, AcP 2016, 817, 849, Fn. 140. Als Variante dieser Pflicht dürfte ebenfalls die Verpflichtung zur Angabe des Klarnamens bei der Registrierung zu zählen sein. Hierzu oben bei Fn. 993 sowie LG Frankfurt, Urteil vom 03. 09. 2020 – 2-03 O 282/19, juris, Rn. 8 ff., 76 ff.; KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 241, 243; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 151–154. 1832 Hierzu ausführlich oben S. 177 f. 1833 Eingehend Metzger, AcP 2016, 817, 849, 850. Bezieht sich die Verpflichtung ausnahmsweise auf alle zu überlassenden personenbezogenen Daten, so liegt eine inhaltliche Ausgestaltung der Hauptleistungspflicht betreffend die Überlassung personenbezogener Daten zu kommerziellen Zwecken vor, welche Bestandteil des Synallagmas ist. Betrifft die Pflicht typischerweise hingegen nur einen Teil der zu überlassenden Daten (wie Registrierungsdaten), so wird nur eine Nebenleistungspflicht anzunehmen sein. Vgl. Hacker, ZfPW 2019, 148, 172, 173. 1834 Siehe oben S. 261 ff. 1835 Siehe oben Fn. 1046. 1836 Zudem bestehen in rechtlicher Hinsicht, wie z. B. im Versicherungs- und Arbeitsrecht, nicht selten Fallkonstellationen, in denen die Datenrichtigkeit ausdrücklich nicht gefordert werden darf. Hierzu Hennemann, LR 2020, 77, 85 m. w. N. 1837 Siehe oben bei Fn. 1181–1183. Hierzu auch Hacker, Datenprivatrecht, 2020, 218, 219. 1838 Hierzu oben bei Fn. 1049 sowie unten bei Fn. 2061–2063. Ähnlich Hacker, Datenprivatrecht, 2020, 219; Hacker, ZfPW 2019, 148, 188, 194.
§ 13 Inhalt der datenbasierten Leistungspflichten
317
tionellen Selbstbestimmung anführen, da damit gerade eine eingriffsintensivere Datenverarbeitung als Regelfall gebilligt werden würde.1839 Ein Verstoß des Datensubjekts gegen eine wirksam vereinbarte Pflicht zur Überlassung zutreffender Daten berechtigt den Anbieter dazu, seine Leistung nach § 320 Abs. 1 BGB zu verweigern, wenn die Datenüberlassungspflicht im Synallagma steht.1840 Auch kann eine Überlassung vertragswidriger Daten eine Haftung des Datensubjekts auf Schadensersatz wie auch auf Wertersatz begründen, wenn infolge einer derartigen Datenüberlassung der Anbieter eine Einbuße an seinen sonstigen Rechtspositionen erleidet, und den Anbieter zum Rücktritt bzw. zur Kündigung1841 des zugrundeliegenden Verpflichtungsgeschäfts berechtigen.1842 Aufgrund von EG 42 S. 5 DSGVO ist hierbei jedoch wiederum die Ersatzfähigkeit von Schadensposten ausgeschlossen, welche – wie verpasster Gewinn – zwar auf der Verweigerung der Überlassung korrekter Daten beruhen, deren Erhebung und Verarbeitung zu kommerziellen Zwecken ohnehin aber nur auf Basis der datenschutzrechtlichen Einwilligung gestattet gewesen wäre.1843
D. Anwendbarkeit von § 243 Abs. 1 BGB Zu konkretisieren ist weiter, inwieweit das Datensubjekt dazu verpflichtet ist, eine bestimmte Grundbeschaffenheit der zu überlassenden personenbezogenen Daten zu gewährleisten. In Abwesenheit einer konkreten Vereinbarung über die 1839 Für die Pflicht zur Angabe des Klarnamens unterstreicht dies § 13 Abs. 6 TMG, der bei Telemedien, wie z. B. sozialen Medien, von einer anonymisierten oder pseudonymisierten Nutzung als Regelfall ausgeht. KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 241, 243; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 154. Hierzu auch Hacker, ZfPW 2019, 148, 189, 190. Inwieweit § 13 Abs. 6 TMG mit Inkrafttreten der DSGVO – neben Art. 25 Abs. 1 sowie Art. 32 Abs. 1 DSGVO – überhaupt noch einen eigenständigen Anwendungsbereich besitzt, ist höchstrichterlich ungeklärt. Hierzu und zur unionsrechtkonformen Auslegung der Vorschrift: OLG München, Urteil vom 08. 12. 2020 – 18 U 5493/19 Pre, juris, Rn. 64 ff.; OLG München, Urteil vom 08. 12. 2020 – 18 U 2822/19 Pre, juris, Rn. 35; LG Frankfurt, Urteil vom 03. 09. 2020 – 2-03 O 282/19, juris, Rn. 83; Lach, jurisPR-ITR 5/2021 Anm. 2. 1840 Ist die vereinbarte Pflicht dagegen nur als nicht im Synallagma stehende Nebenpflicht zu qualifizieren, so wird der Anbieter bei Nichterfüllung der Pflicht aufgrund der Voraussetzung eines durchsetzbaren Anspruchs im Rahmen von § 273 Abs. 1 BGB kein Zurückbehaltungsrecht gelten machen können. Hierzu oben bei Fn. 1511, 1514. 1841 Vgl. etwa LG Frankfurt, Urteil vom 03. 09. 2020 – 2-03 O282/19, juris, Rn. 75–84, welches ein außerordentliches Kündigungsrecht von Facebook für den Fall bejaht, dass der Nutzer sich weigert, einen Nachweis zu seiner Identität zu erbringen. 1842 Vertieft hierzu unten S. 334 ff. Die Pflicht zur Überlassung richtiger Daten weist in dieser Hinsicht sowohl einen leistenden Charakter (Konkretisierung der Hauptleistungspflicht – § 241 Abs. 1 BGB) als auch einen sichernden Charakter (Schutz des Integritätsinteresses des Anbieters – § 241 Abs. 2 BGB) auf. Zu der Einordnung von entsprechenden „doppelrelevanten Pflichten“ siehe Bachmann, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 241 BGB, Rn. 64 m. w. N. sowie Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 89. 1843 Hierzu bereits oben S. 260. Im Ergebnis ebenso Hacker, Datenprivatrecht, 2020, 221, 222.
318
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Qualität oder Authentizität der Daten bzw. eines geforderten Bedeutungsinhalts könnte nach § 243 Abs. 1 BGB eine Leistung mittlerer Art und Güte geschuldet sein.1844 Über seinen Wortlaut hinaus lässt sich § 243 Abs. 1 BGB grundsätzlich auch analog auf andere Leistungen als Sachleistungen anwenden.1845 In der Literatur wird dem entsprechend die Anwendbarkeit des Rechtsgedankens von § 243 Abs. 1 BGB auf die Pflicht zur Datenüberlassung diskutiert, wonach geschuldet sein könnte, dass Daten „mittlerer Art und Güte“ zu überlassen seien.1846 Taugliche Anknüpfungspunkte für § 243 Abs. 1 BGB können vorliegend allein die Pflicht zur Überlassung von personenbezogenen Daten zu kommerziellen Zwecken oder die Nebenleistungspflicht zur Überlassung notwendiger Daten sein, da die Einwilligung, vergleichbar mit einer Stückschuld, entsprechend der Vertragsabrede zu erteilen ist. Eine analoge Anwendung der Vorschrift wird danach nur statthaft sein, wenn keine Verpflichtung zur Überlassung von personenbezogenen Daten mit konkretem (semantischem) Inhalt vereinbart wurde, sondern nur eine nicht weiter konkretisierte Pflicht zur Datenüberlassung. Für eine Anwendbarkeit von § 243 Abs. 1 BGB analog1847 auf entsprechende Datenüberlassungspflichten spricht, dass das Datensubjekt als Schuldner darüber entscheiden kann, welche Daten überlassen werden. Dem Datensubjekt kommt also eine dem Zweck der Vorschrift entsprechende Befugnis zur Konkretisierung der geschuldeten Leistung zu.1848 So ist es grundsätzlich vom Datensubjekt abhängig, welche personenbezogenen Daten im Rahmen der Nutzung der Anbieterleistung generiert werden und damit einer Kommerzialisierung unterfallen. Von besonde 1844 Zu dem dispositiven Charakter von § 243 Abs. 1 BGB: Beurskens, in: BeckOGK BGB, Stand: 01. 10. 2020, § 243 BGB, Rn. 39. 1845 So für die Verschaffung von gattungsmäßig bestimmten Rechten oder Leistungen aus dem Werk- und Dienstrecht. Nachweise hierzu finden sich bei Beurskens, in: BeckOGK BGB, Stand: 01. 10. 2020, § 243 BGB, Rn. 5–7; Schiemann, in: Staudinger BGB, Neubearbeitung 2019, § 243 BGB, Rn. 44, 45. Vgl. zudem Mugdan, Die gesamten Materialien zum Bürgerlichen Gesetzbuch für das Deutsche Reich, Neudruck der Ausgabe Berlin 1899, 1979, Band 2 – Recht der Schuldverhältnisse, 6, wonach auch „generische Obligationen, deren Gegenstand eine Handlung ist“, möglich erscheinen, welche aufgrund ihrer Seltenheit und Eigentümlichkeit „sich nicht unter allgemeine Regeln subsumieren lassen“. 1846 Dies befürwortend: Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 168–171. Ablehnend dagegen: Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 213, 214, unter Verweis auf die Einordnung der Einwilligung als Hauptleistungspflicht, die Relevanz der Diskussion primär nur für den Erwerb von Rohdaten für Analysen in dem Bereich von „Big-Data“ betonend. 1847 Aufgrund der fehlenden gesetzlichen Kodifikation einer datenbasierten Leistung und deren Etablierung infolge der erst kürzlich erfolgten technologischen Entwicklungen wird auch von dem Vorliegen einer planwidrigen Regelungslücke auszugehen sein. Zur Ausfüllung nachträglicher Regelungslücken durch die Analogie: Larenz / Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1995, 200, 202 ff. 1848 Vgl. Beurskens, in: BeckOGK BGB, Stand: 01. 10. 2020, § 243 BGB, Rn. 30; Mugdan, Die gesamten Materialien zum Bürgerlichen Gesetzbuch für das Deutsche Reich, Neudruck der Ausgabe Berlin 1899, 1979, Band 2 – Recht der Schuldverhältnisse, 6.
§ 13 Inhalt der datenbasierten Leistungspflichten
319
rer Relevanz für die Qualität von personenbezogenen Daten wird insbesondere ihre wirtschaftliche Verwertbarkeit sein. Zu berücksichtigen ist, dass der wirtschaftliche Wert personenbezogener Daten mit ihrem individuellen semantischen Gehalt korreliert und vom jeweiligen Verarbeitungskontext abhängig ist.1849 An welche Kriterien das Vorliegen von personenbezogenen Daten mittlerer Art und Güte zu bemessen wäre, ist anhand des Einzelfalls zu entscheiden.1850 Abhängig von der Vereinbarung und den Bedürfnissen des jeweiligen datengetriebenen Geschäftsmodells können verschiedene Beurteilungskriterien zur Anwendung kommen. Nach Hofmann ließe sich bei einer Pflicht zur Datenüberlassung zwischen folgenden Kriterien unterscheiden: dem Umfang der zu überlassenden Daten, der „Datenidentität“ als Zuordnungsfähigkeit der Daten zu einem bestimmten Nutzer, der „Datenintegrität“ als Richtigkeit der überlassenen Daten, der „Nutzungsintensität“ als Regelmäßigkeit der Datenbereitstellung durch die Inanspruchnahme des Anbieterdienstes sowie der „Konnexität“ der überlassenen Daten zur Anbieterleistung und damit der Funktionsweise des Geschäftsmodells.1851 In der Regel werden bei datengetriebenen Vertragsverhältnissen viele Qualitätskriterien keine Anwendung finden und einfach sämtliche im Laufe des Vertragsverhältnisses erfassten Daten verarbeitet werden, unabhängig davon, in welchem Umfang das Datensubjekt personenbezogene Daten produziert.1852 Auch wird die Konnexität der überlassenen Daten zur Anbieterleistung regelmäßig bereits durch deren technische und inhaltliche Ausgestaltung und durch die Modalitäten ihrer Inanspruchnahme sichergestellt sein. Eine Überlassung personenbezogener Daten mittlerer Art und Güte wird jedenfalls dann nicht angenommen werden können, wenn die personenbezogenen Daten nach ihrem semantischen Gehalt gegen wirksame Bestimmungen innerhalb der AGB des Anbieters verstoßen oder einen sonstigen Rechtsverstoß begründen. Dies ist beispielsweise bei Daten anzunehmen, die Schadcode enthalten und für das System des Anbieters schädlich oder bewusst unrichtig übermittelt werden bzw. dementsprechend modifiziert wurden, um damit die Wertschöpfung aus den Daten und das Geschäftsmodell der Anbieter zu torpedieren.1853 Eine solche Leistung von personenbezogenen Daten „minderer Art und 1849
Hierzu bereits oben bei Fn. 135, 472, 1662, 1663 sowie unten S. 386 ff. Beurskens, in: BeckOGK BGB, Stand: 01. 10. 2020, § 243 BGB, Rn. 31; Schiemann, in: Staudinger BGB, Neubearbeitung 2019, § 243 BGB, Rn. 7, 8. 1851 Ausführlich hierzu Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 170, 171. Zu verschiedenen datenqualitätsbezogenen Parametern im Rahmen der Lizenzierung von nicht personenbezogenen Daten im B2B-Verhältnis siehe auch Hennemann, RDi 2021, 61, 68. Hinsichtlich der Datenidentität wie auch der Datenintegrität ist auf die Ausführungen zur Bedeutung der Erlangung zutreffender und authentischer Daten zu verweisen, welcher je nach Geschäftsmodell unterschiedliche Gewichtung zukommt. Siehe oben S. 177 f., 315 ff. 1852 Unerheblich sind daher regelmäßig die Kriterien des Datenumfangs und der Nutzungsintensität. 1853 Ähnlich: Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 161, 170, 171. 1850
320
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Güte“ konstituiert keine vertragsgemäße Leistung seitens des Datensubjekts und berechtigt den Anbieter dazu, die Erbringung seiner Leistung nach § 320 Abs. 1 BGB zu verweigern.1854 Auch kann die vertragswidrige Datenüberlassung unter bestimmten Umständen zu einer Haftung des Datensubjekts führen und den Anbieter zum Rücktritt oder zur Kündigung des zugrundeliegenden Verpflichtungsgeschäfts berechtigen.1855
§ 14 Leistungsstörungsrecht In diesem Abschnitt werden die Konsequenzen von Leistungsstörungen für die datenbasierte Leistung nach vorliegender Konzeption behandelt. An die Ergebnisse der rechtlichen Qualifizierung der datenbasierten Leistung und der vertragstypologischen Einordnung datengetriebener Austauschgeschäfte wird dabei angeknüpft.1856 Auf Störungen der Anbieterleistung wird im Folgenden nur im Hinblick auf deren Auswirkungen auf die datenbasierte Leistung eingegangen. Von erheblicher Relevanz für die Analyse des anwendbaren Leistungsstörungsrechts sind die datenschutzrechtlichen Rahmenbedingungen der datenbasierten Leistungspflichten.1857 Von Bedeutung sind insbesondere die Konsequenzen der Uneinschränkbarkeit des datenschutzrechtlichen Widerrufsrechts nach Art. 7 Abs. 3 S. 1 DSGVO.1858 Nach EG 42 S. 5 DSGVO dürfen dem Datensubjekt aus der Verweigerung der Einwilligungserteilung wie auch aus dem Widerruf der Einwilligung keine Nachteile erwachsen. Eine klageweise Erzwingung der Einwilligung und der Datenüberlassung zu kommerziellen Verarbeitungszwecken ist damit, wie auch eine Haftung des Datensubjekts auf Schadens- oder Wertersatz bei Verweigerung der Einwilligungserteilung oder bei Ausübung des Widerrufsrechts, ausgeschlossen. Zulässig ist hingegen die Ausübung der Einrede des nichterfüllten Vertrags seitens des Anbieters.
A. Die Leistung des Datensubjekts betreffende Störungen Zu den Folgen von Leistungsstörungen, die datenbasierten Leistungspflichten des Datensubjekts betreffend, existieren gegenwärtig keine spezifischen Regelungen im nationalen oder europäischen Vertragsrecht. Die DIRL normiert nur die Pflichten des Unternehmers im Hinblick auf die Anbieterleistung und die korrespondierenden Rechte des Verbrauchers, während die VerbRRL n. F. nur die 1854
Vgl. Beurskens, in: BeckOGK BGB, Stand: 01. 10. 2020, § 243 BGB, Rn. 56. Zur Anwendbarkeit von § 320 Abs. 1 BGB in dieser Konstellation siehe oben S. 260 f. 1855 Eingehend hierzu oben bei Fn. 1842 sowie unten S. 334 ff. 1856 Siehe oben S. 291 f., 293 ff. 1857 Hierzu oben S. 129 ff. 1858 Eingehend hierzu siehe oben S. 153 ff., 254 ff.
§ 14 Leistungsstörungsrecht
321
sektoriellen Folgen im Fall der Ausübung des verbraucherrechtlichen Widerrufs regelt.1859 Zudem ist der Anwendungsbereich der beiden Richtlinien in persön licher wie sachlicher Hinsicht auf Verbraucherverträge begrenzt, welche als Vertragsgegenstände die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen seitens des Unternehmers beinhalten.1860 De lege lata wie auch de lege ferenda werden daher die Grundsätze des BGB für die Erfassung des Leistungsstörungsrechts heranzuziehen sein.1861 Maßgeblich für die rechtliche Behandlung von Leistungsstörungen sind die anwendbaren Vorschriften des allgemeinen Schuldrechts und insbesondere die darin enthaltenen Regelungen zu Dauerschuldverhältnissen heranzuziehen.1862 I. Störungen der Pflicht zur Einwilligungserteilung 1. Verweigerung der Einwilligungserteilung Erfolgen, aufgrund der technischen Ausgestaltung des Abschlusses eines datengetriebenen Vertragsverhältnisses, die Erteilung der datenschutzrechtlichen Einwilligung und die Gewährung der Anbieterleistung nicht zeitgleich, sondern sind etwa erst nach einer notwendigen Registrierung vorgesehen, stellt sich die Frage nach den Konsequenzen einer Weigerung des Datensubjekts, dem Anbieter nach Vertragsschluss die geschuldete Einwilligung zu erteilen. Grundsätzlich sieht das Zivilrecht für den Fall der Nichterfüllung einer Leistungspflicht deren zwangsweise Durchsetzung in Form einer Klage oder, bei Vorliegen weiterer Voraussetzungen, eine Haftung des Schuldners auf Schadens- und Aufwendungsersatz nach den §§ 280 ff. BGB vor. Der Gläubiger kann gemäß §§ 346, 323 ff. BGB weiter zum Rücktritt berechtigt sein und nach § 346 BGB seine Leistung vom Schuldner zurückfordern sowie gegebenenfalls Wertersatz verlangen. Eine derartige Haftung des Datensubjekts, wie auch eine klageweise Erzwingung der Leistungspflicht zur Einwilligungserteilung, ist jedoch mit dem Freiwilligkeitspostulat der DSGVO unvereinbar, welches durch das uneinschränkbare Widerrufsrecht nach Art. 7 Abs. 3 S. 1 DSGVO sowie EG 42 S. 5 DSGVO verkörpert wird.1863 Die Verweigerung der Erteilung einer datenschutzrechtlichen Einwilligung stellt damit keine Pflichtverletzung dar.1864
1859
Siehe oben bei Fn. 552, 1701 sowie S. 304 ff. Art. 2 Abs. 1a VerbRRL n. F. sowie Art. 3 Abs. 1 Uabs. 2 DIRL. Eingehend hierzu und zur geplanten Umsetzung der Richtlinien siehe oben S. 302 ff., 339 ff. 1861 Weiterhin gültig daher die Einschätzung von Metzger, AcP 2016, 817, 851, 852. 1862 Siehe oben S. 284 ff. 1863 Ausführlich hierzu oben S. 254 ff. A. A. Metzger, AcP 2016, 817, 853; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 536, 537, 558, 559; Langhanke, Daten als Leistung, 2018, 137, 138. 1864 Siehe oben bei Fn. 1503. 1860
322
Teil 4: Konsequenzen der rechtlichen Qualifizierung
a) Dogmatische Umsetzung der fehlenden Erzwingbarkeit Eine Klage auf Erteilung der datenschutzrechtlichen Einwilligung als abzugebende Willenserklärung i. S. v. § 894 ZPO hat aufgrund der entgegenstehenden Vorgaben des europäischen Datenschutzrechts keinen Erfolg.1865 Über die konkrete dogmatische Begründung der Unklagbarkeit der Einwilligung herrscht im Schrifttum jedoch Uneinigkeit. aa) Vertretene Ansichten im Schrifttum Der Länderarbeitsbericht erwägt, die aus dem Datenschutzrecht herrührende Unklagbarkeit der Einwilligung – wie in § 1297 Abs. 1 BGB für das Verlöbnis – speziell auf der Ebene des Vertragsrechts zu normieren.1866 Eine (materiellrechtliche) Normierung der Unklagbarkeit würde allein aber noch nicht ausreichen, da wegen EG 42 S. 5 DSGVO auch keine Sekundäransprüche aus der Nichterfüllung der Einwilligungserteilung hergeleitet werden dürfen.1867 Befürwortet wird daher die Schaffung einer Regelung, welche bestimmt, „dass aus der Nichterfüllung der nicht klagbaren Verpflichtung, eine datenschutzrechtliche Einwilligung zu erteilen, keine Ansprüche gegen den Verpflichteten hergeleitet werden können“.1868 Dagegen zieht Specht verschiedene Lösungswege für die dogmatische Umsetzung der fehlenden Erzwingbarkeit der Leistungspflicht im Hinblick auf die Einwilligungserteilung in Betracht.1869 Zum einen wird eine dogmatische Einordnung der Pflicht zur Einwilligungserteilung als Naturalobligation erwogen.1870 Als zweite Option zieht Specht, ähnlich wie der Länderarbeitsbericht, die Schaffung einer Norm in Erwägung, welche die fehlende Vollstreckbarkeit eines Anspruchs auf Einwilligungserteilung entsprechend § 120 Abs. 3 FamFG auf prozessualer Ebene statuieren würde, wobei zusätzlich die Unanwendbarkeit von § 894 ZPO erklärt werden müsste.1871 Schließlich erwägt die Autorin unter Verweis auf Langhanke als Lösung, dass materiellrechtlich einem Anspruch auf Einwilligungserteilung stets § 242 BGB in Form eines dauerhaft bestehenden dolo-agit-Einwands 1865 Ebenso Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 188; Langhanke, Daten als Leistung, 2018, 128, 129 m. w. N. zu den Möglichkeiten der Zwangsvollstreckung in Persönlichkeitsrechte; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 208, 209. Kritisch diesbezüglich, aber im Ergebnis die fehlende Erzwingbarkeit der Einwilligungserteilung auch seiner Auffassung zugrundelegend: Linardatos, in: Specht-Riemen schneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 525, 526, 541, 542. 1866 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 208, 209. 1867 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 209. 1868 Ebenda. 1869 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 35–38. 1870 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 36. Siehe die bereits oben auf S. 274 ff. dargestellte Auffassung. 1871 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 37.
§ 14 Leistungsstörungsrecht
323
entgegenstehen würde.1872 Hierfür spreche, dass der Anbieter rechtsmissbräuchlich handele und nicht schützenswert sei, wenn dieser die Einwilligung als Leistung verlangt, diese aber aufgrund des uneinschränkbaren Widerrufsrechts dem Anbieter durch das Datensubjekt jederzeit wieder entzogen werden könnte.1873 Beurskens hingegen hält eine Regelung der Unklagbarkeit für überflüssig.1874 Es greife schon § 275 Abs. 1 BGB ein, da es rechtlich unmöglich sei, „eine freiwillige Einwilligung zu erzwingen“.1875 Zudem müsse „die Einwilligung bei Datenerhebung vorliegen, sodass eine ‚Klagbarkeit‘ wegen der Gleichzeitigkeit von Datenerhebung und Leistungserbringung ohnehin nicht zielführend wäre“.1876 bb) Würdigung der Ansichten Abzulehnen ist, aus bereits angeführten Gründen, eine Einordnung der Pflicht zur Einwilligungserteilung als Naturalobligation.1877 Zu widersprechen ist auch dem Einwand von Beurskens, dass einer Pflicht zur Einwilligungserteilung stets § 275 Abs. 1 BGB in Form einer rechtlichen Unmöglichkeit entgegenstünde. So besteht im Grunde schon keine Pflicht des Datensubjekts, eine „freiwillige“ Einwilligung zu erteilen, sondern eine der vertraglichen Abrede entsprechende Einwilligung. Die Wirksamkeit der Einwilligung ist diesbezüglich nicht seitens des Datensubjekts geschuldet und vom Leistungsinhalt der Pflicht zur Einwilligungserteilung zu trennen.1878 Die fehlende Erzwingbarkeit der Einwilligung dogmatisch durch die Annahme eines dauerhaften dolo-agit-Einwands umzusetzen, erscheint hingegen sachgerecht. So besitzen Anbieter datenfinanzierter Geschäftsmodelle gerade kein schützenswertes Interesse an der zwangsweisen Durchsetzung der Leistungspflicht, da angesichts der europarechtlichen Vorgaben der Uneinschränkbarkeit des Widerrufsrechts und des Postulats der Freiwilligkeit der Einwilligungserteilung der Anbieter nicht einmal kurzfristig die Einwilligung gegen den Willen des Datensubjekts aufrecht erhalten darf.1879 Der dolo-agit-Einwand ist grundsätzlich unab 1872
Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 38; Langhanke, Daten als Leistung, 2018, 127. Dies ebenso vertretend: Hacker, Datenprivatrecht, 2020, 223, 224; Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 82. 1873 Vgl. Langhanke, Daten als Leistung, 2018, 127; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 38. 1874 Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 91. 1875 Ebenda. 1876 Ebenda. 1877 Hierzu oben S. 274 ff. 1878 Hierzu oben S. 312 ff. 1879 Vgl. Kähler, in: BeckOGK BGB, Stand: 15. 04. 2021, § 242 BGB, Rn. 1337–1340; Grüneberg, in: Palandt BGB, 80. Aufl. 2021, § 242 BGB, Rn. 52; Schubert, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 242 BGB, Rn. 462.
324
Teil 4: Konsequenzen der rechtlichen Qualifizierung
dingbar und ist im Prozess von Amts wegen zu berücksichtigen.1880 Der Einwand vermag es damit, über § 242 BGB den europarechtlichen wie grundrechtlichen Stellenwert der Einwilligung sachgerecht ins materielle Recht zu übertragen. Für die Schaffung von Rechtsnormen, welche die Unklagbarkeit der Einwilligung im materiellen Recht oder im Verfahrensrecht bestimmen, besteht somit keine rechtliche Notwendigkeit. Die Schaffung entsprechender Normen würde also primär Klarstellungszwecken dienen, was angesichts der fehlenden Kodifizierung datengetriebener Vertragsverhältnisse aus Gründen der Rechtssicherheit zu befürworten ist. Aufgrund der rein deklaratorischen Funktion einer entsprechenden Norm ist dieser Frage jedoch nur geringe Bedeutung beizumessen. Der Pflicht zur Einwilligungserteilung steht darüber hinaus die Geltendmachung der Einrede aus § 275 Abs. 3 BGB entgegen. So stellt die Erteilung einer datenschutzrechtlichen Einwilligung ein höchstpersönliches Rechtsgeschäft dar, durch welches das Datensubjekt dem Anbieter einen Eingriff in dessen Persönlichkeitsrecht gestattet.1881 Der Schutz des allgemeinen Persönlichkeitsrechts überwiegt im Rahmen datengetriebener Austauschgeschäfte grundsätzlich das demgegenüber nur wenig schutzwürdige Leistungsinteresse des Anbieters an einer kommerziellen Verarbeitung der personenbezogenen Daten.1882 Neben dem dolo-agit-Einwand kann das Datensubjekt sich daher auch auf § 275 Abs. 3 BGB berufen, um die Einwilligungserteilung zu verweigern.1883 Als Folge der Berufung auf § 275 Abs. 3 BGB verliert das Datensubjekt gemäß § 326 Abs. 1 S. 1 BGB grundsätzlich den Anspruch auf die Anbieterleistung. Der Anspruch auf die Anbieterleistung könnte dem Datensubjekt nach § 326 Abs. 2 Alt. 1 BGB aber weiter zustehen, wenn der Anbieter für die Umstände, auf Grund derer das Datensubjekt nach § 275 Abs. 3 BGB nicht zu leisten braucht, allein oder weit überwiegend verantwortlich ist. Dies wird jedoch grundsätzlich kaum vorliegen, da in Konstellationen, in denen der Anbieter vom Datensubjekt eine diesem rechtlich unzumutbare, exzessive Datenpreisgabe abverlangt oder wenn die vereinbarungsgemäß zu erteilende Einwilligung wegen Verstoßes gegen die Bestimmungen der DSGVO nicht wirksam
1880 Wobei ein gewisser Spielraum für die privatautonome Regelung von Risikoverteilung und Rechtsfolgen besteht, wodurch die Vertragsparteien im Einzelfall auf den Maßstab von Treu und Glauben nach § 242 BGB einwirken können. Vgl. Grüneberg, in: Palandt BGB, 80. Aufl. 2021, § 242 BGB, Rn. 20, 21; Schubert, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 242 BGB, Rn. 83, 91, 92. Aufgrund der Uneinschränkbarkeit des Widerrufsrechts und dessen europarechtlicher Natur ist dies vorliegend jedoch ausgeschlossen. Hierzu oben bei Fn. 830. 1881 Siehe oben bei Fn. 577, 727. Zur Höchstpersönlichkeit der Erteilung einer datenschutzrechtlichen Einwilligung: Ernst, ZD 2017, 110, 111; Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, Rn. 10. 1882 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 189. Zur vergleichbaren Situation im Rahmen der notwendigen Datenüberlassung siehe oben Fn. 1561. 1883 Ebenso Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 188, 189; Riehm, in: Specht-Riemenschneider / Buchner et al. (Hrsg.), Festschrift für Jürgen Taeger, 2020, 55, 65, 66.
§ 14 Leistungsstörungsrecht
325
erteilt werden kann, die datenbasierten Leistungspflichten bereits nach §§ 134, 138 BGB als nichtig einzustufen sind.1884 b) Der Ausschluss von Sekundäransprüchen Aufgrund der europarechtlichen Rahmenbedingungen darf das Datensubjekt im Fall der Nichterfüllung seiner Pflicht zur Erteilung einer datenschutzrecht lichen Einwilligung oder im Fall der Berufung auf § 275 Abs. 3 BGB grundsätzlich keine über den Verlust der Anbieterleistung hinausgehenden Nachteile infolge der Verweigerung der Einwilligungserteilung erleiden. Die Nichterfüllung der Leistungspflicht aufgrund der Weigerung des Datensubjekts stellt nämlich keine Pflichtverletzung dar, unabhängig davon, ob das Datensubjekt hierbei fahrlässig oder gar vorsätzlich gehandelt hat.1885 Bezogen auf die Weigerung des Datensubjekts kann daher kein Schadensersatzverlangen nach den §§ 280 ff. BGB bzw. § 311a Abs. 2 S. 1 BGB geltend gemacht werden.1886 Auch wird das Vorliegen eines Rücktrittsrechts nach § 323 Abs. 1 BGB oder § 326 Abs. 5 BGB abzulehnen sein, da hierdurch das Datensubjekt nach § 346 BGB – in Widerspruch zu EG 42 S. 5 DSGVO – zur Rückgewähr der Anbieterleistung bzw. zur Leistung von Wertersatz verpflichtet wäre.1887 c) Zulässigkeit der Einrede nach § 320 Abs. 1 BGB Als Reaktion auf die Weigerung, die vereinbarte Einwilligung zu erteilen, kann der Anbieter die Einrede des nichterfüllten Vertrags erheben. Die Geltendmachung von Zurückbehaltungsrechten widerspricht nicht den europarechtlichen Vorgaben. Vielmehr setzen Zurückbehaltungsrechte den charakteristischen Mechanismus datengetriebener Austauschgeschäfte, die Erbringung der Anbieterleistung von der Erlangung der datenbasierten Gegenleistung abhängig zu machen, rechtlich sachdienlich um.1888 Liegt keine Berufung auf die Einrede nach § 275 Abs. 3 BGB vor und ist es an sich möglich, dass das Datensubjekt gegenüber dem Anbieter die geschuldete Einwilligung noch erteilt, ist der Anbieter gemäß § 320 Abs. 1 BGB dazu berechtigt, die ihm obliegende Leistung bis zur Bewirkung der Einwilligungspflicht zu verweigern.
1884 Eingehend hierzu unten S. 349 ff. In den übrigen Fällen wird es hingegen an der überwiegenden oder alleinigen Verantwortlichkeit des Anbieters für die Verweigerung der Leistung durch das Datensubjekt nach § 275 Abs. 3 BGB fehlen. 1885 Siehe oben Fn. 1503. 1886 A. A. Metzger, AcP 2016, 817. 852; 853; Langhanke, Daten als Leistung, 2018, 137, 138. 1887 Ebenso Riehm, in: Specht-Riemenschneider / Buchner et al. (Hrsg.), Festschrift für Jürgen Taeger, 2020, 55, 66, 67. 1888 Siehe oben S. 254 ff., 278 ff.
326
Teil 4: Konsequenzen der rechtlichen Qualifizierung
d) Kündigungsrecht des Anbieters und § 313 BGB Wird dem Anbieter bereits zu Beginn des datengetriebenen Vertragsverhältnisses, welches wirksam zustande gekommen ist, die geschuldete Einwilligung nicht erteilt, steht diesem, entsprechend den Ausführungen zu den Folgen des Einwilligungswiderrufs, grundsätzlich ein Kündigungsrecht nach §§ 581 Abs. 2, 543 Abs. 1, 2 Nr. 1 BGB bzw. § 314 Abs. 1 BGB zu. Das Kündigungsrecht wie auch die Anwendbarkeit von § 313 BGB sind für die Praxis insbesondere im Rahmen des Widerrufs einer bereits erteilten Einwilligung von Bedeutung und werden daher erst dort ausführlich behandelt.1889 2. Folgen des Widerrufs der Einwilligung Wurde hingegen die Einwilligung nach Vertragsschluss erteilt und daraufhin durch das Datensubjekt wieder zurückgezogen, indem dieses von dem Widerrufsrecht nach Art. 7 Abs. 3 DSGVO Gebrauch machte, stehen auch in dieser Konstellation die europarechtlichen Vorgaben einer (klageweisen) Erzwingung der erneuten Erteilung der Einwilligung sowie der Geltendmachung von Sekundäransprüchen entgegen.1890 Der Anbieter ist folglich grundsätzlich nach § 320 Abs. 1 BGB wiederum nur dazu berechtigt, seine Leistungserbringung bis zur freiwilligen Wiedererteilung der Einwilligung durch das Datensubjekt zu verweigern. Als Folge des Widerrufs stehen dem Datensubjekt grundsätzlich die datenschutzrechtlichen Betroffenenrechte zu, welche an die Ausübung des Widerrufsrechts anknüpfen. Das Datensubjekt kann somit vom Anbieter als datenschutzrechtlich Verantwortlichem nach Art. 17 Abs. 1 lit. b DSGVO die unverzügliche Löschung der personenbezogenen Daten oder gemäß Art. 18 Abs. 1 lit. b DSGVO die Einschränkung der Datenverarbeitung verlangen.1891 Ob mit dem Widerruf der Einwilligung zugleich auch die Löschung der Daten oder nur die Einschränkung der Datenverarbeitung begehrt ist, wird vom Einzelfall abhängig sein und ist durch Auslegung zu ermitteln.1892 Intendiert das Datensubjekt, vom datengetriebenen Vertragsverhältnis endgültig Abstand zu nehmen, wird grundsätzlich zugleich von der Erklärung eines Löschungsbegehrens auszugehen sein. Besteht hingegen noch Interesse an einer späteren Fortführung des Vertrags und entspricht es dem Willen des Datensubjekts, das datengetriebene Austauschverhältnis nur zeitweise ruhen zu lassen oder sich eine jederzeitige Wiederaufnahme vorzubehalten, wird grundsätzlich nur ein Einschränkungsverlangen angenommen werden können.
1889 Siehe unten S. 328 ff., 331 f. Auf die Konstellation der bereits zu Vertragsbeginn verweigerten Einwilligungserteilung lassen sich diese Erwägungen übertragen. 1890 Hierzu oben bei Fn. 1863. 1891 Ausführlich hierzu oben S. 141 f. 1892 Hierzu oben bei Fn. 805–807.
§ 14 Leistungsstörungsrecht
327
Ungeklärt ist, welche Auswirkungen der Widerruf der Einwilligung auf die datenbasierte Leistung und das zugrundeliegende Verpflichtungsgeschäft hat. Nach EG 40 DIRL bestimmen sich die Rechtsfolgen des Widerrufs für das Vertragsverhältnis nach dem nationalen Recht. So wird nach einer Ansicht der Widerruf der Einwilligung als auflösende Bedingung in Bezug auf das Schuldverhältnis gemäß § 158 Abs. 2 BGB qualifiziert.1893 Die überwiegende Auffassung im Schrifttum befürwortet dagegen als Folge ein Recht auf Vertragsbeendigung für den Anbieter.1894 Zu klären ist darüber hinaus die Anwendbarkeit von § 313 Abs. 1 BGB und § 139 BGB im Hinblick auf das Schicksal des Vertragsverhältnisses im Widerrufsfall. a) Auflösende Bedingung nach § 158 Abs. 2 BGB Der Widerruf der Einwilligung wird seitens des Länderarbeitsberichts als auflösende Bedingung eingeordnet, welche bei Bedingungseintritt zur Unwirksamkeit des zugrundeliegenden Vertragsverhältnisses führt.1895 Durch eine derartige Einordnung des Widerrufs soll die Verzahnung von Zivilrecht und Datenschutzrecht berücksichtigt werden.1896 Damit würde das datengetriebene Vertragsverhältnis im Widerrufsfall nach § 158 Abs. 2 BGB seine Wirksamkeit verlieren und der frühere Rechtszustand wieder eintreten. Eine Einordnung als auflösende Bedingung in Form einer Potestativbedingung sei „sach- und interessengerecht“, da der Widerruf der Einwilligung im „freie[n] Belieben des Nutzers“ stehe und damit ein ungewisses und zukünftiges Ereignis darstelle.1897 Dabei sei von nicht von einer Rückbeziehung der Wirkungen des Bedingungseintritts gemäß § 159 BGB auszugehen, da dem Einwilligungswiderruf nach Art. 7 Abs. 3 S. 2 DSGVO ebenfalls nur eine Wirkung ex nunc zugrunde liege.1898 Gegen das Vorliegen einer Vereinbarung mit einer entsprechenden auflösenden Bedingung spricht jedoch, dass eine solche kaum ausdrücklich vereinbart oder eindeutig dem Willen der Parteien gemäß §§ 133, 157 BGB zu entnehmen sein wird.1899 1893
Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 207, 208. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 201, 202; Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 91; Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 33; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 102, 103; Metzger, AcP 2016, 817, 853, 863, 864; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 222; Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 93. Nicht eindeutig, dies aber wohl zumindest erwägend: Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 237; Hacker, ZfPW 2019, 148, 178. 1895 Ähnlich Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 528, 534, wonach die Unwirksamkeit der erteilten Einwilligung „zur Unwirksamkeit des Vertrages führt“. 1896 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 208. 1897 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 207. 1898 Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 207, 208. 1899 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 203. Allgemein hierzu Reymann, in: BeckOGK BGB, Stand: 01. 03. 2021, § 158 BGB, Rn. 53 ff. 1894
328
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Entscheidend wird im Einzelfall darauf abzustellen sein, ob die Vertragsparteien einen Automatismus im Widerrufsfall intendiert haben oder ob vielmehr nur eine schuldrechtlich zu sanktionierende Handlungspflicht vorliegt.1900 Im Regelfall wird seitens der Vertragsparteien gerade nicht gewollt sein, dass stets im Wege eines Automatismus das Vertragsverhältnis seine Wirksamkeit verliert.1901 So ist es typischerweise für beide Parteien vorteilhaft, wenn diese eigenständig über die Beendigung des zugrundeliegenden Vertragsverhältnisses entscheiden können.1902 Dem Anbieter ist es bereits über § 320 Abs. 1 BGB möglich, dem Datensubjekt im Widerrufsfall den Zugriff auf seine Leistung zu verwehren, wodurch der Anbieter seine Leistungserbringung an die Wiedererteilung der Einwilligung knüpfen kann. Auch liegt es im wirtschaftlichen Interesse der Anbieter datengetriebener Massengeschäfte im Internet, ihre Nutzerbasis zu erhalten, was gegen die Vereinbarung einer automatischen Vertragsbeendigung spricht.1903 Auch für Datensubjekte wird es regelmäßig von Vorteil sein, wenn nur die Einwilligung widerrufen wird, jedoch der zugrundeliegende Vertrag weiterhin Gültigkeit besitzt. So behält das Datensubjekt grundsätzlich seinen Anspruch auf die Anbieterleistung und kann diese weiter nutzen, solange der Anbieter nicht sein Zurückbehaltungsrecht ausübt oder den Vertrag beendet.1904 Die Annahme einer auflösenden Bedingung wird daher in der Regel weder der Interessenlage noch dem Willen der Parteien datengetriebener Vertragsverhältnisse entsprechen. b) Kündigungsrecht des Anbieters Nach der herrschenden Meinung im Schrifttum ist der Anbieter dazu berechtigt, den Vertrag mit dem Datensubjekt im Widerrufsfall zu beenden. Abgestellt wird dabei seitens der Literatur, unter Annahme einer pachtvertragsrechtlichen Einordnung, auf ein außerordentliches Kündigungsrecht des Anbieters nach §§ 581 Abs. 2, 543 Abs. 1, Abs. 2 Nr. 1 BGB oder, in Ermangelung einer Qualifizierung, auf das außerordentliche Kündigungsrecht für Dauerschuldverhältnisse nach § 314 BGB.1905 Ein entsprechendes Kündigungsrecht kann zudem kraft Individualabrede 1900
Vgl. Reymann, in: BeckOGK BGB, Stand: 01. 03. 2021, § 158 BGB, Rn. 59; Bork, in: Staudinger BGB, Neubearbeitung 2020, § 158 BGB, Rn. 8, 9. 1901 Ebenso Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57; 91; Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 203; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 222. 1902 Vgl. auch Langhanke / Schmidt-Kessel, EuCML 2015, 218, 222; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 272–274. 1903 Siehe oben Fn. 1039. 1904 Hierzu auch unten bei Fn. 1933. 1905 Für eine Anwendbarkeit von § 543 Abs. 2 Nr. 1 BGB im Rahmen einer pachtrechtlichen Qualifizierung: Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 33; Metzger, AcP 2016, 817, 853, 863, 864. In Ermangelung einer Qualifikation unspezifiziert oder sich auf § 314 BGB stützend: Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 201, 202; Beurskens, in:
§ 14 Leistungsstörungsrecht
329
bestehen oder innerhalb der AGB vorgesehen sein.1906 Bei einem Vergleich von § 314 Abs. 1 BGB mit §§ 581 Abs. 2, 543 Abs. 1, Abs. 2 Nr. 1 BGB ist zu konstatieren, dass bei der Anwendung beider Vorschriften auf datengetriebene Vertragsverhältnisse in praktischer Hinsicht keine Unterschiede bestehen. So setzen beide Regelungen tatbestandlich jeweils das Vorliegen eines wichtigen Grundes zur sofortigen Kündigung voraus, welcher anzunehmen ist, wenn einer Vertragspartei ein weiteres Festhalten am Vertrag unter Berücksichtigung des Einzelfalls sowie einer Interessenabwägung nicht mehr zugemutet werden kann. Im Widerrufsfall wird ein entsprechender Kündigungsgrund zugunsten des Anbieters grundsätzlich gegeben sein. Da datengetriebene Geschäftsmodelle fundamental auf der kommerziellen Verarbeitung personenbezogener Daten basieren, wird dem Anbieter, infolge des Einwilligungswiderrufs, eine Fortführung des Vertragsverhältnisses – außerhalb essenzieller Verträge, betreffend die Grundversorgung des Datensubjekts, oder sonstiger nach Art. 7 Abs. 4 DSGVO kopplungswidriger Konstellationen – grundsätzlich nicht mehr zugemutet werden können.1907 Unter Berücksichtigung der Vertragsfreiheit des Anbieters kann damit sichergestellt werden, dass, außerhalb von seltenen Vertragskonstellationen mit Kontrahierungszwang, der Anbieter „nicht zur Fortführung eines Vertragsverhältnisses ohne Datenverarbeitung gezwungen“ wird, welches dieser sonst so nicht eingegangen wäre.1908 Konkretisiert wird dieser Rechtsgedanke durch §§ 581 Abs. 1, 2, 543 Abs. 2 Nr. 1 BGB, wonach – übertragen auf datengetriebene Vertragsverhältnisse – insbesondere der Einwilligungswiderruf einen wichtigen Grund konstituiert, da dem Anbieter hierdurch die vertragsgemäße Gewährung der datenbasierten Leistung als verpachteter Gegenstand entzogen wird.1909 Auch unter § 314 Abs. 1 BGB wird hiernach ein wichtiger Grund zur sofortigen Kündigung anzunehmen sein.1910 Nach beiden Vorschriften dürfte daher ein Recht des Anbieters zur sofortigen Kündigung im konkreten Einzelfall unter Abwägung der beiderseitigen Interessen grundsätzlich gegeben sein. Nach §§ 581 Abs. 2, 543 Abs. 3 Nr. 1, Nr. 2 BGB wie auch nach § 314 Abs. 2 BGB stünde die Zulässigkeit der außerordentlichen Kündigung jeweils unter dem Vorbehalt des erfolgten Ablaufs einer Frist. Aufgrund der bereits angestellten Erwägungen dürften diese Anforderungen wegen der elementaren Bedeutung der Einwilligung für den Anbieter – gemäß §§ 581 Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 91; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 237; Hacker, ZfPW 2019, 148, 178; Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 93; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 102, 103; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 222; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 272, 273. 1906 Hierzu unten bei Fn. 2179–2181. 1907 Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 202; Langhanke / Schmidt-Kessel, EuCML 2015, 218, 222. Zu diesen Anwendungsfällen des Kopplungsverbots siehe oben S. 140 f. 1908 Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 272, 273. 1909 Vgl. Schlinker, in: BeckOGK BGB, Stand: 01. 02. 2021, § 581 BGB, Rn. 144; Bieber, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 543 BGB, Rn. 20. 1910 Vgl. Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 314 BGB, Rn. 18.
330
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Abs. 2, 543 Abs. 3 Nr. 2 BGB wie auch § 314 Abs. 2 S. 3 BGB – entbehrlich und eine sofortige Kündigung gerechtfertigt sein. Ansonsten ist die Kündigung erst nach Ablauf einer angemessenen Frist zur Wiedererteilung der Einwilligung zulässig oder wenn eine Erbringung der datenbasierten Leistung durch das Datensubjekt nach §§ 581 Abs. 2, 543 Abs. 3 Nr. 1 BGB bzw. §§ 314 Abs. 2 S. 2 i. V. m. § 323 Abs. 2 Nr. 1 BGB aussichtslos ist, was anzunehmen ist, wenn die Leistungserbringung ernsthaft und endgültig verweigert wird.1911 Mit Erklärung der wirksamen Kündigung endet das Vertragsverhältnis ohne Einhaltung einer Kündigungsfrist mit sofortiger Wirkung ex nunc.1912 Die datenbasierten Leistungspflichten des Datensubjekts erlöschen mit der Wirksamkeit der Kündigung. Bewirkte Leistungen wie auch Nutzungen müssen nicht zurückgewährt werden.1913 Das gekündigte Verpflichtungsgeschäft bildet weiterhin den Rechtsgrund für das Behalten von bereits ausgetauschten Leistungen.1914 c) Vertragsbeendigung durch das Datensubjekt Der Erklärung des Widerrufs der Einwilligung durch das Datensubjekt kann im Einzelfall zugleich eine Erklärung zur Beendigung des zugrundeliegenden schuldrechtlichen Verpflichtungsgeschäfts zu entnehmen sein.1915 Ein entsprechendes Recht des Datensubjekts zur Vertragsbeendigung kann sich rechtsgeschäftlich aus individualvertraglicher Vereinbarung sowie aus AGB ergeben oder kraft Gesetzes nach §§ 581 Abs. 2, 543 Abs. 1 BGB bzw. § 314 Abs. 1 BGB bestehen.1916 Innerhalb der Anwendungsbereiche der DIRL und der VerbRRL n. F. kann dem als Verbraucher zu qualifizierenden Datensubjekt zudem ein Recht auf Vertragsbeendigung sowie ein verbraucherrechtliches Widerrufsrecht zustehen.1917 Inwieweit neben dem Einwilligungswiderruf auch eine Beendigung des Vertragsverhältnisses intendiert sein wird, ist gemäß §§ 133, 157 BGB durch Auslegung zu ermitteln.1918 1911 Vgl. Bieber, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 543 BGB, Rn. 67; Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 314 BGB, Rn. 28. 1912 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 33; Metzger, AcP 2016, 817, 864; Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 314 BGB, Rn. 33, 34; Bieber, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 542 BGB, Rn. 7. 1913 Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 314 BGB, Rn. 34. 1914 Vgl. BGH, Urteil vom 13. 11. 1981 – I ZR 168/79, juris, Rn. 20; Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 314 BGB, Rn. 34. 1915 Spindler / Dalby, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 7 DSGVO, Rn. 13; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 558; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 237. 1916 Siehe oben S. 328 ff. 1917 Hierzu und zur Rechtslage de lege ferenda siehe oben S. 304 ff. sowie unten S. 340 ff. 1918 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 558; Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 237. Eingehend hierzu auch oben bei Fn. 1527, 1528.
§ 14 Leistungsstörungsrecht
331
d) Störung der Geschäftsgrundlage Die Erteilung und der Fortbestand der datenschutzrechtlichen Einwilligung könnten überdies als Geschäftsgrundlage des Vertrags nach § 313 Abs. 1 BGB einzuordnen sein.1919 Die (dauerhafte) Nichterteilung oder der Widerruf der Einwilligung könnte für den Anbieter eines datengetriebenen Vertragsverhältnisses eine schwerwiegende Veränderung der vertragsrelevanten Umstände bedeuten, welche den Anbieter zu einer Vertragsanpassung nach § 313 Abs. 1 BGB oder zu einer Kündigung nach § 313 Abs. 3 S. 2 BGB berechtigt. Hierzu müsste die Fortführung des Vertrags aufgrund der schwerwiegenden Änderung der Umstände für den Anbieter unzumutbar geworden sein und feststehen, dass die Parteien den Vertrag entweder nicht oder mit anderem Inhalt abgeschlossen hätten, wenn ihnen die Umstandsänderung bewusst gewesen wäre. Infolge der Zwecksetzung und Funktionsweise vollkommen datenfinanzierter Geschäftsmodelle wie auch der Interessenlage der Vertragsparteien werden der Fortbestand der Möglichkeit einer Erlangung und die Fortdauer der Einwilligung stets Umstände darstellen, die zur Grundlage des Vertrags geworden sind.1920 Abzugrenzen ist die Geschäftsgrundlage jedoch vom Vertragsinhalt und den sich daraus ergebenden Rechtsfolgen, welchen diesbezüglich Vorrang zukommt.1921 Bei Vorliegen einer datenbasierten Leistung zählen die Erteilung und der Fortbestand der Einwilligung bereits als Leistungspflichten zum Vertragsinhalt, wobei deren Nichterfüllung als Rechtsfolge zugunsten des Anbieters ein Zurückbehaltungsrecht nach § 320 Abs. 1 BGB begründet und diesen zur Vertragsbeendigung berechtigen kann.1922 Der Bestand der Einwilligung wird daher im Rahmen datengetriebener Vertragsverhältnisse nicht als Geschäftsgrundlage i. S. v. § 313 Abs. 1 BGB eingeordnet werden können, wenn eine Pflicht des Datensubjekts zur Erteilung einer Einwilligung vereinbart wurde oder eine konditionale Verknüpfung von Datenpreisgabe und Anbieterleistung vorliegt.1923 Eine Auflösung des Vertragsverhältnisses wird zudem bereits sachgerecht durch eine Anwendung von §§ 581 Abs. 2, 543 BGB wie auch § 314 BGB 1919
Vgl. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 203; acker, Datenprivatrecht, 2020, 227, 228, 409 ff.; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 102, H 103. 1920 Siehe oben S. 178 f., 182 ff. Eingehend zum Begriff der Geschäftsgrundlage: Lorenz, in: BeckOK BGB, 57. Ed. 2021, § 313 BGB, Rn. 4–7. 1921 BGH, Versäumnisurteil vom 09. 01. 2009 – V ZR 168/07, juris, Rn. 12; BGH, Urteil vom 01. 02. 1990 – VII ZR 176/88, juris, Rn. 12; BGH, Urteil vom 01. 02. 1984 – VIII ZR 54/83, juris, Rn. 20; Lorenz, in: BeckOK BGB, 57. Ed. 2021, § 313 BGB, Rn. 15. Die Grenze zwischen Grundlage und Inhalt eines Vertrags ist fließend und eine Abgrenzung oftmals nicht möglich. Hierzu Finkenauer, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 313 BGB, Rn. 8, 9. 1922 Siehe oben S. 265 f., 325, 328 ff. 1923 Zur Abgrenzung von Bedingung und Geschäftsgrundlage: Lorenz, in: BeckOK BGB, 57. Ed. 2021, § 313 BGB, Rn. 16; Finkenauer, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 313 BGB, Rn. 154. A. A. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 203.
332
Teil 4: Konsequenzen der rechtlichen Qualifizierung
ermöglicht.1924 Ein Rückgriff auf § 313 Abs. 1 BGB ist, aufgrund dessen strenger Anforderungen und des Normzwecks, im Hinblick auf eine Vertragsauflösung daher – wenn überhaupt – nur zurückhaltend in besonderen Ausnahmefällen und zur Vermeidung untragbarer Konsequenzen anzunehmen.1925 e) Nichtigkeit nach § 139 BGB Erwogen werden könnte des Weiteren, dass die datenschutzrechtliche Einwilligung und das zugrundeliegende Schuldverhältnis ein einheitliches Rechtsgeschäft i. S. v. § 139 BGB bilden und der Einwilligungswiderruf auch auf das dazugehörige Verpflichtungsgeschäft durchschlägt und damit zu dessen Unwirksamkeit führt.1926 Erheblich umstritten ist, ob eine Gesamtnichtigkeit von Verpflichtungs- und Verfügungsgeschäft durch eine Anwendung von § 139 BGB begründet werden kann.1927 Dies könnte angenommen werden, wenn Verpflichtung und Verfügung nach dem Willen der Vertragsparteien ein einheitliches Rechtsgeschäft gemäß § 139 BGB bilden sollen – mit der Folge, dass durch die Unwirksamkeit eines Rechtsgeschäfts im Zweifel auch das andere Rechtsgeschäft unwirksam wird. Übertragen auf die datenbasierten Leistungspflichten könnte damit der Unwirksamkeit der Einwilligung infolge eines Verstoßes gegen die datenschutzrechtlichen Wirksamkeitsanforderungen oder dem Widerruf der Einwilligung grundsätzlich die Unwirksamkeit der schuldrechtlichen Verpflichtungen folgen.1928 Von einem einheitlichen Rechtsgeschäft nach § 139 BGB wird bei den datenbasierten Leistungspflichten und der Einwilligungserteilung als verfügungsähnliches Rechtsgeschäft aber allenfalls in seltenen Ausnahmefällen und bei Evidenz eines entsprechenden Parteiwillens ausgegangen werden können.1929 Aus der Geltung 1924
Vgl. BGH, Urteil vom 08. 05. 2014 – I ZR 210/12, juris, Rn. 23. Zur stark umstrittenen Abgrenzung von § 313 BGB und § 314 BGB: Finkenauer, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 313 BGB, Rn. 171; Lorenz, in: BeckOK BGB, 57. Ed. 2021, § 313 BGB, Rn. 21 m. w. N. 1925 Vgl. BGH, Urteil vom 08. 05. 2014 – I ZR 210/12, juris, Rn. 23; Lorenz, in: BeckOK BGB, 57. Ed. 2021, § 313 BGB, Rn. 2, 3, 21. 1926 Hierzu Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 237; Langhanke, Daten als Leistung, 2018, 166. 1927 Ausführlich hierzu m. w. N. zum Meinungsstand: Langhanke, Daten als Leistung, 2018, 166, 167; Jakl, in: BeckOGK BGB, Stand: 01. 02. 2021, § 139 BGB, Rn. 102–111. Zur Abhängigkeit des Versicherungsvertrags von einer hiervon separat getroffenen Telematik-Abrede gemäß § 29 VVG: Pohlmann, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 73, 83–85. 1928 Vgl. Sattler, in: Ochs / Friedewald et al. (Hrsg.), Die Zukunft der Datenökonomie, 2019, 215, 237; Langhanke, Daten als Leistung, 2018, 166; Ohly, „Volenti non fit iniuria“, 2002, 450, 451. 1929 Ebenso Langhanke, Daten als Leistung, 2018, 167. A. A. Ohly, „Volenti non fit iniuria“, 2002, 451. Zu klären ist in entsprechenden Konstellationen zudem, ob die Parteien nicht vielmehr eine auflösende Bedingung nach § 158 Abs. 2 BGB vereinbart haben.
§ 14 Leistungsstörungsrecht
333
des Abstraktionsprinzips folgt richtigerweise, dass Verpflichtung und Verfügung grundsätzlich kein einheitliches Rechtsgeschäft bilden.1930 Im Rahmen daten getriebener Vertragsverhältnisse entspräche eine Abhängigkeit der Wirksamkeit des Verpflichtungsgeschäfts von dem Bestand der verfügungsähnlichen Einwilligung in Form eines Automatismus größtenteils auch nicht der Interessenlage der Parteien datengetriebener Austauschgeschäfte.1931 Erlischt die datenschutzrechtliche Einwilligung infolge der Ausübung des Widerrufsrechts nach Art. 7 Abs. 3 DSGVO oder ist diese von Anfang an unwirksam, würde eine daraus folgende Unwirksamkeit des zugrundeliegenden datengetriebenen Vertragsverhältnisses regelmäßig den Interessen der Vertragsparteien zuwiderlaufen. Der wirtschaftlichen Zwecksetzung datengetriebener Austauschverhältnisse und den Interessen der Anbieter, denen daran gelegen ist, eine rechtmäßige Grundlage für ihre kommerziellen Datenverarbeitungsvorgänge zu erlangen, entspricht es vielmehr, selbstbestimmt – zur Erhaltung ihrer Nutzerbasis – ihre Leistung bis zur Erteilung der vereinbarten Einwilligung verweigern zu können und nur bei Aussichtslosigkeit das Vertragsverhältnis zu terminieren.1932 Ebenso ist es für die Datensubjekte von Vorteil, bis zur Zurückbehaltung der Anbieterleistung oder bis zur Beendigung des Vertragsverhältnisses die Anbieterleistung weiterhin in Anspruch nehmen zu können.1933 Eine Anwendung von § 139 BGB wird daher in Ermangelung eines einheitlichen Rechtsgeschäfts typischerweise ausgeschlossen sein. II. Pflicht zur Datenüberlassung zu Kommerzialisierungszwecken 1. Verweigerung der Datenüberlassung Auf die Pflicht zur Überlassung personenbezogener Daten zu kommerziellen Zwecken, deren Verarbeitung durch die Einwilligung gestattet wird, können die gefundenen Erkenntnisse in weiten Teilen übertragen werden. Eine Verletzung dieser Pflicht kann sich insbesondere aus dem Einsatz technischer Maßnahmen 1930 Vgl. Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 488, dies dabei jedoch generell ausschließend. Hiergegen ist der wohl h. M. beizupflichten, dass die Vertragsfreiheit grundsätzlich die Zulässigkeit der Verknüpfung von Verpflichtungs- und Verfügungsgeschäft als ein einheitliches Rechtsgeschäft über § 139 BGB garantiert, wenn dies auch nur in Ausnahmefällen und bei evidentem Vorliegen eines entsprechenden Parteiwillens anzunehmen sein wird. BGH, Beschluss vom 25. 11. 2004 – Beschluss, juris, Rn. 12; BGH, Urteil vom 14. 03. 2003 – V ZR 304/02, juris, Rn. 27. Eingehend hierzu Jakl, in: BeckOGK BGB, Stand: 01. 02. 2021, § 139 BGB, Rn. 105–111 m. w. N. 1931 Zur vergleichbaren – abzulehnenden – Konstellation bei Annahme einer auflösenden Bedingung für den Widerrufsfall siehe auch oben S. 327 f. 1932 Hierzu oben bei Fn. 1039, 1041. 1933 Vgl. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 18; Langhanke, Daten als Leistung, 2018, 165, 167, welche sich dabei in ihrer Argumentation primär auf die Geltung des Abstraktionsprinzips beziehen, die sich jedoch auf die vorliegende Konstellation im Rahmen von § 139 BGB übertragen lässt.
334
Teil 4: Konsequenzen der rechtlichen Qualifizierung
zur Verhinderung der Datenüberlassung ergeben.1934 Eine klageweise Erzwingung der Pflicht zur Überlassung personenbezogener Daten zu kommerziellen Verarbeitungszwecken wie auch eine Haftung des Datensubjekts auf Schadens- oder Wertersatz bei Verweigerung der Datenüberlassung sind mit den europarecht lichen Vorgaben nicht vereinbar.1935 Einer klageweisen Durchsetzung der auf aktive Datenüberlassung oder Duldung der Datenerhebung und Datenverarbeitung gerichteten Pflicht nach § 888 ZPO bzw. § 890 ZPO steht in materieller Hinsicht, im Gleichlauf zur Einwilligungserteilung, wiederum der dolo-agit-Einwand nach § 242 BGB oder die Berufung auf Unmöglichkeit nach § 275 Abs. 3 BGB entgegen.1936 Ebenso können keine Sekundäransprüche geltend gemacht werden, die zu einer Haftung des Datensubjekts infolge einer verwehrten Kommerzialisierung der Daten aufgrund der Nichtüberlassung von Daten führen würden.1937 Zulässig ist in diesem Fall wiederum nur die Geltendmachung der Einrede des nichterfüllten Vertrags nach § 320 Abs. 1 BGB. Ebenfalls lassen sich die Ausführungen zu dem Vorliegen einer auflösenden Bedingung oder eines Kündigungsrechts des Anbieters im Widerrufsfall auf die Verweigerung der Datenüberlassung übertragen.1938 Hierbei wird jedoch zu berücksichtigen sein, dass einer Nichterfüllung der Datenüberlassungspflicht oftmals eine wesentlich geringere Eingriffsintensität zukommen wird als einer Nichterfüllung der Pflicht zur Einwilligungserteilung. So wird eine nur geringfügige oder zeitlich begrenzte Verhinderung der Datenerfassung des Anbieters bei Nutzung der Anbieterleistung durch das Datensubjekt regelmäßig nicht ausreichen, um einen wichtigen Grund zur Kündigung des Vertragsverhältnisses zu konstituieren.1939 Eine Unzumutbarkeit des Festhaltens am Vertrag wird in entsprechenden Konstellationen vielmehr von einer umfassenden Interessenabwägung im Einzelfall und dem erfolglosen Ablauf einer Abhilfefrist abhängig sein. 2. Vertragswidrigkeit der Daten Überlässt das Datensubjekt keine der vertraglichen Vereinbarung entsprechenden personenbezogenen Daten oder, in Ermangelung einer Beschaffenheitsabrede, keine Daten mittlerer Art und Güte nach § 243 Abs. 1 BGB analog, ist eine Nichterfüllung der vertraglich geschuldeten Leistungspflicht anzunehmen, welche primär die Berechtigung des Anbieters zur Folge hat, seine Leistung nach § 320 Abs. 1 BGB zu verweigern.1940 Eine weitergehende Haftung des Datensub 1934
Siehe oben Fn. 1184. Siehe oben S. 260. A. A. Hacker, ZfPW 2019, 148, 169, 170; Linardatos, in: SpechtRiemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 556–559. 1936 Hierzu oben bei Fn. 1533, 1872 sowie S. 323 ff. Im Ergebnis ebenso Hacker, Datenprivatrecht, 2020, 215, 216. 1937 Eingehend hierzu oben S. 260 f. 1938 Siehe oben S. 327 f. 1939 Hierzu oben S. 328 ff. 1940 Ausführlich hierzu oben S. 315 ff. 1935
§ 14 Leistungsstörungsrecht
335
jekts auf Schadens- oder Wertersatz aufgrund einer verpassten Kommerzialisierungsmöglichkeit ist, infolge der Abhängigkeit der rechtmäßigen Verarbeitung zu kommerziellen Zwecken von der datenschutzrechtlichen Einwilligung, abermals ausgeschlossen.1941 Unter besonderen Umständen wird die Überlassung vertragswidriger Daten den Anbieter auch zu einer Kündigung des Austauschverhältnisses berechtigen können.1942 Eigenständige Relevanz weist die Überlassung vertragswidriger personenbezogener Daten auf, wenn der Anbieter infolge der Überlassung vertragswidriger Daten einen Schaden erleidet, der nicht in dem Verlust einer Kommerzialisierungsmöglichkeit liegt. So kann in der Überlassung vertragswidriger Daten auch eine Verletzung von Schutzpflichten i. S. v. § 241 Abs. 2 BGB durch das Datensubjekt liegen.1943 Aufgrund des datengetriebenen Austauschverhältnisses ist das Datensubjekt verpflichtet, auf die Rechte, Rechtsgüter und Interessen des Anbieters Rücksicht zu nehmen.1944 Beinhalten die personenbezogenen Daten beispielsweise immaterialgüterrechtlich geschützte Informationen oder Schadcode, so kann dadurch beim Anbieter ein Schaden verursacht werden, wenn dieser vom Rechtsinhaber in Anspruch genommen oder das informationstechnologische System des Anbieters beschädigt wird. In dieser Konstellation stehen die europarechtlichen Vorgaben aus Art. 7 Abs. 3 DSGVO und EG 42 S. 5 DSGVO einer Haftung des Datensubjekts nicht entgegen, da es sich hierbei nicht um Nachteile handelt, welche aus einer Verweigerung der Einwilligungserteilung oder aus dem Widerruf der Einwilligung resultieren.1945 Eine Schadensersatzhaftung des Datensubjekts nach §§ 280 Abs. 1, 241 Abs. 2 BGB wegen Schutzpflichtverletzung wie auch eine Haftung aufgrund gesetzlicher Haftungstatbestände, wie nach den §§ 823, 826 BGB, sind daher nicht ausgeschlossen. Auch kann der Anbieter nach § 324 BGB vom Vertrag zurücktreten, wenn ihm ein Festhalten am Vertrag nicht mehr zugemutet werden kann. In diesem Fall ist es konsequent, dem Anbieter nach § 346 Abs. 1 BGB einen Anspruch auf Rückgewähr seiner Leistung oder Wertersatz nach § 346 Abs. 2 BGB zuzusprechen. Dem entsprechend wird im Rücktrittsfall auch dem Datensubjekt gemäß § 346 Abs. 1, 2 BGB die datenbasierte Leistung zurückzugewähren sein. Neben den datenschutzrechtlichen Folgen gemäß der DSGVO ist der Rücktritt für die Rückgewähr der datenbasierten Leistung jedoch nur dann von Relevanz, wenn der An 1941 Siehe oben S. 260, 315 ff. A. A. Langhanke, Daten als Leistung, 2018, 142, 143; Metzger, AcP 2016, 817, 859, 860. 1942 Siehe oben S. 334 ff. Ebenso hinsichtlich dieses Aspekts: Langhanke, Daten als Leistung, 2018, 142, 143; Metzger, AcP 2016, 817, 859, 860, 864. 1943 Siehe oben Fn. 1842. 1944 Allgemein zu den einzelnen auf § 241 Abs. 2 BGB basierenden Nebenpflichten: Sutschet, in: BeckOK BGB, 57. Ed. 2021, § 241 BGB, Rn. 89 ff. 1945 Eingehend hierzu oben bei Fn. 883, 884, 1447 sowie bei Fn. 1502–1504. Ähnlich Riehm, in: Specht-Riemenschneider / Buchner et al. (Hrsg.), Festschrift für Jürgen Taeger, 2020, 55, 68, 69, dabei jedoch einen Schadensersatzanspruch aus culpa in contrahendo erwägend.
336
Teil 4: Konsequenzen der rechtlichen Qualifizierung
bieter zu einer Wertersatzleistung für bereits kommerzialisierte Daten verpflichtet ist.1946 Zu beachten ist hierbei, dass die Rückabwicklungsvorschrift des § 346 BGB primär für den Austausch beweglicher Sachen konzipiert wurde und nicht auf Gebrauchsüberlassungsverträge wie im Fall der datenbasierten Leistung zugeschnitten ist.1947 Für Leistungen, bei denen nur eine Nutzungsmöglichkeit übertragen wird, welche nicht in Natur zurückgewährt werden kann, besteht daher nach § 346 Abs. 2 S. 1 Nr. 1 BGB eine Wertersatzpflicht.1948 Maßgebend für die Berechnung des Wertersatzes ist nach § 346 Abs. 2 S. 2 BGB die vertraglich vereinbarte Gegenleistung. Die Gegenleistung muss nicht als Geldbetrag beziffert sein, ihr Wert kann auch im Wege der Auslegung oder durch Schätzung nach § 278 ZPO ermittelt werden.1949 Fehlt eine Vereinbarung zum Wert der datenbasierten Leistung, wird aufgrund der Abhängigkeit des Werts der datenbasierten Gegenleistung vom Bedeutungsinhalt der personenbezogenen Daten und vom konkreten Kontext der Datenverarbeitung regelmäßig auf den objektiven Wert der kommerzialisierten Daten im Zeitpunkt der Datenüberlassung abzustellen sein.1950 III. Die Überlassung notwendiger Daten Die Überlassung notwendiger Daten stellt, je nach Gestaltung des datengetriebenen Austauschverhältnisses, eine Obliegenheit oder eine Nebenleistungspflicht dar.1951 Ist wie im Regelfall eine bloße Obliegenheit anzunehmen, beschränken sich die Folgen ihrer Nichtbeachtung durch das Datensubjekt auf den Verlust des Anspruchs auf die Anbieterleistung oder anderer, dem Datensubjekt gewährter Vorteile.1952 Stellt hingegen die notwendige Datenüberlassung eine Nebenleistungspflicht dar, wird diese grundsätzlich nicht nur durchsetzbar sein, sondern kann auch zu einer Haftung des Datensubjekts führen, da die Rechtmäßigkeit der Verarbeitung hier nicht auf der datenschutzrechtlichen Einwilligung, sondern auf gesetzlichen Erlaubnistatbeständen beruht.1953 Das Ausbleiben der Überlassung notwendiger Daten wie auch die Überlassung fehlerhafter Daten trotz bestehender Mitwirkungspflicht des Datensubjekts können folglich zum Untergang der 1946
Zur vergleichbaren Konstellation beim verbraucherrechtlichen Widerrufsrecht, bei der eine Wertersatzpflicht des Anbieters zu verneinen ist, siehe oben S. 308 ff. 1947 Vgl. BT-Drucks. 14/6040, 189 ff.; Kaiser, in: Staudinger BGB, Neubearbeitung 2012, § 346 BGB, Rn. 99. Zum Gebrauchsüberlassungscharakter der datenbasierten Leistung siehe oben S. 284 ff. 1948 Schall, in: BeckOGK BGB, Stand: 01. 11. 2020, § 346 BGB, Rn. 507; Kaiser, in: S taudinger BGB, Neubearbeitung 2012, § 346 BGB, Rn. 99 ff., 245. 1949 Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 346 BGB, Rn. 26. 1950 Vgl. BT-Drucks. 14/6040, 196; Schall, in: BeckOGK BGB, Stand: 01. 11. 2020, § 346 BGB, Rn. 567, 570 ff.; Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 346 BGB, Rn. 26. Zur Bestimmung des Werts personenbezogener Daten siehe unten S. 386 ff. 1951 Hierzu oben S. 261 ff. 1952 Siehe oben bei Fn. 1544, 1550. 1953 Ebenso Hacker, Datenprivatrecht, 2020, 222. Eingehend hierzu oben S. 263 ff.
§ 14 Leistungsstörungsrecht
337
Leistungspflicht oder zu typischen Schadensposten führen – wie zu entgangenem Gewinn oder zu sonstigen Verzögerungsschäden – oder den Anbieter zum Rücktritt berechtigen.1954 Die Nichtübermittlung notwendiger Daten trotz Erfüllbarkeit der Nebenleistungspflicht sowie Vorliegens eines tauglichen Angebots des Anbieters kann das Datensubjekt zudem in Gläubigerverzug nach §§ 293, 295 S. 1 Var. 2 BGB versetzen.1955 Verweigert das Datensubjekt die Überlassung der notwendigen Daten endgültig, wird die Anbieterleistung nach § 275 Abs. 1 BGB wegen Unmöglichkeit der Leistungserbringung regelmäßig bereits aus technischen Gründen ausgeschlossen sein.1956
B. Auswirkungen von Störungen der Anbieterleistung Im Hinblick auf Rechtsbehelfe des Datensubjekts bei Störungen der Anbieterleistung ist im Ausgangspunkt auf die Regelungen des Allgemeinen Schuldrechts sowie das Gewährleistungs- und Leistungsstörungsrecht des Besonderen Schuldrechts abzustellen, welches von der Qualifizierung des Leistungsgegenstands abhängig ist.1957 Aufgrund der Besonderheit der datenbasierten Gegenleistung werden insbesondere bei Vorschriften, die an eine Geldzahlungspflicht anknüpfen, die Sinnhaftigkeit und die Zulässigkeit einer Anwendung zu verneinen sein. Als Beispiele lassen sich hierfür die Minderungsrechte der §§ 441, 536 Abs. 1 S. 2, 638, 651m BGB anführen, welche an das Vorliegen einer monetären Gegenleistung anknüpfen. Als Materie von grundlegender Bedeutung für datengetriebene Vertragsverhältnisse werden im Folgenden die Auswirkungen einer Unmöglichkeit der Anbieterleistung untersucht.
1954 Vgl. Dötterl, in: BeckOGK BGB, Stand: 15. 02. 2021, § 293 BGB, Rn. 13–18. Nicht als entgangener Gewinn zählen jedoch wiederum ersetzbare Schadensposten, welche auf der verpassten Kommerzialisierung personenbezogener Daten beruhen. Hierzu oben Fn. 1553, 1557. Für typische datengetriebene Austauschgeschäfte, welche die Erbringung einer digitalen Anbieterleistung zum Gegenstand haben, wird ein ersatzfähiger Schaden wie entgangener Gewinn oder Verzögerungsschäden (z. B. Lagerungskosten für körperliche Gegenstände, welche mangels der Überlassung notwendiger Lieferdaten erst verspätet geliefert werden konnten) jedoch kaum jemals gegeben sein. 1955 Vgl. Dötterl, in: BeckOGK BGB, Stand: 15. 02. 2021, § 295 BGB, Rn. 39 ff. Für internetbasierte datengetriebene Austauschgeschäfte ist der Gläubigerverzug ebenfalls kaum von Bedeutung. Relevanz würde den Rechtsfolgen des Gläubigerverzugs (§§ 300–304 BGB) im Rahmen datengetriebener Austauschverhältnisse allenfalls zukommen, wenn in Zukunft von Anbieterseite beispielsweise auch kaufrechtliche bzw. werkrechtliche Leistungen – wie die Übergabe und Übereignung bzw. die Herstellung einer Sache – im Gegenzug für eine datenbasierte Gegenleistung angeboten werden. 1956 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 541. Vom Grundgedanken ebenso, sich jedoch auf die Einwilligungserteilung beziehend: Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 200. 1957 Hierzu oben S. 192 f., 267 ff.
338
Teil 4: Konsequenzen der rechtlichen Qualifizierung
I. Unmöglichkeit der Leistungserbringung durch den Anbieter Die Leistungserbringung durch den Anbieter kann aus rechtlichen Gründen nach § 275 Abs. 1 BGB ausgeschlossen sein, wenn sich die geschuldete Leistung des Anbieters ohne das Vorliegen einer wirksamen datenschutzrechtlichen Einwilligung nicht erbringen lässt.1958 Einschlägig wird dies bei allen datengetriebenen Geschäftsmodellen sein, bei denen zur Erbringung der Anbieterleistung zwingend eine Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO erforderlich ist.1959 Für eine rechtmäßige Verarbeitung dieser Daten kann nicht der gesetzliche Erlaubnistatbestand des Art. 6 Abs. 1 lit. b DSGVO herangezogen werden, sondern es bedarf nach Art. 9 Abs. 2 lit. a DSGVO hierzu einer ausdrücklich erteilten Einwilligung.1960 Weigert sich das Datensubjekt endgültig, dem Anbieter die notwendige Einwilligung zu erteilen, oder wird eine bereits erteilte Einwilligung durch das Datensubjekt widerrufen, ist der Anspruch des Datensubjekts auf die Leistung infolge rechtlicher Unmöglichkeit gemäß § 275 Abs. 1 BGB ausgeschlossen. Dasselbe wird gelten, wenn die gemäß der individualvertraglichen Vereinbarung oder den AGB geschuldete Einwilligung wegen Verstoßes gegen das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO oder wegen der Ausgestaltung der Einwilligung aufgrund der §§ 134, 138 BGB nicht wirksam erteilt werden kann.1961 Infolge der Unmöglichkeit der Anbieterleistung entfallen die datenbasierten Leistungspflichten des Datensubjekts grundsätzlich nach § 326 Abs. 1 S. 1 BGB, soweit diese nicht bereits aus anderen Gründen unwirksam sind. Liegen die Voraussetzungen von § 326 Abs. 2 BGB vor, werden die Gegenleistungspflichten des Datensubjekts dagegen weiterhin fortbestehen. In diesem Fall ist auf die Ausführungen zur fehlenden Durchsetzbarkeit der datenbasierten Leistungspflichten, den Ausschluss von Sekundäransprüchen sowie auf die rechtlichen Reaktionsmöglichkeiten des Anbieters zu verweisen.1962
1958
Ebenso Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 200. Zum Ausschluss der Leistungspflicht des Anbieters aus tatsächlichen Gründen nach § 275 Abs. 1 BGB siehe oben bei Fn. 1956. 1959 Siehe oben S. 126 f. Als verbreitete Praxisbeispiele können datengetriebene Gesundheits- und Fitness-Apps oder Dating-Apps angeführt werden. Ein entgeltliches Vertragsverhältnis zwischen Datensubjekt und Anbieter wird dabei jedoch nur dann gegeben sein, wenn mit der datenschutzrechtlichen Einwilligung auch kommerzielle Datenverarbeitungsvorgänge legitimiert werden sollen, welche nicht auf gesetzliche Erlaubnistatbestände gestützt werden können. Hierzu oben Fn. 1388, 1389. 1960 Siehe oben Fn. 733, 1560. 1961 Hierzu unten S. 349 ff. 1962 Siehe oben S. 321 ff. Bei nicht ausschließlich datengetriebenen Austauschgeschäften, bei denen das Datensubjekt zusätzlich eine monetäre Gegenleistung schuldet, wird diese hingegen nach § 326 Abs. 2 BGB im Einzelfall zugunsten des Anbieters fortbestehen können. Hierzu Riehm, in: Pertot / SchmidtKessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 200.
§ 14 Leistungsstörungsrecht
339
II. Die Sekundärrechte nach der DIRL 1. Ziel und Anwendungsbereich der Richtlinie Zweck der DIRL ist es, einen einheitlichen Rechtsrahmen für den europäischen Binnenmarkt und ein hohes Verbraucherschutzniveau im Hinblick auf Verbraucherverträge über die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen herzustellen.1963 Gemäß Art. 1, 4 DIRL legt die vollharmonisierende Richtlinie hierzu insbesondere Regelungen fest, welche die Vertragsmäßigkeit digitaler Inhalte und digitaler Dienstleistungen, die Abhilfen bei Vertragswidrigkeit oder nicht erfolgter Bereitstellung, die Art und Weise der Inanspruchnahme dieser Abhilfen und die Änderung digitaler Inhalte oder digitaler Dienstleistungen vereinheitlichen sollen.1964 Art. 3 DIRL beschränkt den Anwendungsbereich der Richtlinie dabei auf Verbraucherverträge, welchen als Unternehmerleistung die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen zugrunde liegt, wodurch primär ein spezialgesetzliches Gewährleistungsregime für Verbraucherverträge geschaffen wird.1965 Einbezogen werden nach Art. 3 Abs. 1 Uabs. 2 Hs. 1 DIRL die Konstellationen, in denen die Gegenleistung des Verbrauchers nicht in Form einer Geldzahlung, sondern in der Bereitstellung personenbezogener Daten oder deren Zusage besteht.1966 Ausgenommen sind hiervon Fälle, in denen die vom Verbraucher bereitgestellten Daten nach Art. 3 Abs. 1 Uabs. 2 Hs. 2 DIRL durch den Unternehmer ausschließlich zur Bereitstellung der digitalen Inhalte und digitalen Dienstleistungen im Einklang mit der DIRL oder zur Erfüllung der vom Unternehmer einzuhaltenden rechtlichen Anforderungen verarbeitet werden.1967 Hinsichtlich des Anwendungsbereichs und des Regelungsinhalts der DIRL ist zu konstatieren, dass die Richtlinie im Hinblick auf die Qualifizierung der daten 1963 Art. 1 DIRL sowie EG 6, 8, 11 DIRL. Zur Entstehungsgeschichte der Richtlinie: ischau, ZEuP 2020, 335, 336 ff.; Staudenmayer, ZEuP 2019, 663, 664–667; Bach, NJW 2019, M 1705. 1964 Die Richtline verfolgt dabei nach EG 10 DIRL einen technologieneutralen Ansatz, um die Zukunftssicherheit der Richtlinie zu gewährleisten. 1965 Vgl. Sattler, CR 2020, 145, 147. Nicht umfasst sind dadurch datengetriebene Vertragsverhältnisse zwischen ausschließlich Verbrauchern (C2C) oder Unternehmern (B2B). Auch nicht umfasst sind sämtliche Verträge, denen eine andere Unternehmerleistung als die Bereitstellung digitaler Inhalte und digitaler Dienstleistungen zugrunde liegt. Ausführlich zum Anwendungsbereich der DIRL: Staudenmayer, ZEuP 2019, 663, 668 ff.; Mischau, ZEuP 2020, 335, 339 ff., 352 ff. 1966 Zur nahezu identischen Reglung der VerbRRL n. F. siehe oben bei Fn. 1755. Aufgegeben wurde in der finalen Richtlinienfassung der DIRL die Unterscheidung zwischen einer aktiven und einer passiven Datenüberlassung seitens des Verbrauchers. Siehe oben bei Fn. 1143, 1144. 1967 Vom Anwendungsbereich der DIRL sind danach alle Vertragskonstellationen ausgenommen, in denen die Datenverarbeitung bereits durch die gesetzlichen Erlaubnistatbestände der Art. 6 Abs. 1 lit. b, c DSGVO abgedeckt ist. Diesbezüglich wird auf die Ausführungen zur inhaltsgleichen Vorschrift der VerbRRL n. F. verwiesen. Hierzu oben bei Fn. 1757, 1764.
340
Teil 4: Konsequenzen der rechtlichen Qualifizierung
basierten Leistung nur geringe Relevanz aufweist und eine eindeutige Positionierung zu vermeiden versucht.1968 Die DIRL überlässt die Regelung der Pflichten des Verbrauchers und der Rechte des Anbieters bei datengetriebenen Austauschverhältnissen weitestgehend dem nationalen Recht.1969 Dies gilt nach Art. 3 Abs. 10 DIRL ebenso größtenteils für das Leistungsstörungsrecht, indem das Recht auf Schadensersatz sowie die Wirkungen des Vertrags, einschließlich der Folgen der Vertragsbeendigung – soweit diese Aspekte nicht in der Richtlinie geregelt werden – dem nationalen Recht überlassen werden.1970 Art. 3 Abs. 8 Uabs. 1 DIRL ordnet zudem die Geltung des unionsrechtlichen Datenschutzrechts in Bezug auf die Verarbeitung von personenbezogenen Daten im Rahmen von Verträgen an, welche in den Anwendungsbereich der DIRL fallen. Art. 3 Abs. 8 Uabs. 2 DIRL legt diesbezüglich die Vorrangigkeit der Regelungen des europäischen Datenschutzrechts gegenüber der DIRL fest.1971 Das Gleiche legt Art. 3 Abs. 7 DIRL für alle anderen sektorspezifischen Unionsrechtsakte sowie Art. 3 Abs. 9 DIRL für das Unionsrecht und das nationale Recht auf dem Gebiet des Urheberrechts und der verwandten Schutzrechte fest.1972 2. Relevanz der Richtlinie für die datenbasierte Leistung a) Rechtsbehelfe des Verbrauchers Trotz des Novums der rechtlichen Anerkennung datengetriebener Austauschverhältnisse weisen die DIRL wie auch die VerbRRL n. F. für die Qualifizierung und Bestimmung des auf die datenbasierte Leistung anzuwendenden Leistungsstörungsrechts damit nur geringe Bedeutung auf. Schwerpunktmäßig wurde der Fokus der DIRL auf die hier nicht zu erörternden Rechte des Verbrauchers und Pflichten des Unternehmers im Rahmen von Verbraucherverträgen nach Art. 3 Abs. 1 Uabs. 1 DIRL mit monetärer Gegenleistung gelegt.1973 Nicht anzuwenden 1968
Vgl. Staudenmayer, ZEuP 2019, 663, 668 ff. Vertieft zur Entstehungsgeschichte der DIRL und der Vermeidung einer expliziten Qualifizierung der Preisgabe personenbezogener Daten als Gegenleistung oben bei Fn. 885, 1147–1149. 1969 Siehe bereits oben bei Fn. 552, 1701. Zu den seitens der Richtlinie vorgesehenen Abhilfen bei Vertragswidrigkeit oder nicht erfolgter Bereitstellung der Anbieterleistung und zu den Folgen der Vertragsbeendigung siehe Art. 5 ff. DIRL sowie Art. 16, 17 DIRL. Weiterführend zu den Konsequenzen der Vertragsbeendigung unten S. 342. 1970 Vgl. hierzu insbesondere EG 12–18 DIRL sowie EG 73 DIRL. 1971 Vgl. auch EG 37–39 DIRL. 1972 Hierzu EG 36 DIRL sowie oben Fn. 614. 1973 Für eine detaillierte Auseinandersetzung mit dem Anwendungsbereich und dem Regelungsinhalt der DIRL sowie bezüglich der Einordnung des geplanten Gewährleistungsregimes in das nationale Zivilrecht wird auf die zahlreiche Literatur zur DIRL verwiesen. Statt vieler: Kumkar, ZfPW 2020, 306; Sattler, CR 2020, 145; Mischau, ZEuP 2020, 335; Bach, NJW 2019, 1705; Ehle / Kreß, CR 2019, 723; Spindler / Sein, MMR 2019, 415; Staudenmayer, ZEuP 2019, 663.
§ 14 Leistungsstörungsrecht
341
sind auf die datenbasierten Leistungspflichten diejenigen Vorschriften der DIRL, die an eine monetäre Gegenleistung des Verbrauchers anknüpfen.1974 Die Vertragswidrigkeit der digitalen Inhalte oder der digitalen Dienstleistungen gemäß Art. 6 DIRL begründet gemäß Art. 14 Abs. 1 Var. 1, Abs. 2, Abs. 3 DIRL einen Anspruch des Verbrauchers auf Herstellung des vertragsgemäßen Zustands. Im Rahmen datengetriebener Vertragsverhältnisse mit einer datenbasierten Gegenleistung kann dem Verbraucher zudem ein Recht auf Vertragsbeendigung i. S. v. Art. 15 DIRL zustehen. Dieses kann sich aus Art. 13, 14, 19 DIRL ergeben. Nach Art. 13 Abs. 1 DIRL ist der Verbraucher zur Beendigung des Vertrags berechtigt, wenn der Unternehmer es trotz Aufforderung des Verbrauchers versäumt, die vereinbarten digitalen Inhalte oder Dienstleistungen bereitzustellen. Zur sofortigen Beendigung des Vertrags ist der Verbraucher berechtigt, wenn eine Aufforderung des Unternehmers zur Bereitstellung nach Art. 13 Abs. 2 DIRL entbehrlich ist.1975 Ebenso steht dem Verbraucher ein Recht auf Beendigung des Vertrags im Fall der Vertragswidrigkeit der Anbieterleistung nach Art. 14 Abs. 1 Var. 3, Abs. 4 Var. 2, Abs. 6 DIRL zu.1976 Schließlich berechtigt auch Art. 19 Abs. 2, 3 DIRL den Verbraucher, den Vertrag mit dem Unternehmer zu beenden. Voraussetzung hierfür ist, dass, gemäß Art. 19 Abs. 1 DIRL, eine über das zur Erhaltung der Vertragsmäßigkeit der digitalen Inhalte oder digitalen Dienstleistungen gemäß Art. 7, 8 DIRL erforderliche Maß hinausgehende Änderung vorliegt und hierdurch gemäß Art. 19 Abs. 2 DIRL der Zugang zur Anbieterleistung oder deren Nutzung mehr als nur geringfügig beeinträchtigt wird.1977 Nach Art. 22 DIRL weisen die verbraucherschützenden Vorschriften der Richtlinie grundsätzlich halbzwingenden Charakter auf.1978 1974 Dies betrifft insbesondere das Recht des Verbrauchers auf eine anteilige Preisminderung nach Art. 14 Abs. 1 Var. 2, Abs. 4 Var. 2, Abs. 5 DIRL. Vgl. Mischau, ZEuP 2020, 335, 347, 348. 1975 Dies ist der Fall, wenn der Unternehmer nach Art. 13 Abs. 2 lit. a DSGVO erklärt hat oder aus den Umständen eindeutig zu erkennen ist, dass er die digitalen Inhalte oder Dienstleistungen nicht bereitstellen wird. Nach Art. 13 Abs. 2 lit. b DSGVO ist der Verbraucher auch zur sofortigen Beendigung des Vertrags berechtigt, wenn der Verbraucher und der Unternehmer vereinbart haben oder aus den begleitenden Umständen des Vertragsschlusses eindeutig zu erkennen ist, dass für den Verbraucher ein bestimmter Zeitpunkt für die Bereitstellung von wesentlicher Bedeutung ist, und der Unternehmer es versäumt, die digitalen Inhalte oder Dienstleistungen bis zu oder zu diesem Zeitpunkt bereitzustellen. 1976 Bei Vorliegen einer rein datenbasierten Gegenleistung steht dem Verbraucher das Recht auf Vertragsbeendigung, im Umkehrschluss zu Art. 14 Abs. 6 DIRL, unabhängig von der Geringfügigkeit der Vertragswidrigkeit zu. Hierzu EG 67 S. 2 DIRL sowie Mischau, ZEuP 2020, 335, 348. 1977 Hierzu EG 74–77 DIRL. 1978 So sind nach Art. 22 Abs. 1 DIRL Vertragsklauseln, durch welche von nationalen Umsetzungsmaßnahmen der Richtlinie zulasten des Verbrauchers abgewichen wird, diese ausschließen oder deren Wirkungen abändern, bevor der Verbraucher dem Unternehmer die nicht erfolgte Bereitstellung oder die Vertragswidrigkeit zur Kenntnis gebracht hat oder bevor der Unternehmer dem Verbraucher eine nach Art. 19 Abs. 1 DIRL relevante Änderung zur Kenntnis gebracht hat, für den Verbraucher nicht bindend, es sei denn, die Richtlinie bestimmt – wie in Art. 8 Abs. 5 DIRL – etwas anderes. Vertragliche Vereinbarungen, welche zugunsten des Verbrauchers über das Schutzniveau der DIRL hinausgehen, sind nach Art. 22 Abs. 2 DIRL hingegen zulässig.
342
Teil 4: Konsequenzen der rechtlichen Qualifizierung
b) Folgen der Vertragsbeendigung durch den Verbraucher Das Recht auf Vertragsbeendigung wird seitens des Verbrauchers gemäß Art. 15 DIRL mittels einer Erklärung an den Unternehmer ausgeübt, die dessen Entschluss zur Vertragsbeendigung zum Ausdruck bringt. Die Kündigungserklärung wird in der Regel zugleich auch als Erklärung des Widerrufs der Einwilligung seitens des Verbrauchers auszulegen sein.1979 Hierfür spricht, dass in diesem Fall weder eine Pflicht noch ein Interesse des Verbrauchers besteht, dem Anbieter weiterhin eine Verarbeitung seiner personenbezogenen Daten zu gestatten.1980 Hinsichtlich der Rechtsfolgen der Vertragsbeendigung werden dem Verbraucher wie auch dem Unternehmer bei Vorliegen eines rein datengetriebenen Austauschgeschäfts dieselben Pflichten auferlegt wie im Rahmen der VerbRRL n. F.1981 So sind seitens des Unternehmers im Fall der Beendigung des Vertrags nach Art. 16 Abs. 2 DIRL die gemäß der DSGVO geltenden Verpflichtungen einzuhalten.1982 Der Verbraucher hat dagegen nach Art. 17 Abs. 1 DIRL nach Beendigung des Vertrags die Nutzung der digitalen Inhalte bzw. digitalen Dienstleistungen sowie deren Zurverfügungstellung an Dritte zu unterlassen.1983 Somit darf der Unternehmer nach Art. 16 Abs. 5 DIRL jede weitere Nutzung der digitalen Inhalte oder Dienstleistungen durch den Verbraucher unterbinden, worunter insbesondere eine Sperrung des Nutzerkontos sowie des Zugangs des Verbrauchers zu der Anbieterleistung fallen.1984 Eine Wertersatzpflicht des Unternehmers für die kommerzielle Verarbeitung der personenbezogenen Daten des Verbrauchers ist nach der DIRL wie auch bei der VerbRRL n. F. nicht vorgesehen und aufgrund des vollharmonisierenden Charakters der DIRL zu verneinen.1985 Das Schicksal der datenbasierten Leistung und die (datenschutzrechtlichen) Pflichten des Unternehmers bei einer Vertragsbeendigung nach der DIRL gleichen damit den Rechtsfolgen des verbraucherrechtlichen Widerrufs nach der VerbRRL n. F. Die DIRL wie auch die VerbRRL n. F. wagen im Großen und Ganzen damit nur einen zaghaften Schritt im Hinblick auf die zivilrechtliche Behandlung von digitalen Inhalten und Dienstleistungen sowie von personenbezogenen Daten; ein großer Sprung in Richtung eines ausdifferenzierten Datenschuldrechts bleibt vorerst noch aus.1986 De lege lata sind die Folgen von Störungen der datenbasierten Leistung unter Berücksichtigung des datenschutzrechtlichen Rahmens anhand des nationalen Rechts zu bestimmen. 1979 Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 557; Bach, NJW 2019, 1705, 1711; Metzger, AcP 2016, 817, 861, 862. 1980 Ähnlich Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 557, 558. 1981 Siehe oben S. 306 ff. 1982 Hierzu EG 38, 69 DIRL sowie Mischau, ZEuP 2020, 335, 350. 1983 Siehe oben Fn. 1784. 1984 Siehe oben Fn. 1785. 1985 Hierzu oben bei Fn. 1796 sowie bei Fn. 1964. Ebenso Bach, NJW 2019, 1705, 1711. 1986 Zu einer ähnlichen Einschätzung gelangend: Mischau, ZEuP 2020, 335, 365; Sattler, CR 2020, 145, 153, 154; Bach, NJW 2019, 1705, 1711; Ehle / Kreß, CR 2019, 723, 730, 731.
§ 14 Leistungsstörungsrecht
343
c) Umsetzung der DIRL durch den BGB-E aa) Anwendungsbereich und Regelungsinhalt Die DIRL soll, nach dem Gesetzesentwurf der BReg, überwiegend in § 312 Abs. 1, 1a BGB-E, innerhalb eines neuen Titel 2a (Verträge über digitale Produkte) im Allgemeinen Schuldrecht im dritten Abschnitt des BGB in den §§ 327– 327u BGB-E sowie, abhängig von der jeweiligen Anbieterleistung, vereinzelt im Besonderen Teil des Schuldrechts (§§ 445c, 475a, 516a, 548a, 578b, 650 BGB-E), im EGBGB (Art. 229 EGBGB-E) und im UKlaG (§ 2 Abs. 2 S. 1 Nr. 1 lit. c UKlaG-E) verankert werden.1987 In Kraft treten soll das Gesetz zur Umsetzung der DIRL nach Art. 4 des Gesetzesentwurfs am 01. 01. 2022.1988 Eine vertragstypologische Qualifizierung von Verträgen, die von der Richtlinie erfasst werden, ist durch den Umsetzungsentwurf nicht vorgesehen.1989 Von einer vertragstypologischen Einordnung oder einer dogmatischen Konkretisierung der datenbasierten Leistung des Verbrauchers wird ebenfalls abgesehen.1990 So soll es „für die Anwendbarkeit der §§ 312 ff. BGB, wie auch der §§ 327 ff. BGB-E, […] unerheblich [sein], wie die Bereitstellung personenbezogener Daten oder die entsprechende Zusage im Rahmen des Schuldrechts einzuordnen ist, ob es sich hierbei um eine (Gegen-)Leistung handelt und ob diese im Gegenseitigkeitsverhältnis steht oder nicht“.1991 Um den Bedenken des Europäischen Datenschutzbeauftragten im Hinblick auf eine vermeintlich drohende Gleichsetzung der Datenpreisgabe mit einer Geldzahlung Rechnung zu tragen, wird deshalb, wie in der endgültigen Fassung der DIRL, auf die Verwendung des Begriffes der Datenpreisgabe als Gegenleistung verzichtet.1992 § 327 Abs. 1, Abs. 3 BGB-E1993 dient der Umsetzung des Anwendungsbereichs der Richtlinie gemäß Art. 3 Abs. 1 DIRL ins nationale Recht.1994 1987 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 4–23. Einen Überblick über den Umsetzungsentwurf bieten: Kramme, RDi 2021, 20; Kipker / Walkusz, RDi 2021, 30; Sattler, NJW 2020, 3623: Zu § 312a Abs. 1, 2 BGB-E siehe bereits oben bei Fn. 1758–1765. 1988 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 23. 1989 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 25. 1990 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 39, 44, 45. 1991 Ebenda. Hierzu auch Becker, CR 2021, 230, 235; Kramme, RDi 2021, 20, 21. 1992 Ebenda. Hierzu bereits oben bei Fn. 545–550, 1194. 1993 § 327 BGB-E – Anwendungsbereich (1) Die Vorschriften dieses Untertitels sind auf Verbraucherverträge anzuwenden, welche die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen (digitale Produkte) durch den Unternehmer gegen Zahlung eines Preises zum Gegenstand haben. Preis im Sinne dieses Untertitels ist auch eine digitale Darstellung eines Werts. (2) […]. (3) Die Vorschriften dieses Untertitels sind auch auf Verbraucherverträge über die Bereitstellung digitaler Produkte anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich zu deren Bereitstellung verpflichtet, es sei denn, die Voraussetzungen des § 312 Absatz 1a Satz 2 liegen vor. (4)–(6) […]. 1994 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 5, 6, 26, 41.
344
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Der für Verbraucherverträge maßgebliche Untertitel 1 (§§ 327–327u BGB-E) ist, im Gegensatz zu § 312 Abs. 1, Abs. 1a BGB-E, in gegenständlicher Hinsicht auf Verbraucherverträge beschränkt, welche als Unternehmerleistung die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen zum Gegenstand haben.1995 Die in Art. 22 Abs. 1 DIRL vorgesehene Unabdingbarkeit der Bestimmungen der Richtlinie wird durch § 327s BGB-E umgesetzt, welcher die fehlende Abdingbarkeit der Vorschriften von Untertitel 1 sowie ein Umgehungsverbot statuiert.1996 Hinsichtlich der Begriffsbestimmungen, betreffend die Bereitstellung oder die Zusage der Bereitstellung personenbezogener Daten, wird wiederum auf einen Gleichlauf mit der DSGVO verwiesen.1997 Gleich auszulegen wie bei § 312 Abs. 1 BGB-E wird ebenso das Merkmal der Zahlung eines Preises sein.1998 Hinsichtlich der Ausnahme von ausschließlich notwendigen Datenverarbeitungen wird seitens § 327 Abs. 3 Hs. 2 BGB-E demgemäß auf § 312 Abs. 1a S. 2 BGB-E verwiesen.1999 bb) Bedeutung des BGB-E für die datenbasierte Leistung Das seitens der DIRL im Hinblick auf datengetriebene Vertragsverhältnisse vorgesehene Pflichtenprogramm und Gewährleistungsregime wird im Rahmen des Umsetzungsentwurfs in den §§ 327b ff. BGB-E verortet.2000 Der Gesetzesentwurf verankert das Recht des Verbrauchers auf Herstellung des vertragsgemäßen Zustands bei Vertragswidrigkeit nach Art. 14 Abs. 1 Var. 1, Abs. 2, Abs. 3 DIRL in §§ 327i Nr. 1 i. V. m. 327l BGB-E.2001 Die Tatbestände, aus denen sich das Recht des Verbrauchers auf eine Beendigung des Vertrags gemäß Art. 13, 14, 19 DIRL ergibt, werden in den §§ 327c, 327i Nr. 2 Var. 1 i. V. m. 327m sowie 327r BGB-E verortet.2002 Mit § 327i BGB-E wurde hierbei eine Nachbildung von § 437 BGB ver 1995
Vgl. oben bei Fn. 1761. Digitale Inhalte und digitale Dienstleistungen werden dabei unter dem Begriff der digitalen Produkte nach § 327 Abs. 1 BGB-E zusammengefasst. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 4, 41–46. 1996 Hierzu BReg, Gesetzesentwurf zur Umsetzung der DIRL, 16, 17, 92, 93. 1997 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 45. Vgl. hierzu bereits die Ausführungen im Rahmen der VerbRRL n. F. oben bei Fn. 1762–1765. 1998 Vgl. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 42. Siehe oben Fn. 1760. 1999 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 46. Hierzu bereits oben bei Fn. 1762, 1764. 2000 Aufgrund des Untersuchungsgegenstands der vorliegenden Arbeit erfolgt die folgende Darstellung des Gesetzesentwurfs nur überblicksartig und wird auf solche Aspekte beschränkt, welche spezifische Bedeutung für die datenbasierte Leistung und für datengetriebene Vertragsverhältnisse aufweisen. 2001 Vgl. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 10–13, 76, 77. Nach § 327l Abs. 2 BGB-E ist dieser Anspruch ausgeschlossen, wenn eine Nacherfüllung mit unverhältnismäßig hohen Kosten verbunden ist oder infolge Unmöglichkeit nach § 275 Abs. 1 BGB ausgeschlossen ist. § 275 Abs. 2, 3 BGB, sollen, mangels entsprechender Normierung in der DIRL, hingegen keine Anwendung finden. 2002 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 7, 8, 11, 13, 16. Hierzu oben S. 340 f. Zur Vertragsbeendigung nach § 327c BGB-E siehe Kramme, RDi 2021, 20, 23, 24. Zur Änderungsbefugnis des Unternehmers nach § 327r BGB-E siehe Möllnitz, MMR 2021, 116, 117 ff.
§ 14 Leistungsstörungsrecht
345
folgt, welche auch Ansprüche des Verbrauchers auf Schadens- und Aufwendungsersatz miteinbezieht, welche vom Regelungsinhalt der DIRL ausgenommen sind und dem nationalen Recht überlassen wurden.2003 Die Modalitäten der Ausübung des Rechts auf Vertragsbeendigung nach Art. 15 DIRL werden in § 327o Abs. 1 BGB-E umgesetzt.2004 Der Entschluss zur Beendigung des Vertrags muss der Erklärung des Verbrauchers zumindest konkludent zu entnehmen sein; diese bedarf keiner Begründung und ist nicht an eine bestimmte Form gebunden.2005 Die Pflicht des Verbrauchers nach Art. 17 Abs. 1 DIRL, die Nutzung der digitalen Anbieterleistung sowie deren Zurverfügungstellung an Dritte nach Beendigung des Vertrags zu unterlassen, und das Recht des Unternehmers nach Art. 16 Abs. 5 DIRL, jede weitere Nutzung zu unterbinden, werden durch § 327p Abs. 1 BGB-E umgesetzt.2006 Bedeutung für die datenbasierte Leistung weist insbesondere § 327q BGB-E2007 auf, welcher die dem nationalen Recht überlassene Frage regelt, wie sich datenschutzrechtliche Erklärungen des Verbrauchers auf das zugrundeliegende Vertragsverhältnis auswirken.2008 Nach § 327q Abs. 1 BGB-E sollen demnach die Ausübung der Betroffenenrechte der Art. 16 ff. DSGVO sowie die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss – beispielsweise eines Widerrufs der Einwilligung (Art. 7 Abs. 3 DSGVO) oder eines Widerspruchs gegen eine Datenverarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e, f DSGVO (Art. 21 DSGVO) – die Wirksamkeit des Vertrags unberührt lassen.2009 Die Norm soll, ihrem Zweck entsprechend, „damit sicherstellen, dass der Ver 2003
Hierzu oben bei Fn. 1970. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 71; Kramme, RDi 2021, 20, 26. 2004 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 14. 2005 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 82. 2006 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 15, 84. 2007 § 327q BGB-E – Vertragsrechtliche Folgen datenschutzrechtlicher Erklärungen des Verbrauchers (1) Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt. (2) Widerruft der Verbraucher eine von ihm erteilte datenschutzrechtliche Einwilligung oder widerspricht er einer weiteren Verarbeitung seiner personenbezogenen Daten, so kann der Unternehmer einen Vertrag, der ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet, ohne Einhaltung einer Kündigungsfrist kündigen, wenn ihm unter Berücksichtigung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann. (3) Ersatzansprüche des Unternehmers gegen den Verbraucher wegen einer durch die Ausübung von Datenschutzrechten oder die Abgabe datenschutzrechtlicher Erklärungen bewirkten Einschränkung der zulässigen Datenverarbeitung sind ausgeschlossen. 2008 Siehe BReg, Gesetzesentwurf zur Umsetzung der DIRL, 15, 87–89. Zum Meinungsstand zu den Auswirkungen des Widerrufs der Einwilligung auf das zugrundeliegende Verpflichtungsgeschäft siehe oben S. 326 ff. 2009 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 87, 88.
346
Teil 4: Konsequenzen der rechtlichen Qualifizierung
braucher nicht in der Ausübung seiner durch das Datenschutzrecht gewährten Rechte beschränkt wird, indem er in Unsicherheit über das Schicksal des Vertrags gelassen wird“.2010 Als Konsequenz wird daher davon auszugehen sein, dass datenschutzrechtliche Erklärungen des Verbrauchers nicht zur Unwirksamkeit des zugrundeliegenden Verpflichtungsgeschäfts führen sollen. Einschränkend wird in der Begründung zum Gesetzesentwurf hierzu relativierend ausgeführt, dass dies nur „grundsätzlich“ der Fall sein soll.2011 Mithin wird § 327q Abs. 1 BGB-E dahingehend auszulegen sein, dass entscheidend gemäß §§ 133, 157 BGB auf die Umstände im konkreten Einzelfall abzustellen sein wird, ob der Verbraucher bei Ausübung seines Widerrufsrechts oder der Abgabe sonstiger datenschutzrecht licher Erklärungen zugleich auch ein ihm zustehendes Recht auf Vertragsbeendigung ausüben will.2012 Um dem Zweck von § 327q Abs. 1 BGB-E zu entsprechen, wird das Vorliegen einer konkludenten Vertragsbeendigung des Verbrauchers in entsprechenden Konstellationen folglich nur bei konkreten Anhaltspunkten und nicht im Regelfall angenommen werden können. Erschwert wird hierdurch auch die Annahme einer – nach hier vertretener Auffassung grundsätzlich abzulehnenden – auflösenden Bedingung nach § 158 Abs. 2 BGB im Widerrufsfall oder das Vorliegen einer Geschäftseinheit nach § 139 BGB.2013 § 327q Abs. 2 BGB-E statuiert daneben ein außerordentliches Kündigungsrecht des Unternehmers im Rahmen von Vertragsverhältnissen, in denen die Bereitstellung digitaler Produkte gemäß § 327b Abs. 5 BGB-E einen Dauerschuldcharakter aufweist, für den Fall, dass der Verbraucher nach Vertragsschluss eine von ihm erteilte datenschutzrechtliche Einwilligung widerruft oder der weiteren Verarbeitung seiner personenbezogenen Daten widerspricht.2014 Ähnlich wie im Rahmen eines Kündigungsrechts nach §§ 314 Abs. 1 BGB oder §§ 581 Abs. 2, 543 Abs. 1, Abs. 2 Nr. 1 BGB wird der Unternehmer in diesen Fällen den Vertrag ohne Einhaltung einer Kündigungsfrist kündigen können, wenn ihm eine Fortführung des Vertragsverhältnisses unter Berücksichtigung der konkreten Umstände des Einzelfalls nicht zugemutet werden kann.2015 Durch § 327q Abs. 3 BGB-E werden schließlich Ersatzansprüche des Unternehmers gegen den Verbraucher wegen einer durch die Ausübung von daten 2010
BReg, Gesetzesentwurf zur Umsetzung der DIRL, 88. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 87. 2012 Eingehend hierzu oben bei Fn. 805–807, 1892. 2013 Hierzu oben S. 327 f., 332 f. 2014 In Konstellationen der nur einmaligen Bereitstellung digitaler Produkte soll dieses Kündigungsrecht dagegen nicht gelten, da hier nur „ein überschaubares Risiko“ seitens des Unternehmers eingegangen wird und es „absehbar und [..] in aller Regel einkalkuliert sein [dürfte]“, dass die datenschutzrechtlichen Rechte ausgeübt werden würden. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 88. 2015 Siehe oben S. 328 ff. Vgl. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 88, wonach in die Abwägung insbesondere einzubeziehen wäre, inwieweit die Datenverarbeitung oder Teile hiervon sich auch auf gesetzliche Erlaubnistatbestände stützen lässt und welche Grenzkosten der Unternehmer für die Bereitstellung seines digitalen Produkts aufzubringen hätte. 2011
§ 14 Leistungsstörungsrecht
347
schutzrechtlichen Betroffenenrechten oder die Abgabe datenschutzrechtlicher Erklärungen bewirkten Einschränkung einer zulässigen Datenverarbeitung ausgeschlossen.2016 Mit dieser Vorschrift wird der Zweck verfolgt, dem Freiwilligkeitspostulat der DSGVO gerecht zu werden, welches durch die Uneinschränkbarkeit des Einwilligungsrechts nach Art. 7 Abs. 3 DSGVO sowie EG 42 S. 5 DSGVO ausgedrückt wird.2017 Ausgeschlossen sind hiernach einer Vertragsstrafe ähnelnde vertragliche Vergütungspflichten, Schadensersatz-, Aufwendungs- und Nutzungsersatzansprüche sowie Ansprüche aus der Geschäftsführung ohne Auftrag und aus dem Bereicherungsrecht.2018 Zutreffenderweise nicht miteinbezogen wurde die Geltendmachung von Zurückbehaltungsrechten des Unternehmers, welche für datengetriebene Vertragsverhältnisse mit kommerzieller Zwecksetzung charakteristisch ist.2019 Zu konstatieren ist, dass der Gesetzesentwurf im Hinblick auf die Behandlung datengetriebener Vertragsverhältnisse einen Schritt in die richtige Richtung bedeutet. Zahlreiche Fragen, betreffend die Qualifizierung der Preisgabe personenbezogener Daten und deren rechtliche Handhabung, wurden hingegen – wie auch im Rahmen der endgültigen Fassung der DIRL – aus rechtspolitischen Gründen wiederum nicht angeschnitten.2020 Teils erhebliche Defizite bestehen aber im Hinblick auf § 327q BGB-E, auf welche hier im Speziellen eingegangen werden soll. cc) Kritik und Modifizierungsbedarf betreffend § 327q BGB-E Es ist bereits zu hinterfragen, ob die Normierung von § 327q Abs. 1 BGB-E und § 327q Abs. 2 BGB-E aus rechtlichen Gesichtspunkten überhaupt notwendig ist. So weist § 327q Abs. 1 BGB-E2021 einerseits einen starren Wortlaut auf, welcher andererseits in der Gesetzesbegründung wieder aufgeweicht wird. Richtigerweise ist die Entschärfung der Vorschrift gerade zur Achtung der Privatautonomie der Verbraucher notwendig, damit die vertragsrechtlichen Folgen der datenschutzrechtlichen Erklärung des Verbrauchers letztendlich auch von dessen Willen und 2016 Zum Meinungsstand und der Befürwortung der Schaffung einer entsprechenden Norm nach hier vertretenem Ansatz siehe oben S. 254 ff. sowie oben bei Fn. 1504. 2017 Vgl. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 87, 89. Hierzu und zu den daraus folgenden Konsequenzen für die Qualifizierung der datenbasierten Leistung siehe oben S. 291 f. 2018 BReg, Gesetzesentwurf zur Umsetzung der DIRL, 88, 89. Unzulässig ist nach § 327s BGBE zudem eine Umgehung von § 327q Abs. 3 BGB-E durch die Vereinbarung einer sonstigen Vergütung für den Unternehmer im Fall einer Einschränkung zulässiger Datenverarbeitungsvorgänge durch die Ausübung von Datenschutzrechten oder der Abgabe datenschutzrechtlicher Erklärungen. 2019 Weiterführend hierzu oben bei Fn. 1642, 1644. 2020 Eingehend hierzu oben bei Fn. 885, 1968 sowie bei Fn. 1989–1992. 2021 § 327q Abs. 1 BGB-E: Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt.
348
Teil 4: Konsequenzen der rechtlichen Qualifizierung
den konkreten Umständen des Einzelfalls abhängig sind.2022 Dem Regelungszweck von § 327q Abs. 1 BGB-E und der Schaffung einer entsprechenden Norm ist grundsätzlich aus Gründen des Verbraucherschutzes zuzustimmen, da hierdurch vermieden wird, dass der Verbraucher bei zweifelhaften Konstellationen automatisch seinen Anspruch auf die Anbieterleistung verliert.2023 Besonders kritikwürdig ist diesbezüglich aber die Begrenzung des sachlichen Anwendungsbereichs von § 327q Abs. 1 BGB-E ausschließlich auf Verträge, welche die Bereitstellung digitaler Produkte durch den Unternehmer zum Gegenstand haben. So ist die Leistung des Unternehmers im Rahmen datengetriebener Verbraucherverträge mit kommerzieller Zwecksetzung gerade nicht auf die Bereitstellung digitaler Produkte beschränkt, sondern kann beliebig ausgestaltet sein.2024 § 327q Abs. 1 BGB-E, welcher einen verallgemeinerungsfähigen Rechtsgedanken für sämtliche datengetriebene Verbraucherverträge enthält, ist hinsichtlich seines Anwendungsbereichs damit zwar für die Umsetzung der DIRL ausreichend, jedoch zu eng gefasst, um die einheitliche Behandlung vergleichbarer datengetriebener Vertragsverhältnisse zu gewährleisten.2025 In Ermangelung einer Modifizierung des sachlichen Anwendungsbereichs von § 327q Abs. 1 BGB-E wird die Vorschrift auf datengetriebene Verbraucherverträge mit andersgearteter Unternehmerleistung daher im Wege der Analogie zu erstrecken sein. Dagegen erscheint § 327q Abs. 2 BGB-E2026 bereits angesichts der Existenz der vergleichbaren Regelung mit allgemeinem Geltungsanspruch in § 314 Abs. 1 BGB sowie der Regelung in §§ 581 Abs. 2, 543 Abs. 1, Abs. 2 Nr. 1 BGB bei Annahme einer pachtvertragsrechtlichen Einordnung überflüssig.2027 Aufgrund des begrenzten Geltungsbereichs der §§ 327 ff. BGB-E hat dies eine unnötige Vermehrung weitestgehend inhaltsgleicher Normen zur Folge. Selbst wenn de lege ferenda eine Qualifizierung der datenbasierten Leistung weiterhin vermieden werden soll, ist ein Mehrwert des § 327q Abs. 2 BGB-E gegenüber einer Anwendung von § 314 Abs. 1 BGB nicht festzustellen, auf welchen gerade außerhalb des Anwendungsbereichs der §§ 327 Abs. 3, 327q Abs. 2 BGB-E regelmäßig abzustellen sein wird. Diese Vorschrift ist aus diesen Gründen redundant und zu streichen. 2022 Zu den Gewährleistungen der Privatautonomie und der hieraus fließenden Vertragsfreiheit, worunter auch die Beendigungsfreiheit bei Rechtsgeschäften fällt, siehe oben bei Fn. 486, 487, 919, 920. 2023 Vgl. oben S. 327 f. 2024 Zur Beliebigkeit der Anbieterleistung siehe oben S. 192 f., 266 ff. 2025 Vgl. oben bei Fn. 2010. 2026 § 327q Abs. 2 BGB-E: Widerruft der Verbraucher eine von ihm erteilte datenschutzrechtliche Einwilligung oder widerspricht er einer weiteren Verarbeitung seiner personenbezogenen Daten, so kann der Unternehmer einen Vertrag, der ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet, ohne Einhaltung einer Kündigungsfrist kündigen, wenn ihm unter Berücksichtigung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann. 2027 Siehe oben S. 328 ff.
§ 15 Schranken der Vertragsfreiheit
349
Im Hinblick auf den Regelungszweck ist § 327q Abs. 3 BGB-E2028 bereits aus Klarstellungsgründen eine Daseinsberechtigung zuzusprechen.2029 Unerwähnt lässt der Gesetzesentwurf diesbezüglich aber die rechtliche Handhabung der fehlenden Erzwingbarkeit der Einwilligungserteilung wie auch der darauf gestützten Datenüberlassung zu kommerziellen Zwecken.2030 Erheblich zu kritisieren ist – wie bei § 327q Abs. 1 BGB-E – der beschränkte Anwendungsbereich der Norm. So beansprucht der in Art. 7 Abs. 3 DSGVO sowie EG 42 S. 5 DSGVO verkörperte Rechtsgedanke nicht nur für Verträge Geltung, welche die Bereitstellung digitaler Produkte zum Vertragsgegenstand haben, sondern universal für sämtliche Verträge und auch im Hinblick auf die Verarbeitung von personenbezogenen Daten natürlicher Personen, welche nicht als Verbraucher zu qualifizieren sind.2031 Auch außerhalb des Anwendungsbereichs der §§ 327 ff. BGB-E dürfen in den Fällen der Verweigerung der Einwilligung und der Ausübung des Widerrufsrechts daher keine Nachteile zulasten des Datensubjekts entstehen.2032 Vom Wortlaut des § 327q Abs. 3 BGB-E werden zudem diejenigen Konstellationen nicht erfasst, in denen der Verbraucher keine datenschutzrechtliche Erklärung abgibt, sondern einfach in Übereinstimmung mit EG 42 S. 5 DSGVO die Erteilung der datenschutzrechtlichen Einwilligung nach Vertragsschluss verweigert oder die Überlassung personenbezogener Daten zu kommerziellen Zwecken – welche nach vorliegend vertretener Ansicht als Leistungspflicht zu qualifizieren ist – in sonstiger Form beeinträchtigt. Wie herausgearbeitet wurde, dürfen auch in diesen Konstellationen den Datensubjekten hieraus keine Nachteile erwachsen.2033 § 327q Abs. 3 BGB-E bedarf daher aus europarechtlichen Gründen zwingend einer Überarbeitung und ist sowohl hinsichtlich seines persönlichen als auch sachlichen Anwendungsbereichs zu erweitern.
§ 15 Schranken der Vertragsfreiheit Die Freiheit, den Inhalt von Verträgen zu bestimmen, wird vor allem durch § 134 BGB und § 138 BGB sowie das Recht der Allgemeinen Geschäftsbedingungen nach den §§ 305 ff. BGB begrenzt.2034 Das AGB-Recht besitzt für datengetriebene Austauschverhältnisse als überwiegend internetbasierte Massengeschäfte dabei 2028 § 327q Abs. 3 BGB-E: Ersatzansprüche des Unternehmers gegen den Verbraucher wegen einer durch die Ausübung von Datenschutzrechten oder die Abgabe datenschutzrechtlicher Erklärungen bewirkten Einschränkung der zulässigen Datenverarbeitung sind ausgeschlossen. 2029 Vgl. oben S. 254 ff. 2030 Zum Meinungsstand und dem vorliegend vertretenen Ansatz siehe oben S. 321 ff. 2031 Vgl. Art. 2 DSGVO und Art. 4 Nr. 1 DSGVO sowie oben S. 119 ff. 2032 Ausführlich hierzu oben S. 254 ff. 2033 Hierzu oben S. 260, 325, 333 f. 2034 Darüber hinaus kommt noch eine Ausübungkontrolle nach § 242 BGB in rechtsmissbräuchlichen Konstellationen in Betracht. Eingehend hierzu Hacker, Datenprivatrecht, 2020, 494 ff., 502.
350
Teil 4: Konsequenzen der rechtlichen Qualifizierung
eine besondere Bedeutung; die Schranken der Vertragsfreiheit nach den §§ 134, 138 BGB sind zudem für Individualvereinbarungen von Relevanz.2035 Der Fokus der folgenden Untersuchung wird auf das Verpflichtungsgeschäft gelegt, welches einem datengetriebenen Austauschverhältnis zugrunde liegt. Im Hinblick auf die Erteilung der datenschutzrechtlichen Einwilligung als verfügungsähnliches Rechtsgeschäft regelt bereits die DSGVO innerhalb ihres Anwendungsbereichs abschließend die Anforderungen an deren Wirksamkeit sowie die Fehlerfolgen.2036
A. Verstoß gegen ein gesetzliches Verbot I. Grundlagen Gemäß § 134 BGB ist ein Rechtsgeschäft, das gegen ein gesetzliches Verbot verstößt, nichtig, wenn sich nicht aus dem Gesetz ein anderes ergibt. § 134 BGB gilt für sämtliche Rechtsgeschäfte und damit auch für das einem datengetriebenen Vertragsverhältnis zugrundeliegende Verpflichtungsgeschäft.2037 Die Rechtsnorm dient der inhaltlichen Kontrolle von Rechtsgeschäften, deren Regelungsinhalt „von einem Satz des positiven Rechts“ missbilligt wird, welcher jedoch keine eigenständigen privatrechtlichen Sanktionen seiner Verletzung enthält.2038 Als Verbots gesetz kommen alle Rechtsnormen i. S. v. Art. 2 EGBGB in Frage, worunter sowohl Gesetze im formellen als auch im materiellen Sinn zu zählen sind, als auch Bestimmungen des Verfassungsrechts und des europäischen Primär- und Sekundärrechts.2039 Voraussetzung für die Qualifizierung europarechtlicher Rechtssätze als Verbotsgesetze ist, „dass die betreffenden Normen konkrete Verbote aussprechen und im Verhältnis zwischen den beteiligten Privatrechtssubjekten unmittelbar anwendbar sind“.2040 Rechtssätze der DSGVO, durch welche unter anderem die Rechtmäßigkeit der Datenverarbeitung im Privatrechtsverkehr geregelt wird, sind nach Art. 288 Abs. 2 AEUV unmittelbar anwendbar und können mithin taugliche 2035 Wurmnest, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 307 BGB, Rn. 8 ff. Vgl. auch Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 14, diesbezüglich auf die Schwierigkeit der Übertragung datenschutzrechtlicher Wertungen in das Zivilrecht hinweisend; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 557; Metzger, AcP 2016, 817, 843, 844. 2036 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 93; Buchner / Kühling, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 7 DSGVO, Rn. 21. 2037 Vgl. Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 45. 2038 Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 134 BGB, Rn. 1–3. Hierzu auch Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 1089. 2039 Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 25; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 1091. 2040 Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 37. Vgl. auch A rmbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 134 BGB, Rn. 37 m. w. N.
§ 15 Schranken der Vertragsfreiheit
351
Verbotsgesetze darstellen.2041 Europäische Richtlinien, welche hingegen gemäß Art. 288 Abs. 3 AEUV grundsätzlich Verbindlichkeit nur hinsichtlich ihres zu erreichenden Ziels besitzen, sind nicht unmittelbar anwendbar und wirken selbst im Fall ihrer unzureichenden Umsetzung nicht direkt im Verhältnis zwischen privat rechtlichen Subjekten.2042 Die Vorgaben der DIRL wie auch der VerbRRL n. F. können damit keine Verbotsgesetze konstituieren. Ob eine verletzte Rechtsnorm als Verbotsgesetz einzuordnen ist und ob aus dem Gesetzesverstoß die Nichtigkeit des Rechtsgeschäfts folgt, ist durch Auslegung der Rechtsnorm zu bestimmen, wobei der Frage besondere Bedeutung zukommt, inwieweit die Norm „nach ihrem Sinn und Zweck den mit dem Rechtsgeschäft angestrebten Erfolg verhindern will oder nicht“.2043 II. Anwendung auf datengetriebene Austauschverhältnisse Für datengetriebene Austauschverhältnisse kann im Ausgangspunkt daraus geschlossen werden, dass datenbasierte Leistungspflichten als unwirksam einzustufen sind, wenn durch deren Vereinbarung der Zweck verfolgt wird, dem Anbieter den Zugriff auf personenbezogene Daten zu verschaffen, welcher Außenstehenden bzw. Nichtberechtigten nach zwingendem Recht verwehrt ist.2044 Dies ist insbesondere bei Vorschriften anzunehmen, welche die Verletzung von Privat- oder Geschäftsgeheimnissen unter Strafe stellen und dem Schutz der informationellen Selbstbestimmung des Datensubjekts oder dritter Personen dienen.2045 Fraglich ist, ob auch die Bestimmungen der DSGVO über die Rechtmäßigkeit der Daten verarbeitung als Verbotsgesetze nach § 134 BGB zu qualifizieren sind.2046 Vor Einführung der DSGVO wurde dies für Teile der datenschutzrechtlichen Straf 2041
Vgl. Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 39; Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 134 BGB, Rn. 37. 2042 EuGH, Urteil vom 05. 10. 2004 – C-397/01 bis C-403/01, juris, Rn. 108, 109; Nettesheim, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union, 71. EL. 2020, Art. 288 AEUV, Rn. 151, 157 ff.; Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 40. 2043 Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 1092. Vgl. auch BGH, Urteil vom 10. 10. 2012 – 2 StR 591/11, juris, Rn. 20; BGH, Urteil vom 19. 01. 1984 – VII ZR 121/83, juris, Rn. 13; OLG Frankfurt, Urteil vom 24. 01. 2018 – 13 U 165/16, juris, Rn. 51; Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 51, 52. 2044 Vgl. Langhanke, Daten als Leistung, 2018, 110, 111. 2045 Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 329 ff. m. w. N. 2046 Dies für das BDSG a. F. unter Geltung der alten Rechtslage befürwortend: BGH, Urteil vom 10. 10. 2012 – 2 StR 591/11, juris, Rn. 19–24; OLG Frankfurt, Urteil vom 24. 01. 2018 – 13 U 165/16, juris, Rn. 43–53; A. A. Hacker, ZfPW 2019, 148, 161, 162; Sack / Seibl, in: Staudinger BGB, Neubearbeitung 2017, § 134 BGB, Rn. 212a m. w. N. zum Meinungsstand unter der früheren Rechtslage. Die Bestimmungen der DSGVO auch unter Berücksichtigung der neuen Rechtslage als Verbotsgesetze qualifizierend: OLG München, Urteil vom 22. 08. 2019 – 23 U 817/18 (unveröffentlicht), auszugsweise einsehbar unter https://romatka.de/olg-muenchen-23-u-81718-zur-ueberlassung-von-kundendaten-beim-verkauf-eines-zeitschriftentitels [zuletzt geprüft am 02. 05. 2021].
352
Teil 4: Konsequenzen der rechtlichen Qualifizierung
und Bußgeldvorschriften nach §§ 43, 44 BDSG a. F. sowie für das grundsätzliche Verbot einer Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt nach §§ 4 Abs. 1, 4a BDSG a. F. angenommen.2047 So sah der BGH in einem Vertrag, der eine Auswertung von Verbindungsdaten natürlicher Personen zum Gegenstand hatte, zu deren Verarbeitung die datenverarbeitende Partei mangels Einwilligung und mangels Bestehens eines gesetzlichen Erlaubnistatbestands nicht befugt war, eine Straftat nach §§ 44 Abs. 1 i. V. m. 43 Abs. 2 Nr. 1 BDSG a. F. und einen Verstoß gegen § 4 Abs. 1 BDSG a. F. begründet.2048 Der für beide Teile als gesetzeswidrig befundene Vertrag und damit sowohl die Verpflichtung zur Auswertung der Verbindungsdaten als auch die Vergütungsverpflichtung der anderen Partei wurden gemäß § 134 BGB als nichtig angesehen.2049 Auch seitens des OLG Frankfurt wurde ein Vertrag, welcher den Verkauf von Internetdomains und der über die Webseiten gesammelten Adressdaten natürlicher Personen vorsah, infolge eines Verstoßes gegen § 28 Abs. 3 S. 1 BDSG a. F. wie auch eines Verstoßes gegen § 7 UWG nach § 134 BGB für nichtig befunden.2050 Mangels wirksamer Einwilligung der betroffenen Datensubjekte in die Verarbeitung der personenbezogenen Daten zu Zwecken des Adresshandels gemäß § 4a Abs. 1 BDSG a. F. war demnach die Datenverarbeitung rechtswidrig erfolgt.2051 Der Verbotsgesetzcharakter der Norm wurde dabei darauf gestützt, dass die Vorschrift die Zulässigkeit einer Datenverarbeitung regelt und „sich konkret gegen eine rechtsgeschäftliche Nutzung von personenbezogenen Daten, nämlich für Zwecke des Adresshandels richtet, soweit eine wirksame Einwilligung des Betroffenen nicht vorliegt“.2052 Diese Rechtsprechung wird sich auf die Bestimmungen der DSGVO, welche nunmehr die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten regeln, größtenteils übertragen lassen.2053 Verträge, die eine Partei als Vertragsgegenstand dazu verpflichten, strafbewehrte Verstöße gegen Art. 83 Abs. 4–6 DSGVO i. V. m. §§ 41–43 BDSG zu begehen, werden demnach grundsätzlich gemäß § 134 BGB als nichtig einzustufen sein.2054 Dass die angeführten Entscheidungen nur Vertragskonstellationen zum Gegenstand hatten, an welchen die betroffenen Datensubjekte nicht unmittelbar beteiligt waren, rechtfertigt keine unterschiedliche Bewertung. Sowohl die rechtswidrige Erhebung von personenbezogenen Daten eines 2047
BGH, Urteil vom 10. 10. 2012 – 2 StR 591/11, juris, Rn. 23; OLG Frankfurt, Urteil vom 24. 01. 2018 – 13 U 165/16, juris, Rn. 42–53. 2048 BGH, Urteil vom 10. 10. 2012 – 2 StR 591/11, juris, Rn. 23. 2049 BGH, Urteil vom 10. 10. 2012 – 2 StR 591/11, juris, Rn. 19, 21–24. 2050 OLG Frankfurt, Urteil vom 24. 01. 2018 – 13 U 165/16, juris, Rn. 42 ff. § 28 Abs. 3 S. 1 BDSG a. F. sah vor, dass die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung grundsätzlich nur zulässig ist, soweit der Betroffene gemäß § 4a Abs. 1 BDSG a. F. eingewilligt hat. 2051 OLG Frankfurt, Urteil vom 24. 01. 2018 – 13 U 165/16, juris, Rn. 44, 46–50. 2052 OLG Frankfurt, Urteil vom 24. 01. 2018 – 13 U 165/16, juris, Rn. 51. 2053 Ebenso OLG München, Urteil vom 22. 08. 2019 – 23 U 817/18 (unveröffentlicht). Hierzu siehe oben Fn. 2046. A. A. Hacker, ZfPW 2019, 148, 161, 162. 2054 Vgl. OLG München, Urteil vom 22. 08. 2019 – 23 U 817/18 (unveröffentlicht). Siehe oben Fn. 2046.
§ 15 Schranken der Vertragsfreiheit
353
Datensubjekts durch den Anbieter als auch deren rechtswidrige Übermittlung an dritte Personen mit Kommerzialisierungsabsicht ist durch das Datenschutzrecht untersagt und nach Art. 83 Abs. 5 lit. b DSGVO bzw. Art. 84 Abs. 1 DSGVO i. V. m. § 42 BDSG zu sanktionieren.2055 Es ist daher nicht von Bedeutung, ob nun das Datensubjekt oder eine dritte Person zu einer rechtswidrigen Datenüberlassung verpflichtet wird. Auch vertragliche Bestimmungen innerhalb datengetriebener Austauschgeschäfte, durch welche datenbasierte Leistungspflichten statuiert oder ausgestaltet werden, sind demgemäß an den Regelungen der DSGVO zu messen. Verbotsgesetzcharakter könnte insbesondere Art. 4 Nr. 11 DSGVO, Art. 5 Abs. 1 lit. b DSGVO i. V. m. Art. 6 Abs. 1 lit. a DSGVO sowie Art. 7 Abs. 2–4 DSGVO i. V. m. EG 42 S. 5, 43 DSGVO zukommen, welche die Wirksamkeit der datenschutzrechtlichen Einwilligung und die Rechtmäßigkeit der Verarbeitung personenbezogener Daten regeln. Diese Rechtsnormen weisen einen zwingenden Charakter auf und sind der Dispositionsbefugnis von Privatrechtssubjekten entzogen.2056 Zweck dieser Bestimmungen ist es gerade, die Freiwilligkeit der Einwilligung zu gewährleisten sowie das Recht auf informationelle Selbstbestimmung zu schützen und hiergegen verstoßenden Vereinbarungen die Wirksamkeit zu verwehren.2057 Der diesen Normen zugrundeliegende Rechtsgedanke lässt sich auch auf die schuldrechtliche Ebene übertragen.2058 Entgegen der Auffassung von Hacker werden die zivilrechtlichen Folgen für datengetriebene Austauschverhältnisse auch nicht durch die DSGVO abschließend in Form der Betroffenenrechte nach Art. 15 ff. DSGVO geregelt, welche gerade keine eigenständigen Rechtsfolgen für den Bestand des zugrundeliegenden Verpflichtungsgeschäfts vorsehen.2059 Vertragliche 2055 Nach Art. 83 Abs. 5 lit. b DSGVO sind alle Verstöße gegen die Grundsätze für die Verarbeitung von personenbezogenen Daten bußgeldbewehrt, einschließlich der Bedingungen für die datenschutzrechtliche Einwilligung nach den Art. 5, 6, 7 und 9 DSGVO. Nach § 42 BDSG stehen unter anderem sowohl die unberechtigte Erhebung und Verarbeitung von personenbezogenen Daten (§ 42 Abs. 2 Nr. 1 BDSG) als auch die unberechtigte Datenübermittlung an dritte Personen (§ 42 Abs. 1 Nr. 1 BDSG) – bei Vorliegen weiterer objektiver wie subjektiver Tatbestandselemente – unter Strafe. 2056 Die Unabdingbarkeit der gesetzlichen Regelung stellt ein zwingendes Merkmal von Verbotsgesetzen dar. Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 134 BGB, Rn. 46. Zum zwingenden Charakter der DSGVO: Bundeskartellamt, Beschluss vom 06. 02. 2019 – B6-22/16, Rn. 531; Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 6 DSGVO, Rn. 6. 2057 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 37 ff. Zu den datenschutzrechtlichen Rahmenbedingungen einer einwilligungsbasierten Datenverarbeitung siehe oben S. 129 f., 130 ff., 136 ff., 141 ff. 2058 Ebenso Schur, Die Lizenzierung von Daten, 2020, 213, 214. Vgl. auch Schmidt-Kessel / Grimm, ZfPW 2017, 84, 92; Heckmann / Paschke, in: Ehrmann / Selmayr DSGVO, 2. Aufl. 2018, Art. 7 DSGVO, Rn. 30. Ähnlich Specht, JZ 2017, 763, 768, dabei jedoch auf § 138 BGB abstellend. A. A. Hacker, Datenprivatrecht, 2020, 408, welcher die Wirksamkeitsvoraussetzungen der Einwilligung lediglich als Ordnungsvorschriften einordnet. 2059 A. A. Hacker, ZfPW 2019, 148, 161, 162. Hierzu auch Hacker, Datenprivatrecht, 2020, 400, 401. Zur Grundkonzeption der DSGVO als öffentliches Ordnungsrecht siehe oben bei Fn. 551, 561.
354
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Bestimmungen, durch die das Datensubjekt dazu verpflichtet wird, eine datenbasierte Leistung zu erbringen, die einen Verstoß gegen Regelungen der DSGVO begründen würde, können unter Berücksichtigung des konkreten Verstoßes im Einzelfall daher zur Nichtigkeitsfolge des § 134 BGB führen. Hierunter fallen beispielsweise Vereinbarungen, durch welche das Datensubjekt verpflichtet werden soll, bestimmte personenbezogene Daten aktiv zu überlassen oder deren Erhebung zu dulden, unabhängig davon, ob eine Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO gegeben ist oder eine wirksame Einwilligung besteht.2060 In gravierenden Fällen wird die Unwirksamkeit der datenbasierten Leistungspflichten auch bei Verstößen gegen die Grundsätze der Datenverarbeitung nach Art. 5 Abs. 1 lit. c–f DSGVO anzunehmen sein.2061 Diese sind nicht nur als Programmsätze zu verstehen, sondern stellen verbindliche Regelungen dar, aus denen sich im Einzelfall, bei hinreichender Konkretisierung durch Aufsichtsbehörden, auch die Unzulässigkeit einer Datenverarbeitung ergeben kann.2062 Als zentrale Grundprinzipien der Datenverarbeitung sind Art. 5 DSGVO und dessen Ausprägungen in Art. 25, 32 DSGVO der Dispositionsbefugnis Einzelner entzogen und privatrechtlich nicht abdingbar.2063 Prinzipiell dürfte auch zumindest jede unmittelbare oder mittelbare vertragliche Einschränkung des Widerrufsrechtes als Verstoß gegen Art. 7 Abs. 3 DSGVO nach § 134 BGB als nichtig zu werten sein.2064 Auch ein Verstoß gegen das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO i. V. m. Art. 102 AEUV oder § 19 GWB dürfte zur Nichtigkeit der datenbasierten Leistungspflichten führen.2065 In diesen 2060
Siehe auch unten bei Fn. 2162. Als Konsequenz der Nichtigkeitsfolge des § 134 BGB kann der durch die rechtswidrige Nutzung der erlangten personenbezogenen Daten gewonnene Vermögenswert aufgrund des Fehlens eines Rechtsgrunds bereicherungsrechtlich wieder abzuschöpfen sein. Hierzu unten S. 378 ff. 2061 Konkretisiert wird der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO durch Art. 25 DSGVO, welcher die Maximen des Datenschutzes durch datenschutzfreundliche Voreinstellungen und durch Technikgestaltung normiert. Umfassend hierzu Hacker, Datenprivatrecht, 2020, 289 ff. Der Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f DSGVO wird dagegen durch Art. 32 DSGVO ausgestaltet, welcher Vorgaben zur Gewährleistung der Sicherheit der Datenverarbeitung enthält. Hierzu Voigt, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 5 DSGVO, Rn. 29, 39. 2062 Vgl. Roßnagel, in: NK-Datenschutzrecht, 1. Aufl. 2019, Art. 5 DSGVO, Rn. 22 ff.; Schantz, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 5 DSGVO, Rn. 2–4 m. w. N. Eingehend hierzu Hacker, Datenprivatrecht, 2020, 148–150. Zu einem vergleichbaren Ergebnis im Rahmen einer AGB-rechtliche Inhaltskontrolle kommen Hacker, ZfPW 2019, 148, 188, 191 sowie Wendehorst / Westphalen, NJW 2016, 3745, 3749. 2063 Jandt, in: Kühling / Buchner DSGVO / BDSG, 3. Aufl. 2020, Art. 32 DSGVO, Rn. 39, 40 m. w. N.; Laue, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, Art. 32 DSGVO, Rn. 20. 2064 Ebenso Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 16; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 92. Vgl. auch Westphalen / Wendehorst, BB 2016, 2179, 2184. 2065 Vgl. auch EG 43 S. 1 DSGVO. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 22. Eingehend hierzu oben bei Fn. 794–798.
§ 15 Schranken der Vertragsfreiheit
355
Fällen wird, entgegen der Zweifelsregel von § 134 BGB, nicht von einer Gesamtnichtigkeit des datenbasierten Vertragsverhältnisses als Rechtsgeschäft, sondern nur von einer Teilnichtigkeit auszugehen sein.2066 Vergleichbar zu Fällen des Verstoßes gegen preisrechtliche Verbotsgesetze und des Verstoßes gegen Kopplungsverbote kann zum Schutz von Datensubjekten als Vertragsparteien, welche typischerweise keine Einwirkungsmöglichkeit auf das als Gegenleistung geschuldete Pflichtenprogramm besitzen, erwogen werden, die Nichtigkeitsfolgen auf die unrechtmäßig vom Datensubjekt geforderte Gegenleistungspflicht zu beschränken.2067 Fraglich ist, ob eine kopplungswidrige Pflicht zur Einwilligungserteilung ohne die rechtswidrige Kopplung von datenschutzrechtlicher Einwilligung und Anbieterleistung weiter aufrechterhalten werden und weiterhin als Rechtsgrund für bereits erfolgte Datenverarbeitungsvorgänge dienen könnte. Dementsprechend würde eine vereinbarte Pflicht zur Datenüberlassung zu kommerziellen Zwecken, die – in Widerspruch zur ausbedingten und erteilten Einwilligung – weitaus mehr Datenkategorien als gestattet einbezieht, mit einem rechtmäßigen Umfang fortbestehen. Eine Herabsetzung der datenbasierten Leistungspflichten des Datensubjekts auf ein noch zulässiges Niveau wird in entsprechenden Fällen wegen des hohen Stellenwerts der informationellen Selbstbestimmung und der zwingenden Vorgaben der DSGVO jedoch grundsätzlich kaum zu rechtfertigen oder umzusetzen sein.2068 So müsste in entsprechenden Fällen die datenbasierte Leistung im Hinblick auf kommerzielle Datenüberlassung wie auch geschuldeter Einwilligung auf ein angemessenes Maß reduziert werden, was gerade im sensiblen Bereich der informationellen Selbstbestimmung kaum sachgerecht erscheint und jeglichen Abschreckungseffekt hinsichtlich der Vereinbarung einer rechtswidrigen Datenpreisgabe beseitigen würde.2069 Als Konsequenz wird das datengetriebene Vertragsverhältnis daher grundsätzlich ohne die Verpflichtung des Datensubjekts zur Erbringung der
2066 Vgl. Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 86 ff.; Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 134 BGB, Rn. 122 ff. 2067 Vgl. BGH, Urteil vom 07. 10. 2014 – EnZR 86/13, juris, Rn. 40, 41; BGH, Urteil vom 11. 10. 2007 – VII ZR 25/06, juris, Rn. 14; BGH, Rechtsentscheid vom 11. 01. 1984 – VIII ARZ 13/83, juris, Rn. 11, 22. Umfassend hierzu m. w. N. jeweils: Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 134 BGB, Rn. 65, 124; Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 89. 2068 Hierzu und zum Freiwilligkeitspostulat der DSGVO siehe oben Fn. 2056–2058. Zur Reduzierung der Gegenleistung bei Verstößen gegen Preisvorschriften auf ein noch zulässiges Niveau: BGH, Urteil vom 07. 10. 2014 – EnZR 86/13, juris, Rn. 40; BGH, Urteil vom 11. 10. 2007 – VII ZR 25/06, juris, Rn. 14; BGH, Rechtsentscheid vom 11. 01. 1984 – VIII ARZ 13/83, juris, Rn. 11, 22. 2069 Zur vergleichbaren Interessenlage im Rahmen der Vereinbarung von AGB siehe unten bei Fn. 2200, 2201, 2208. Aufgrund der fehlenden Differenzierung innerhalb der DSGVO – mit Ausnahme von EG 42 S. 3 DSGVO – zwischen einer individualvertraglichen oder einer durch AGB vereinbarten Datenpreisgabe wird hierbei wertungsmäßig grundsätzlich ein Gleichlauf anzunehmen sein.
356
Teil 4: Konsequenzen der rechtlichen Qualifizierung
datenbasierten Leistung aufrecht zu erhalten sein.2070 Entschärfen lässt sich diese Situation dadurch, dass der Anbieter bei entsprechend fortbestehenden Vertragsverhältnissen grundsätzlich zur Kündigung des Vertragsverhältnisses berechtigt sein wird.2071 Dies entspricht auch der gängigen Praxis bei internetbasierten datengetriebenen Austauschgeschäften, wonach – trotz Unwirksamkeit von Klauseln betreffend die Datenverarbeitung zu kommerziellen Zwecken – die Anbieterleistung (beispielsweise der Zugriff auf soziale Netzwerke und soziale Medien oder auf eine App) grundsätzlich weitergenutzt werden kann.2072 Selbst wenn die Anbieter in derartigen Konstellationen nicht – wie üblich – sich bereits in ihren Geschäftsbedingungen ein Recht auf Vertragsanpassung vorbehalten oder das Datensubjekt einer Vertragsänderung zustimmt, wird eine (Änderungs)kündigung des Anbieters nicht dauerhaft ausgeschlossen sein.2073 So sind bei der gebotenen Gesamtwürdi 2070 Ableiten lässt sich dies ebenfalls aus § 326 Abs. 2 Var. 1 BGB. Siehe oben bei Fn. 1961, 1962. Gegen die Annahme einer Teilnichtigkeit wohl Hacker, Datenprivatrecht, 2020, 404–406, welcher dies mit der Gefahr einer bereicherungsrechtlichen Haftung des Datensubjekts begründet. Nach vorliegender Konzeption wäre jedoch lediglich die datenbasierte Leistungspflicht als nichtig anzusehen, womit nur der Rechtsgrund für das Behalten der datenbasierten Gegenleistung entfällt und als Konsequenz allein der Anbieter zur Leistung von Wertersatz verpflichtet ist. Hierzu unten S. 378 ff. 2071 Zu dem Recht auf außerordentliche Kündigung des Anbieters aus §§ 314 BGB, 327q II BGB-E bzw. §§ 581 Abs. 2, 543 BGB siehe oben S. 328 ff. Etabliert hat sich in der Praxis datengetriebener Vertragsverhältnisse, welche insbesondere durch AGB ausgestaltet werden, zudem, dass unwirksame Bestimmungen durch aktualisierte Geschäftsbedingungen im Rahmen einer Vertragsänderung nach § 311 Abs. 1 BGB angepasst werden, denen das Datensubjekt grundsätzlich zustimmen muss. Zur Zulässigkeit AGB-rechtlicher Änderungsklauseln innerhalb von Verträgen: Zschieschack, in: BeckOGK BGB, Stand: 01. 03. 2021, § 307 BGB Änderungs- und Anpassungsklausel, Rn. 1 ff. 2072 Hierzu exemplarisch die Bestimmungen zu Vertragsanpassungen von Facebook und Google. Nach den Nutzungsbedingungen von Facebook sollen Nutzer mindestens 30 Tage vor Inkrafttreten von aktualisierten Nutzungsbedingungen benachrichtigt werden. Ungeachtet einer etwaigen Rechtswidrigkeit der Preisgabe personenbezogener Daten zu kommerziellen Zwecken, soll der Nutzer aber erst danach und nur bei weiterer Inanspruchnahme des sozialen Netzwerks an die aktualisierten Nutzungsbedingungen gebunden sein. Siehe „Facebook, NB, Abschnitt „4.1. Aktualisierung unserer Nutzungsbedingungen“. Eine ähnliche Bestimmung sieht auch Google vor. Hiernach behält sich Google vor, die Nutzungsbedingungen zu ändern und informiert die Nutzer mindestens 15 Tage vor Inkrafttreten der Aktualisierung hierüber. Wenn diese nicht vor Inkrafttreten der Änderungen widersprechen, gelten die geänderten Nutzungsbedingungen als akzeptiert. Falls der Nutzer die Annahme der Änderungen verweigert, finden „die Änderungen im Verhältnis“ zum Nutzer keine Anwendung. Für diesen Fall behält Google sich jedoch das Recht vor, das „Nutzungsverhältnis zu beenden, sofern die weiteren Voraussetzungen für eine Kündigung vorliegen“. Hierzu Google, NB, Abschnitt „Über diese Nutzungsbedingungen“. 2073 Demgemäß schließt auch ein eigenes pflichtwidriges Handeln des kündigenden Anbieters das Vorliegen eines wichtigen Kündigungsgrundes nach § 314 Abs. 1 BGB bzw. §§ 581 Abs. 2, 543 BGB nicht aus. Vgl. Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 314 BGB, Rn. 16; Bieber, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 543 BGB, Rn. 11. Zum Vorrang einer Änderungskündigung nach § 314 Abs. 1 BGB gegenüber § 313 Abs. 1, 3 S. 2 BGB in Fällen, in denen die Störung der Geschäftsgrundlage – hier die Vereinbarung einer rechtswidrigen datenbasierten Gegenleistung – in den Risikobereich einer Partei fällt:
§ 15 Schranken der Vertragsfreiheit
357
gung nach §§ 314 Abs. 1 BGB, 327q II BGB-E bzw. §§ 581 Abs. 2, 543 BGB insbesondere auch Aufwands- und Kostenerwägungen zu berücksichtigen.2074 Dies entspricht auch den Interessen der Datensubjekte, da entsprechende datengetriebene Geschäftsmodelle sich ansonsten auf Dauer nicht wirtschaftlich und rechtmäßig betreiben lassen.2075 Anzunehmen ist dementsprechend, dass mit zunehmender Zeitdauer das Fortbestehen des Vertragsverhältnisses zu unveränderten Konditionen dem Anbieter – abhängig von den Umständen des Einzelfalls – immer weniger zugemutet werden kann.2076
B. Verstoß gegen die guten Sitten Die Nichtigkeit eines datengetriebenen Vertragsverhältnisses kann auch aus § 138 Abs. 1 BGB folgen, wenn dieses einen Verstoß gegen die guten Sitten begründet.2077 Das Verdikt der Sittenwidrigkeit wird nach geltendem Recht anhand einer Gesamtwürdigung des Rechtsgeschäfts unter Berücksichtigung verfassungsrechtlicher wie auch einfachgesetzlicher Vorgaben bestimmt.2078 Insbesondere bei § 138 Abs. 1 BGB als ausfüllungsbedürftiger Generalklausel ist dabei die mittelbare Drittwirkung der Grundrechte zu beachten.2079 Inwieweit ein Rechtsgeschäft gegen die guten Sitten verstößt, ist nach der Rechtsprechung abhängig von dessen „Inhalt oder Gesamtcharakter, der durch umfassende Würdigung von Inhalt, Beweggrund und Zweck zu ermitteln ist“.2080 § 138 Abs. 1 BGB verfolgt damit den Zweck, denjenigen Rechtsgeschäften die Wirksamkeit zu versagen, welche sich „gegen die Rechts- oder Sittlichkeitsordnung“ richten und mit dem ethischen FunBGH, Urteil vom 09. 03. 2010 – VI ZR 52/09, juris, Rn. 24; Martens, in: BeckOGK BGB, Stand: 01. 04. 2021, § 314 BGB, Rn. 71, 71.1, 91–92 m. w. N. zum Meinungsstand betreffend die Zulässigkeit der Änderungskündigung außerhalb des Arbeitsrechts. 2074 Nach der Gesetzesbegründung zu § 314 BGB ist entscheidend, dass dem „kündigenden Teil unter Berücksichtigung aller Umstände des Einzelfalls eine sofortige Beendigung des Vertrags zugebilligt werden muss“, was anhand einer „Abwägung der Interessen beider Vertragsteile“ zu bestimmen ist. BT-Drucks. 14/6040, 177, 178. 2075 Zu den Interessen der Datensubjekte an der Erlangung der Anbieterleistung und des Fehlens eines monetären Entgelts siehe oben S. 179, 181 f. 2076 Vgl. Bieber, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 543 BGB, Rn. 7. 2077 Ausgedrückt werden die guten Sitten nach der Rechtsprechung durch „das Anstandsgefühl aller billig und gerecht Denkenden“. BGH, Urteil vom 16. 07. 2019 – II ZR 426/17, juris, Rn. 24; BGH, Urteil vom 15. 10. 2013 – VI ZR 124/12, juris, Rn. 8; RG, Urteil vom 11. 04. 1901 – VI 443/00, RGZ 48, 114, 14. Vgl. auch Jakl, in: BeckOGK BGB, Stand: 01. 02. 2021, § 138 BGB, Rn. 23–30, wonach die Anstandsformel jedoch zu keiner gewinnbringenden Konkretisierung des Sittenbegriffs führt. 2078 Umfassend hierzu und zur Schwierigkeit der Bestimmung des Inhalts der guten Sitten: Jakl, in: BeckOGK BGB, Stand: 01. 02. 2021, § 138 BGB, Rn. 22 ff., 56 ff., 144 ff.; Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 11 ff., 27 ff. 2079 Jakl, in: BeckOGK BGB, Stand: 01. 02. 2021, § 138 BGB, Rn. 60. 2080 BGH, Urteil vom 16. 07. 2019 – II ZR 426/17, juris, Rn. 24; BGH, Urteil vom 15. 10. 2013 – VI ZR 124/12, juris, Rn. 8.
358
Teil 4: Konsequenzen der rechtlichen Qualifizierung
dament der Rechtsgemeinschaft nicht zu vereinbaren sind.2081 Um die General klausel zu konkretisieren und der Unschärfe des Sittenbegriffs zu begegnen, wird seitens der Rechtswissenschaft versucht, gleichgelagerte Anwendungsfälle zu typisieren oder in Fallgruppen zu systematisieren.2082 Neben der Feststellung der Umstände, welche die Sittenwidrigkeit eines Rechtsgeschäfts in objektiver Hinsicht konstituieren, wird, abhängig vom typisierten Anwendungsfall, darüber hinaus gehend auch eine verwerfliche Gesinnung der Beteiligten gefordert.2083 Maßgeblich für die Beurteilung der Sittenwidrigkeit sind die Umstände zu dem Zeitpunkt, in dem das Rechtsgeschäft vorgenommen wird.2084 Gegenüber den speziell auf AGB zugeschnittenen §§ 307 ff. BGB wie auch der sich auf konkrete Verbotsgesetze beziehenden Regelung des § 134 BGB ist § 138 Abs. 1 BGB subsidiär.2085 Neben den datenschutzrechtlichen Wirksamkeitsanforderungen an die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und der Nichtigkeit hiergegen verstoßender Vereinbarungen nach § 134 BGB sowie der AGB-rechtlichen Inhaltskontrolle wird für die Anwendung von § 138 BGB bei der Vereinbarung einer datenbasierten Leistung, wenn überhaupt, nur in Extremfällen im Rahmen von Individualvereinbarungen ein Anwendungsbereich verbleiben.2086 Liegt eine Sittenwidrigkeit des Rechtsgeschäfts vor, so ist dieses grundsätzlich insgesamt nichtig – ausnahmsweise kann sich die Nichtigkeitsfolge aber auch nur auf einzelne sittenwidrige Abreden beschränken.2087 I. Missbilligung der Kommerzialisierung von Daten Datengetriebene Austauschgeschäfte könnten nach § 138 Abs. 1 BGB sittenwidrig sein, wenn die Zusage der Preisgabe personenbezogener Daten als Gegenleistung einem Lebensbereich zuzuordnen wäre, dessen Kommerzialisierung von der Rechtsordnung missbilligt wird.2088 Hinsichtlich der Vereinbarung einer datenbasierten Leistung könnte eine Ablehnung durch die Rechtsordnung mit der 2081
Mugdan, Die gesamten Materialien zum Bürgerlichen Gesetzbuch für das Deutsche Reich, Neudruck der Ausgabe Berlin 1899, 1979, Band 1 – Einführungsgesetz und Allgemeiner Theil, 725. Umfassend zu den Funktionen des § 138 BGB: Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 1–3. 2082 Vgl. Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 27 ff.; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 1184. Kritisch hierzu: Jakl, in: BeckOGK BGB, Stand: 01. 02. 2021, § 138 BGB, Rn. 112–115. 2083 Jakl, in: BeckOGK BGB, Stand: 01. 02. 2021, § 138 BGB, Rn. 144 ff., Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 129–132 m. w. N. 2084 Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 133. 2085 Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 4, 5; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Aufl. 2016, Rn. 1154. 2086 Ebenso Metzger, AcP 2016, 817, 844. 2087 Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 158, 159, 161. 2088 Zu dieser Fallgruppe siehe Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 127 m. w. N.
§ 15 Schranken der Vertragsfreiheit
359
These erwogen werden, dass durch die Kommerzialisierung von personenbezogenen Daten ein Eingriff in das Recht auf informationelle Selbstbestimmung und in das allgemeine Persönlichkeitsrecht des Datensubjekts stattfindet.2089 Allein deswegen ist jedoch nicht bereits von einer Missbilligung datengetriebener Austauschgeschäfte durch die Rechtsordnung auszugehen.2090 So wird die kommerzielle Verarbeitung von personenbezogenen Daten infolge der Normierung von gesetzlichen wie rechtsgeschäftlichen Erlaubnistatbeständen gemäß Art. 6 Abs. 1 DSGVO nicht nur gebilligt, sondern durch die jüngst erlassenen europäischen Richtlinien der DIRL sowie der VerbRRL n. F. vielmehr als rechtlich zulässig anerkannt und bestätigt.2091 Eine Sittenwidrigkeit allein aufgrund der Vereinbarung einer datenbasierten Leistung ist somit ausgeschlossen. II. Ausnutzen von Vormachtstellungen Im Rahmen datenbasierter Vertragsverhältnisse könnte zudem das Ausnutzen einer Zwangslage des Datensubjekts als Vertragspartei zur Sittenwidrigkeit des Rechtsgeschäfts führen. Ist das Kräftegleichgewicht der Vertragspartner erheblich zugunsten einer Partei verschoben und nutzt diese ihre stärkere Verhandlungsposition dazu aus, überhöhte Gegenleistungen zu verlangen oder „dem allgemeinen Verkehr unbillige, unverhältnismäßige Opfer aufzuerlegen, unbillige und unverhältnismäßige Bedingungen vorzuschreiben“, so können in dieser Weise geschlossene Verträge sittenwidrig sein.2092 Gerade aufgrund der Marktmacht einzelner Konglomerate in Bereichen verschiedener internetbasierter, datengetriebener Geschäftsmodelle wird im Einzelfall von einer Sittenwidrigkeit ausgegangen werden können, wenn die Marktmacht oder Monopolstellung dazu ausgenutzt wird, um sich unbillige Vorteile, wie z. B. eine Datenpreisgabe in nicht mehr hinnehmbarem Umfang oder von besonders persönlichkeitsrelevanter Qualität, zu verschaffen.2093 In solchen Fällen steht der Menschenwürdegehalt der informationellen Selbstbestimmung einer exzessiven Datenpreisgabe entgegen, infolge welcher der Einzelne einer Fremdbestimmung durch andere ausgeliefert wäre.2094 Bei der Begrenzung von Marktmacht konkurriert § 138 Abs. 1 BGB dabei mit § 134 BGB i. V. m. Art. 102 AEUV bzw. § 19 GWB, welche vorrangig zu prüfen sind.2095 2089
Vgl. Langhanke, Daten als Leistung, 2018, 112, 113. Ebenso Langhanke, Daten als Leistung, 2018, 113; Metzger, AcP 2016, 817, 843, 844. 2091 Siehe oben bei Fn. 553, 554. 2092 RG, Urteil vom 08. 01. 1906 – I 320/05, RGZ 62, 264, 266; RG, Urteil vom 05. 07. 1939 – VI 308/38, RGZ 161, 76, 81; Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 86, 87 m. w. N. zu diesen oftmals bei Monopolstellungen bestehenden, ungleich gewichteten Kräfteverhältnissen. 2093 Vgl. Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 87. Ähnlich Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 22. 2094 Siehe oben bei Fn. 432. 2095 Hierzu oben bei Fn. 794–798, 2065. Zum Vorrang von § 134 BGB siehe oben Fn. 2085. 2090
360
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Wird das Datensubjekt unter Verstoß gegen das Kopplungsverbot durch bewusstes Ausnutzen einer Zwangslage zum Vertragsschluss bestimmt, so ergibt sich eine Nichtigkeit des Vertragsverhältnisses in der Regel bereits aus § 134 BGB.2096 Einen Anwendungsbereich könnte § 138 Abs. 1 BGB dagegen in jenen Fällen haben, in denen nach früherer Rechtslage das Kopplungsverbot nach § 28 Abs. 3b BDSG a. F. einschlägig war.2097 III. Missverhältnis zwischen Leistung und Gegenleistung Bei erheblichen Störungen des Äquivalenzverhältnisses kann ein Rechtsgeschäft nach § 138 Abs. 2 BGB wegen Wucher oder nach § 138 Abs. 1 BGB wegen des Vorliegens eines wucherähnlichen Rechtsgeschäfts nichtig sein. Gefordert wird hierfür jeweils ein auffälliges Leistungsmissverhältnis sowie, in subjektiver Hinsicht, im Rahmen von § 138 Abs. 2 BGB ein subjektiver Wuchertatbestand und bei § 138 Abs. 1 BGB eine verwerfliche Gesinnung der begünstigten Vertragspartei.2098 Besteht nicht nur ein auffälliges, sondern ein besonders grobes Missverhältnis, wird seitens der Rechtsprechung die tatsächliche Vermutung des Vorliegens einer verwerflichen Gesinnung aufgestellt, was grundsätzlich bei einer Diskrepanz des Wertes von Leistung und Gegenleistung von etwa 100 % anzunehmen ist.2099 Wird diese Schwelle nicht erreicht, liegt im Rahmen einer überhöhten Gegenleistung nur ein auffälliges Missverhältnis vor, woraus sich durch Hinzutreten weiterer Umstände im Einzelfall die Sittenwidrigkeit des Rechtsgeschäfts ergeben kann.2100 Die Bewertung der jeweils ausgetauschten Leistungen ist anhand ihres jeweiligen objektiven Verkehrswerts vorzunehmen.2101
2096 Siehe oben bei Fn. 2065. Dies übersieht Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 24, welche hierfür auf § 138 BGB abstellt. 2097 So Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 24. Nach § 28 Abs. 3b S. 1 BDSG a. F. durfte der Abschluss eines Vertrags nicht von einer Einwilligung des Betroffenen nach § 28 Abs. 3 S. 1 BDSG a. F. abhängig gemacht werden, wenn dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich war. 2098 Die praktische Bedeutung von § 138 Abs. 2 BGB wird aufgrund der Notwendigkeit einer verwerflichen Gesinnung im Rahmen von § 138 Abs. 1 BGB erheblich eingeschränkt, weshalb folgend nur auf § 138 Abs. 1 BGB eingegangen wird. Hierzu Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 113 ff., 141, 142. 2099 BGH, Beschluss vom 14. 06. 2017 – III ZR 487/16, juris, Rn. 10, 20; BGH, Urteil vom 15. 01. 2016 – V ZR 278/14, juris, Rn. 7, 10; BGH, Urteil vom 24. 01. 2014 – V ZR 249/12, juris, Rn. 6, 8; Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 114–116 m. w. N. 2100 BGH, Beschluss vom 14. 06. 2017 – III ZR 487/16, juris, Rn. 10; BGH, Urteil vom 15. 01. 2016 – V ZR 278/14, juris, Rn. 7; BGH, Urteil vom 24. 01. 2014 – V ZR 249/12, juris, Rn. 5; Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 115. 2101 BGH, Beschluss vom 14. 06. 2017 – III ZR 487/16, juris, Rn. 10; Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 113.
§ 15 Schranken der Vertragsfreiheit
361
Eine Anwendung der Rechtsprechung zu wucherähnlichen Rechtsgeschäften auf datengetriebene Vertragsverhältnisse ist aufgrund der Schwierigkeit der Verkehrswertbestimmung einer datenbasierten Leistung wie auch der schwierigen Bestimmung des Verkehrswerts der hiermit häufig verbundenen internetbasierten Anbieterleistung derzeit noch Hindernissen ausgesetzt.2102 So ist der objektive Nutzungswert von – durch eine datenbasierte Leistung bereitgestellten – kommerzialisierten Daten nicht nur erheblich vom konkreten Verarbeitungskontext und vom Grad der Nutzeridentifikation abhängig, sondern auch von den bereits anbieterseitig vorhandenen Datenbestand über das Datensubjekt.2103 Hinreichend verlässliche Informationen zum objektiven Wert der konkret kommerzialisierten Daten wie auch zu dem der Anbieterleistung werden daher häufig nicht vorhanden sein.2104 Aufgrund des regelmäßig nur geringen Verkehrswerts der Daten wird trotz der geringen Grenzkosten für die Erbringung internetbasierter Massendienstleistungen bei typischen datengetriebenen Geschäftsmodellen regelmäßig kein auffälliges Missverhältnis vorliegen.2105 So kann die Varianz des Datenwerts, abhängig vom konkreten Datensubjekt, zwar erheblich schwanken, jedoch wird der ermittelte Wert in einer Vielzahl der Fälle unter einem Euro liegen.2106 Mangels Feststellbarkeit eines besonders groben Missverhältnisses wird in vielen Fällen daher eine Würdigung sämtlicher Umstände im Einzelfall vorzunehmen sein.2107 Ein auffälliges Missverhältnis wird dabei in Konstellationen angenommen werden können, in denen der Anbieter einen umfangreichen Datenzugriff als Leistung des Datensubjekts einfordert, hinter welchem der Wert der Leistung des Anbieters erheblich zurückbleibt.2108 Relevanz weist dies insbesondere für geringwertige Leistungsgegenstände mit niedrigschwelligem funktionalen Nutzen auf, bei denen, abhängig vom jeweiligen Geschäftsmodell, verschiedene Anhaltspunkte für den monetären Wert bestehen können.2109 Hierunter fallen etwa kostenlose oder niedrig bepreiste Softwareanwendungen für mobile Endgeräte, welche Funktionen 2102 Vgl. Hacker, Datenprivatrecht, 2020, 485; Hacker, ZfPW 2019, 148, 193; Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 191, 202. 2103 Ausführlich zur Wertbestimmung personenbezogener Daten siehe unten S. 386 ff. 2104 Hacker, ZfPW 2019, 148, 193 m. w. N. sowie unten S. 389 ff. 2105 Vgl. Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 181, Fn. 19. Zu den üblicherweise geringen Grenzkosten der Erbringung der Anbieterleistung siehe oben bei Fn. 1039 sowie Fn. 1485. 2106 Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 482 m. w. N.; Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 93. 2107 Siehe oben bei Fn. 2100. 2108 Hacker, Datenprivatrecht, 2020, 487–489; Hacker, ZfPW 2019, 148, 194. 2109 Im Rahmen von Rabatt-Modellen lässt sich hierzu an den Preisrabatt anknüpfen, welcher aufgrund der Preisgabe personenbezogener Daten gewährt wird. Vgl. Hacker, ZfPW 2019, 148, 194. Bei data-on-top-Modellen kann hingegen der Datenwert zu der monetären Gegenleistung hinzugerechnet werden. Bei Freemium-Modellen schließlich kann als Anhaltspunkt der Preis der Premium-Version zugrunde gelegt werden. Zu den einzelnen Geschäftsmodelltypen siehe oben bei Fn. 175–177.
362
Teil 4: Konsequenzen der rechtlichen Qualifizierung
nutzen, die selbst bereits im (kostenlosen) Basisprodukt enthalten sind und sich auf die Anzeige dieser Funktion beschränken (z. B. schlichte Taschenlampen-, Uhrzeit-, Timer-Apps).2110 Auch bei vollkommen datenfinanzierten Geschäftsmodellen wird bei Vereinbarung funktional geringwertiger Anbieterleistungen von einem auffälligen Missverhältnis auszugehen sein, wenn weitere, für das Datensubjekt nachteilige Umstände vorliegen. Berücksichtigung finden könnten hier, neben dem Umfang und der persönlichkeitsrelevanten Eingriffsintensität der vereinbarten Datenverarbeitung, die Offenlegung oder Verschleierung der Datenverarbeitung zu kommerziellen Zwecken sowie etwaige Beeinträchtigungen der Ausübung der datenschutzrechtlichen Befugnisse zulasten des Datensubjekts.2111 Bei datengetriebenen Vertragsverhältnissen wird für das Vorliegen einer verwerflichen Gesinnung als subjektives Element weiter die Schaffung oder das Ausnutzen einer Informationsasymmetrie zulasten des Datensubjekts zu berücksichtigen sein.2112 IV. Konsequenzen der Sittenwidrigkeit Eine Gesamtnichtigkeit des datengetriebenen Vertragsverhältnisses als Rechtsfolge der Sittenwidrigkeit nach § 138 Abs. 1 BGB wird aus den bereits bei § 134 BGB angestellten Erwägungen abzulehnen sein.2113 Liegen die Ursachen der Sittenwidrigkeit ausschließlich in der Forderung einer unangemessenen datenbasierten Gegenleistung begründet, wird eine Beschränkung der Nichtigkeitsfolge auf die datenbasierten Leistungspflichten des Datensubjekts vorzugswürdig sein.2114 Erwogen wird seitens Hacker darüber hinaus, die Unwirksamkeit, analog zur mehrheitlich vertretenen beschränkten Nichtigkeitsfolge bei Dauerschuldverhältnissen, auf den „exzessiven Teil der Datensammlung zu beschränken“, wodurch nur noch die Anbieterleistung „gegen eine auf ein erträgliches Maß reduzierte“ datenbasierte Leistung geschuldet wäre.2115 Hierfür würde sprechen, dass sich damit „eine schwer durchführbare Gesamtrückabwicklung“ vermeiden ließe.2116 Für datengetriebene 2110
Vgl. Hacker, Datenprivatrecht, 2020, 488, 489; Hacker, ZfPW 2019, 148, 194. Ebenda. 2112 Ähnlich Hacker, ZfPW 2019, 148, 193. Anders nunmehr Hacker, Datenprivatrecht, 2020, 484, welcher unter Änderung seiner Auffassung zur Kontrollfestigkeit einer datenbasierten Hauptleistungspflicht sich gegen das Erfordernis des Vorliegens des subjektiven Tatbestandselements ausspricht. 2113 Siehe oben bei Fn. 2066–2070. 2114 Vgl. Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 157–161 m. w. N. zum Meinungsstand, die Möglichkeit einer Teilnichtigkeit im Rahmen von § 138 BGB betreffend. Vgl. hierzu auch die Erwägungen betreffend die Nichtigkeitsfolge von § 134 BGB oben bei Fn. 2069–2076. 2115 Hacker, ZfPW 2019, 148, 195. Ähnlich Hacker, Datenprivatrecht, 2020, 492, nunmehr jedoch im Regelfall von einer Gesamtnichtigkeit ausgehend. Zur beschränkten Nichtigkeitsfolge bei Dauerschuldverhältnissen: Armbrüster, in: Münchener Kommentar zum BGB, 8. Aufl. 2018, § 138 BGB, Rn. 161 m. w. N. 2116 Hacker, ZfPW 2019, 148, 195. 2111
§ 15 Schranken der Vertragsfreiheit
363
Vertragsverhältnisse ist die Übertragung dieser Nichtigkeitsfolge jedoch unpassend und grundsätzlich abzulehnen.2117 In praktischer Hinsicht würde sich wiederum die Frage stellen, inwieweit ein erträgliches Maß an Kommerzialisierung von personenbezogenen Daten im Fall einer geringwertigen Anbieterleistung überhaupt vorliegen könnte oder wie diese zu bestimmen wäre. In Parallelität zu §§ 134, 306 Abs. 1, 2 BGB wird daher das Vertragsverhältnis ohne datenbasierte Gegenleistung fortbestehen, soweit der Anbieter den Vertrag nicht durch Ausübung eines Kündigungsrechts beendet oder eine Anpassung des Vertrags in die Wege leitet.2118
C. Das Recht der Allgemeinen Geschäftsbedingungen I. Anwendbarkeit des AGB-Rechts Wie bereits ausgeführt, sind die seitens der Anbieter von datengetriebenen Geschäftsmodellen stipulierten Nutzungsbedingungen und Datenschutzerklärungen größtenteils als AGB im Sinne der §§ 305 ff. BGB zu qualifizieren.2119 Als AGB zu qualifizieren sind insbesondere Bestimmungen in Geschäftsbedingungen, durch die beim Datensubjekt der Eindruck erweckt wird, es habe die kommerzielle Datenverarbeitung auf Basis der Einwilligung zu dulden oder auf die Nutzung des Dienstes zu verzichten, was gerade ein charakteristisches Merkmal datengetriebener Austauschverhältnisse konstituiert.2120 Im Folgenden werden die Implikationen des AGB-Rechts für datengetriebene Vertragsverhältnisse behandelt, wobei das Augenmerk auf die Zulässigkeit von Klauseln gelegt wird, welche die datenbasierten Leistungspflichten betreffen. Keine Anwendung findet das AGBRecht bei Verträgen, welche die in § 310 Abs. 4 BGB aufgeführten Rechtsgebiete betreffen, die aber für datengetriebene Austauschverhältnisse kaum Relevanz aufweisen.2121 Für die Beurteilung von wirksam einbezogenen AGB-Klauseln ist die Inhaltskontrolle durch die §§ 307 ff. BGB grundsätzlich lex specialis gegenüber den allgemeinen Vorschriften der §§ 134, 138 BGB.2122 2117
Hierzu bereits oben bei Fn. 2068, 2069. Siehe oben bei Fn. 2070, 2071 sowie unten bei Fn. 2202, 2208, 2210. 2119 Siehe oben S. 190 f. Zur Auslegung von AGB siehe oben bei Fn. 1027–1030. Umfassend zu der versicherungsrechtlichen Klauselkontrolle innerhalb von Telematik-Tarifen, welche vorliegend nicht weiter behandelt wird: Rudkowski, ZVersWiss 2017, 453, 460 ff., 481 ff.; Brömmelmeyer, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 117, 135 ff.; Schumann, Pay as you drive, 2017, 108 ff. 2120 Siehe oben bei Fn. 1127, 1128, 1526. 2121 Liegen dem Vertragsverhältnis Individualabreden i. S. v. § 305 Abs. 1 S. 3 BGB zugrunde, sind bereits die an das Bestehen von AGB gestellten Anforderungen gemäß § 305 Abs. 1 S. 1 BGB nicht erfüllt. Individuellen Vertragsabreden kommt überdies nach § 305b BGB Vorrang gegenüber AGB zu. Auf Individualabreden sind daher die §§ 134, 138 BGB anzuwenden. Siehe oben bei Fn. 2035. 2122 Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 44; Wurmnest, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 307 BGB, Rn. 8. 2118
364
Teil 4: Konsequenzen der rechtlichen Qualifizierung
II. Einbeziehung von Klauseln in das Vertragsverhältnis Nach § 310 Abs. 1 S. 1 BGB ist eine Einbeziehungskontrolle nur für AGB vorgesehen, die gegenüber einem Verbraucher verwendet werden sollen. Gemäß § 305 Abs. 2 BGB ist vom Verwender der AGB ausdrücklich auf die vorformulierten Vertragsbedingungen hinzuweisen und der anderen Vertragspartei die Möglichkeit zu verschaffen, zumutbar Kenntnis vom Inhalt der AGB zu nehmen. Die wirksame Einbeziehung ordnungsgemäß bereitgestellter AGB erfordert nach § 305 Abs. 2 BGB a. E. schließlich noch, dass die andere Vertragspartei mit deren Geltung einverstanden ist.2123 Bei Vertragsschlüssen im Internet über eine Plattform oder Webseite des Verwenders kann der Hinweispflicht nach § 305 Abs. 2 Nr. 1 BGB mittels eines gut wahrnehmbaren Hinweises auf die AGB auf der Seite des Internetauftritts des Anbieters genügt werden, auf welcher der Vertragsschluss angedient wird.2124 Für die Möglichkeit der Kenntnisnahme nach § 305 Abs. 2 Nr. 2 BGB reicht es nach der Rechtsprechung des BGH aus, wenn die AGB „über einen auf der Bestellseite gut sichtbaren Link aufgerufen und ausgedruckt werden können“.2125 Das Einverständnis zur Geltung der AGB kann sowohl ausdrücklich, z. B. durch Markierung einer „Checkbox“, als auch konkludent erklärt werden.2126 Nach dem BGH kann dabei grundsätzlich davon ausgegangen werden, dass Verbraucher, die Rechtsgeschäfte im Internet eingehen, Kenntnis von den generellen Gepflogenheiten im Internet, wie der Verwendung von Links, besitzen und damit umgehen können.2127 Scheitert die Einbeziehung der AGB ganz oder teilweise, so bleibt der Vertrag in der Regel nach § 306 Abs. 1 BGB im Übrigen wirksam, soweit nicht die Voraussetzungen nach § 306 Abs. 3 BGB vorliegen.
2123 Von einer umfassenden Darstellung der Besonderheiten des AGB-Rechts in Bezug auf die Einbeziehung von oft überfrachteten Nutzungsbedingungen und Datenschutzerklärungen wird aufgrund des Fehlens einer spezifischen Relevanz für datengetriebene Vertragsverhältnisse abgesehen. Eingehend zu den Besonderheiten der Einbeziehung von AGB bei elektronischen Medien: Schuster, in: Spindler / Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 305 BGB, Rn. 32 ff.; Lehmann-Richter, in: BeckOGK BGB, Stand: 01. 03. 2021, § 305 BGB, Rn. 256–258 m. w. N. 2124 BGH, Urteil vom 14. 06. 2006 – I ZR 75/03, juris, Rn. 16, welches die Anforderungen von § 305 Abs. 2 Nr. 1 BGB in dieser Konstellation stillschweigend als erfüllt erachtet. LehmannRichter, in: BeckOGK BGB, Stand: 01. 03. 2021, § 305 BGB, Rn. 246, 256. 2125 BGH, Urteil vom 14. 06. 2006 – I ZR 75/03, juris, Rn. 16. 2126 OLG Köln, Urteil vom 12. 06. 2013 – 5 U 46/12, juris, Rn. 144; Lehmann-Richter, in: BeckOGK BGB, Stand: 01. 03. 2021, § 305 BGB, Rn. 245–247. 2127 BGH, Urteil vom 14. 06. 2006 – I ZR 75/03, juris, Rn. 16.
§ 15 Schranken der Vertragsfreiheit
365
III. Überraschende und mehrdeutige Klauseln Nicht Vertragsbestandteil werden gemäß § 305c Abs. 1 BGB in AGB enthaltene Bestimmungen, die nach den Umständen, insbesondere nach dem äußeren Erscheinungsbild des Vertrags, so ungewöhnlich sind, dass der Vertragspartner des Verwenders mit ihnen nicht zu rechnen braucht. Inwieweit eine Klausel als ungewöhnlich einzustufen sein wird, ist anhand der „Erkenntnismöglichkeiten des für derartige Verträge in Betracht kommenden Personenkreises“ zu bestimmen.2128 Die Klausel muss folglich Regelungen beinhalten, mit denen die andere Vertragspartei, unter Berücksichtigung der Gewohnheiten des jeweiligen Verkehrskreises wie auch der individuellen Umstände des Vertragsschlusses, vernünftigerweise nicht rechnen musste.2129 Den Überraschungscharakter kann eine ungewöhnliche Klausel „verlieren, wenn der Verwender durch einen eindeutigen Hinweis auf sie aufmerksam macht“ oder die Klausel „inhaltlich ohne weiteres verständlich und drucktechnisch so hervorgehoben ist, dass erwartet werden kann, der Gegner des Verwenders werde von ihr Kenntnis nehmen“.2130 Bei datengetriebenen Austauschverhältnissen wird insbesondere die Vereinbarung der datenbasierten Leistung durch die Verwendung von AGB an § 305c Abs. 1 BGB zu messen sein. Das Überraschungsverbot ist auch auf deklaratorische Klauseln und nach § 307 Abs. 3 S. 1 BGB auf von der Inhaltskontrolle ausgenommene Klauseln anzuwenden, welche die vertraglichen Leistungspflichten festlegen.2131 Ebenso gilt dies für vorformulierte datenschutzrechtliche Einwilligungserklärungen in AGB.2132 Infolge der Etablierung datengetriebener Austauschgeschäfte in Wirtschaft und Gesellschaft wird hinsichtlich der Statuierung von typischen datenbasierten Leistungspflichten wie auch der Erteilung der datenschutzrechtlichen Einwilligung davon auszugehen sein, dass entsprechende Klauseln grundsätzlich nicht gegen § 305c Abs. 1 BGB verstoßen.2133 Ausnahmsweise können diese dennoch überraschend sein, wenn die Leistungspflichten erheblich hinsichtlich der 2128 BGH, Urteil vom 26. 07. 2012 – VII ZR 262/11, juris, Rn. 10; Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 305c BGB, Rn. 40. Zum Empfängerhorizont im Rahmen der Auslegung von AGB siehe oben bei Fn. 1028. 2129 BGH, Urteil vom 20. 02. 2014 – IX ZR 137/13, juris, Rn. 12; BGH, Urteil vom 26. 07. 2012 – VII ZR 262/11, juris, Rn. 10; BGH, Urteil vom 30. 09. 2009 – IV ZR 47/09, juris, Rn. 13; Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 305c BGB, Rn. 34 ff., 41 ff., 48 m. w. N. 2130 BGH, Urteil vom 20. 02. 2014 – IX ZR 137/13, juris, Rn. 16; Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 305c BGB, Rn. 49–52. 2131 Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 305c BGB, Rn. 18, 26 ff. 2132 Zur Zulässigkeit der inhaltlichen Ausgestaltung und der Erteilung von Einwilligungen in AGB: Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, Rn. 44; Brinkmann, in: BeckOGK BGB, Stand: 15. 03. 2021, § 307 BGB – Datenschutzklausel, Rn. 77. Zu beachten ist dabei, dass Klauseln, welche die Erteilung der Einwilligung betreffen, bereits datenschutzrechtlich wegen Verstoßes gegen das in Art. 7 Abs. 2 DSG-VO normierte Trennungs- und Transparenzgebot unwirksam sein können. Eingehend hierzu oben S. 135 f. 2133 Ebenso Hacker, Datenprivatrecht, 2020, 426; Langhanke, Daten als Leistung, 2018, 205; Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 199.
366
Teil 4: Konsequenzen der rechtlichen Qualifizierung
branchenüblichen Zwecksetzung oder des Umfangs der Datenverarbeitung abweichen und dies nicht oder nicht deutlich hervorgehoben wurde.2134 IV. Kontrollfähigkeit der formularmäßigen Leistungspflichten Ist der Anwendungsbereich der AGB-Kontrolle eröffnet und die als AGB zu qualifizierende Klausel wirksam in den Vertrag einbezogen, so unterliegt diese der Inhaltskontrolle gemäß §§ 307–309 BGB, soweit die betreffende Bestimmung gemäß § 307 Abs. 3 S. 1 BGB kontrollfähig ist. Hierzu ist erforderlich, dass durch die in Frage stehende Bestimmung eine Regelung vereinbart wird, die von bestehenden Rechtsvorschriften abweicht oder diese ergänzt. Ebenfalls sind Leistungsbeschreibungen und Preisvereinbarungen im Hinblick auf die Ausgestaltung von Leistung und Gegenleistung innerhalb von Vertragsverhältnissen einer Inhaltskontrolle entzogen.2135 Jedoch kann eine entsprechende Klausel nach § 307 Abs. 3 S. 2 BGB trotz fehlender Kontrollfähigkeit weiterhin wegen Verstoßes gegen das in § 307 Abs. 1 S. 2 BGB normierte Transparenzgebot unwirksam sein.2136 1. Ergänzung der oder Abweichung von der bestehenden Rechtslage Nach der Rechtsprechung des BGH zur früheren Rechtslage bildeten die Vorschriften des BDSG a. F. „den alleinigen Prüfungsmaßstab für die Frage, ob durch eine solche [klauselbasierte] Einwilligung Regelungen vereinbart worden sind, die i. S. v. § 307 Abs. 3 Satz 1 BGB von Rechtsvorschriften abweichen oder diese ergänzen“.2137 Nach den Erwägungen des BGH wurden demgemäß auf AGB beruhende Einwilligungserklärungen, welche den Wirksamkeitsanforderungen der §§ 4 Abs. 1, 4a Abs. 1 BDSG a. F. genügten, von einer AGB-rechtlichen Inhaltskontrolle ausgenommen, da sie als deklaratorische Klauseln lediglich die geltende Rechtslage abbilden würden.2138 Seitens der Literatur ist diese Ansicht heftiger Kritik ausgesetzt.2139 So sind die Argumente des BGH nur nachvollziehbar, wenn
2134
Vgl. Hacker, ZfPW 2019, 148, 190, 191 m. w. N. Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 174 ff., 184 ff. 2136 Vgl. BGH, Urteil vom 14. 03. 2017 – VI ZR 721/15, juris, Rn. 22. 2137 BGH, Urteil vom 11. 11. 2009 – VIII ZR 12/08, juris, Rn. 16; BGH, Urteil vom 16. 07. 2008 – VIII ZR 348/06, juris, Rn. 15, 19. 2138 BGH, Urteil vom 11. 11. 2009 – VIII ZR 12/08, juris, Rn. 16; BGH, Urteil vom 16. 07. 2008 – VIII ZR 348/06, juris, Rn. 15, 19, 38. Vgl. auch Langhanke, Daten als Leistung, 2018, 208, 209. Zum Begriff der deklaratorischen Klausel siehe Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 178, 179. 2139 Hacker, Datenprivatrecht, 2020, 421, 422; Hacker, ZfPW 2019, 148, 186; Langhanke, Daten als Leistung, 2018, 209; Wendehorst / Westphalen, NJW 2016, 3745, 3748–3750; Nord / Manzel, NJW 2010, 3756, 3757; Hanloser, MMR 2010, 138, 140, 141. 2135
§ 15 Schranken der Vertragsfreiheit
367
es sich um gesetzliche Erlaubnistatbestände für die Datenverarbeitung, wie bei §§ 28, 29 BDSG a. F. oder nunmehr Art. 6 Abs. 1 lit. b–f DSGVO, handeln würde.2140 In diesen Konstellationen geben entsprechende Klauseln in AGB gerade die geltende Rechtslage wieder, indem sie die sich bereits aus dem Gesetz ergebende Zulässigkeit der Datenverarbeitung postulieren.2141 Ergibt sich die Rechtmäßigkeit der Datenverarbeitung in Ermangelung gesetzlicher Legitimierungstatbestände hingegen erst durch die eingeforderte rechtsgeschäftliche Einwilligung, so kann eine hierauf gerichtete Klausel jedoch gar nicht das geltende Recht in Gestalt des grundsätzlichen Verbots der Datenverarbeitung ohne Einwilligungserteilung abbilden.2142 Eine Klausel, welche die Erteilung einer Einwilligung zu kommerziellen Verarbeitungszwecken vorsieht, weicht damit von bestehenden Rechtsvorschriften ab und gibt mitnichten nur die ohnehin bestehende Rechtslage wieder.2143 Bei einem „Vergleich der Rechtslage mit und ohne die Klausel“2144 ist somit ein rechtserhebliches Abweichen von der geltenden Rechtslage anzunehmen. Entsprechend wird in EG 42 S. 3 DSGVO nunmehr auch in Bezug auf vorformulierte Einwilligungserklärungen ausdrücklich auf die Geltung der Richtlinie 93/13/EWG (KlauselRL) verwiesen, welche den §§ 305 ff. BGB zugrunde liegt.2145 Im Ausgangspunkt sind somit auch Klauseln als kontrollfähig einzustufen, welche die Erteilung einer datenschutzrechtlichen Einwilligung zu solchen Verarbeitungszwecken vorsehen, die nicht auf gesetzliche Erlaubnistatbestände gestützt werden können.2146
2140 Vgl. BGH, Urteil vom 11. 11. 2009 – VIII ZR 12/08, juris, Rn. 33; BGH, Urteil vom 16. 07. 2008 – VIII ZR 348/06, juris, Rn. 38, 41 ff.; Langhanke, Daten als Leistung, 2018, 208, 209. 2141 Vgl. Langhanke, Daten als Leistung, 2018, 208, 209. 2142 Langhanke, Daten als Leistung, 2018, 209; Nord / Manzel, NJW 2010, 3756, 3757, welche zutreffend anmerken, dass entsprechende Klauseln vielmehr eine Rechtslage schaffen, die ohne Erteilung der Einwilligung nicht bestehen würde. 2143 Vgl. Langhanke, Daten als Leistung, 2018, 209; Nord / Manzel, NJW 2010, 3756, 3757; Hanloser, MMR 2010, 138, 141. 2144 Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 180. 2145 Ebenso Hacker, Datenprivatrecht, 2020, 421; Hacker, ZfPW 2019, 148, 186. Richtlinie 93/13/EWG vom 05. 04. 1993 über missbräuchliche Klauseln in Verbraucherverträgen ABl. L 95, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:3 1993L0013&from=DE [zuletzt geprüft am 02. 05. 2021]. 2146 Ebenso Hacker, Datenprivatrecht, 2020, 421, 422; Hacker, ZfPW 2019, 148, 186; Langhanke, Daten als Leistung, 2018, 208, 209. Eine Entscheidung des BGH zur geltenden Rechtslage ist noch nicht ergangen, jedoch scheint dieser in einer jüngeren Entscheidung der Einstufung einer datenbasierten Leistung als kontrollfeste Leistungsbeschreibung nicht abgeneigt zu sein. Vgl. BGH, Urteil vom 14. 03. 2017 – VI ZR 721/15, juris, Rn. 22.
368
Teil 4: Konsequenzen der rechtlichen Qualifizierung
2. Leistungsbeschreibung und Preisvereinbarung a) Kontrollfestigkeit der datenbasierten Leistungspflichten Zu klären ist des Weiteren, ob durch AGB statuierte datenbasierte Leistungspflichten als Leistungsbeschreibungen bzw. Preisvereinbarungen zu qualifizieren sind, welche nach § 307 Abs. 3 S. 1 BGB der Klauselkontrolle entzogen sind.2147 So unterliegen Klauseln, welche der Ausgestaltung der datenbasierten Leistung dienen, nicht der Inhaltskontrolle, soweit diese unmittelbar „Art, Umfang und Güte der vertraglichen Hauptleistung“ sowie das hierfür zu entrichtende Entgelt bestimmen.2148 Gestützt wird die Kontrollfreiheit auf die Privatautonomie der Vertragsparteien, denen es „im Allgemeinen freigestellt [ist], Leistung und Gegenleistung zu bestimmen“, für deren Überprüfung es regelmäßig auch an einem gesetzlichen Kontrollmaßstab mangeln wird.2149 Kontrollfest sind dementsprechend nur Klauseln, die Regelungen enthalten, die essenziell „das Ob und den Umfang der zu erbringenden Leistungen“ betreffen und „ohne deren Vorliegen mangels Bestimmtheit oder Bestimmbarkeit des wesentlichen Vertragsinhaltes ein wirksamer Vertrag nicht mehr angenommen werden kann“.2150 Seitens der Rechtsprechung wird als Folge im Hinblick auf die Ausgestaltung einer Gegenleistung zwischen einer „kontrollfreie[n] Preisabrede“ und „eine[r] kontrollfähige[n] Preisnebenabrede“ unterschieden.2151 Inwieweit eine Klausel hiernach eine kontrollfähige Regelung enthält, ist durch Auslegung unter Zugrundelegung eines objektiv-generalisierenden Empfängerhorizonts im Rahmen von AGB zu bestimmen.2152 Demnach ist einer Klausel der Inhalt beizumessen, wie diese von verständigen und redlichen Vertragspartnern unter Abwägung der Interessen der regelmäßig beteiligten Verkehrskreise verstanden wird.2153 Eine Inhaltskontrolle von Klauseln, welche die datenbasierten Leistungspflichten im Hinblick auf die kommerzielle Datenverarbeitung bei datengetriebenen Austauschgeschäften festlegen und hinsichtlich ihres Umfangs ausgestalten, wird dem
2147 BT-Drucks. 7/3919, 22. Nicht erörtert wird dies seitens Langhanke, welche gerade von dem Vorliegen einer datenbasierten, synallagmatischen Leistungspflicht ausgeht. Vgl. Langhanke, Daten als Leistung, 2018, 124, 130, 131, 208 ff. 2148 BGH, Urteil vom 29. 01. 2019 – KZR 4/17, juris, Rn. 108; BGH, Urteil vom 05. 10. 2017 – III ZR 56/17, juris, Rn. 15; Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 174–177, 184 ff. 2149 BGH, Urteil vom 05. 10. 2017 – III ZR 56/17, juris, Rn. 15; BGH, Urteil vom 06. 07. 2011 – VIII ZR 293/10, juris, Rn. 16; BGH, Urteil vom 17. 10. 2007 – VIII ZR 251/06, juris, Rn. 12. 2150 Ebenda. 2151 Vgl. BGH, Urteil vom 07. 06. 2011 – XI ZR 388/10, juris, Rn. 9, 19, 20; Jerger, NJW 2019, 3752, 3753; Hacker, ZfPW 2019, 148, 187; Wurmnest, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 307 BGB – Inhaltskontrolle, Rn. 188–190. 2152 Siehe oben Fn. 1028, 1029. Vgl. auch BGH, Urteil vom 05. 10. 2017 – III ZR 56/17, juris, Rn. 16. 2153 Ebenda.
§ 15 Schranken der Vertragsfreiheit
369
entsprechend nach § 307 Abs. 3 S. 1 BGB grundsätzlich ausgeschlossen sein.2154 Typischerweise sind Klauseln, welche die Preisgabe personenbezogener Daten betreffen, in der Praxis in den AGB häufig lediglich deskriptiv ausgestaltet und klassifizieren die Datenpreisgabe durch das Datensubjekt nur selten ausdrücklich als Gegenleistung.2155 Entsprechende Bestimmungen regeln jedoch nicht nur das Ob der kommerziellen Datenverarbeitung auf Basis der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, sondern auch die Formen und Zwecke der Datenverarbeitungen sowie die Arten, Kategorien und Menge der personenbezogenen Daten und legen damit den Umfang der datenbasierten Leistung des Datensubjekts fest.2156 Klauseln, welche die datenbasierte Leistung dementsprechend ausgestalten, legen mithin den Kerninhalt der vertraglichen Hauptleistung des Datensubjekts fest, welche im Synallagma zu der Leistung des Anbieters steht.2157 Unterstrichen wird dies durch den Zweck von § 307 Abs. 3 S. 1 BGB, wonach Hauptleistungspflichten gerade deshalb von einer Inhaltskontrolle auszunehmen sind, damit die Angemessenheit des Leistungsaustausches im Ausgangspunkt aus Effizienzerwägungen den Mechanismen des Marktes unterliegt.2158 Dem ist infolge der wachsenden Bedeutung der Monetarisierung personenbezogener Daten und der Etablierung von Datenmärkten und Strukturen, welche zunehmend die Wertbestimmung personenbezogener Daten ermöglichen, auch im Hinblick auf ausschließlich daten getriebene Austauschgeschäfte beizupflichten.2159 Dieses Ergebnis entspricht zudem Art. 4 Abs. 2 Klausel-RL, welcher durch § 307 Abs. 3 S. 1 BGB umgesetzt wird und vorgibt, dass die Beurteilung der Missbräuchlichkeit der Klauseln weder den Hauptgegenstand des Vertrags noch die Angemessenheit von Leistung und Gegenleistung betrifft. Abzulehnen sind daher auch die Erwägungen von Hacker, bei vollkommen datenfinanzierten Geschäftsmodellen eine teleologische Reduktion von § 307 Abs. 3 S. 1 BGB vorzunehmen und Klauseln, welche eine datenbasierte Leistung statuieren, der Inhaltskontrolle zu unterwerfen.2160 Als an-
2154
Entsprechende Klauseln unterliegen jedoch weiterhin der Transparenzkontrolle nach §§ 307 Abs. 3 S. 2, 307 Abs. 1 S. 2 BGB. Hierzu oben bei Fn. 2136. 2155 Hierzu oben S. 173. 2156 Zur typischen Ausgestaltung der AGB in der Praxis siehe oben S. 166 ff., 172 f. 2157 Im Ausgangspunkt ebenso Hacker, Datenprivatrecht, 2020, 435, 436; Hacker, ZfPW 2019, 148, 186–188. Im Rahmen seines Ansatzes grundsätzlich ebenfalls die Kontrollfestigkeit von Klauseln bejahend, welche die Preisgabe personenbezogener Daten im Rahmen datenfinanzierter Geschäftsmodelle regeln: Hacker, ZfPW 2019, 148, 187, 188. 2158 Wendland, in: Staudinger BGB, Neubearbeitung 2019, § 307 BGB, Rn. 284 m. w. N.; Wurmnest, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 307 BGB – Inhaltskontrolle, Rn. 1. 2159 Eingehend hierzu unten S. 386 ff. 2160 Vgl. Hacker, ZfPW 2019, 148, 188. Neben dem „Fehlen[] eines klaren Preissignals“ wird hierfür angeführt, dass hinsichtlich der Leistungsbeschreibungen innerhalb von AGB nicht von einer „hinreichenden diesbezüglichen Aufmerksamkeit“ der Datensubjekte auszugehen sei. Ausführlich hierzu auch Hacker, Datenprivatrecht, 2020, 67–69, 436 ff. Zur Ablehnung einer entsprechenden Aufweichung des maßgeblichen objektiven Empfängerhorizonts siehe oben S. 182 ff., 203.
370
Teil 4: Konsequenzen der rechtlichen Qualifizierung
gemessene Instrumente zur Inhaltskontrolle der Hauptleistungspflichten bleiben die Generalklauseln der §§ 134, 138, 242 BGB sowie die Transparenzkontrolle nach § 307 Abs. 1 S. 2 BGB weiterhin anwendbar, aus denen sich die Unwirksamkeit kontrollfreier Hauptabreden ergeben kann.2161 Klauseln, welche bezwecken, dem Verwender ein Recht zur kommerziellen Verarbeitung von personenbezogenen Daten ohne Einwilligung auszubedingen und eine kontrollfeste Leistungs beschreibung darstellen, sind daher nicht wegen eines Verstoßes gegen § 307 BGB unwirksam, sondern allein aufgrund eines Verstoßes gegen § 134 BGB i. V. m. Art. 6 Abs. 1 DSGVO.2162 Klauseln, welche das Ob und den Umfang einer Verpflichtung zur Einwilligungserteilung und im Hinblick auf die Datenüberlassung zu kommerziellen Zwecken als datenbasierte Gegenleistung für die Anbieterleistung behandeln, enthalten sowohl Elemente einer Leistungsbeschreibung als auch einer Preisvereinbarung und sind daher von der AGB-rechtlichen Inhaltskontrolle weitestgehend ausgenommen.2163 b) Kontrollfähigkeit ergänzender Regelungen Klauseln, welche nicht unmittelbar den Leistungsgegenstand betreffen, sondern Leistungspflichten zugunsten des Verwenders „einschränken, verändern, ausgestalten oder modifizieren“, sind jedoch weiterhin der Inhaltskontrolle unterworfen.2164 Diese Bestimmungen regeln ergänzend nur die Modalitäten der Leistungserbringung oder beinhalten Leistungsmodifikationen, welche die Haftung, die Gewährleistung oder Einschränkungen der Leistungspflicht zum Gegenstand haben können.2165 Diesen Nebenabreden kann damit mittelbarer Einfluss auf die Leistung und die Gegenleistung zukommen.2166 Relevanz weist dies insbesondere für 2161 Vgl. Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 44; Wurmnest, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, Vor. § 307 BGB, Rn. 8 sowie oben Fn. 2136. 2162 Vgl. KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris Rn. 100 ff., 117–119, welches mangels Einordnung der Preisgabe personenbezogener Daten als Leistungspflicht die Datenschutzerklärung von Google in einem vergleichbaren Fall der AGB-rechtlichen Inhaltskontrolle unterworfen und die Unwirksamkeit entsprechender Klauseln fälschlicherweise auf § 307 Abs. 2 Nr. 1 BGB gestützt hatte. Zur Unwirksamkeit entsprechender Klauseln nach § 134 BGB siehe oben S. 351 ff. 2163 Im Ergebnis ebenso Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 44. A. A. Hacker, ZfPW 2019, 148, 187, 188 sowie Wendehorst / Westphalen, NJW 2016, 3745, 3748, 3749, welche von einer Nebenleistung ausgehen. 2164 BGH, Urteil vom 05. 10. 2017 – III ZR 56/17, juris, Rn. 15, 16; BGH, Urteil vom 06. 07. 2011 – VIII ZR 293/10, juris, Rn. 11, 16. 2165 Vgl. BGH, Urteil vom 05. 10. 2017 – III ZR 56/17, juris, Rn. 15; BGH, Urteil vom 06. 07. 2011 – VIII ZR 293/10, juris, Rn. 11. Eingehend hierzu Jerger, NJW 2019, 3752, 3753; Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 185–186.1. 2166 Vgl. BGH, Urteil vom 05. 10. 2017 – III ZR 56/17, juris, Rn. 15; BGH, Urteil vom 06. 07. 2011 – VIII ZR 293/10, juris, Rn. 16.
§ 15 Schranken der Vertragsfreiheit
371
datengetriebene Geschäftsmodelle auf, welche nicht ausschließlich auf die kommerzielle Überlassung von Daten als Entgelt abstellen, sondern bei denen die klauselbasierte Datenpreisgabe nur die monetäre Gegenleistung modifiziert oder zu dieser hinzutritt.2167 Derartige Klauseln treten als Preisanpassungsklauseln neben die Hauptabrede und unterliegen der Inhaltskontrolle.2168 Gleiches gilt für Klauseln, welche den Ort, die Zeit oder die Qualität der Leistung regeln oder innerhalb von Dauerschuldverhältnissen die Vertragslaufzeit oder Kündigungsmöglichkeiten ausgestalten.2169 Folglich unterliegen in AGB enthaltene Bestimmungen, welche im Hinblick auf die datenbasierte Leistung die Leistungszeit, den Leistungsort, die Qualität und Richtigkeit der zu überlassenden Daten, die Statuierung von Vertragsauflösungsrechten sowie sonstige – die Leistung nur mittelbar betreffende – Regelungen festlegen, der Inhaltskontrolle.2170 Vertragsbedingungen, welche die Überlassung von Daten oder die Erteilung einer Einwilligung vorsehen, sind somit nur kontrollfähig, wenn diese nicht als (Haupt)Leistung des Datensubjekts vereinbart worden sind.2171 Aufgrund der Schwerpunktsetzung der Untersuchung auf Vertragsverhältnisse, bei denen die Datenpreisgabe die Hauptleistung des Datensubjekts darstellt, wird auf die rechtliche Behandlung entsprechender Klauseln nicht weiter eingegangen. Nicht behandelt werden im Folgenden zudem Klauseln, welche keine spezifische Relevanz für die datenbasierten Leistungspflichten aufweisen und maßgeblich von der jeweiligen Anbieterleistung abhängig sind, wie Modifikationen der Haftung des Anbieters oder des Gewährleistungsrechts.2172 V. Inhaltskontrolle ergänzender Regelungen Unterliegt eine einbezogene Klausel der Inhaltskontrolle, ist vorrangig deren mögliche Unwirksamkeit bei Verwendung gegenüber einem Verbraucher anhand der Klauselverbote der §§ 308, 309 BGB zu prüfen, bevor auf die Generalklausel des § 307 Abs. 1 S. 1 BGB abgestellt werden kann.2173 Nach § 307 Abs. 1 S. 1 BGB sind Bestimmungen in AGB unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Konkretisiert wird diese Vorschrift durch § 307 Abs. 2 BGB, wonach eine unangemessene Benachteiligung im Zweifel anzunehmen ist, wenn diese mit dem wesent 2167 Vgl. Hacker, ZfPW 2019, 148, 187. Zu den unter diese Kategorien fallenden datengetriebenen Geschäftsmodellen des Rabattmodells und des Data-on-top-Modells siehe oben Fn. 176, 177. 2168 Weiterführend hierzu Hacker, ZfPW 2019, 148, 187, 190 m. w. N. 2169 Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 185.1 m. w. N. 2170 Zu den einzelnen Aspekten siehe jeweils oben S. 312 ff., 315 ff., 326 f., 328 ff. 2171 Weiterführend hierzu Brinkmann, in: BeckOGK BGB, Stand: 15. 03. 2021, § 307 BGB – Datenschutzklausel, Rn. 35 ff. 2172 Hierzu etwa Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 223, 224. 2173 Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 1.
372
Teil 4: Konsequenzen der rechtlichen Qualifizierung
lichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist (§ 307 Abs. 2 Nr. 1 BGB) oder wesentliche Rechte und Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist (§ 307 Abs. 2 Nr. 2 BGB). Unwirksam werden gemäß § 307 Abs. 2 Nr. 1 BGB im Ausgangspunkt aufgrund der Unvereinbarkeit mit Art. 7 Abs. 3 DSGVO i. V. m. EG 43 S. 2 DSGVO sämtliche Klauseln sein, welche eine unmittelbare oder mittelbare Einschränkung der Ausübung des Widerrufsrechtes oder der Verweigerung der Einwilligungserteilung bewirken würden.2174 Komplett ausgeschlossen werden, unabhängig von den Wertungen von § 309 Nr. 6 und Nr. 7 BGB, insbesondere Klauseln sein, welche in diesen Fällen die Verwirkung einer Vertragsstrafe i. S. v. § 339 BGB vorsehen oder die Vereinbarung eines (pauschalierten) Anspruchs des Verwenders auf Schadens-, Aufwendungs- oder Wertersatz statuieren.2175 Ebenso werden Klauseln, die eine Kopplung der Anbieterleistung an die Gewährung der datenbasierten Leistung nach § 307 Abs. 2 Nr. 1 BGB wegen Unvereinbarkeit mit Art. 7 Abs. 4 DSGVO vorsehen, unwirksam sein, wenn die Kopplung in Ausnahmefällen zu einer tatsächlichen Fremdbestimmung führt.2176 Aufgrund des Wesens der DSGVO als zwingendes Recht ist auch sämtlichen Klauseln gemäß § 307 Abs. 2 Nr. 1 BGB die Wirksamkeit zu versagen, die ein Abweichen von den gesetzlichen Rechtmäßigkeits- und Wirksamkeitsanforderungen in Bezug auf die Verarbeitung personenbezogener Daten bestimmen.2177 Diesbezüglich kann im Gleichlauf zu Individualvereinbarungen auf die Ausführungen zu § 134 BGB verwiesen werden.2178 Auch wird die Statuierung eines einseitigen Kündigungsrechts des Anbieters innerhalb von AGB im Rahmen von § 307 Abs. 2 Nr. 1 BGB anhand der grundlegenden Wertungen von § 314 BGB zu messen sein.2179 Eine Ausgestaltung der formellen und materiellen 2174
Ebenso Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 193; Sattler, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, 2018, 1, 16; Westphalen / Wendehorst, BB 2016, 2179, 2184. 2175 Vgl. BReg, Gesetzesentwurf zur Umsetzung der DIRL, 88, 89; Riehm, in: Pertot / SchmidtKessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 193, 204; Hacker, ZfPW 2019, 148, 191, 192; Westphalen / Wendehorst, BB 2016, 2179, 2184. Siehe auch § 327q Abs. 3 BGB-E. 2176 Siehe oben Fn. 794–798. 2177 Vgl. Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 144. Hierzu oben bei Fn. 2056. 2178 Siehe oben S. 351 ff. Für die Berücksichtigung von zwingendem Recht, welches bereits nach § 134 BGB zur Unwirksamkeit entsprechender Klauseln führt, im Rahmen der Klauselkontrolle nach § 307 Abs. 2 Nr. 1 BGB spricht, dass hierdurch weiterhin eine Verbandsklage nach § 1 UKlaG eröffnet bleibt und damit präventiv die Verwendung der Klausel untersagt werden kann. Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 144 m. w. N. Zur umstrittenen Frage, ob Verbraucherschutzverbände seit Inkrafttreten der DSGVO auf Grundlage des UKlaG befugt sind, datenschutzrechtliche Verstöße zu verfolgen: BGH, EuGHVorlage vom 28. 05. 2020 – I ZR 186/17, juris, Rn. 47 ff. 2179 Entsprechendes wird auf die außerordentlichen Kündigungsrechte nach § 327q Abs. 2 BGB-E sowie §§ 581 Abs. 2, 543 Abs. 1, Abs. 2 Nr. 1 BGB übertragen werden können. Hierzu oben S. 328 ff. sowie oben bei Fn. 2015.
§ 15 Schranken der Vertragsfreiheit
373
Voraussetzungen der Kündigung ist demnach begrenzt zulässig.2180 Die Normierung eines voraussetzungslosen, jederzeitigen Kündigungsrechts des Anbieters verstößt jedoch gegen den zwingenden Kern von § 314 Abs. 1, 2 BGB, wonach eine einseitige Beendigung von Dauerschuldverhältnissen nur bei Unzumutbarkeit der Fortsetzung des Vertragsverhältnisses zulässig ist und dem Vertragspartner grundsätzlich eine Gelegenheit zur Abhilfe gewährt werden muss.2181 Von Relevanz für die datenbasierten Leistungspflichten sind insbesondere Klauseln, welche eine ausdrückliche Verpflichtung zur Überlassung zutreffender Daten vorsehen, worunter als Spezialfall auch Klarnamensklauseln fallen, nach denen die Datensubjekte dazu verpflichtet werden, sich nur unter ihrem richtigen Namen registrieren zu dürfen.2182 In der Regel beziehen sich entsprechende Klauseln lediglich auf einzelne Kategorien personenbezogener Daten, wie Informationen über die Identität des Datensubjekts, und stellen damit eine kontrollfähige Nebenleistungspflicht dar.2183 Inwieweit eine Klausel wirksam vereinbart werden kann, wird nach § 307 Abs. 1, 2 Nr. 1 BGB insbesondere an dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c, 25 Abs. 1 DSGVO sowie nach § 307 Abs. 1 S. 2 BGB an der Transparenz der Klauseln zu messen sein.2184 Genügt die Klausel dem Transparenzgebot, so wird ein Verstoß gegen das Prinzip der Datenminimierung angenommen werden können, wenn die Statuierung einer Pflicht zur Angabe korrekter Daten unter Berücksichtigung des konkreten Verarbeitungszwecks weder geeignet noch erforderlich oder angemessen ist und sich das Ziel der Verarbeitung problemlos mit einer datenschonenderen Alternative wie einer Anonymisierung oder Pseudonymisierung erreichen lässt.2185 Unterstrichen wird dies durch den § 13 Abs. 6 TMG zugrundeliegenden Rechtsgedanken und durch den hohen Stellenwert der informationellen Selbstbestimmung.2186 Gerade im Rahmen datengetriebener Austauschgeschäfte im Internet wird der Angabe richtiger persoDie Kündigung von Dauerschuldverhältnissen aus wichtigem Grund verkörpert dabei einen Rechtsgrundsatz, der „in seinem Kern zwingendes Recht [ist]“ und auch nicht „durch Allgemeine Geschäftsbedingungen […] eingeschränkt werden [kann]“. Siehe BT-Drucks. 14/6040, 176. 2180 Weiterführend Gaier, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 314 BGB, Rn. 5. 2181 Vgl. KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 76, 77; LG Berlin, Urteil vom 19. 11. 2013 – 15 O 402/12, juris, Rn. 32, 33, 114, 115; AG Saarlouis, Urteil vom 01. 04. 2020 – 25 C 1233/19 (12), BeckRS 2020, 19682, Rn. 12–22. 2182 Siehe oben S. 315 ff. sowie oben bei Fn. 1831. 2183 Siehe oben Fn. 1833. 2184 Schantz, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 5 DSGVO, Rn. 25.1; Hacker, ZfPW 2019, 148, 189, 190. Das LG Berlin hatte eine entsprechende Klausel von Facebook, welche die Verpflichtung des Nutzers zur Angabe korrekter persönlicher Informationen vorsah, infolge eines Verstoßes gegen das Transparenzgebot wegen des Fehlens einer klaren Information über die Tragweite der Einwilligungserklärung für unwirksam erklärt. LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 151–154. Bestätigt wurde dies durch KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 241. 2185 Vgl. Schantz, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 5 DSGVO, Rn. 24–26. 2186 Hierzu oben Fn. 1839.
374
Teil 4: Konsequenzen der rechtlichen Qualifizierung
nenbezogener Daten oftmals nur geringe Bedeutung zukommen, solange hierunter nicht die Personalisierung der Werbeschaltung leidet oder das Geschäftsmodell des Anbieters beeinträchtigt wird. Mithin wird für Anbieter datengetriebener Austauschverhältnisse mit kommerzieller Zwecksetzung die Übermittlung des Klarnamens nicht von entscheidender wirtschaftlicher Bedeutung sein, wenn sich die intendierte Wertschöpfung bereits größtenteils durch die automatisierte Analyse des Nutzerverhaltens verwirklichen lässt.2187 In diesen Fällen wird die Angabe des Klarnamens nicht erforderlich sein und kann so zur Unwirksamkeit entsprechender Klauseln gemäß § 307 Abs. 2 Nr. 1 BGB wegen Verstoßes gegen Art. 5 Abs. 1 lit. c DSGVO i. V. m. Art. 25 Abs. 1 DSGVO führen.2188 Die Wirksamkeit von kontrollfesten Klauseln, welche sich auf sämtliche für Kommerzialisierungszwecke zu überlassende Daten beziehen und die Pflicht zur Datenüberlassung als Hauptleistungspflicht konkretisieren, wird dagegen grundlegend an den §§ 134, 138 BGB zu messen sein.2189 VI. Transparenzkontrolle der datenbasierten Leistungspflichten Nach § 307 Abs. 1 S. 2 BGB kann sich eine unangemessene Benachteiligung auch daraus ergeben, dass eine Bestimmung nicht klar und verständlich ist. Das hierin verkörperte Transparenzgebot gilt nach § 307 Abs. 3 S. 2 BGB auch für Klauseln, welche nach § 307 Abs. 3 S. 1 BGB von der Inhaltskontrolle ausgenommen sind. Zweck des Transparenzgebots ist es, die Funktionsfähigkeit des Wettbewerbs durch die Schaffung hinreichender Markttransparenz zu gewährleisten, indem der Verwender von AGB dazu angehalten wird, „die Rechte und Pflichten des Vertragspartners durch eine entsprechende Ausgestaltung und geeignete Formulierung der Vertragsbedingungen durchschaubar, richtig, bestimmt und möglichst klar dar[zu]stellen “.2190 Abzustellen ist für die Prüfung dabei „auf die Erwartungen und Erkenntnismöglichkeiten eines durchschnittlichen Vertragspartners des Verwenders im Zeitpunkt des Vertragsschlusses“.2191 Für die Feststellung einer transparenten Ausgestaltung der Einwilligungserteilung hinsichtlich der Zwecke und des Umfangs der Datenverarbeitung innerhalb von AGB wird seitens der Rechtsprechung in weiten Teilen auf die europäischen Vorgaben des Datenschutzrechts abgestellt.2192 2187 A. A. wohl Caspar, ZRP 2015, 223, 234, 235, der dies aber nicht differenziert oder weiter vertieft. 2188 Ebenso Hacker, ZfPW 2019, 148, 190, 191. 2189 Siehe oben Fn. 1833. 2190 BT-Drucks. 14/6040, 153; BGH, Urteil vom 16. 03. 2018 – V ZR 306/16, juris, Rn. 15; Eckelt, in: BeckOGK BGB, Stand: 01. 09. 2020, § 307 BGB – Inhaltskontrolle, Rn. 123–125. 2191 BGH, Urteil vom 29. 04. 2015 – VIII ZR 104/14, juris, Rn. 17; BGH, Urteil vom 16. 03. 2018 – V ZR 306/16, juris, Rn. 15. Allgemein zur Auslegung von AGB siehe oben bei Fn. 1028. 2192 Vgl. BGH, Urteil vom 14. 03. 2017 – VI ZR 721/15, juris, Rn. 24, 25; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 133, 134, 154 ff.; KG Berlin, Urteil vom 22. 09. 2017 – 5 U 155/14, juris, Rn. 107, 130, 133, jeweils noch zur früheren Rechtslage unter der Datenschutz-RL. Ebenso Hacker, ZfPW 2019, 148, 184, 185.
§ 15 Schranken der Vertragsfreiheit
375
Inwieweit eine Klausel der Transparenzkontrolle standhält, ist daher insbesondere an den datenschutzrechtlichen Anforderungen der Informiertheit, der Bestimmtheit und an den Wirksamkeitsvoraussetzungen einer formularmäßigen Erteilung der Einwilligung zu orientieren.2193 Das Datensubjekt sollte nach der Durchsicht der Einwilligungserklärung wissen, von wem welche seiner personenbezogenen Daten zu welchem Zweck sowie für welche Zeitdauer genutzt werden können und ob diese Daten an konkret zu bezeichnende Personen weitergegeben werden dürfen.2194 Klauseln, die lediglich pauschale Einwilligungen für unbestimmte Verarbeitungszwecke vorsehen oder wesentliche Informationen über den Umfang der Datenverarbeitung nicht enthalten, genügen nicht dem Transparenzgebot und sind damit unwirksam.2195 So wurden seitens der Rechtsprechung innerhalb datengetriebener Austauschgeschäfte verschiedene Klauseln für unwirksam erklärt, die hinsichtlich der Datenverarbeitung zu kommerziellen Zwecken nicht transparent ausgestaltet waren, da die Tragweite der zu erteilenden Einwilligung auf Basis der bereitgestellten Informationen nicht zu erkennen war.2196 Bei gestaffelten Klauselwerken mit allgemeinen und zusätzlich sektorspezifischen Nutzungsbedingungen kann eine unübersichtliche Gestaltung konkurrierender Bedingungen darüber hinaus auch zur Unwirksamkeit zentraler Verweisungsklauseln führen, wenn „das durch [die] Verweisung geschaffene Regelwerk“ derart komplex wird, dass dieses „für den Vertragspartner nicht mehr zu durchschauen ist“.2197 Um dem Transparenzgebot zu genügen, sind damit stets konkrete Angaben zu den kommerziellen Verarbeitungszwecken wie auch zu dem Umfang der Datenerhebung und Datenverarbeitung notwendig.2198
2193 Hierzu oben S. 130 ff. Vgl. auch Hacker, ZfPW 2019, 148, 184, 185; Brinkmann, in: BeckOGK BGB, Stand: 15. 03. 2021, § 307 BGB – Datenschutzklausel, Rn. 52 ff.; Ernst, ZD 2017, 110, 113. 2194 Ernst, ZD 2017, 110, 113. 2195 LG Berlin, Urteil vom 19. 11. 2013 – 15 O 402/12, juris, Rn. 95, 96; Hacker, ZfPW 2019, 148, 184, 185; Ernst, ZD 2017, 110, 113. 2196 Vgl. KG Berlin, Urteil vom 20. 12. 2019 – 5 U 9/18, MMR 2020, 239, 241, 242; LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 158; LG Berlin, Urteil vom 19. 11. 2013 – 15 O 402/12, juris, Rn. 69, 70, 95, 96. Hierzu auch Hacker, Datenprivatrecht, 2020, 427. 2197 BGH, Urteil vom 21. 06. 1990 – VII ZR 308/89, juris, Rn. 17, 18; KG Berlin, Urteil vom 21. 03. 2019 – 23 U 268/13, juris, Rn. 98, am Beispiel einer früheren Version der Nutzungsbedingungen von Google; Brinkmann, in: BeckOGK BGB, Stand: 15. 03. 2021, § 307 BGB – Datenschutzklausel, Rn. 59; Ernst, ZD 2017, 110, 113. 2198 Ebenso Hacker, ZfPW 2019, 148, 185, mit weiterführenden Überlegungen zur Anwendung des Transparenzgebots auf Rabattmodelle, wie sie bei Telematik-Tarifen anzutreffen sind, die üblicherweise auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO operieren. Vgl. auch Wendehorst / Westphalen, NJW 2016, 3745, 3748, 3749; Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 191, 203.
376
Teil 4: Konsequenzen der rechtlichen Qualifizierung
VII. Rechtsfolgen und UKlaG Gemäß § 306 Abs. 1 BGB bleibt der Vertrag im Übrigen wirksam, soweit AGB teilweise oder zur Gänze nicht Vertragsbestandteil wurden oder unwirksam sind. Im Ausgangspunkt entfällt durch die Unwirksamkeit von Klauseln, welche die datenbasierten Leistungspflichten ausgestalten, deren rechtsgeschäftliche Grundlage.2199 Die Möglichkeit einer geltungserhaltenden Reduktion einer unwirksamen Klausel durch eine Begrenzung der Unwirksamkeitsfolge auf einen überschießenden Teil oder eine Aufrechterhaltung der Klausel in einem angemessenen Umfang werden von der herrschenden Meinung grundsätzlich abgelehnt.2200 Für den Anwendungsbereich der Klausel-RL wurde das Verbot der geltungserhaltenden Reduktion vom EuGH bestätigt.2201 Die Feststellung der AGB-rechtlichen Unwirksamkeit der Klauseln beseitigt damit die vertragsrechtliche Grundlage der datenbasierten Leistung, was jedoch nicht zur Rechtswidrigkeit der vorgenommenen Datenverarbeitungsvorgänge führen muss.2202 Die Rechtmäßigkeit der Datenverarbeitung ist vielmehr eigenständig anhand der Vorgaben des Datenschutzrechts zu bestimmen, wobei regelmäßig ein Gleichlauf zwischen der datenschutzrecht lichen Rechtswidrigkeit einer Datenverarbeitung und der zivilrechtlichen Unwirksamkeit von Klauseln, die eine entsprechende Datenpreisgabe vorsehen, bestehen wird.2203 Entsteht dadurch, dass die AGB-Klausel nicht Vertragsbestandteil wurde oder unwirksam ist, eine Lücke im Vertrag, so ist diese gemäß § 306 Abs. 2 BGB durch Heranziehung der Regelungen des dispositiven Rechts zu schließen.2204
2199 Vgl. LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 143; Hacker, Datenprivatrecht, 2020, 469; Hacker, ZfPW 2019, 148, 192. Damit entfallen grundsätzlich sowohl der Rechtsgrund für das Behalten der Leistung als auch das Leistensollen und die Durchsetzbarkeit der Leistungspflichten in Form der Möglichkeit der Geltendmachung von Zurückbehaltungsrechten. Hierzu oben S. 252 ff., 265 f. 2200 BGH, Urteil vom 23. 01. 2013 – VIII ZR 80/12, juris, Rn. 25; BGH, Urteil vom 03. 12. 2015 – VII ZR 100/15, juris, Rn. 25; Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 306 BGB, Rn. 30–33; Basedow, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 306 BGB, Rn. 17 m. w. N. 2201 EuGH, Urteil vom 30. 04. 2014 – C-26/13, juris, Rn. 79. 2202 Vgl. LG Berlin, Urteil vom 16. 01. 2018 – 16 O 341/15, juris, Rn. 143; Hacker, Datenprivatrecht, 2020, 469; Hacker, ZfPW 2019, 148, 192. 2203 Zu den seitens der DSGVO durch Art. 6 Abs. 1 DSGVO sowie Art. 9 DSGVO aufgestellten Anforderungen an die Rechtmäßigkeit der Verarbeitung personenbezogener Daten siehe oben S. 126 f., 129 ff., 219 ff. 2204 BGH, Urteil vom 15. 02. 2019 – V ZR 77/18, juris, Rn. 18; BGH, Urteil vom 06. 04. 2016 – VIII ZR 79/15, juris, Rn. 23; Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 306 BGB, Rn. 51 ff.; Langhanke, Daten als Leistung, 2018, 218. Zur europarechtlichen Vereinbarkeit des § 306 Abs. 2 BGB: EuGH, Urteil vom 03. 03. 2020 – C-125/18, juris, Rn. 61, 63; EuGH, Urteil vom 30. 04. 2014 – C-26/13, juris, Rn. 80 ff. Ein Überblick zu der – in Teilen inkonsistenten – Rechtsprechung des EuGH bezüglich der Anwendung dispositiven Rechts zur Lückenfüllung bei unwirksamen AGB findet sich bei Wilfinger, VuR 2021, 18, 19–23 m. w. N.
§ 15 Schranken der Vertragsfreiheit
377
Nach der dispositiven Rechtslage besteht demnach weder eine Pflicht zur Einwilligungserteilung noch eine Pflicht zur kommerziellen Datenüberlassung. Zugleich wird bei der Unwirksamkeit von Klauseln, welche die Einwilligung inhaltlich unzulässig oder intransparent ausgestalten, regelmäßig auch die erteilte Einwilligung infolge einer Unvereinbarkeit mit der DSGVO unwirksam sein. Als Konsequenz des Fehlens einer rechtsgeschäftlichen Grundlage für die kommerzielle Datenverarbeitung stehen dem Datensubjekt im Fall einer dennoch erfolgten Datenverarbeitung bereicherungsrechtliche Ansprüche gegen den Anbieter zu.2205 Aus der etwaigen Unwirksamkeit klauselbasierter Einwilligungen folgt daneben die Rechtswidrigkeit der darauf beruhenden Datenverarbeitungsvorgänge sowie die Möglichkeit der Geltendmachung von Betroffenenrechten nach Art. 15 ff. DSGVO wie auch die Möglichkeit von sonstigen datenschutzrechtlichen Sanktionen, wie Schadensersatzansprüchen oder die Verhängung von Bußgeldern durch Aufsichtsbehörden.2206 Des Weiteren sind Verbandsklagen bei Verwendung oder Empfehlung unwirksamer Klauseln auf Grundlage von § 1 UKlaG gegen den Verwender möglich.2207 Dem Datensubjekt bleiben dagegen grundsätzlich zur Verwirklichung des Sanktionszwecks des AGB-Rechts die Vorteile erhalten, welche es durch die Eingehung des Vertrags erlangt hat.2208 Hierin eine unzumutbare Härte für den Anbieter zu sehen, woraus sich nach § 306 Abs. 3 BGB eine auf den gesamten Vertrag durchschlagende Unwirksamkeit ergeben könnte, wird bei datengetriebenen Austauschverhältnissen aber nur in seltenen Fällen anzunehmen sein. Der Verlust der datenbasierten Gegenleistung wird angesichts der geringen Grenzkosten der Anbieterleistung vieler datengetriebener Geschäftsmodelle im Einzelfall nur einen vernachlässigbaren wirtschaftlichen Nachteil verkörpern.2209 Schließlich besteht die Möglichkeit des Anbieters, den Vertrag mit Zustimmung des Nutzers oder bei Vereinbarung eines wirksamen Vertragsänderungsrechts anzupassen sowie das Vertragsverhältnis bei Vorliegen der Voraussetzungen eines außerordentlichen Kündigungsrechts zu beenden.2210
2205
Hierzu unten S. 378 ff. Zu weiteren möglichen Ansprüchen gegen den Verwender siehe Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 306 BGB, Rn. 90; Basedow, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 306 BGB, Rn. 49–51. 2206 Stemmer, in: BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 7 DSGVO, Rn. 93–96; Taeger, in: Taeger / Gabel DSGVO / BDSG, 3. Aufl. 2019, Art. 7 DSGVO, Rn. 138, 141. 2207 BGH, Urteil vom 16. 07. 2008 – VIII ZR 348/06, juris, Rn. 10; Brinkmann, in: BeckOGK BGB, Stand: 15. 03. 2021, § 307 BGB – Datenschutzklausel, Rn. 36; Basedow, in: Münchener Kommentar zum BGB, 8. Aufl. 2019, § 306 BGB, Rn. 48. 2208 Vgl. Hacker, ZfPW 2019, 148, 192. Zum Zweck von § 306 BGB siehe Bonin, in: Beck OGK BGB, Stand: 01. 03. 2021, § 306 BGB, Rn. 2, 3. A. A. nunmehr Hacker, Datenprivatrecht, 2020, 466, 467, welcher einen wirksamen Abschreckungseffekt verneint und sich für eine Gesamtnichtigkeit ausspricht. 2209 Vgl. Bonin, in: BeckOGK BGB, Stand: 01. 03. 2021, § 306 BGB, Rn. 83, 84, zu der Relevanz von wirtschaftlichen Aspekten. Zu den Grenzkosten bei datengetriebenen Austausch geschäften siehe oben bei Fn. 1039 sowie oben Fn. 1485. 2210 Siehe oben S. 328 ff. sowie Fn. 2071.
378
Teil 4: Konsequenzen der rechtlichen Qualifizierung
§ 16 Der Datenwert als ungerechtfertigte Bereicherung Wurden personenbezogene Daten kommerzialisiert und wurde damit eine Wertschöpfung erzielt, stellt sich die Frage, ob sich der durch die Nutzung der erlangten personenbezogenen Daten gewonnene Vermögenswert bereicherungsrechtlich wieder abschöpfen lässt.2211 Für die speziell normierten Ausprägungen des allgemeinen Persönlichkeitsrechts ist ein Bereicherungsausgleich bei Eingriffen in die kommerzialisierbaren Bestandteile des Persönlichkeitsrechts de lege lata bereits anerkannt.2212 Sonstige Folgen im Hinblick auf die datenbasierte Leistung, wie ein Anspruch des Datensubjekts auf Löschung der Daten oder auf das Erlöschen der Einwilligung, sind insbesondere durch das Datenschutzrecht bereits im Rahmen der Art. 7, 15 ff. DSGVO determiniert und werden als bereicherungsrechtlicher Anspruchsinhalt daher nicht weiter behandelt.
A. Kondiktion der datenbasierten Leistung I. Anforderungen der Leistungskondiktion Erfolgten die Datenüberlassung und die Einwilligungserteilung als Leistungen des Datensubjekts zur Erfüllung einer (vermeintlichen) datenbasierten Leistungspflicht, welcher jedoch kein Rechtsgrund zugrunde lag, so kommt eine Leistungskondiktion nach § 812 Abs. 1 S. 1 Alt. 1 BGB in Betracht. Daneben kommt eine Leistungskondiktion nach § 812 Abs. 1 S. 2 Alt. 1 BGB in Frage, wenn der bestehende Rechtsgrund erst später wegfällt. Dem Anbieter wird in diesen Konstellationen durch die Erteilung der Einwilligung und der zurechenbaren Überlassung der personenbezogenen Daten seitens des Datensubjekts auf Grundlage eines datengetriebenen Vertragsverhältnisses als Kausalgeschäft eine faktische und verwertbare Vermögensposition mit den kommerzialisierbaren personenbezogenen Daten verschafft.2213 Die Anforderungen an eine nach § 812 Abs. 1 BGB geforderte Leistung im Sinne einer bewussten und zweckgerichteten Vermehrung fremden Vermögens liegen damit grundsätzlich vor.2214 Die condictio indebiti nach § 812 2211 Abgestellt wird vorliegend auf die Nutzungsmöglichkeit, die sich aus der faktischen Erlangung der überlassenen personenbezogenen Daten als Vermögensposition ergibt. Vgl. Adam, NJW 2020, 2063, 2068, die faktische Zugriffsmöglichkeit auf Daten als Bereicherungsgegenstand in Anlehnung an den Sachbesitz als „Datenbesitz“ bezeichnend. Zu der hier nicht weiter verfolgten Diskussion der Anwendung der Vorschriften über den Besitz auf den Zugriff auf Daten siehe oben Fn. 522. 2212 Umfassend hierzu Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 49 ff. 2213 Eingehend zum vermögensmehrenden Charakter der datenbasierten Leistung siehe oben S. 210 ff. 2214 Vgl. Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 53. Zur Definition des Tatbestandsmerkmals der Leistung innerhalb von § 812 Abs. 1 BGB: BGH, Urteil vom 31. 01. 2018 – VIII ZR 39/17, juris, Rn. 17; BGH, Urteil vom 23. 10. 2003 – IX ZR 270/02, juris,
§ 16 Der Datenwert als ungerechtfertigte Bereicherung
379
Abs. 1 S. 1 Alt. 1 BGB im Rahmen datengetriebener Vertragsverhältnisse wird in den Fällen der fehlenden Geschäftsfähigkeit des Datensubjekts gemäß §§ 105 ff. BGB oder des Vorliegens von Willensmängeln nach §§ 116 ff. BGB bei Vertragsschluss bzw. nach erfolgter Anfechtung sowie nach hier vertretener Auffassung auch bei Verstößen des Anbieters gegen die §§ 134, 138 BGB oder gegen AGBRecht angenommen werden können.2215 Die condictio ob causam finitam gemäß § 812 Abs. 1 S. 2 Alt. 1 BGB liegt hingegen bei Fällen des Erlöschens des Rechtsgrunds ex nunc durch den Eintritt einer auflösenden Bedingung im Rahmen einer konditionalen Verknüpfung2216, der Kündigung des Vertragsverhältnisses einer der Vertragsparteien2217 oder bei Annahme einer Gesamtnichtigkeit von datenschutzrechtlicher Einwilligung und zugrundeliegendem Vertragsverhältnis nach § 139 BGB2218 vor.2219 Grundsätzlich ist eine Kondiktion über § 812 Abs. 1 S. 2 Alt. 1 BGB in der Praxis aber nur selten anzunehmen, da im Rahmen datengetriebener Vertragsverhältnisse typischerweise personenbezogene Daten nicht als Leistung im Voraus für zukünftige Zeiträume, sondern zeitgleich mit Inanspruchnahme der Anbieterleistung überlassen werden.2220
Rn. 14; BGH, Urteil vom 31. 10. 1963 – VII ZR 285/61, juris, Rn. 28; Wendehorst, in: BeckOK BGB, 57. Ed. 2021, § 812 BGB, Rn. 38 ff. 2215 Zu den Rechtsfolgen von §§ 134, 138, 306 BGB siehe oben S. 351 ff., 376 f., 362 f. Vgl. auch Vossler, in: BeckOGK BGB, Stand: 01. 03. 2021, § 134 BGB, Rn. 104; Jakl, in: BeckOGK BGB, Stand: 01. 02. 2021, § 138 BGB, Rn. 650, 651. Aufgrund der Nichtigkeit des Kausalverhältnisses wegen Verstoßes gegen §§ 134, 138 BGB ist die condictio indebiti auch im Rahmen von Leistungen auf eine gesetzes- bzw. sittenwidrige Schuld anzuwenden. Grundsätzlich wird aber allein dem Anbieter – durch die Forderung und Ausbedingung einer entsprechenden datenbasierten Gegenleistung – ein Gesetzes- oder Sittenverstoß anzulasten sein, weswegen auch § 817 S. 2 BGB dem Anspruch aus § 812 Abs. 1 Alt. 1 BGB entgegensteht. Allgemein zur Konkurrenz der §§ 812, 817 BGB und zur Ausdehnung der Kondiktionssperre des § 817 S. 2 BGB auf alle Leistungskondiktionen m. w. N. zum Meinungsstand siehe Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 817 BGB, Rn. 9, 11. 2216 Vgl. BGH, Urteil vom 15. 01. 1959 – VII ZR 15/58, juris, Rn. 19, 21; OLG München, Urteil vom 19. 08. 2010 – 23 U 5399/09, juris, Rn. 19; Buck-Heeb, in: Erman BGB, 16. Aufl. 2020, § 812 BGB, Rn. 48, Wendehorst, in: BeckOK BGB, 57. Ed. 2021, § 812 BGB, Rn. 80. 2217 BGH, Urteil vom 30. 04. 1959 – VIII ZR 174/58, juris, Rn. 26; BGH, Urteil vom 29. 05. 1952 – IV ZR 167/51, juris, Rn. 26; Buck-Heeb, in: Erman BGB, 16. Aufl. 2020, § 812 BGB, Rn. 48. 2218 Vgl. BGH, Urteil vom 08. 10. 1990 – VIII ZR 176/89, juris, Rn. 19; Buck-Heeb, in: Erman BGB, 16. Aufl. 2020, § 812 BGB, Rn. 48; Wendehorst, in: BeckOK BGB, 57. Ed. 2021, § 812 BGB, Rn. 80. 2219 Zu diesen Konstellationen siehe jeweils oben S. 327 ff., 332 f. Eine trotz Wegfalls des ursprünglich bestehenden rechtlichen Grundes erfolgte Leistung ist demnach bereicherungsrechtlich zurückzugewähren. Buck-Heeb, in: Erman BGB, 16. Aufl. 2020, § 812 BGB, Rn. 47; Wendehorst, in: BeckOK BGB, 57. Ed. 2021, § 812 BGB, Rn. 79, 80 m. w. N. 2220 Weiterführend hierzu oben bei Fn. 1424–1426, 1525, 1526. Zum Fortbestand des Kausalgeschäfts als Behaltensgrund für bereits ausgetauschte Leistungen vor Entfallen des Rechtsgrunds siehe oben bei Fn. 1914. Eine Ausnahme hiervon besteht, wenn eine Rückwirkung entsprechend § 159 BGB vereinbart worden ist. Vgl. BGH, Urteil vom 30. 04. 1959 – VIII ZR 174/58, juris, Rn. 19.
380
Teil 4: Konsequenzen der rechtlichen Qualifizierung
II. Anforderungen der Eingriffskondiktion Werden durch den Anbieter, unabhängig vom Bestehen eines Rechtsverhältnisses, die personenbezogenen Daten des Datensubjekts in sonstiger Weise ohne rechtlichen Grund kommerzialisiert, ist auf die Eingriffskondiktion nach § 812 Abs. 1 S. 2 Alt. 2 BGB abzustellen. Die Verarbeitung personenbezogener Daten einer anderen natürlichen Person ohne Existenz eines dies gestattenden Erlaubnis tatbestands wäre folglich als eine ungerechtfertigte Inanspruchnahme fremder Persönlichkeitsgüter zu werten. Für das Recht am eigenen Bild wie auch für das Recht am eigenen Namen sind Eingriffskondiktionen bei rechtswidrigen Eingriffen in die ausschließliche Dispositionsbefugnis des Betroffenen nach geltendem Recht bereits anerkannt.2221 Fraglich ist, inwieweit in der durch die informationelle Selbstbestimmung geschützten Befugnis von Datensubjekten, über die Preisgabe von personenbezogenen Daten zu entscheiden, ebenfalls eine Rechtsposition mit Zuweisungsgehalt zu sehen ist.2222 Dies ist für sonstige Ausprägungen des allgemeinen Persönlichkeitsrechts umstritten.2223 Maßgeblich für die Einordnung ist darauf abzustellen, ob das jeweilige Persönlichkeitsgut einer kommerziellen Verwertung zugänglich ist.2224 Kann das Datensubjekt über die Kommerzialisierung seiner Persönlichkeitsmerkmale in Form der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und der Überlassung personenbezogener Daten bestimmen, so ist es möglich, dies auch abhängig von der Gewährung einer Gegenleistung zu machen.2225 Im Gegensatz zu anderen höchstpersönlichen Rechtsgütern weisen personenbezogene Daten eine besondere Marktfähigkeit auf, welche sich durch die wirtschaftliche Relevanz und Verbreitung datengetriebener Geschäftsmodelle offenbart.2226 Das durch die 2221
Vgl. Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 323 ff. m. w. N. zum Meinungsstand. Zum Schutz vor einer unberechtigten Vereinnahmung der Persönlichkeitsmerkmale durch das allgemeine Persönlichkeitsrecht siehe oben bei Fn. 584–587. 2222 Dies befürwortend: Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 53; Schmidt-Kessel / Grimm, ZfPW 2017, 84, 105. A. A. Zech, CR 2015, 137, 140, dabei jedoch nicht die persönlichkeitsrechtliche Relevanz personenbezogener Daten berücksichtigend. 2223 Ein umfassender Überblick zum Meinungsstand findet sich bei Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 323–325; Wendehorst, in: BeckOK BGB, 57. Ed. 2021, § 812 BGB, Rn. 131 sowie Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 53, Fn. 72. 2224 Ebenso Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 53; SchmidtKessel / Grimm, ZfPW 2017, 84, 105. Vgl. auch Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 325. 2225 So auch Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 53. Vgl. auch Larenz / Canaris, Lehrbuch des Schuldrechts BT II/2, 13. Aufl. 1994, 171, wonach die bereicherungsrechtliche Eingriffskondiktion „den Ausgleich von Vorteilen [bezweckt], deren Erlangung der Inhaber des verletzten Gutes dem Dritten eigentlich nur gegen Entgelt zu gestatten brauchte“. 2226 Eingehend zum Kriterium der Marktfähigkeit oder der terminologisch verwandten Entgeltfähigkeit: Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 63–65, 146 ff., 203, 204; Larenz / Canaris, Lehrbuch des Schuldrechts BT II/2, 13. Aufl. 1994, 172, jeweils m. w. N.
§ 16 Der Datenwert als ungerechtfertigte Bereicherung
381
DSGVO ausgeformte Einwilligungsrecht aus Art. 4 Nr. 11, 6 Abs. 1 lit. a DSGVO ermächtigt das Datensubjekt zu entscheiden, ob es seine personenbezogenen Daten einer dritten Person zur Verwertung überlässt. In Fällen, in denen eine Verarbeitung personenbezogener Daten allein auf Basis der Einwilligung zulässig ist, wie bei rein kommerziellen Zwecken, kommt dem Datensubjekt damit die ausschließliche kommerzielle Verwertungsbefugnis im Hinblick auf die es betreffenden Daten zu.2227 Vergleichbar mit der Rechtsprechung des BGH im Hinblick auf das Recht am eigenen Bild kann aus der unberechtigten Nutzung von personenbezogenen Daten zu kommerziellen Zwecken durch den Anbieter geschlossen werden, dass dieser dem persönlichkeitsrelevanten Informationsgehalt personenbezogener Daten einen wirtschaftlichen Wert zuschreibt.2228 Der gegen die ausschließliche Entscheidungsbefugnis des Datensubjekts verstoßende Anbieter muss sich „an der damit geschaffenen vermögensrechtlichen Zuordnung […] festhalten lassen und einen der Nutzung entsprechenden Wertersatz leisten“.2229 Nicht erheblich für den Bereicherungsanspruch ist, ob das Datensubjekt einer Vermarktung überhaupt zugestimmt oder diese selbst vorgenommen hätte.2230 Grundsätzlich ist deshalb hinsichtlich personenbezogener Daten eine Rechtsposition mit Zuweisungsgehalt anzuerkennen.2231 Geboten ist dies aufgrund der Akzeptanz datengetriebener Austauschgeschäfte und der Anerkennung personenbezogener Daten als faktische Vermögenswerte im Rechtsverkehr.2232 Infolge der technologischen Entwicklung, wie auch infolge des Trends zur Schaltung personalisierter Werbung und zur Bildung komplexer Persönlichkeitsprofile für kommerzielle Zwecke, besitzen personenbezogene Daten nunmehr generell einen vermarktungsfähigen Charakter, unabhängig von der Prominenz des Datensubjekts.2233 Damit ist eine Beschränkung der Anerkennung eines Zuweisungsgehalts auf nur spezielle Ausprägungen des allgemeinen Persönlichkeitsrechts im Bereich 2227 Zu diesem Erfordernis der Eingriffskondiktion: BGH, Urteil vom IX ZR 204/11 – 16. 05. 2013, juris, Rn. 15; BGH, Urteil vom 18. 01. 2012 – I ZR 187/10, juris, Rn. 40; BGH, Urteil vom 09. 03. 1989 – I ZR 189/86, juris, Rn. 15. Allgemein zu den vermögensrechtlichen Bestandteilen des zivilrechtlichen allgemeinen Persönlichkeitsrechts siehe oben S. 108 ff. 2228 Vgl. BGH, Urteil vom 21. 01. 2021 – I ZR 120/19, juris, Rn. 58; BGH, Urteil vom 20. 03. 2012 – VI ZR 123/11, juris, Rn. 24; BGH, Urteil vom 26. 10. 2006 – I ZR 182/04, juris, Rn. 12. 2229 Ebenda. 2230 BGH, Urteil vom 20. 03. 2012 – VI ZR 123/11, juris, Rn. 24; BGH, Urteil vom 26. 10. 2006 – I ZR 182/04, juris, Rn. 12, unter Aufgabe des früheren Erfordernisses einer grundsätzlichen Vermarkungsbereitschaft des Persönlichkeitsrechtinhabers. Vgl. auch Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 292, 329. 2231 Specht, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, 2018, 35, Rn. 53. Im Ergebnis ebenso Adam, NJW 2020, 2063, 2068. Vgl. auch Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 163, zur Entwicklung der Rechtsprechung und der stetigen Ausweitung des Bereicherungsausgleichs im Rahmen des allgemeinen Persönlichkeitsrechts. 2232 Dementsprechend wird auch seitens der neueren Rechtsprechung ein entsprechender Anspruch auf eine fiktive Lizenzgebühr des Datensubjekts zumindest bereits in Erwägung gezogen. Vgl. OLG Dresden, Beschluss vom 11. 06. 2019 – 4 U 760/19, juris, Rn. 9. 2233 Hierzu bereits eingehend oben S. 108 ff.
382
Teil 4: Konsequenzen der rechtlichen Qualifizierung
der personenbezogenen Daten kaum zu rechtfertigen.2234 Auch eine Begrenzung der Anwendbarkeit der Eingriffskondiktion auf prominente Personen oder auf die gezielte Verwendung der Persönlichkeitsmerkmale zu Werbezwecken ist deshalb zu verneinen.2235 Als überholt zu bewerten, ist somit die Entscheidung des BGH vom 20. 03. 2012, worin eine Eingriffskondiktion aus § 812 Abs. 1 S. 1 Alt. 2 BGB bei einer Veröffentlichung eines Fotos eines verstorbenen Unfallopfers in der Presse, ohne Einwilligung der Angehörigen, mit der Begründung verneint wird, dass dem Bild aufgrund der Unbekanntheit der Person kein Vermögenswert zukomme.2236 Der BGH führte hierzu aus, dass bei Berichterstattungen über öffentlichkeitsrelevante Ereignisse eine Gewinnerzielungsabsicht des Presseunternehmers bei Verwendung des Bildes durch die Förderung der Auflagensteigerung zwar „ein mitwirkendes Element“ darstellen könne, diese „möglicherweise bestehende Absicht“ aber hinter das grundrechtlich geschützte Berichterstattungsinteresse zurücktreten würde.2237 Die Abbildung würde in entsprechenden Fällen daher keine „Ausnutzung der dem Bild zukommenden Verwertungsmöglichkeiten“ darstellen.2238 Vielmehr liegt jedoch in Fällen, in denen die Berichterstattung aufgrund der Pressefreiheit nach Art. 5 Abs. 1 S. 2 GG bereits gerechtfertigt ist, schon kein ungerechtfertigter Eingriff in das allgemeine Persönlichkeitsrecht vor.2239 Sachwidrig ist es jedoch, daraus den Schluss zu ziehen, dass Persönlichkeitselemente nicht prominenter Personen keinen Vermögenswert verkörpern würden. Vielmehr wird auch in diesen Konstellationen, durch eine rechtswidrige Inanspruchnahme zu kommerziellen Zwecken, gerade aufgezeigt, dass die nichtberechtigte Person der Anmaßung des jeweiligen Persönlichkeitsmerkmals einen wirtschaftlichen Wert 2234
Ebenso Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 325 m. w. N. zu Vertretern dieser Auffassung. A. A. Wendehorst, in: BeckOK BGB, 57. Ed. 2021, § 812 BGB, Rn. 131. 2235 Ebenso Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006, 217. Vgl. auch Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 327; Ettig, K&R 2016, 12, 14, wonach gerade nicht ein Bereicherungsausgleich aufgrund der fehlenden Prominenz und der daraus resultierenden fehlenden Üblichkeit der entgeltlichen Vermarktung von Persönlichkeitsmerkmalen ausgeschlossen sein sollte. 2236 BGH, Urteil vom 20. 03. 2012 – VI ZR 123/11, juris, Rn. 28, 31, wobei seitens der Revision diese Feststellungen des Berufungsgerichts nicht in Frage gestellt wurden. Vgl. auch AG Hamburg, Urteil vom 04. 09. 1990 – 36A C 288/90, GRUR 1990, 910, wonach der Veröffent lichung eines Fotos eines „Normalbürger[s]“ ohne Einwilligung in einem Magazin kein Vermögenswert zuzusprechen sei, solange das Bild nicht zu Werbezwecken verwendet wird. Weitere Rechtsprechungsnachweise finden sich bei Ettig, K&R 2016, 12, 13. 2237 BGH, Urteil vom 20. 03. 2012 – VI ZR 123/11, juris, Rn. 28, 29. 2238 BGH, Urteil vom 20. 03. 2012 – VI ZR 123/11, juris, Rn. 28. 2239 Ebenso Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 327; Ettig, K&R 2016, 12, 14–16 m. w. N. Vgl. auch BGH, Urteil vom 05. 06. 2008 – I ZR 96/07, juris, Rn. 10, 13 ff., wonach ein Eingriff in die vermögenswerten Bestandteile des allgemeinen Persönlichkeitsrechts bei unbefugter Nutzung des Namens eines Prominenten zur Tabakwerbung grundsätzlich zwar bejaht wird, der Eingriff jedoch aufgrund der Höhergewichtung der Meinungsfreiheit nach Art. 5 Abs. 1 GG gerechtfertigt ist und bereits deshalb sämtliche Ersatzansprüche abgelehnt worden sind.
§ 16 Der Datenwert als ungerechtfertigte Bereicherung
383
beimisst und hierfür Nutzungsersatz zu leisten hat, solange dieser Eingriff nicht anderweitig gerechtfertigt ist.2240 Die unrechtmäßige Erhebung und Verarbeitung personenbezogener Daten zu kommerziellen Zwecken durch eine unberechtigte Person greift damit grundsätzlich in den vermögensrechtlichen Zuweisungsgehalt des allgemeinen Persönlichkeitsrechts des Datensubjekts ein. Die unrechtmäßige Erlangung der kommerzialisierbaren Vermögensposition der personenbezogenen Daten durch den Anbieter erfolgt dadurch auf Kosten des Datensubjekts, wodurch Bereicherungsgläubiger und Bereicherungsschuldner spezifiziert werden.2241 Die Bereicherung des Anbieters entspricht dabei der Entreicherung des Datensubjekts um die Möglichkeit, dem Anbieter das Recht zur kommerziellen Nutzung seiner personenbezogenen Daten einzuräumen.2242 III. Anforderungen der condictio ob rem Schließlich könnte in Konstellationen, in denen das Datensubjekt mit der datenbasierten Leistung trotz Fehlens einer vertraglichen Einigung in Vorleistung geht oder der Anspruch auf die Anbieterleistung nicht rechtswirksam vereinbart werden konnte, eine Zweckverfehlungskondiktion gemäß § 812 Abs. 1 S. 2 Alt. 2 BGB anzunehmen sein.2243 Aufgrund der bereits erfolgten Ausführungen wird eine entsprechende kausale Verknüpfung von Leistung und Gegenleistung bei datengetriebenen Austauschgeschäften nur in besonderen Ausnahmefällen angenommen werden können und daher im Folgenden nicht weiter vertieft.2244
B. Gegenstand und Umfang des Bereicherungsanspruchs I. Grundlagen des Wertersatzanspruchs Hinsichtlich der Nutzung der erlangten personenbezogenen Daten und des hieraus gezogenen Vermögenswerts ist der Anbieter bei Bestehen eines bereicherungsrechtlichen Anspruchs des Datensubjekts nach §§ 812 Abs. 1 S. 1, 818 Abs. 1 BGB 2240 Siehe oben bei Fn. 2228. Ebenso Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 327; Ettig, K&R 2016, 12. 14–16. Von Relevanz ist dies insbesondere im Rahmen von Eingriffen in das allgemeine Persönlichkeitsrecht durch redaktionelle Berichterstattung, welche durch Art. 5 GG grundrechtlich geschützt sein kann. 2241 Zur systematischen Funktion des Merkmals „auf dessen Kosten“ in § 812 Abs. 1 S. 1 Alt. 2 BGB: Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 812 BGB, Rn. 28. 2242 Vgl. OLG Hamburg, Urteil vom 09. 11. 2004 – 7 U 18/04, juris, Rn. 24; OLG München, Urteil vom 09. 03. 1995 – 29 U 3903/94, juris, Rn. 32; Ettig, K&R 2016, 12, 15. 2243 Dies im Hinblick auf den umgekehrten Fall einer bereicherungsrechtlichen Rückabwicklung der Anbieterleistung im Rahmen datengetriebener Vertragsverhältnisse erörternd: Riehm, in: Pertot / Schmidt-Kessel et al. (Hrsg.), Rechte an Daten, 2020, 175, 201. 2244 Siehe oben S. 239, 240 f.
384
Teil 4: Konsequenzen der rechtlichen Qualifizierung
zur Herausgabe verpflichtet. Bereicherungsgegenstand ist die kommerzielle Nutzung der Persönlichkeitsmerkmale, welche durch die personenbezogenen Daten verkörpert werden und deren Nutzung nicht herausgabefähig ist.2245 Aufgrund der Beschaffenheit der durch die datenbasierte Leistung verschafften Nutzungsmöglichkeit – welche einen nichtgegenständlichen Vorteil darstellt – ist der Anbieter daher nach § 818 Abs. 2 Var. 1 BGB zur Leistung von Wertersatz verpflichtet.2246 Der zu ersetzende Wert bestimmt sich gemäß § 818 Abs. 2 BGB nach dem objektiven Verkehrswert der Leistung.2247 Im ordnungsgemäß ablaufenden Fall wird dem Anbieter als Bereicherungsschuldner aufgrund der datenbasierten Leistung die kommerzielle Nutzung der überlassenen personenbezogenen Daten gestattet. Entsprechend der Rechtspraxis und der Rechtsprechung bei der Verwertung von Persönlichkeitsgütern ist daher eine angemessene Lizenzgebühr für die Nutzung der personenbezogenen Daten zu ersetzen.2248 Dies gilt unabhängig davon, ob der Bereicherungsschuldner überhaupt dazu bereit gewesen wäre, das Persönlichkeitsgut auf vertraglicher Basis gegen Entgelt in Anspruch zu nehmen.2249 Ebenso ist nicht von Bedeutung, ob der Bereicherungsgläubiger willens oder in der Lage gewesen wäre, das Persönlichkeitsgut auch gegen Entgelt zu kommerzialisieren.2250
2245
Vgl. BGH, Urteil vom 05. 06. 2008 – I ZR 96/07, juris, Rn. 11; Klass, in: Erman BGB, 16. Aufl. 2020, Anhang zu § 12 BGB – Das Allgemeine Persönlichkeitsrecht, Rn. 321; Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 354. 2246 Vgl. Wendehorst, in: BeckOK BGB, 57. Ed. 2021, § 818 BGB, Rn. 20. Im Ergebnis ebenso: Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 92; Linardatos, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 506, 534. 2247 Vgl. BGH, Urteil vom 21. 01. 2021 – I ZR 120/19, juris, Rn. 58, 59; BGH, Urteil vom 14. 03. 2000 – X ZR 115/98, juris, Rn. 14; Wendehorst, in: BeckOK BGB, 57. Ed. 2021, § 818 BGB, Rn. 27; Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 818 BGB, Rn. 82, 83 m. w. N. 2248 Vgl. BGH, Urteil vom 31. 05. 2012 – I ZR 234/10, juris, Rn. 42; BGH, Urteil vom 11. 03. 2009 – I ZR 8/07, juris, Rn. 34; BGH, Urteil vom 26. 10. 2006 – I ZR 182/04, juris, Rn. 12; Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 818 BGB, Rn. 107; Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 165, 166. Nicht behandelt werden vorliegend Schadensersatzansprüche des Datensubjekts bei der Verletzung seines allgemeinen Persönlichkeitsrechts, aus welchen, nach der dreifachen Schadensberechnung, auch der konkret erlittene Schaden oder der damit erzielte Gewinn herausverlangt werden können. Hierzu BGH, Urteil vom 01. 12. 1999 – I ZR 49/97, juris, Rn. 79; Klass, in: Erman BGB, 16. Aufl. 2020, Anhang zu § 12 BGB – Das Allgemeine Persönlichkeitsrecht, Rn. 306 ff., 313 ff. 2249 BGH, Urteil vom 21. 01. 2021 – I ZR 120/19, juris, Rn. 58; BGH, Urteil vom 14. 04. 1992 – VI ZR 285/91, juris, Rn. 16; BGH, Urteil vom 08. 05. 1956 – I ZR 62/54, juris, Rn. 20; Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 818 BGB, Rn. 107; Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 164. 2250 Hierzu oben bei Fn. 2230.
§ 16 Der Datenwert als ungerechtfertigte Bereicherung
385
II. Bemessung der Höhe des Wertersatzanspruchs Geschuldet ist somit im Fall der unberechtigten Nutzung personenbezogener Daten die Zahlung eines Wertersatzes in Gestalt einer angemessenen Lizenz gebühr, welche sich nach dem Verkehrswert der Nutzungsmöglichkeit bemisst.2251 Eine weitergehende Abschöpfung des Gewinns des Eingreifenden über die Eingriffskondiktion würde hingegen auf eine mit § 818 Abs. 2 BGB nicht zu vereinbarende subjektive Wertbestimmung hinauslaufen und wird seitens der herrschenden Meinung abgelehnt.2252 Zur objektiven Bestimmung der Wertersatzhöhe im Rahmen der angemessenen Lizenzgebühr kann im Ausgangspunkt auf die üblich geschuldete Lizenzgebühr oder auf vergleichbare Fallkonstellationen abgestellt werden.2253 Zur Feststellung der Angemessenheit der Lizenzgebühr ist auf die Gewinnaussichten abzustellen, welche in der Nutzungsmöglichkeit angelegt sind, wobei ex post auch der tatsächlich erzielte Gewinn als Orientierungsmaßstab herangezogen werden kann.2254 Lassen sich keine vergleichbaren, marktüblichen Sätze für eine angemessene Lizenzgebühr ermitteln, so kann die Höhe des Wertersatzes gemäß § 287 ZPO durch das Gericht geschätzt werden.2255 Dabei sind „alle Umstände des konkreten Falls zu berücksichtigen“.2256 Regelmäßig wird hierfür die Einholung eines Sachverständigengutachtens notwendig sein, was jedoch innerhalb des gerichtlichen Ermessens steht.2257 Eine Schätzung wäre nur dann unzulässig, wenn sie „mangels greifbarer Anhaltspunkte völlig in der Luft hän-
2251 Vgl. BGH, Urteil vom 20. 03. 2012 – VI ZR 123/11, juris, Rn. 24; Klass, in: Erman BGB, 16. Aufl. 2020, Anhang zu § 12 BGB – Das Allgemeine Persönlichkeitsrecht, Rn. 321. 2252 BGH, Urteil vom 18. 12. 1986 – I ZR 111/84, juris, Rn. 38; BGH, Urteil vom 24. 11. 1981 – X ZR 7/80, juris, Rn. 41–49; OLG Karlsruhe, Urteil vom 09. 11. 2016 – 6 U 37/15, juris, Rn. 135; Klass, in: Erman BGB, 16. Aufl. 2020, Anhang zu § 12 BGB – Das Allgemeine Persönlichkeitsrecht, Rn. 321; Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 818 BGB, Rn. 108 m. w. N. Umfassend hierzu Wolf, Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, 2017, 162–166, die Entwicklung der Rechtsprechung im Immaterialgüterrecht und im Rahmen des allgemeinen Persönlichkeitsrechts von der Gewinnhaftung hin zur hypothetischen Lizenzgebühr nachzeichnend. 2253 BVerfG, Nichtannahmebeschluss vom 05. 03. 2009 – 1 BvR 127/09, juris, Rn. 15, 22, 26; BGH, Urteil vom 14. 10. 1986 – VI ZR 10/86, juris, Rn. 16; OLG Hamburg, Urteil vom 09. 11. 2004 – 7 U 18/04, juris, Rn. 29, 30; OLG München, Urteil vom 02. 08. 2002 – 21 U 2677/02, juris, Rn. 10, 34. 2254 Schwab, in: Münchener Kommentar zum BGB, 8. Aufl. 2020, § 818 BGB, Rn. 109; Larenz / Canaris, Lehrbuch des Schuldrechts BT II/2, 13. Aufl. 1994, 278, 279, jeweils m. w. N. 2255 BVerfG, Nichtannahmebeschluss vom 05. 03. 2009 – 1 BvR 127/09, juris, Rn. 21, 22; BGH, Urteil vom 21. 01. 2021 – I ZR 120/19, juris, Rn. 59; BGH, Urteil vom 14. 04. 1992 – VI ZR 285/91, juris, Rn. 18; OLG Hamburg, Urteil vom 09. 11. 2004 – 7 U 18/04, juris, Rn. 30; LG Hamburg, Urteil vom 27. 10. 2006 – 324 O 381/06, juris, Rn. 36. 2256 BGH, Urteil vom 14. 04. 1992 – VI ZR 285/91, juris, Rn. 18; OLG Hamburg, Urteil vom 09. 11. 2004 – 7 U 18/04, juris, Rn. 30. 2257 BVerfG, Nichtannahmebeschluss vom 05. 03. 2009 – 1 BvR 127/09, juris, Rn. 21; OLG München, Urteil vom 06. 03. 2007 – 18 U 3961/06, juris, Rn. 49.
386
Teil 4: Konsequenzen der rechtlichen Qualifizierung
gen würde“.2258 Als Kriterien für die Lizenzbemessung sind in der Rechtspraxis insbesondere die Auflagenstärke des Werbemediums, der Verbreitungsgrad, die Art und Gestaltung der Werbeanzeige, die Werbewirkung sowie der Imagewert und der Bekanntheitsgrad des Abgebildeten zu berücksichtigen, welche je nach Einschlägigkeit im konkreten Fall herangezogen werden können.2259 Dieses Instrumentarium ist für die Kommerzialisierung personenbezogener Daten nicht prominenter Personen jedoch nur bedingt brauchbar und führt zumeist nur zu geringen Wertersatzsummen.2260 Auf die Kommerzialisierung von personenbezogenen Daten zu Werbezwecken innerhalb datengetriebener Vertragsverhältnisse werden sich diese Kriterien zur Bemessung der Lizenzhöhe für die werbemäßige Verwendung der Abbildung oder des Namens des Persönlichkeitsrechtsträgers jedoch aufgrund der Erstreckung auf sämtliche personenbezogenen Daten im Rahmen unterschiedlicher Verwendungskontexte nur bedingt übertragen lassen.2261 Maßgeblich ist daher zu klären, inwieweit sich der Verkehrswert der Nutzung von personenbezogenen Daten innerhalb datengetriebener Vertragsverhältnisse de lege lata bestimmen lässt, sodass er einem Wertersatzanspruch zugrunde gelegt werden kann.
C. Der objektive Nutzungswert personenbezogener Daten I. Ausgangspunkt der Wertbestimmung Die wissenschaftliche Auseinandersetzung über die Frage der monetären Bewertung von personenbezogenen wie auch von nicht personenbezogenen Daten befindet sich gegenwärtig in ihren Anfängen. Ein gefestigter Meinungsstand, wie auch gesicherte Informationen zur Praxis der Wertbestimmung von Daten, ist
2258 BGH, Urteil vom 22. 05. 1984 – III ZR 18/83, juris, Rn. 55; BVerfG, Nichtannahme beschluss vom 05. 03. 2009 – 1 BvR 127/09, juris, Rn. 21, 22. 2259 BVerfG, Nichtannahmebeschluss vom 05. 03. 2009 – 1 BvR 127/09, juris, Rn. 23, 24; BGH, Urteil vom 14. 04. 1992 – VI ZR 285/91, juris, Rn. 18; OLG Hamburg, Urteil vom 09. 11. 2004 – 7 U 18/04, juris, Rn. 30; Klass, in: Erman BGB, 16. Aufl. 2020, Anhang zu § 12 BGB – Das Allgemeine Persönlichkeitsrecht, Rn. 321. 2260 Vgl. LG Hamburg, Urteil vom 28. 05. 2010 – 324 O 690/09, juris, Rn. 24 (2.500 €); OLG Karlsruhe, Urteil vom 18. 11. 1988 – 14 U 285/87, GRUR 1989, 73, 74 (500 DM). Hierzu jeweils oben Fn. 591, 596. Währenddessen betragen die Ersatzbeträge bei prominenten Personen aufgrund ihrer höheren gesellschaftlichen Stellung, des größeren Marktwerts der Nutzung ihrer Persönlichkeitsmerkmale und der konkreten Umstände des Eingriffs oft ein Vielfaches hiervon. Umfassend hierzu mit zahlreichen Beispielen Körner, NJW 2000, 241, 244–246; von Bar, NJW 1980, 1724–1729. 2261 So werden im Rahmen typischer datengetriebener Geschäftsmodelle die Persönlichkeitsmerkmale des Datensubjekts grundsätzlich nicht zur Bewerbung eingesetzt. Durch die Persönlichkeitsmerkmale wird aber eine Wertsteigerung der Werbung bewirkt oder mit ihrer Verknüpfung zu Persönlichkeitsprofilen ein eigenständiger Vermögenswert geschaffen, welcher gewinnbringend weiterverwertet werden kann. Hierzu oben S. 45 ff., 52 ff.
§ 16 Der Datenwert als ungerechtfertigte Bereicherung
387
derzeit noch nicht vorhanden.2262 Aufgrund der preisblinden Ausgestaltung des europäischen Datenschutzrechts, welche sich durch die fehlende Beachtung der Marktwerts personenbezogener Daten innerhalb der DSGVO ausdrückt, existieren zudem keine Rechtsvorschriften, die sich mit der Wertbemessung personenbezogener Daten befassen.2263 Auch seitens der Rechtsprechung finden sich außerhalb spärlicher Entscheidungen bei gravierenden Verletzungen des allgemeinen Persönlichkeitsrechts prominenter Personen kaum Gerichtsentscheidungen, die sich mit der Höhe von Schadens- oder Wertersatzansprüchen bei Datenschutzverstößen befassen.2264 Der Wert von Daten ist ferner von einer Vielzahl verschiedener Faktoren abhängig, wodurch die Schaffung eines einheitlichen Konzepts für die Wertbestimmung von personenbezogenen Daten erheblich erschwert wird.2265 Der konkrete Wert personenbezogener Daten ist nicht nur vom jeweiligen Anlass ihrer finanziellen Bewertung und der gewählten Bewertungsmethode abhängig, sondern unter anderem auch von Kriterien wie dem Kontext der Verarbeitung, dem Zeitpunkt ihrer Erhebung und Verarbeitung, der Quantität und dem Detailgrad der Daten, den Möglichkeiten der Verknüpfung mit bereits vorhandenen Daten oder der Exklusivität der Daten.2266 Auszugehen ist davon, dass der Wert personenbezogener Daten mit dem Grad der Nutzeridentifikation und der Detailtiefe exponentiell steigt.2267 Je mehr Datensätze über eine natürliche Person vorliegen, desto mehr Informationen über das Datensubjekt können im Rahmen der Datenverarbeitung über Querverbindungen und Korrelationen entnommen werden.2268 Eine Sammlung verschiedener Methoden, die zur Wertbestimmung personenbezogener Daten herangezogen werden können, ist von der OECD erstellt worden.2269 2262 Nestler, in: Fischer / Hoppen et al. (Hrsg.), DGRI Jahrbuch 2018, 2019, 37, Rn. 5; Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 476, 488; von Lewinski, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 209, 212; OECD, Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value, 2013, 18, 33. 2263 von Lewinski, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 209, 214, 215. 2264 von Lewinski, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 209, 211, 212 m. w. N. Für Nachweise zur Persönlichkeitsrechtsprechung siehe oben S. 108 ff., 385 f. 2265 Nestler, in: Fischer / Hoppen et al. (Hrsg.), DGRI Jahrbuch 2018, 2019, 37, Rn. 12 ff.; Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 478 ff. 2266 Hennemann, RDi 2021, 61; Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 476–483; Nestler, in: Fischer / Hoppen et al. (Hrsg.), DGRI Jahrbuch 2018, 2019, 37, Rn. 6–15; von Lewinski, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 209, 212–214; Bull, CR 2018, 425, 429. 2267 Siehe oben Fn. 168, 203. Ebenso von Lewinski, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 209, 213; Hacker, ZfPW 2019, 148, 193 m. w. N. 2268 Siehe oben Fn. 135 sowie von Lewinski, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 209, 213. 2269 OECD, Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value, 2013, 18 ff.
388
Teil 4: Konsequenzen der rechtlichen Qualifizierung
Im Hinblick auf eine Bestimmung des objektiven Marktwerts von personenbezogenen Daten werden im Wesentlichen zwei Ansätze in Betracht gezogen:2270 Der erste Ansatz basiert auf einem Vergleich von Marktpreisen für Nutzerprofile und Informationen mit Personenbezug innerhalb verschiedener Datenmärkte, hierunter fällt auch der illegale Schwarzmarkt, wodurch sich ein durchschnittlicher Verkehrswert bestimmen lässt.2271 Beim zweiten Ansatz erfolgt die Wertbestimmung anhand betriebswirtschaftlicher Bilanzkennzahlen von Unternehmen, deren Geschäftsmodell überwiegend oder ausschließlich auf der Kommerzialisierung personenbezogener Daten beruht, wobei entweder hauptsächlich auf den je individuellem Daten- oder Nutzerprofil erzielten Gewinn oder Umsatz abgestellt oder die Marktkapitalisierung ins Verhältnis zu dem bilanziell ausgewiesenen Bestand an Daten- oder Nutzerprofilen des Unternehmens gesetzt wird.2272 Der Preis personenbezogener Daten variiert dementsprechend je nach gewähltem Ansatz, der Einbeziehung illegaler Datenmärkte, der Informationslage zu den Datenmärkten oder datenmonetarisierenden Unternehmen sowie je nach der grundsätzlichen Verfügbarkeit von entsprechenden Bilanzkennzahlen.2273 Bei legalen und illegalen Datenmärkten wurde eine Schwankungsbreite von Preisen für einzelne personenbezogene Daten wie auch für aus mehreren Informationen bestehende Datenprofile zwischen weniger als einem Cent bis hin zu 55 USD festgestellt.2274 Bei der auf bilanzielle Kennzahlen abstellenden Herangehensweise schwankt der berechnete Wert, je nach gewählter Kennzahl und dem Beobachtungzeitraum, sogar noch erheblicher: zwischen weniger als 1 USD und bis zu 300 USD.2275 Im Regelfall ist jedoch von einem ermittelten Wert von weit unter einem Euro oder Dollar pro Datensatz oder einzelnem Datum auszugehen.2276 In Anbetracht der teils gravierenden Unterschiede der Ansätze zur Wertbemessung und der Schwankungsbreite der ermittelten Preise ist festzuhalten, dass eine wissenschaftlich etablierte Me 2270 Zu verschiedenen Ansätzen einer subjektiven Wertbestimmung von Daten, welche vorliegend nicht behandelt werden: Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 482, 483 m. w. N. 2271 OECD, Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value, 2013, 25–29. 2272 OECD, Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value, 2013, 20–25. 2273 Vgl. OECD, Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value, 2013, 20; Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 481, 482. 2274 Ausführlich hierzu OECD, Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value, 2013, 25, 27. Vgl. Zudem Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 481. 2275 Siehe OECD, Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value, 2013, 21–24; Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 482; von Lewinski, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 209, 210, 211. 2276 Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 482; Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 93.
§ 16 Der Datenwert als ungerechtfertigte Bereicherung
389
thodik für eine allgemein gültige Wertbestimmung von personenbezogenen Daten gegenwärtig noch nicht vorhanden ist. II. Bewertung der datenbasierten Leistung im konkreten Fall Aufgrund der Begrenzung des Untersuchungsgegenstands der Arbeit und aufgrund der enormen Breite des wissenschaftlichen Diskurses zur Wertbestimmung von Daten wird im Folgenden nur auf die Möglichkeiten der Wertbemessung personenbezogener Daten im Hinblick auf bereicherungsrechtliche Wertersatzansprüche i. S. v. § 818 Abs. 2 BGB innerhalb datengetriebener Vertragsverhältnisse eingegangen. Ausgangspunkt für die Bestimmung des objektiven Verkehrswerts der Nutzung bestimmter personenbezogener Daten ist deren semantischer Gehalt, auf welchem der wirtschaftliche Vermögenswert der datenbasierten Leistung basiert und dadurch die Wertschöpfungsgrundlage innerhalb datenfinanzierter Vertragsverhältnisse verkörpert.2277 Einzunehmen ist hierbei eine „Mikro-Perspektive“, wonach die Bestimmung des Verkehrswerts der personenbezogenen Daten eines Datensubjekts vorzunehmen ist, die im konkreten Fall zu kommerziellen Zwecken verarbeitet worden sind.2278 Die Wertbestimmung der Nutzung der personenbezogenen Daten hat hierbei unabhängig von den individuellen Vorstellungen einer Partei oder der subjektiven Wertschätzung des Datensubjekts zu erfolgen.2279 Zu konstatieren ist, dass die Ermittlung des Verkehrswerts der Nutzung personenbezogener Daten derzeit noch vielen Unwägbarkeiten ausgesetzt ist. Angesichts der steigenden Bedeutung personenbezogener Daten für Wirtschaft und Gesellschaft lässt sich hiermit aber eine pauschale Ablehnung einer Wertbestimmung der datenbasierten Leistung nicht rechtfertigen. So ist es gerade nicht ausgeschlossen, dass sich in naher Zukunft marktübliche Regelsätze herausbilden, welche sich für die Ermittlung einer angemessenen Lizenzgebühr für die Nutzung personenbezogener Daten heranziehen lassen.2280 Unterstrichen wird dies durch Entwicklungen im Wettbewerbsrecht, wonach auch in Fällen der Vereinbarung nicht-monetärer Leistungen, wie der Preisgabe personenbezogener Daten, ein kartellrechtlich relevanter Markt vorliegen kann.2281 Auch existieren bereits mehrere tragfähige Kriterien, an denen eine Schätzung des objektiven Verkehrswertes der Nutzung personenbezogener Daten gemäß § 287 ZPO unter Berücksichtigung des konkreten Einzelfalls sich orientieren kann. Für die Ermittlung des Werts perso 2277
Eingehend hierzu mit weiteren Verweisen oben Fn. 135, 472, 1662, 1663. Vgl. Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 479. 2279 Siehe oben bei Fn. 2247, 2251. Vgl. auch Nestler, in: Fischer / Hoppen et al. (Hrsg.), DGRI Jahrbuch 2018, 2019, 37, Rn. 17. 2280 Vgl. Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 482 ff., 485, zu den sich stetig fortentwickelnden Datenmärkten und der sich verstärkt mit der Wertbestimmung von Daten befassenden Literatur. Hierzu vgl. auch S. 43 ff. 2281 Leinemann, Personenbezogene Daten als Entgelt, 2020, 147–155 m. w. N. 2278
390
Teil 4: Konsequenzen der rechtlichen Qualifizierung
nenbezogener Daten im konkreten Einzelfall ist die Anwendung von anerkannten betriebswirtschaftlichen Verfahren möglich, die bereits zur monetären Bewertung immaterieller Güter eingesetzt werden.2282 Als Basisansätze kommen hierzu der Marktansatz, der Kostenansatz und der Einkommensansatz in Frage.2283 Relevanz für die Bewertung der Nutzung konkreter personenbezogener Daten zu kommerziellen Zwecken ist insbesondere dem marktorientierten Ansatz zuzusprechen. Hiernach lässt sich der Wert von immateriellen Gütern, wie z. B. von personenbezogenen Daten als persönlichkeitsrelevante Informationen innerhalb eines konkreten datengetriebenen Austauschgeschäfts, durch die Analyse von Transaktionen vergleichbarer immaterieller Werte spezifizieren.2284 Heranziehen lassen sich demgemäß bereits gezahlte Preise für vergleichbare personenbezogene Daten(sätze), die als Indikatoren für deren Wert dienen.2285 Annäherungsweise kann zudem auf den Marktwert entsprechender Daten im Bereich des professionellen Datenhandels abgestellt werden.2286 Dem Marktansatz liegt damit zugrunde, „dass sich auf einem kompetitiven Markt ein Gleichgewichtspreis einstellt, der einen Ausgleich zwischen Angebot und Nachfrage bringt“.2287 Dies entspricht des Weiteren auch der Praxis der Preisfindung im Rahmen typischer datengetriebener Geschäftsmodelle, bei denen der Wert der vermarkteten Werbeflächen, welche durch die Verarbeitung von personenbezogenen Daten ihre wertsteigernde Personalisierung erhalten, mithilfe eines Auktionsverfahrens für die Werbeschaltung bestimmt wird.2288 Der errechnete durchschnittliche Marktpreis spiegelt hiernach den (objektiven) Nutzen der personenbezogenen Daten als Bewertungsobjekt wider.2289 Ist eine Ermittlung des Datenwerts, aufgrund des Fehlens hinreichend etablierter Märkte für alle Kategorien personenbezogener Daten, derzeit noch Bedenken ausgesetzt und sind die Erfolgsaussichten einer Wertbestimmung noch stark vom Einzelfall abhängig,2290 wird doch, im Laufe einer weiteren Digitalisierung der Gesellschaft und mit der voranschreitenden Personalisierung der Werbebranche, die 2282 Vgl. Nestler, in: Fischer / Hoppen et al. (Hrsg.), DGRI Jahrbuch 2018, 2019, 37, Rn. 19 ff., 27 ff. 2283 Ausführlich hierzu m. w. N. Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 483 ff.; Nestler, in: Fischer / Hoppen et al. (Hrsg.), DGRI Jahrbuch 2018, 2019, 37, Rn. 26 ff. 2284 Vgl. Nestler, in: Fischer / Hoppen et al. (Hrsg.), DGRI Jahrbuch 2018, 2019, 37, Rn. 26. 2285 Eingehend hierzu Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 485. 2286 Hacker, ZfPW 2019, 148, 193. 2287 Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 485. 2288 Siehe oben S. 54 ff., 57 f., 59 sowie Jentzsch, in: Stiftung Datenschutz (Hrsg.), Daten eigentum und Datenhandel, 2019, 177, 180, 181, 184–186. Vgl. auch Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 481, wonach „auch die Preisbildung auf Datenmarktplätzen dem Prinzip von Angebot und Nachfrage“ folgt. 2289 So die zugrundeliegende Prämisse des Marktansatzes. Hierzu Nestler, in: Fischer / Hoppen et al. (Hrsg.), DGRI Jahrbuch 2018, 2019, 37, Rn. 26. 2290 Vgl. Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 484 m. w. N.
§ 16 Der Datenwert als ungerechtfertigte Bereicherung
391
Wertbestimmung personenbezogener Daten beliebigen Bedeutungsinhalts immer wahrscheinlicher. Schließlich ist auch eine Kombination verschiedener Ansätze denkbar, um gefundene Ergebnisse zu validieren.2291 Zusammenfassend lässt sich konstatieren, dass eine Wertbestimmung der Nutzung personenbezogener Daten de lege lata zwar Unwägbarkeiten ausgesetzt, aber nicht unmöglich ist. Es ist gerade charakteristisch für die Wirtschafts- wie auch die Rechtswissenschaft, dass diese für die Rezeption neuer technologischer Entwicklungen notwendigerweise eine gewisse Zeit für deren Erfassung, Einordnung und Behandlung benötigen. Als Alternative und rechtspolitische Entscheidung kann, den Überlegungen einiger Autoren folgend, für die Zwischenzeit auch eine Pauschalierung von Schadensoder Wertersatzansprüchen für die Nutzung personenbezogener Daten erwogen werden, deren Umsetzung grundsätzlich aber ein gesetzgeberisches Tätigwerden erfordern würde.2292
2291 Lehner, in: Specht-Riemenschneider / Werry et al. (Hrsg.), Datenrecht in der Digitalisierung, 2019, 471, 485, 486. 2292 Vgl. von Lewinski, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, 209, 216–218; Beurskens, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, 2019, 57, 93.
Teil 5
Schlussbetrachtungen § 17 Zusammenfassung der Ergebnisse der Arbeit Der juristische Begriff der personenbezogenen Daten Der Begriff der Daten basiert auf dem naturwissenschaftlich geprägten Begriff der Information und beinhaltet eine strukturelle, eine syntaktische sowie eine semantische Informationsebene. Während die strukturelle Ebene die auf einem konkreten Informationsträger verkörperte Information kennzeichnet, behandelt die syntaktische Ebene die vom jeweiligen Informationsträger abstrahierte Existenz der Information als codierte Zeichenfolge. Lässt sich unter Benutzung eines Codes ein zusätzlicher Informationsgehalt aus den Zeichen entnehmen, so spricht man von diesem Bedeutungsinhalt als der semantischen Informationsebene. Der juristische Begriff der personenbezogenen Daten lässt sich, darauf aufbauend, für die Untersuchung als maschinenlesbar codierte Information in syntaktischer Form mit einem semantischen Gehalt in Gestalt des Personenbezugs definieren. Personenbezogene Daten als Wirtschaftsgut Die Ursprünge der gewerblichen Kommerzialisierung personenbezogener Daten als Wirtschaftsgut in der Mitte des 19. Jahrhunderts liegen in den Bereichen der Arbeitskräftevermittlung und des Direktmarketings. Mit der Einführung der elektronischen Datenverarbeitung und durch technologische Fortschritte im Hardwareund Softwarebereich erfolgte schließlich in der zweiten Hälfte des 20. Jahrhunderts der Übergang von der manuellen zur automatisierten Datenverarbeitung. Derzeit wird diese Entwicklung weiter durch die Verbreitung des Internets, die Digitalisierung des Alltags sowie durch die dezentrale Auslagerung wesentlicher Arbeitsvorgänge der Speicherung und Verarbeitung von Daten vorangetrieben, wodurch ermöglicht wird, personenbezogene Daten in immer größerem Ausmaß wirtschaftlich nutzbar zu machen, vor allem in den Bereichen Marktforschung, Personalisierung von Werbung sowie Individualisierung von Preisen und Dienstleistungen. Infolge der Vernetzung verschiedener informationstechnologischer Systeme ist statistisch zu verzeichnen, dass immer größere Mengen an personenbezogenen Daten erzeugt, erfasst und verarbeitet werden. Für die betroffenen Datensubjekte wird es aufgrund der fortschreitenden Verdrängung datenerhebungsfreier Waren zunehmend schwieriger, eine Datenerhebung durch andere Personen zu vermeiden. Die Zahl der regelmäßigen Internetnutzer steigt seit Etablierung des globalen
§ 17 Zusammenfassung der Ergebnisse der Arbeit
393
Netzwerks des Internets beinahe exponentiell, erhöht haben sich auch die durchschnittliche tägliche Nutzungsdauer und die Zahl der Lebensbereiche, welche dem Digitalisierungstrend unterworfen sind. Aufgrund des weltweiten demografischen Wandels und des anhaltenden technischen Fortschritts ist davon auszugehen, dass sich die skizzierte Gesamtentwicklung weiter fortsetzen wird. Als Teil dieser Entwicklung fanden, auch wirtschaftswissenschaftlich, die Lage und die Perspektive des Datensubjekts vermehrt Beachtung: In den Fokus der Forschung rückte häufiger die Frage, wie sich die Interessen von Datensubjekten mit den Bedürfnissen des Markts und der datenverarbeitenden Unternehmen in Einklang bringen lassen. Den Vorzügen der Preisgabe personenbezogener Daten, wie sinkende Transaktionskosten für die Wirtschaft und auf den Kunden abgestimmte Angebote, stehen vor allem Risiken wie der Kontrollverlust des Datensubjekts über die eigenen Daten und die Gefahr der Preisdiskriminierung gegenüber. Die Funktionsweise datengetriebener Geschäftsmodelle Die bedeutendsten datengetriebenen Geschäftsmodelle weisen als Gemeinsamkeit die Erhebung, Verarbeitung und Verwertung von personenbezogenen Daten des Datensubjekts als Vertragspartei zu kommerziellen Zwecken auf. Als ausschließlich datenfinanzierte Geschäftsmodelle haben sich insbesondere die Schaltung personalisierter Online-Werbung, das Suchmaschinenmarketing sowie die Werbeschaltung innerhalb sozialer Netzwerke und Medien etabliert. Diese Geschäftsmodelle stellen Kernbereiche der digitalen Wirtschaft dar, deren Umsatz, Verbreitung und gesellschaftliche Bedeutung statistisch weiter erheblich zunehmen werden. Entscheidend für vollständig oder teilweise datenfinanzierte Geschäftsmodelle – wie der Schaltung personalisierter Online-Werbung – ist, anhand der erhobenen und verarbeiteten personenbezogenen Daten z. B. feststellen zu können, dass ein identifizierter Nutzer zur anvisierten Zielgruppe gehört, wodurch eine Wertsteigerung bei der Vermarktung von Werbeflächen erzielt werden kann. Beim Suchmaschinenmarketing werden, damit vergleichbar, die Suchanfragen und die sonstigen personenbezogenen Daten des Suchenden nicht nur zur Bereitstellung der angefragten Suchergebnisse eingesetzt, sondern auch zur Anzeige von auf das Datensubjekt abgestimmter Werbung. Intensiviert wird dieses Vorgehen schließlich noch im Bereich der sozialen Netzwerke und Medien, wo die Vermarktung von Werbeflächen in gesteigertem Maße auf den personenbezogenen Daten der Nutzer und deren hieraus ableitbaren Zugehörigkeit zu der zu Werbezwecken anvisierten Zielgruppe beruht. Faktisch nimmt das Datensubjekt innerhalb datengetriebener Austauschgeschäfte damit stets zweierlei Rollen ein: So ist das Datensubjekt der Empfänger der Leistung des Anbieters, zugleich aber auch dessen „Rohstoffquelle“ und, als analysiertes Werbeziel, letztlich dessen „Produkt“, welches an Werbetreibende für personalisierte Werbung vertrieben wird. Versicherungsrechtliche Telematik-Tarife sind demgegenüber als datengetriebenes Geschäftsmodell in Gestalt eines Rabatt-Modells einzuordnen: Die Datenerfassung bei versicherungsrechtlichen Telematik-Tarifen ermöglicht die dynamische Bestimmung und Anpassung
394
Teil 5: Schlussbetrachtungen
der Versicherungsprämie anhand der Auswertung des risikorelevanten Verhaltens des Versicherungsnehmers. Die technischen Hintergründe datengetriebener Austauschgeschäfte Im Rahmen der internetbasierten Austauschgeschäfte findet die Übermittlung personenbezogener Daten über die informationstechnologischen Endsysteme von Datensubjekt und Anbieter statt. Die personenbezogenen Daten des Internetnutzers werden zuerst auf dessen Endgerät erzeugt und im magnetischen Zwischen- oder Endspeicher des Endgeräts abgelegt. Gesteuert durch Softwareanwendungen erfolgt dann die Übertragung der Daten von den Endgeräten des Datensubjekts auf das Endsystem des Anbieters über das Internet, welches ein globales Netzwerkgeflecht darstellt, an das beide Endgeräte fest oder drahtlos angeschlossen sind. Die Datenübertragung wird durch die TCP / IP-Protokollfamilie umgesetzt, durch welche die Daten innerhalb funktionell aufeinander aufbauender Schichten durch das Internetnetzwerk geleitet werden. Das Ausgangssystem des Datensubjekts wie auch das Zielsystem des Anbieters sind zum Zeitpunkt des Austausches eindeutig über die ihnen zugeordneten IP-Adressen identifizierbar, wodurch stets die Möglichkeit eines Rückschlusses auf die Identität von Versender und Empfänger und einer Zuordnung der Daten zu einer bestimmten Person besteht. Ihren Abschluss findet die Erhebung eines personenbezogenen Datums mit der Ablage im Speicher des seitens des Anbieters verwendeten Endsystems. Gegenwärtig werden über das Internet in erheblichem Umfang und auf vielfältige Art und Weise personenbezogene Daten erhoben und verarbeitet. Eine spezielle Rolle nehmen hierbei die aufgezeigten Entwicklungen im Bereich der Digital Analytics und im Bereich der Erfassung von Informationen über Sensoren in eingebetteten Systemen ein. Im Rahmen der Digital Analytics erfolgen die Datenerfassung und Nutzeridentifizierung mithilfe der Logdateien-Analyse, der Netzwerkprotokollanalyse, der Verwendung von Cookies, Zählpixel, JavaScript, Fingerprints sowie durch Mobile Advertising IDs (MAIDs). Mittels eingebetteter Systeme können verschiedenste Informationen über das Datensubjekt gesammelt werden, insbesondere über die in mobile Endgeräte eingebaute Sensorik. Als Ergebnis der Untersuchung lässt sich festhalten, dass es gegenwärtig, durch die Kombination verschiedener Verfahren zur Gewinnung von Daten, problemlos möglich ist, Internetnutzer zu lokalisieren, zu identifizieren, komplexe Profile von ihnen zu generieren und Rückschlüsse bezüglich ihrer Charaktere, ihrer Vorlieben, ihrer Interessen oder ihres Umfelds zu ziehen. Verfassungsrechtlicher Rahmen datengetriebener Austauschgeschäfte Die Rechtsquellen des Grundrechts auf informationelle Selbstbestimmung und die Verbürgungen des Datenschutzes sind im Europarecht sowie im Verfassungsrecht verankert. Die informationelle Selbstbestimmung gewährleistet dem Einzel-
§ 17 Zusammenfassung der Ergebnisse der Arbeit
395
nen ein individuelles Entscheidungsrecht hinsichtlich des Umgangs mit den Daten, welche sich auf die eigene Person beziehen. Ein umfassendes Herrschaftsrecht des Einzelnen über seine personenbezogenen Daten ist – im Einklang mit der Ablehnung eines verfassungsrechtlichen Schutzes kommerzieller Vermögensinteressen durch das Grundrecht auf informationelle Selbstbestimmung – im Zusammenhang mit der Verwertung der einen selbst betreffenden personenbezogenen Daten zu verneinen. De lege lata werden durch den Personenbezug auch über die Eigentumsgarantie keine vermögensrechtlichen Rechtspositionen an Daten im Hinblick auf ihre syntaktische und ihre semantische Informationsebene gewährleistet. Die Sacheigenschaft von personenbezogenen Daten ist in Bezug auf ihre syntaktische Informationsebene aufgrund ihrer Flüchtigkeit und fehlenden Verfestigung zu verneinen. Allein die strukturelle Informationsebene ermöglicht eine Zuordnung des Datenträgers zu dessen Eigentümer, lässt jedoch eine Güterzuordnung der anderen Informationsebenen unberührt. Die weitere Untersuchung der an datengetriebenen Austauschgeschäften beteiligten Grundrechtspositionen zeigt, dass die aktive wie passive Kommerzialisierung von Daten in ihrer derzeitigen Form verfassungsrechtlich nicht zu beanstanden ist. Die Vertragsparteien handeln bei der Eingehung datengetriebener Austauschgeschäfte und der Kommerzialisierung personenbezogener Daten in Ausübung ihrer grundrechtlich verbürgten Freiheit: Die kommerzielle Verwertung personenbezogener Daten durch das Datensubjekt ist durch Art. 2 Abs. 1 GG geschützt und wird durch die Vertragsfreiheit als Ausfluss der Privatautonomie gewährleistet. Anbieter datengetriebener Austauschgeschäfte können sich dagegen bei der Ausübung ihres Geschäftsmodells, je nach Fallgestaltung, darüber hinaus auch auf die Informationsfreiheit oder die Berufsfreiheit berufen. Vertragsrechtlicher Rahmen datengetriebener Austauschgeschäfte Personenbezogene Daten stellen immaterielle Wirtschaftsgüter dar und lassen sich als Rechtsobjekte dem zivilrechtlichen Begriff der unkörperlichen Gegenstände zuordnen. Personenbezogene Daten wie auch die Erteilung einer datenschutzrechtlichen Einwilligung stellen zudem taugliche Vertragsgegenstände dar und können Inhalt von Leistungspflichten sein. Über die Rechtsnatur der datenschutzrechtlichen Einwilligung herrscht gegenwärtig noch keine Einigkeit. Für den Bereich der datengetriebenen Austauschgeschäfte ist jedoch eine rechts geschäftliche Einordnung anzunehmen. Für den Einwilligungsempfänger stellt die erteilte Einwilligung eine Rechtsposition dar, die es gestattet, in die informationelle Selbstbestimmung des Einwilligenden einzugreifen. Personenbezogene Daten sind dabei zu den vermögensrechtlichen Bestandteilen des zivilrechtlichen allgemeinen Persönlichkeitsrechts zu zählen. Gerade infolge der aufgekommenen Praxis der Kommerzialisierung personenbezogener Daten sind diese allgemein und nicht nur hinsichtlich ihrer spezialgesetzlichen Ausprägungen nach § 12 BGB oder §§ 22, 23 KUG einer kommerziellen Verwertung zugänglich, unabhängig davon, ob das betroffene Datensubjekt eine prominente oder nicht prominente
396
Teil 5: Schlussbetrachtungen
Person ist. Eine unberechtigte Verwertung personenbezogener Daten kann daher das Datensubjekt nicht nur zur Geltendmachung von Abwehransprüchen, sondern grundsätzlich auch von Ersatzansprüchen berechtigen. Bedeutung für die Zulässigkeit datengetriebener Austauschverhältnisse, das vertragliche Pflichtenprogramm und das auf den Vertrag anzuwendende Leistungsstörungsrecht weist darüber hinaus – wie an der urhebervertragsrechtlichen Softwareüberlassung und der versicherungsrechtlichen Telematik-Abreden aufgezeigt – auch der Vertragsgegenstand der Anbieterleistung auf. Datenschutzrechtliche Rahmenbedingungen Das europäische Datenschutzrecht baut auf den grundrechtlichen Verbürgungen der informationellen Selbstbestimmung und den Vorgaben des europäischen Primärrechts auf. Daneben wird das datenschutzrechtliche Korsett datengetriebener Austauschverhältnisse im Speziellen durch das europäische Sekundärrecht der DSGVO und der ePrivacy-RL sowie durch das BDSG und die Datenschutzgesetze der Bundesländer ausgestaltet. Die Verarbeitung von personenbezogenen Daten natürlicher Personen zu wirtschaftlichen Zwecken innerhalb der Europäischen Union fällt in den sachlichen wie auch räumlichen Anwendungsbereich der DSGVO. Zur Feststellung des Personenbezugs von Daten verfolgt die DSGVO, unter Berücksichtigung der Rechtsprechung des EuGH, einen Mittelweg zwischen einem absoluten und einem relativen Ansatz, bei welchem alle Möglichkeiten und Mittel zu berücksichtigen sind, die von dem datenschutzrechtlich Verantwortlichen oder einer dritten Person genutzt werden können, um die betreffende Person zu identifizieren. Begrenzt wird dies durch die Beschränkung auf solche Mittel zur Identifizierung von Datensubjekten, deren Nutzung rechtlich zulässig und verhältnismäßig ist, sodass deren Verwendung vernünftigerweise erwartet werden kann. Verschärften Anforderungen hinsichtlich der Zulässigkeit ihrer Verarbeitung im Rahmen datengetriebener Austauschverhältnisse unterliegen nach Art. 9 DSGVO besonders geschützte Kategorien personenbezogener Daten. Von Relevanz sind daneben pseudonymisierte und anonymisierte Daten sowie die hinsichtlich ihres Personenbezugs bedeutenden Fälle der Sach- und Geodaten als auch der statischen und der dynamischen IP-Adresse. Während anonymisierte Daten keinen Personenbezug mehr aufweisen, hängt die Qualifizierung als personenbezogene Daten bei anderen Datenkategorien grundsätzlich von den Umständen des Einzelfalls ab. Im Gegensatz zum Zivilrecht, welches eine Erlaubnis mit Verbotsvorbehalt statuiert, liegt dem Datenschutzrecht ein Verbot mit Erlaubnisvorbehalt zugrunde. Die Erhebung, Verarbeitung und Verwendung personenbezogener Daten erfordern zwingend das Vorliegen eines gesetzlichen oder rechtsgeschäftlichen Erlaubnistatbestands. Als Nukleus datengetriebener Austauschverhältnisse fungiert der rechtsgeschäftliche Erlaubnistatbestand der datenschutzrechtlichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Grundsätzlich wird für das Vorliegen einer datenschutzrechtlichen Einwilligung eine ausdrückliche oder konkludente Handlung
§ 17 Zusammenfassung der Ergebnisse der Arbeit
397
vorausgesetzt, mit der das Datensubjekt zu verstehen gibt, mit der Erhebung und Verarbeitung seiner personenbezogenen Daten einverstanden zu sein. Zu beachten sind dabei die Gebote der Bestimmtheit, der Freiwilligkeit und der Informiertheit sowie die Vorgaben zur Form formularmäßig erteilter Einwilligungen. Liegen die Merkmale des Einwilligungsbegriffes nach Art. 4 Nr. 11 DSGVO nicht vor, ist eine Einwilligung bereits tatbestandlich nicht gegeben. Das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO Besonders umstritten im Hinblick auf die Freiwilligkeit der Einwilligung und von großer Relevanz für datengetriebene Austauschgeschäfte ist das Kopplungsverbot nach Art. 7 Abs. 4 DSGVO i. V. m. EG 43 S. 2, 52 S. 4, 5 DSGVO. Sowohl tatbestandlich als auch auf Rechtsfolgenseite ist unklar, welche Reichweite das Kopplungsverbot aufweist. Abzulehnen ist die Auffassung, welche eine absolute Auslegung des Kopplungsverbots vertritt. Für diese spricht einzig der Wortlaut des EG 43 S. 2 DSGVO, welcher jedoch mit der Generalklausel des Art. 7 Abs. 4 DSGVO sowie dem EG 42 S. 4, 5 DSGVO in Kontext zu setzen ist, wonach vielmehr eine Einzelfallabwägung vorzunehmen ist. Einem absoluten Verständnis des Kopplungsverbots stehen darüber hinaus die Gesetzeshistorie und die allgegenwärtige Praxis entgegen. So zielt das Kopplungsverbot gerade nicht direkt auf Konstellationen ab, in denen die datenschutzrechtliche Einwilligung bewusst als Vertragsbestandteil mit Gegenleistungscharakter vereinbart wurde. Auch bezüglich des Zwecks des Kopplungsverbots als Ausprägung des Freiwilligkeitsgebots sollte ein Verstoß gegen das Kopplungsverbot erst bei einem klaren Ungleichgewicht zwischen Betroffenem und Verantwortlichem angenommen werden, welches eine Zwangslage beim Datensubjekt hervorruft und damit zu einer faktischen Fremdbestimmung des Datensubjekts führt. Dies wird jedoch primär bei essenziellen Verträgen zur Grundversorgung und bei solchen Konstellationen anzunehmen sein, in denen ein monopolartiger Missbrauch einer marktbeherrschenden Stellung nach Art. 102 AEUV durch den Anbieter gegeben ist. Grundsätzlich steht das Kopplungsverbot der Existenz datengetriebener Austauschgeschäfte nicht entgegen. Die Uneinschränkbarkeit des Widerrufsrechts nach Art. 7 Abs. 3 DSGVO Neben dem Kopplungsverbot ist die nach Art. 7 Abs. 3 DSGVO europarechtlich verbürgte freie Widerrufbarkeit der Einwilligung für datengetriebene Austauschverhältnisse von entscheidender Bedeutung. Seitens der DSGVO ist weder ein Ausschluss noch eine Einschränkbarkeit des Widerrufsrechts vorgesehen. Selbst wenn die Einwilligung als Gegenstand einer vertraglichen Leistungspflicht vereinbart wird, kann die Widerruflichkeit der Einwilligung aufgrund der europarechtlichen Vorgaben sowie des hohen Stellenwerts der informationellen Selbstbestimmung nicht eingeschränkt werden. Die jederzeitige Widerruflichkeit der datenschutzrechtlichen Einwilligung stellt ein prägendes Merkmal datengetriebener Austauschverträge dar, welches im geltenden Recht sachgerecht abzubilden
398
Teil 5: Schlussbetrachtungen
und im Rahmen der Untersuchung der Interessenlage der Vertragsparteien zu berücksichtigen ist. Vertragstypologische Einordnung datengetriebener Austauschgeschäfte Der rechtlichen Qualifizierung datengetriebener Austauschverhältnisse wurde in dieser Arbeit die Vertragstypologie zugrunde gelegt. Zur Ermittlung der Stellung eines konkret-faktisch abgeschlossenen Vertrags in dem System der Vertragstypen sind die zwischen den Parteien vereinbarten Rechte und Pflichten, die verfolgten wirtschaftlichen Zwecke sowie die Interessenlage der Parteien entscheidend. Für eine Zuordnung zu den kodifizierten gesetzlichen Vertragstypen ist die Kongruenz des festgestellten Gesamtbildes der getroffenen Absprachen zur abstrakt-generell normierten Situation eines gesetzlichen Vertragstypus festzustellen. Anderenfalls liegt ein atypischer Vertrag vor. Atypische Verträge lassen sich weiter in typen gemischte Verträge sowie Verträge sui generis untergliedern. In Ermangelung einer speziellen gesetzlichen Regelung sind im Ausgangspunkt nur die allgemeinen Regeln des Schuldrechts auf atypische Verträge anzuwenden. Entsprechen sich die bei datengetriebenen Austauschgeschäften herausgearbeitete Zwecksetzung und die festgestellte Interessenlage der abstrakt-generell normierten Grundkonstellation eines gesetzlich geregelten Vertragstypus, ist eine Ausrichtung an den gesetzlichen Regelungen dieses Vertragstypus vorrangig geboten. Führen diese Wege nicht zu einer sachadäquaten Regelung, so können rechtsfortbildend gesetzlich nicht vorgesehene Lösungen in Betracht gezogen werden. Zwecksetzung und Interessenlage datengetriebener Austauschgeschäfte Unter Zugrundelegung des objektiven Empfängerhorizonts der Vertragsparteien und des Inhalts typischer datengetriebener Austauschgeschäfte ist davon auszugehen, dass Datensubjekte von der Funktionsweise datengetriebener Geschäftsmodelle und von der Werthaltigkeit ihrer personenbezogenen Daten nicht nur Kenntnis besitzen, sondern auch die Datenüberlassung und die Erteilung einer Einwilligung zu deren kommerzieller Nutzung bewusst als Gegenleistung für die Erlangung der Anbieterleistung einsetzen. Die Vertragsparteien bezwecken mit der Eingehung datengetriebener Austauschgeschäfte mithin, die Leistung des jeweils anderen Teils zu erhalten. So liegt es im wirtschaftlichen Interesse der Anbieter, möglichst viele und zutreffende personenbezogene Daten über das Datensubjekt zu erlangen und, auf Grundlage der zu erteilenden Einwilligung, zu kommerzialisieren. Um das Geschäftsmodell auf rechtssicherer Basis betreiben zu können, ist zudem als Anbieterinteresse zugrunde zu legen, dass die Rechtmäßigkeit der Datenverarbeitung gewahrt bleibt und die Datenverarbeitung mit der DSGVO vereinbar ist. Auszugehen ist daher grundsätzlich von eigennützigen Beweggründen der Anbieter und davon, dass die geforderte Datenpreisgabe und Einwilligungserteilung eine Gegenleistung für die angebotene Leistung darstellen. Elementares Interesse der Datensubjekte stellt die Erlangung der Anbieterleistung ohne monetäre Gegenleistung
§ 17 Zusammenfassung der Ergebnisse der Arbeit
399
dar. Die Schaltung personalisierter Werbung wird dagegen nur in Ausnahmefällen im Interesse des Datensubjektes liegen. Die durch das Privacy Paradox aufgeworfenen Bedenken bieten grundsätzlich keine Rechtfertigung für eine Aufweichung des Leitbilds eines informierten Verbrauchers im Rahmen des objektiven Empfängerhorizonts. Entsprechende Wissens- und Rationalitätsdefizite sind nicht zu verallgemeinern, da sich Menschen als Individuen generell nicht einheitlich verhalten und durch eine Vielzahl von Beweggründen in ihrem Verhalten beeinflusst werden. Grundannahmen für die rechtliche Bewertung Aufgrund der Struktur datengetriebener Geschäftsmodelle, ihrer Funktionsweise und der Interessenlage der beteiligten Parteien stellen diese grundsätzlich mit Rechtsbindungswillen eingegangene Austauschgeschäfte dar und sind als Vertragsverhältnisse zu qualifizieren. Dies ist insbesondere dann anzunehmen, wenn seitens des Anbieters vorausgesetzt wird, dass das Datensubjekt zur Erlangung der Anbieterleistung dessen AGB zustimmen muss und der Anbieter seine Leistung nur im Rahmen einer rechtlich geregelten Sonderverbindung zur Verfügung stellen wird. Nutzungsbedingungen und Datenschutzerklärungen des Anbieters, welche Regelungen mit Rechtsfolgen für das Vertragsverhältnis zwischen Anbieter und Nutzer beinhalten sowie eine Verarbeitung personenbezogener Daten zu kommerziellen Zwecken auf Basis der Einwilligung des Datensubjekts vorsehen, stellen AGB dar. Im Regelfall der internetbasierten datengetriebenen Austauschgeschäfte wird seitens des Anbieters ein Angebot auf Abschluss eines Vertrags vorliegen. Dieses ist durch die AGB des Anbieters spezifiziert, sodass aus Sicht des objektiven Empfängerhorizonts nach §§ 133, 157 BGB typischerweise ein Vertragsschluss intendiert ist und das Vertragsangebot durch das Datensubjekt, ausdrücklich wie im Fall eines Registrierungsvorgangs bzw. des Downloads und der Installation eines Computerprogramms oder konkludent durch die Inanspruchnahme der Anbieterleistung, angenommen wird. Prägung der Austauschverhältnisse Charakteristisch für datengetriebene Austauschgeschäfte ist die Beliebigkeit der geschuldeten Anbieterleistung im Gegenzug für die datenbasierte Leistung des Datensubjekts. Die Leistung des Anbieters ist somit austauschbar und vom jeweiligen datengetriebenen Geschäftsmodell abhängig. Entscheidend für dessen rechtliche Einordnung ist daher, wie die datenbasierte Leistung des Datensubjekts zu qualifizieren ist und welche Auswirkungen dies auf das Vertragsverhältnis hat. Qualifizierung und dogmatische Struktur der datenbasierten Leistung Den Kern der datenbasierten Leistung des Datensubjekts bildet die Pflicht zur Erteilung der datenschutzrechtlichen Einwilligung zur Gestattung der Datenverarbeitung zu kommerziellen Zwecken. Daneben ist das Datensubjekt zur Überlas-
400
Teil 5: Schlussbetrachtungen
sung der personenbezogenen Daten verpflichtet, deren Erhebung und Verarbeitung dem Anbieter durch die Einwilligung gestattet werden. Die Überlassung notwendiger Daten stellt hingegen im Regelfall eine Obliegenheit des Datensubjekts dar. Die Leistung des Datensubjekts weist zudem Dauerschuldcharakter auf, weshalb datengetriebene Austauschverhältnisse als Dauerschuldverhältnisse einzuordnen sind. Die datenbasierte Gegenleistung des Datensubjekts beinhaltet einerseits die Pflicht zur Einwilligungserteilung sowie andererseits die Pflicht zur Überlassung der personenbezogenen Daten, deren kommerzielle Verarbeitung durch die Einwilligung gestattet wird. Beide Pflichten stellen Hauptleistungspflichten dar, welche der datenbasierten Leistung und damit datenfinanzierten Vertragsverhältnissen ihr charakteristisches Gepräge verleihen. Die datenbasierten Leistungspflichten beinhalten jeweils den Rechtsgrund für das Behalten der erteilten Einwilligung und der zu Kommerzialisierungszwecken überlassenen personenbezogenen Daten sowie einen Leistungsbefehl an das Datensubjekt, die entsprechenden Pflichten zu erfüllen. Als Instrumentarium zur Durchsetzung der Leistungspflichten ist aufgrund der europarechtlichen Vorgaben ausschließlich eine Vorenthaltung der Anbieterleistung durch die Geltendmachung der Einrede des nichterfüllten Vertrags seitens des Anbieters statthaft. Darüber hinaus ist mit den europarechtlichen Vorgaben des Art. 7 Abs. 3 DSGVO sowie des EG 42 S. 5 DSGVO eine Haftung des Datensubjekts auf Schadens- oder Wertersatz unvereinbar, welche sich auf die Verweigerung oder den Widerruf der datenschutzrechtlichen Einwilligung durch das Datensubjekt stützt. Ausgeschlossen ist damit die Ersatzfähigkeit von Schadensposten, die auf einer verpassten Möglichkeit zur Kommerzialisierung der personenbezogenen Daten beruhen, deren Verarbeitung nur auf die Einwilligung gestützt werden könnte. Die Überlassung notwendiger Daten ist dagegen nicht Teil des vertraglichen Synallagmas und besitzt keinen Gegenleistungscharakter. In der Regel ist die notwendige Datenüberlassung als Obliegenheit einzuordnen, welche ausschließlich zum Verlust von Rechten des Datensubjekts führen kann. Entgeltlichkeit datengetriebener Austauschverhältnisse Bei Vorliegen einer datenbasierten Leistung seitens des Datensubjekts, welcher die Erteilung einer datenschutzrechtlichen Einwilligung zur Gestattung der Datenverarbeitung zu kommerziellen Zwecken zugrunde liegt, ist das zwischen Anbieter und Datensubjekt abgeschlossene Vertragsverhältnis als entgeltliches Rechtsgeschäft zu qualifizieren. Die Verpflichtung zur Erbringung einer datenbasierten Leistung schließt sowohl die objektive als auch die subjektive Unentgeltlichkeit datengetriebener Vertragsverhältnisse aus. Die Verarbeitung von personenbezogenen Daten zu kommerziellen Zwecken lässt sich zudem nicht über die gesetzlichen Erlaubnistatbestände der Art. 6 Abs. 1 lit. b, lit. c oder lit. f DSGVO legitimieren. Zur Rechtmäßigkeit der Datenverarbeitung zu kommerziellen Zwecken ist im Rahmen datenfinanzierter Vertragsverhältnisse stets zwingend auf die Einwilligung des Datensubjekts nach Art. 6 Abs. 1 lit. a DSGVO im Rahmen
§ 17 Zusammenfassung der Ergebnisse der Arbeit
401
einer datenbasierten Leistung abzustellen. Die auf unentgeltliche Rechtsgeschäfte anwendbaren Haftungsprivilegierungen und Sondervorschriften sind auf datengetriebene Vertragsverhältnisse mit kommerzieller Zwecksetzung nicht anzuwenden. Im Regelfall wird aufgrund der Interessenlage der Parteien und der kommerziellen Zwecksetzung typischer datengetriebener Austauschgeschäfte mit vollkommen datenfinanziertem Geschäftsmodell eine synallagmatische Verknüpfung von Anbieterleistung und datenbasierter Gegenleistung vorliegen. Vertragstypologische Einordnung datengetriebener Vertragsverhältnisse Zur rechtlichen Einordnung der Gegenleistung des Verbrauchers werden verschiedene Ansätze vertreten. Abzulehnen sind im Ergebnis die Auffassungen, welche eine Unbeachtlichkeit der datenbasierten Gegenleistung für die Qualifizierung datengetriebener Austauschverhältnisse propagieren. Als nicht sachgerecht sind des Weiteren die Ansichten abzulehnen, welche eine tauschrechtliche Qualifizierung der datenbasierten Leistung, die Annahme einer Naturalobligation, das Vorliegen eines Realvertrags oder eine datenschutzrechtliche Verortung des Austauschverhältnisses vertreten. Eine sachgerechte Anknüpfungsmöglichkeit bietet vielmehr eine lizenzvertragliche Qualifizierung der datenbasierten Leistung. Hierfür sprechen im Wesentlichen drei Gründe: Erstens fehlt es an einer Vergleichbarkeit der datenbasierten Gegenleistung mit einer Geldzahlungspflicht in Form einer Wertverschaffungsschuld ohne vertragstypenprägenden Charakter. Zweitens ermöglicht die lizenzvertragliche Qualifizierung eine flexible Anwendung einzelner sachgerechter Normen im Hinblick auf die datenbasierte Leistung, ohne dogmatische Brüche in Kauf nehmen zu müssen. Drittens ist eine lizenzvertrag liche Einordnung schon aus Gründen der Rechtssicherheit geboten, da bereits nach geltendem Recht verschiedene Verträge über die Verwertung von Persönlichkeitsmerkmalen lizenzvertraglich eingeordnet werden und eine davon abweichende Behandlung datengetriebener Austauschgeschäfte kaum zu rechtfertigen ist. Je nach Ausgestaltung der Anbieterleistung und des Pflichtenprogramms im Einzelfall sind datengetriebene Austauschgeschäfte entweder als typengemischte Verträge mit atypischer Gegenleistung oder als Verträge sui generis zu qualifizieren, auf die im Ausgangspunkt die Vorschriften des Allgemeinen Teils des BGB und des Schuldrechts, einschließlich der Vorschriften über Dauerschuldverhältnisse, sowie die Regelungen für gegenseitige Verträge anzuwenden sind. Allgemeine Aspekte der Leistungspflichten Im Hinblick auf die Erteilung einer datenschutzrechtlichen Einwilligung als Leistungsgegenstand im Rahmen datengetriebener Austauschverhältnisse ist eine Anwendung sowohl des Trennungsprinzips als auch des Abstraktionsprinzips sachgerecht. Die Erteilung der Einwilligung als verfügungsähnliches Rechtsgeschäft und der zugrundeliegende Schuldvertrag sind voneinander zu unterscheiden und auch die Wirksamkeit der Einwilligungserteilung ist unabhängig von der Wirk-
402
Teil 5: Schlussbetrachtungen
samkeit des Verpflichtungsgeschäfts zu beurteilen. Hierfür sprechen die europarechtlichen Vorgaben der DSGVO betreffend die Wirksamkeit der Einwilligung wie auch die Möglichkeit eines zeitlichen Auseinanderfallens von Schuldvertrag und Einwilligungserteilung. Auch aus Gründen der Rechtssicherheit ist die Geltung des Trennungs- und Abstraktionsprinzips zu befürworten, da hierdurch das Verhältnis von schuldrechtlichem Vertragsverhältnis und datenschutzrechtlicher Einwilligung präzise bestimmt und beurteilt werden kann. Die Erteilung der Einwilligung kann im Fall des Fehlens der Einwilligungs fähigkeit durch die gesetzlichen Vertreter in Stellvertretung vorgenommen werden. In Bezug auf das Vertragsverhältnis gelten hingegen die Vorschriften des BGB über die Geschäftsfähigkeit, welche bei Minderjährigen durch Art. 8 DSGVO modifiziert werden. Aufgrund des höchstpersönlichen Charakters der Einwilligungserteilung als Disposition über das Recht auf informationelle Selbstbestimmung ist dabei von einer Doppelzuständigkeit von gesetzlichem Vertreter und Minderjährigem bei Eingehung des Verpflichtungsgeschäfts auszugehen. Auf datengetriebene Austauschverhältnisse wird nach der bisher geltenden und auch nach der zukünftigen Rechtslage unter der VerbRRL n. F. sowie des BGB-E das Verbraucherschutzrecht nach den §§ 312 ff., 355 ff. BGB anzuwenden sein. Im Hinblick auf die Rückgewähr der datenbasierten Leistung im Widerrufsfall gilt: De lege lata wie auch de lege ferenda bewirkt die Ausübung des verbraucherrechtlichen Widerrufsrechts primär als Folgen die Beendigung des zugrundeliegenden Verpflichtungsgeschäfts für die Zukunft und die Rückgewähr der datenbasierten Leistung im Rahmen der Betroffenenrechte der DSGVO. Eine darüber hinausgehende Verpflichtung des Anbieters zu einem Wertersatz für eine bereits abgeschlossene Monetarisierung personenbezogener Daten ist dagegen abzulehnen. Inhalt der datenbasierten Leistungspflichten Die Verpflichtung zur Datenüberlassung wie auch die Pflicht zur Erteilung der Einwilligung werden in der Regel verhaltensbezogen ausgestaltet sein. Die Vereinbarung einer datenbasierten Leistung verpflichtet das Datensubjekt im Regelfall nur zur Duldung der Erhebung und Verarbeitung von personenbezogenen Daten zu kommerziellen Zwecken sowie zur Erteilung einer vereinbarungsgemäßen Einwilligung. Ein darüber hinausgehender Leistungserfolg in Form der aktiven Überlassung bestimmter personenbezogener Daten oder der Wirksamkeit der zu erteilenden Einwilligung wird seitens des Datensubjekts typischerweise nicht geschuldet. In Bezug auf die Leistungszeit und den Leistungsort ist auf die Vorschriften der § 271 BGB sowie § 269 BGB abzustellen. In Ermangelung einer abweichenden Vereinbarung nach § 271 Abs. 1 BGB kann der Anbieter datengetriebener Austauschgeschäfte die datenbasierte Leistung grundsätzlich sofort verlangen. Der Leistungsort liegt, soweit keine anderweitige Vereinbarung vorliegt, am Wohnsitz des Datensubjekts. Die Erfüllungswirkung der datenbasierten Leistung tritt typischerweise dann ein, wenn die personenbezogenen Daten den Datenspeicher
§ 17 Zusammenfassung der Ergebnisse der Arbeit
403
des seitens des Anbieters vorgesehenen Endsystems erreicht haben. Der Erfolgsort wird daher im Regelfall nicht beim Schuldner, sondern beim Gläubiger liegen, was einer Schickschuld entspricht. Innerhalb der durch die §§ 134, 138 BGB aufgestellten Grenzen der Vertragsfreiheit lassen sich die datenbasierten Leistungspflichten nicht nur inhaltlich beliebig ausgestalten, es kann auch eine bestimmte Beschaffenheit der zu überlassenden Daten vereinbart werden. Entsprechende Individualvereinbarungen können zulässig getroffen werden und berechtigen im Fall ihrer Nichterfüllung den Anbieter grundsätzlich zur Geltendmachung der Einrede des nichterfüllten Vertrags. Erleidet der Anbieter durch die Überlassung vertragswidriger Daten eine Einbuße an seinen Rechtspositionen, kann dies eine Haftung des Datensubjekts begründen oder den Anbieter zur Beendigung des Vertragsverhältnisses berechtigen. In Ermangelung einer Vereinbarung zur Beschaffenheit der zu überlassenden Daten schuldet das Datensubjekt gemäß § 243 Abs. 1 BGB analog eine Überlassung von personenbezogenen Daten mittlerer Art und Güte. Abhängig von den Umständen des konkreten Einzelfalls der getroffenen Vereinbarung und von der Funktionsweise des jeweiligen datengetriebenen Geschäftsmodells wird auf unterschied liche Kriterien bei der inhaltlichen Konkretisierung von § 243 Abs. 1 BGB analog abzustellen sein. Eine Überlassung von personenbezogenen Daten, die nicht den Anforderungen an eine Leistung mittlerer Art und Güte genügen, stellt keine vertragsgemäße Leistungserbringung seitens des Datensubjekts dar und berechtigt den Anbieter als Folge zur Geltendmachung der Einrede des nichterfüllten Vertrags sowie zur Geltendmachung von Ersatzansprüchen gegenüber dem Datensubjekt. Auswirkungen von Störungen der datenbasierten Leistung Die Folgen von Störungen, welche die Leistung des Datensubjekts betreffen, werden besonders stark durch die Vorgaben des europäischen Datenschutzrechts beeinflusst. Sowohl die Verweigerung als auch das Zurückziehen der Einwilligung stellen aufgrund des europarechtlichen Freiwilligkeitspostulats, verkörpert durch die in Art. 7 Abs. 3 S. 1 DSGVO sowie EG 42 S. 5 DSGVO enthaltenen Vorgaben, keine Pflichtverletzung dar. Nach geltender Rechtslage steht einer klageweisen Erzwingung der Pflicht zur Einwilligungserteilung wie auch der Pflicht zur Überlassung personenbezogener Daten, deren kommerzielle Verarbeitung durch die Einwilligung legitimiert wird, der dolo-agit-Einwand nach § 242 BGB entgegen. Wenn eine datenbasierte Leistung gefordert wird, welche die Verarbeitung höchstpersönlicher Daten legitimieren soll (und soweit die datengetriebenen Vertragsverhältnisse nicht bereits nach den §§ 134, 138 BGB – zum Teil – nichtig sind), kann deren Durchsetzung im Einzelfall auch an § 275 Abs. 3 BGB scheitern. Im Fall der Nichterfüllung oder des Entfallens der datenbasierten Leistungspflichten infolge von Unmöglichkeit dürfen Datensubjekte grundsätzlich keine über den Verlust der Anbieterleistung hinausgehenden Nachteile als Folge ihrer Nichterbringung erleiden. Sekundäransprüche, die zu einer Haftung des Datensubjekts infolge einer
404
Teil 5: Schlussbetrachtungen
verwehrten Kommerzialisierung der Daten aufgrund von Nichtüberlassung führen würden, wie auch das Vorliegen eines Rücktrittsrechts des Anbieters deswegen, sind somit ausgeschlossen. Zulässig ist in diesen Fällen nur die Geltendmachung der Einrede des nichterfüllten Vertrags nach § 320 Abs. 1 BGB durch den Anbieter. Inwieweit – nach der Verweigerung oder Zurückziehung der Einwilligung oder der Nichterfüllung der Pflicht zur Datenüberlassung – der Anbieter zur Kündigung des Austauschverhältnisses nach § 314 Abs. 1 BGB bzw. §§ 581 Abs. 2, 543 Abs. 1, Abs. 2 Nr. 1 BGB berechtigt ist, hängt von einer Interessenabwägung im Einzelfall ab. Während bei Nichterteilung oder beim Widerruf der datenschutzrechtlichen Einwilligung aufgrund ihrer Bedeutung für das datengetriebene Austauschverhältnis grundsätzlich ein wichtiger Kündigungsgrund vorliegen wird, stellt die bloße Verweigerung der Datenüberlassung eine Vertragsverletzung von geringerer Intensität dar, die nur in schwerwiegenden Fällen ein weiteres Festhalten am Vertrag unzumutbar werden lässt. Weitere mögliche zivilrechtliche Folgen des Widerrufs der Einwilligung für das zugrundeliegende Vertragsverhältnis – wie die Annahme einer auflösenden Bedingung nach § 158 Abs. 2 BGB im Fall des Einwilligungswiderrufs, die Annahme einer Störung der Geschäftsgrundlage nach § 313 BGB oder eine Nichtigkeit nach § 139 BGB – werden in der Regel nicht den Interessen und dem Willen der Vertragsparteien entsprechen und nur in besonderen Ausnahme fällen angenommen werden können. Wurden vertragswidrige Daten überlassen, kann der Anbieter in erster Linie wiederum die Einrede des nichterfüllten Vertrags geltend machen. Bei der Verletzung von Schutzpflichten i. S. v. § 241 Abs. 2 BGB kann der Anbieter jedoch auch gemäß § 324 BGB zum Rücktritt berechtigt sein und es können Schadensersatz ansprüche gegen das Datensubjekt bestehen. Überlässt das Datensubjekt nach Eingehung des Vertrags notwendige personenbezogene Daten nicht oder nicht wie geschuldet, verliert das Datensubjekt im Falle des Vorliegens einer bloßen Obliegenheit seinen Anspruch auf die Anbieterleistung oder andere, dem Datensubjekt gewährte Vorteile. Ist die Überlassung notwendiger Daten hingegen als Nebenleistungspflicht zu qualifizieren, kann der Anbieter darüber hinaus zum Rücktritt sowie zur Geltendmachung von Schadensersatz berechtigt sein. Bei einem endgütigen Ausbleiben der Überlassung der notwendigen Daten wird die Anbieterleistung nach § 275 Abs. 1 BGB wegen Unmöglichkeit der Leistungserbringung aus technischen Gründen ausgeschlossen sein, wobei das Schicksal der Gegenleistungspflicht des Datensubjekts an § 326 Abs. 2 BGB zu messen ist. Auswirkungen von Störungen der Anbieterleistung Eine Unmöglichkeit der Leistungserbringung durch den Anbieter nach § 275 Abs. 1 BGB wird insbesondere dann anzunehmen sein, wenn die Anbieterleistung sich ohne die Erteilung einer wirksamen datenschutzrechtlichen Einwilligung nicht rechtmäßig erbringen lässt. Als Folge der Unmöglichkeit der Anbieterleistung entfallen grundsätzlich nach § 326 Abs. 1 S. 1 BGB auch die datenbasierten Leis-
§ 17 Zusammenfassung der Ergebnisse der Arbeit
405
tungspflichten des Datensubjekts, soweit diese nicht bereits aus anderen Gründen unwirksam sind. Liegen die Voraussetzungen von § 326 Abs. 2 BGB vor, besteht die Gegenleistungspflicht des Datensubjekts – mit den diese allgemein treffenden Schwächen – dagegen fort. Die DIRL weist, wie auch der Gesetzesentwurf der BReg zur Umsetzung der Richtlinie für die rechtliche Behandlung von Störungen der datenbasierten Leistung, hingegen nur geringe Relevanz auf und hat auf die vertragstypologische Qualifizierung datengetriebener Vertragsverhältnisse keinen Einfluss. Dem Verbraucher stehen, im Rahmen des begrenzten Anwendungsbereichs der DIRL und der §§ 327 ff. BGB-E, dabei die Rechtsbehelfe der Herstellung des vertragsgemäßen Zustands sowie der Vertragsbeendigung zu, wenn die Unternehmerleistung im Rahmen datengetriebener Vertragsverhältnisse nicht oder vertragswidrig erbracht wurde. Übt der Verbraucher sein nach der DIRL bestehendes Recht auf Vertragsbeendigung aus, hat der Unternehmer, in Bezug auf die datenbasierte Leistung des Verbrauchers, wie im Rahmen des verbraucherrechtlichen Widerrufsrechts die Vorgaben der DSGVO einzuhalten. Eine Wertersatzpflicht für eine bereits erfolgte Monetarisierung von personenbezogenen Daten ist wiederum nicht vorgesehen. Besondere Relevanz für datengetriebene Vertragsverhältnisse kommt § 327q BGB-E zu, welcher sich mit den Auswirkungen datenschutzrechtlicher Erklärungen des Verbrauchers auf das zugrundeliegende Vertragsverhältnis befasst. § 327q BGB-E ist im Einzelnen dabei sowohl hinsichtlich der Sinnhaftigkeit seiner Regelungen als auch der Begrenzung des persönlichen und sachlichen Anwendungsbereichs auf datengetriebene Verbraucherverträge, welche die Bereitstellung digitaler Produkte zum Gegenstand haben, erheblichen Bedenken ausgesetzt und überarbeitungsbedürftig.
Schranken der Vertragsfreiheit Die Freiheit, datenbasierte Leistungspflichten als Vertragsgegenstand zu vereinbaren, wird durch die Schranken des Verbots sittenwidriger Vereinbarungen nach § 138 BGB, die Sanktionierung von Verstößen gegen gesetzliche Verbote nach § 134 BGB sowie, bei Vorliegen von formularmäßig getroffenen Vereinbarungen, durch das Recht der Allgemeinen Geschäftsbedingungen nach den §§ 305 ff. BGB eingeschränkt. Gemäß § 134 BGB ist demnach insbesondere Rechtsgeschäften die Wirksamkeit zu versagen, die bezwecken, speziell den Zugriff auf bestimmte personenbezogene Daten zu ermöglichen, die Nichtberechtigten nach zwingendem Recht unzugänglich bleiben sollen. Auch die Vereinbarung von mit der DSGVO unvereinbaren datenbasierten Leistungspflichten fällt hierunter. Unter Berücksichtigung eines konkreten Verstoßes gegen Bestimmungen der DSGVO, welche Verbotsgesetze darstellen können, sind damit unvereinbare Rechtsgeschäfte als nichtig zu erachten. In diesen Fällen ist, entgegen der Zweifelsregel von § 134 BGB, grundsätzlich nicht von einer Gesamtnichtigkeit des Vertragsverhältnisses
406
Teil 5: Schlussbetrachtungen
als Rechtsgeschäft auszugehen, sondern nur von einer Nichtigkeit der Verpflichtungen des Datensubjekts. Der Sittenwidrigkeitskontrolle nach § 138 BGB verbleibt aufgrund ihrer Subsidiarität zu den §§ 134, 305 ff. BGB nur ein geringer Anwendungsbereich. Allein aus der Vereinbarung einer datenbasierten Leistung kann als Folge der rechtlichen Anerkennung einer kommerziellen Datenverarbeitung noch kein Sittenwidrigkeitsverdikt abgeleitet werden. Möglich erscheint dagegen das Vorliegen eines sittenwidrigen Rechtsgeschäfts, wenn Anbieter ihre Marktmacht oder Monopolstellung dazu nutzen, sich unbillige Vorteile zu verschaffen. Auch kann sich die Sittenwidrigkeit des Rechtsgeschäfts in speziellen Konstellationen aus einem auffälligen Missverhältnis zwischen der Anbieterleistung und der datenbasierten Gegenleistung ergeben. Als Rechtsfolge der Sittenwidrigkeit nach § 138 Abs. 1 BGB ist aus den bereits bei § 134 BGB angestellten Erwägungen eine Gesamtnichtigkeit des Vertragsverhältnisses als nicht sachgerecht abzulehnen und eine Beschränkung der Nichtigkeitsfolge auf die datenbasierten Leistungspflichten des Datensubjekts vorzugswürdig. Von besonderer Bedeutung für die Behandlung datengetriebener Austausch geschäfte ist – aufgrund der überwiegenden Verwendung von Nutzungsbedingungen und Datenschutzerklärungen zur Regelung des Pflichtenprogramms der Parteien – das Recht der Allgemeinen Geschäftsbedingungen nach den §§ 305–310 BGB. Bei der Einbeziehung entsprechender Klauselwerke sind regelmäßig die Besonderheiten des Vertragsschlusses über das Internet zu beachten. Infolge der Etablierung datengetriebener Austauschgeschäfte wird bei der Vereinbarung typischer datenbasierter Leistungspflichten, wie auch bei der datenschutzrechtlichen Einwilligung, davon auszugehen sein, dass entsprechende Klauseln bei korrekter Hervorhebung keinen Verstoß gegen das Verbot überraschender und mehrdeutiger Klauseln nach § 305c Abs. 1 BGB begründen. Die formularmäßige Statuierung der datenbasierten Leistungspflichten ist gemäß § 307 Abs. 3 S. 1 BGB in ihrem Kern der Inhaltskontrolle entzogen. Entgegen der zur früheren Rechtslage vertretenen Auffassung des BGH ist der Grund hierfür jedoch nicht, dass entsprechende, den datenschutzrechtlichen Anforderungen genügende Klauseln als deklaratorische Klauseln lediglich die geltende Rechtslage abbilden würden, sondern dass diese als kontrollfeste Leistungsbeschreibungen die Art und den Umfang der vertraglichen Hauptleistung des Datensubjekts festlegen. Der Inhaltskontrolle nach den §§ 307–309 BGB unterworfen sind innerhalb datengetriebener Austauschgeschäfte damit nur Klauseln, welche nicht unmittelbar den Leistungsgegenstand betreffen, sondern die datenbasierte Leistung als ergänzende Regelungen einschränken, verändern, ausgestalten oder modifizieren. Weiterhin anzuwenden auf den kontrollfesten Teil der datenbasierten Leistungspflichten ist dagegen die Transparenzkontrolle nach § 307 Abs. 1 S. 2 BGB. Unwirksam sind mithin insbesondere Klauseln, welche Pauschaleinwilligungen für unbestimmte Verarbeitungszwecke enthalten oder dem Datensubjekt wesentliche Informationen über den Umfang der Datenverarbeitung vorenthalten. Sind AGB zur Gänze oder teilweise nicht Vertrags
§ 17 Zusammenfassung der Ergebnisse der Arbeit
407
bestandteil geworden oder unwirksam, bleibt gemäß § 306 Abs. 1 BGB der Vertrag im Übrigen – wie auch die datenschutzrechtlich zu beurteilende Wirksamkeit der Einwilligung – davon unberührt. Abzulehnen ist mit der herrschenden Meinung eine geltungserhaltende Reduktion der Datenpreisgabe auf ein angemessenes Maß. Zur Erhaltung des Sanktionszwecks des AGB-Rechts haben dem Datensubjekt unter Vorbehalt von § 306 Abs. 3 BGB grundsätzlich die aus dem Vertrag erlangten Vorteile erhalten zu bleiben. Als weitere Konsequenzen aus der Verwendung einer unwirksamen Klausel können dem Verwender auch Ersatzansprüche und eine Verbandsklage nach dem UKlaG drohen. Kondiktion der datenbasierten Leistung nach dem Bereicherungsrecht Eine Kondiktion der Nutzung personenbezogener Daten ist sowohl im Rahmen einer Leistungskondiktion nach § 812 Abs. 1 S. 1 Alt. 1, S. 2 Alt. 1 BGB als auch einer Eingriffskondiktion nach § 812 Abs. 1 S. 2 Alt. 2 BGB möglich. In diesem Zusammenhang besitzt das Datensubjekt die ausschließliche kommerzielle Verwertungsmöglichkeit im Hinblick auf die es betreffenden Daten, womit eine Rechtsposition mit Zuweisungsgehalt vorliegt, in die seitens des Anbieters eingegriffen werden kann. Gerade aufgrund des technologischen Wandels und der Etablierung datengetriebener Austauschgeschäfte kommt nicht nur den Persönlichkeitsmerkmalen prominenter Personen ein Vermögenswert zu, sondern auch den Persönlichkeitsmerkmalen nicht prominenter Personen. In besonderen Ausnahmefällen kann auch eine condictio ob rem nach § 812 Abs. 1 S. 2 Alt. 2 BGB vorliegen. Für bereits kommerzialisierte Daten ist der Anbieter aufgrund der Beschaffenheit der – durch die datenbasierte Leistung nicht in Natur zurückgewährbaren – Kommerzialisierungsmöglichkeit zum Ersatz des objektiven Verkehrswertes der Leistung nach 818 Abs. 2 Var. 1 BGB verpflichtet. Geschuldet ist die Zahlung einer angemessenen, marktüblichen Lizenzgebühr, welche sich nach dem objektiven Wert der Nutzung der personenbezogenen Daten bemisst. Lassen sich keine vergleichbaren markt üblichen Sätze für eine Lizenzgebühr ermitteln, so kann die Höhe des Wertersatzes gemäß § 287 ZPO geschätzt werden, wobei alle Umstände des konkreten Falls zu berücksichtigen sind. Bestimmung des Wertes personenbezogener Daten Die Wertbestimmung personenbezogener Daten weist derzeit nicht nur Schwierigkeiten bei der Bemessung der Höhe von Schadens- und Wertersatzansprüchen auf, sondern befindet sich auch in der Wirtschaftswissenschaft noch in ihren Anfängen. Etablierte Ansätze für eine einheitliche Wertbestimmung existieren noch nicht. So ist der konkrete Wert personenbezogener Daten nicht nur vom jeweiligen Anlass ihrer finanziellen Bewertung und der verwendeten Bewertungsmethode abhängig, sondern von einer Vielzahl von Kriterien, welche den anzusetzenden Datenwert beeinflussen können. Weiter ist davon auszugehen, dass der Wert der überlassenen personenbezogenen Daten mit der Anzahl der Datensätze über eine
408
Teil 5: Schlussbetrachtungen
natürliche Person und dem Grad der Nutzeridentifikation exponentiell steigt. Für die Bewertung einer datenbasierten Leistung eignet sich der marktorientierte Ansatz am besten, wonach sich der Wert der Nutzung bestimmter personenbezogener Daten durch die Analyse ähnlicher Transaktionen vergleichbarer immaterieller Güter oder anhand des Marktwerts im Rahmen des professionellen Datenhandels bestimmen lässt. Dem Marktansatz liegt also zugrunde, dass sich auf einem kompetitiven Markt ein Gleichgewichtspreis einstellen kann, welcher sich als Mittelwert aus Angebot und Nachfrage ergibt, was oftmals auch der Praxis der Preisfindung für personalisierte Werbeflächen im Rahmen datengetriebener Geschäftsmodelle entspricht. De lege lata ist eine Wertbestimmung der Nutzung personenbezogener Daten damit zwar Schwierigkeiten ausgesetzt, aber nicht per se unmöglich.
§ 18 Befund der rechtlichen Qualifizierung Wenn auch die rechtliche Erfassung datengetriebener Geschäftsmodelle noch in den Kinderschuhen steckt und personenbezogene Daten sich ihre Anerkennung als Immaterialgut mit Vermögenswert erst infolge des Aufkommens der allumfassenden Datenverarbeitung und der Digitalisierung erkämpfen mussten, werden immer mehr Aspekte des digitalen Zeitalters seitens der Wirtschaftswissenschaft wie auch der Rechtswissenschaft auf ein festeres Fundament gestellt. Angetrieben durch die gesetzgeberische Tätigkeit der Europäischen Union2293 wurde der Versuch gestartet, viele bislang überwiegend den wirtschaftlichen und technologischen Innovationen der Praxis überlassene Lebensbereiche einer rechtlichen Regelung zuzuführen.2294 Neben der Umsetzung des oft nur sektoriell geltenden europäischen Richtlinienrechts ins nationale Recht ist die Schwierigkeit, welche 2293
Zur legislativen Agenda der EU zur Schaffung eines digitalen Binnenmarkts und zum Aufbau einer europäischen Datenwirtschaft: Europäische Kommission, Eine Digitale Agenda für Europa, KOM(2010)245 endgültig, 2010, 44 ff.; Europäische Kommission, Strategie für einen digitalen Binnenmarkt für Europa, COM(2015) 192 final, 2015, 23; Europäische Kommission, Ein modernes Vertragsrecht für Europa, COM(2015) 633 final, 2015, 3 ff.; Europäische Kommission, Aufbau einer Europäischen Datenwirtschaft, COM(2017) 9 final, 2017, 2–5; Europäische Kommission, Eine europäische Datenstrategie, COM(2020) 66 final, 2020, 4 ff., 30 ff. 2294 Als nächster Legislativakt wurde seitens der Europäischen Kommission am 25. 11. 2020 der Vorschlag für eine europäische Verordnung zur Regelung der Daten-Governance eingebracht. Primärer Regelungsgegenstand der Verordnung ist die Sekundärnutzung von Daten, welche sich in der Hand des öffentlichen Sektors befinden, und die Schaffung eines Registers für datenaltruistische Organisationen, welches die Bereitstellung von Daten zum Zwecke des Allgemeinwohls erleichtern soll. Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über europäische Daten-Governance, COM(2020) 767 final, 2020. Am 15. 12. 2020 wurden zudem seitens der Europäischen Kommission zwei Verordnungsentwürfe zur Regulierung von digitalen Diensten und digitalen Märkten veröffentlicht, durch welche insbesondere ein moderner Rechtsrahmen für Internetplattformen und Tech-Konzerne mit erheblicher Marktmacht geschaffen werden soll. Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über einen Binnenmarkt für digitale
§ 18 Befund der rechtlichen Qualifizierung
409
bei der Einordnung digitaler Innovationen und Geschäftsmodelle überwunden werden muss, die Integrierung informationstechnologischer Entwicklungen in das Rechtssystem des nicht für digitale Vertragsverhältnisse konzipierten BGB.2295 Viele Aspekte des Umgangs mit personenbezogenen Daten als Rechtsobjekt sind noch nicht geklärt und unterfallen – wie die Frage einer eigentumsähnlichen oder immaterialgüterrechtlichen Einordnung – der rechtspolitischen Prärogative des Gesetzgebers. Im Rahmen dieser Arbeit konnte jedoch aufgezeigt werden, dass das geltende Privatrecht in der Lage ist, einen sachgerechten Rechtsrahmen für die zivilrechtliche Behandlung datengetriebener Austauschgeschäfte bereitzustellen und deren datenschutzrechtliche Eigentümlichkeiten zu bewältigen. So gewährleisten die verfassungsrechtlichen Verbürgungen der Privatautonomie und der hieraus abgeleiteten Vertragsfreiheit bereits de lege lata sowohl das Betreiben datengetriebener Geschäftsmodelle als auch die Kommerzialisierung von personenbezogenen Daten durch die betroffenen Personen.2296 Das zum Schutz der informationellen Selbstbestimmung gesponnene Netz des Datenschutzrechts gestattet es, innerhalb des bestehenden Rechtsrahmens personenbezogene Daten und die zu ihrer kommerziellen Nutzung erforderliche Einwilligung als Vertrags- und Leistungsgegenstände einzuordnen.2297 Das zwingende Erfordernis der Erteilung der datenschutzrechtlichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO stellt gerade für datenfinanzierte Vertragsverhältnisse das wesentliche Charakteristikum dar.2298 Datenschutzrechtlich geprägt wird das Vertragsverhältnis wesentlich durch die seitens der DSGVO und der informationellen Selbstbestimmung gesetzten Grenzen der Uneinschränkbarkeit des Widerrufsrechts nach Art. 7 Abs. 3 DSGVO sowie des Freiwilligkeitspostulats der Einwilligung nach EG 42 S. 5 DSGVO.2299 In der Arbeit wurde aufgezeigt, dass datengetriebenen Austauschgeschäften keine altruistische Zwecksetzung zugrunde liegt, sondern sowohl Anbieter als auch Datensubjekte wirtschaftliche Interessen bei der Eingehung des Austauschverhältnisses verfolgen.2300 Angesichts der rasanten informationstechnologischen Entwicklung und der steigenden Werthaltigkeit personenbezogener Daten lässt sich auch ein zunehmendes Bewusstsein der Datensubjekte vom Wert und den kommerziellen Verwendungsmöglichkeiten der sie betreffenden Daten kaum noch bestreiten. Zwar können, wie bei allen Transaktionen, auf Seiten einer Partei Wissens- und Rationalitätsdefizite bestehen, falsch ist es jedoch, von Einzelfällen Dienste, COM(2020) 825 final, 2020; Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über bestreitbare und faire Märkte im digitalen Sektor, COM(2020) 842 final, 2020. Hierzu Schmid / Grewe, MMR 2021, 279; Spindler, GRUR 2021, 545; Spindler, GRUR 2021, 653. 2295 Zur Problematik der rechtlichen Einordnung disruptiver Technologien in das Privatrecht siehe oben S. 156 f. sowie oben bei Fn. 892. 2296 Hierzu oben S. 83 ff., 99 f. 2297 Hierzu oben S. 100 ff. 2298 Siehe oben S. 178 f., 193 ff., 217 ff. 2299 Siehe oben S. 141 ff., 244 ff., 254 ff. 2300 Siehe oben S. 165 ff.
410
Teil 5: Schlussbetrachtungen
ausgehend damit pauschalierend einen Schluss auf das Normative zu ziehen. Ein derartiger Schluss vom Faktischen auf das Normative widerspricht nicht nur der rechtlich einzunehmenden Perspektive des objektiven Empfängerhorizonts, sondern auch dem allgemeinen Wissen davon, dass datengetriebene Geschäftsmodelle zunehmend Wirtschaft und Gesellschaft durchdringen.2301 Unter Zugrundelegung der Methodik der Vertragstypologie wurde unter Berücksichtigung der festgestellten Interessenlage herausgearbeitet, dass datenfinanzierte Austauschgeschäfte entgeltliche Rechtsgeschäfte in Form von Dauerschuldverhältnissen darstellen, welche in der Regel durch im Synallagma stehende Leistungspflichten von Anbieter und Datensubjekt geprägt sind.2302 Für die Qualifizierung der datenbasierten Leistung des Datensubjekts kommt derzeit nach geltendem Recht nur eine lizenzvertragliche Einordnung als flexible Anknüpfungslösung in Betracht.2303 Abhängig von ihrer konkreten Ausgestaltung sind datengetriebene Vertragsverhältnisse den typengemischten Verträgen mit atypischer Gegenleistung oder den Verträgen sui generis zuzuordnen.2304 Ausgehend von diesem Befund kann, unter Würdigung der datenschutzrechtlichen Besonderheiten, das typische Pflichtenprogramm der datenbasierten Leistung konkretisiert sowie für sämtliche Aspekte des Leistungsstörungsrechts eine angemessene Lösung herausgearbeitet werden.2305
§ 19 Kodifikationsbedarf und Ausblick de lege ferenda De lege lata ist zu konstatieren, dass kein besonderer Kodifikationsbedarf besteht, um datengetriebene Vertragsverhältnisse sachgerecht im Zivilrecht abzubilden. Die vom Länderarbeitsbericht vorgeschlagene Anwendung der „ButtonLösung“ nach § 312j Abs. 2, 3 BGB auf die datenbasierte Gegenleistung, wie auch eine Erweiterung des Anwendungsbereichs von § 312a Abs. 3 BGB, ist nicht mit der Neufassung der VerbRRL zu vereinbaren und wurde richtigerweise auch von dem Gesetzesentwurf der BReg nicht übernommen.2306 Auch die zu befürwortende Normierung der Unklagbarkeit der Einwilligung und der Unvereinbarkeit mittelbarer Nachteile, wie von Sekundäransprüchen bei Verweigerung oder Widerruf der Einwilligung, würde aufgrund der geltenden Rechtslage allein deklaratorische Klarstellungsfunktion besitzen.2307 Dasselbe gilt, aufgrund der festgestellten Entgeltlichkeit einer datenbasierten Leistung, für den Vorschlag des Länderarbeitsberichts, eine gesetzliche Klarstellung zu schaffen, sodass es nicht als Nachteil des 2301
Siehe oben S. 182 ff. Siehe oben S. 187 ff., 205, 235 f., 251 f. 265 f. 2303 Siehe oben S. 282 ff. 2304 Siehe oben S. 289 f. 2305 Siehe oben S. 293, 312 ff., 320 ff. 2306 Siehe oben S. 310 ff. 2307 Siehe oben S. 321 ff., 326 ff., 333 ff. 2302
§ 19 Kodifikationsbedarf und Ausblick de lege ferenda
411
Nutzers zu werten ist, wenn dieser keine monetäre Gegenleistung in Form von Geld, sondern eine datenbasierte Gegenleistung erbringt.2308 Ein ordnungspolitisches Eingreifen des Zivilrechtsgesetzgebers, wie beispielsweise von Schmidt-Kessel / Grimm gefordert, in Form der Schaffung eines allgemeinen Datenschuldrechts ist damit, unter Zugrundelegung des in dieser Arbeit vertretenen Regelungskonzepts, im Hinblick auf die datenbasierte Leistung nicht zwingend notwendig.2309 Unvereinbar mit der DSGVO ist, nach momentaner Rechtslage, der Vorschlag einer Stufenleiter innerhalb der datenschutzrechtlichen Erlaubnistatbestände in Gestalt einer teleologischen Reduktion von Art. 7 Abs. 3 DSGVO.2310 Erheblichen Bedenken ausgesetzt ist des Weiteren § 327q BGB-E des Gesetzesentwurfs zur Umsetzung der DIRL, welcher sowohl hinsichtlich des persönlichen als auch des sachlichen Anwendungsbereichs zu erweitern ist und in seiner gegenwärtigen Fassung zu einer kaum rechtfertigbaren Aufspaltung des auf datengetriebene Vertragsverhältnisse anzuwendenden Rechts führt.2311 Eine alsbaldige Neukonzeption des zivilrechtlichen Rechtsrahmens durch den Gesetzgeber ist insbesondere der Schwierigkeit ausgesetzt, dass sich die rechtswissenschaftliche Diskussion zur zivilrechtlichen Behandlung datengetriebener Austauschgeschäfte noch in der Anfangsphase befindet und die Rechtsprechung sich bislang nur oberflächlich mit der Materie auseinandergesetzt hat.2312 Auch im Hinblick auf das Verhältnis zwischen den gesetzlichen Erlaubnistatbeständen und der Einwilligung gemäß der DSGVO besteht noch höchstrichterlicher Klärungsbedarf.2313 Inwieweit de lege ferenda ein zivilrechtlicher Kodifikationsbedarf entsteht, wird vor allem von der weiteren technologischen Entwicklung, dem Aufkommen weiterer grundrechtsrelevanter Verarbeitungsmöglichkeiten personenbezogener Daten sowie der Etablierung von Märkten für personenbezogene Daten und deren Wertbestimmung abhängig sein.2314 Bis dahin hat die Rechtswissenschaft ihre die Rechtspraxis begleitende und neue Entwicklungen in den Bereichen der Informationstechnologie rezipierende und rechtlich einordnende Rolle wahrzunehmen.
2308
Vgl. Länderarbeitsgruppe, „Digitaler Neustart“ – Bericht vom 15. 05. 2017, 224, 225. Vgl. Schmidt-Kessel / Grimm, ZfPW 2017, 84, 107, 108. 2310 Siehe oben S. 151 ff. 2311 Siehe oben S. 344 ff. 2312 Siehe oben Fn. 1154, 1431, 1694. 2313 Siehe oben S. 217 ff. Insbesondere die Auslegung von Art. 6 Abs. 1 lit. f DSGVO bedarf noch einer Konkretisierung. Hierzu oben S. 230 ff. 2314 Siehe oben S. 386 ff. 2309
Literaturverzeichnis Acquisti, Alessandro / Taylor, Curtis / Wagman, Liad: The Economics of Privacy, Journal of Economic Literature 2016, 442–492. Adam, Simon: Daten als Rechtsobjekte, NJW 2020, 2063–2068. Adelberg, Philipp Nikolaus: Rechtspflichten und -grenzen der Betreiber sozialer Netzwerke, Wiesbaden 2020. Ahlberg, Hartwig / Götting, Horst-Peter (Hrsg.), Beck’scher Online-Kommentar Urheberrecht, 30. Edition, München 2021 [zitiert: Bearbeiter, in: BeckOK UrhG]. ALzyadat, Wael / Alhroob, Aysh: Development Planning in the Big Data Era: Design References Architecture, IJRTE 2019, 884–887. Amstutz, Marc: Dateneigentum, AcP 2018, 438–551. Andelfinger, Volker P.: 2025 – Die Versicherung der Zukunft, 2. Auflage, Karlsruhe 2018. Ansari, S. / Rajeev, S. G. / Chandrashekar, H. S.: Packet sniffing: a brief introduction, IEEE Potentials 2002, 17–19. Asrodia, Pallavi / Patel, Hemlata: Network Traffic Analysis Using Packet Sniffer, IJERA 2012, 854–856. Auer, Marietta: Digitale Leistungen, ZfPW 2019, 132–147. Auer-Reinsdorff, Astrid / Conrad, Isabell (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Auflage, München 2016 [zitiert: Bearbeiter, in: Handbuch IT- und Datenschutzrecht]. Auer-Reinsdorff, Astrid / Conrad, Isabell (Hrsg.), Handbuch IT- und Datenschutzrecht, 3. Auflage, München 2019 [zitiert: Bearbeiter, in: Handbuch IT- und Datenschutzrecht]. Bach, Ivo: Neue Richtlinien zum Verbrauchsgüterkauf und zu Verbraucherverträgen über digitale Inhalte, NJW 2019, 1705–1711. Bamberger, Heinz Georg / Roth, Herbert / Hau, Wolfgang et al. (Hrsg.), Kommentar zum BGB, 4. Auflage, München 2019 [zitiert: Bearbeiter, in: Bamberger / Roth / Hau / Poseck BGB]. Bar, Christian von: Schmerzensgeld und gesellschaftliche Stellung des Opfers bei Verletzungen des allgemeinen Persönlichkeitsrechtes, NJW 1980, 1724–1729. Bartsch, Michael: Das BGB und die modernen Vertragstypen, CR 2000, 3–11. Baumgartner, Ulrich / Ewald, Konstantin: Apps und Recht, 2. Auflage, München 2016. Baun, Christian: Computernetze kompakt, 5. Auflage, Berlin 2020. Becker, Maximilian: Ein Recht auf datenerhebungsfreie Produkte, JZ 2017, 170–181. Becker, Maximilian: Consent Management Platforms und Targeted Advertising zwischen DSGVO und ePrivacy-Gesetzgebung, CR 2021, 87–98.
Literaturverzeichnis
413
Becker, Maximilian: Eine Materialisierung des datenschutzrechtlichen Koppelungsverbots, CR 2021, 230–243. Berberich, Matthias: Virtuelles Eigentum – Der Dualismus von Rechten am Werk und am Werkstück in der digitalen Welt, in: Große Ruse-Khan / K lass / Lewinski (Hrsg.), Nutzer generierte Inhalte als Gegenstand des Privatrechts, Berlin 2010, 165–206. Beresford, Alastair R. / Kübler, Dorothea / Preibusch, Sören: Unwillingness to pay for privacy, Economics Letters 2012, 25–27. Bettinghausen, Mina: Datenschutzverstoß: Der Ersatz immaterieller Schäden gemäß Art. 82 DSGVO, BB 2021, 696–698. Beurskens, Michael: Digitales Vertragsrecht – Rechtslage und Regulierungsbedarf, in: SpechtRiemenschneider (Hrsg.), Digitaler Neustart, Köln 2019, 57–94. Bidler, Margarita / Steudner, Tobias / Schumann, H. Jan / Widjaja, Thomas: Kundenwahrnehmungen und Kundenverhalten beim Bezahlen von digitalen Dienstleistungen mit personenbezogenen Daten, in: Specht-Riemenschneider / Werry / Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2019, 285–304. Bisges, Marcel: Personendaten, Wertzuordnung und Ökonomie, MMR 2017, 301–306. Bock, Kirsten: Beschränkt Datenschutzrecht die Vertragsgestaltungsfreiheit?, CR 2020, 173– 178. Boehm, Franziska: Herausforderungen von Cloud Computing-Verträgen: Vertragstypologische Einordnung, Haftung und Eigentum an Daten, ZEuP 2016, 358–387. Böhm, Wolf-Tassilo / Halim, Valentino: Cookies zwischen ePrivacy und DS-GVO – was gilt?, CR 2020, 651–656. Bork, Reinhard: Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 4. Auflage, Tübingen 2016. Bösert, Bernd: Nießbrauch an Computerprogrammen, Köln 1992. Brandimarte, Laura / Acquisti, Alessandro: The Economics of Privacy, in: Peitz / Waldfogel (Hrsg.), The Oxford handbook of the digital economy, Oxford 2012, 547–571. Bräutigam, Peter: Das Nutzungsverhältnis bei sozialen Netzwerken Zivilrechtlicher Austausch von IT-Leistung gegen personenbezogene Daten, MMR 2012, 635–641. Bräutigam, Peter / Rücker, Daniel: Softwareerstellung und § 651 BGB – Diskussion ohne Ende oder Ende der Diskussion?, CR 2006, 361–368. Bringmann, Oliver / Bogdan, Martin / L ange, Walter: Eingebettete Systeme, 3. Auflage, Berlin / Boston 2018. Brink, Stefan / Eckhardt, Jens: Wann ist ein Datum ein personenbezogenes Datum? Anwendungsbereich des Datenschutzrechts, ZD 2015, 205–212. Brink, Stefan / Wolff, Heinrich Amadeus (Hrsg.), Beck’scher Online-Kommentar Datenschutzrecht, 23. Edition, München 2018 [zitiert: Bearbeiter, in: BeckOK Datenschutzrecht]. Brink, Stefan / Wolff, Heinrich Amadeus (Hrsg.), Beck’scher Online-Kommentar Datenschutzrecht, 35. Edition, München 2021 [zitiert: Bearbeiter, in: BeckOK Datenschutzrecht].
414
Literaturverzeichnis
Brömmelmeyer, Christoph: Belohnungen für gesundheitsbewusstes Verhalten in der Lebensund Berufsunfähigkeitsversicherung? Rechtliche Rahmenbedingungen, r+s 2017, 225–232. Brömmelmeyer, Christoph: Belohnungen für gesundheitsbewusstes Verhalten in der Lebens- und Berufsunfähigkeitsversicherung? Rechtliche Rahmenbedingungen für Vitalitäts- Tarife, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, Karlsruhe 2018, 117–139. Brox, Hans / Walker, Wolf-Dietrich: Allgemeines Schuldrecht, 45. Auflage, München 2021. Buchner, Benedikt: Informationelle Selbstbestimmung im Privatrecht, Tübingen 2006. Buchner, Benedikt: Die Einwilligung im Datenschutzrecht, DuD 2010, 39–43. Bull, Hans Peter: Wieviel sind „meine Daten“ wert?, CR 2018, 425–432. Bunnenberg, Jan Niklas: Privates Datenschutzrecht, Baden-Baden 2020. Burgenmeister, J. Clemens: BVerfG beseitigt die Bagatellschwelle und öffnet DSGVO-Schadensersatzklagen die Tür, PinG 2021, 89–92. Buxel, Holger: Customer Profiling im Internet: den Kunden im Visir, Science Factory, Ausgabe 1, 2002, 1–6. Calliess, Christian / Ruffert, Matthias (Hrsg.), Kommentar – EUV / A EUV, 5. Auflage, München 2016 [zitiert: Bearbeiter, in: Calliess / Ruffert EUV / A EUV]. Caspar, Johannes: Klarnamenpflicht versus Recht auf pseudonyme Nutzung, ZRP 2015, 223– 236. Ceruzzi, Paul E. / Willner, Arne: Eine kleine Geschichte der EDV, Bonn 2003. Creifelds, Carl / Weber, Klaus / Aichberger, Thomas: Rechtswörterbuch, 24. Auflage, München 2020. Czajkowski, Nico / Müller-ter Jung, Marco: Datenfinanzierte Premiumdienste und Fernabsatzrecht, CR 2018, 157–166. Datta, Amit / Klein, Urs Albrecht: Kostenlose Apps – eine vertragsrechtliche Analyse, CR 2017, 174–181. Denga, Michael: Gemengelage privaten Datenrechts, NJW 2018, 1371–1376. Dewenter, Ralf / Lüth, Hendrik: Big Data: Eine ökonomische Perspektive, in: Immenga / Körber (Hrsg.), Daten und Wettbewerb in der digitalen Ökonomie, Baden-Baden 2017, 9–30. Dieckmann, Johann: Einführung in die Systemtheorie, München 2005. Dienlin, Tobias: Das Privacy Paradox aus psychologischer Perspektive, in: Specht-Riemenschneider / Werry / Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2019, 305–323. Dix, Alexander: Daten als Bezahlung – Zum Verhältnis zwischen Zivilrecht und Datenschutzrecht, ZEuP 2017, 1–5. Döring, Nicola / Bortz, Jürgen: Forschungsmethoden und Evaluation in den Sozial- und Humanwissenschaften, 5. Auflage, Berlin / Heidelberg 2016. Dorner, Michael: Big Data und „Dateneigentum“, CR 2014, 617–628.
Literaturverzeichnis
415
Dreier, Thomas / Schulze, Gernot, Kommentar zum Urheberrechtsgesetz, 6. Auflage, München 2018 [zitiert: Bearbeiter, in: Dreier / Schulze UrhG]. Druschel, Johannes: Die Behandlung digitaler Inhalte im Gemeinsamen Europäischen Kaufrecht (GEKR), München 2014. Druschel, Johannes / Oehmichen, Mike: Digitaler Wandel 3.0? – Anregungen aus Verbrauchersicht Teil I, CR 2015, 173–180. Druschel, Johannes / Oehmichen, Mike: Digitaler Wandel 3.0? Anregungen aus Verbrauchersicht – Teil II, CR 2015, 233–239. Ebeling, Werner: Chaos – Ordnung – Information, 2. Auflage, Thun 1991. Ebeling, Werner / Freund, Jan / Schweitzer, Frank: Komplexe Strukturen: Entropie und Information, Wiesbaden 1998. Ebers, Martin: Beeinflussung und Manipulation von Kunden durch Behavioral Microtargeting, MMR 2018, 423–428. Ehle, Kristina / Kreß, Stephan: Neues IT-Vertragsrecht für digitale Inhalte und Dienste gegenüber Verbrauchern, CR 2019, 723–731. Ehmann, Eugen / Selmayr, Martin (Hrsg.), Beck’scher Kurzkommentar Datenschutz-Grundverordnung, 2. Auflage, München, Wien 2018 [zitiert: Bearbeiter, in: Ehrmann / Selmayr DSGVO]. Eling, Nicole: Der Wert von Nutzerinformationen aus Anbieter- und Nutzerperspektive, Wiesbaden 2017. Endler, Robert: Die Interessen der Verbraucher im Kartellrecht am Beispiel der FacebookEntscheidung des BGH, VuR 2021, 3. Engeler, Malte / Marosi, Johannes: Planet49: Neues vom EuGH zu Cookies, Tracking und ePrivacy, CR 2019, 707–713. Epping, Volker / Hillgruber, Christian (Hrsg.), Beck’scher Online-Kommentar Grundgesetz, 46. Edition, München 2021 [zitiert: Bearbeiter, in: BeckOK GG]. Ernst, Stefan: Die Einwilligung nach der Datenschutzgrundverordnung, ZD 2017, 110–114. Esken, Saskia: Dateneigentum und Datenhandel, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, 73–84. Ettig, Diana: Bereicherungsrechtliche Ansprüche bei Verletzung des allgemeinen Persönlichkeitsrechts durch redaktionelle Berichterstattung, K&R 2016, 12–16. Faust, Florian: Ausschließlichkeitsrecht an Daten?, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, 85–100. Fehrenbacher, Oliver: Der Lizenzvertrag, JR 2001, 309–315. Fezer, Karl-Heinz: Dateneigentum, MMR 2017, 3–5. Fischer, Michael: Die Unentgeltlichkeit im Zivilrecht, Köln 2002. Fleisch, Elgar / Mattern, Friedemann: Das Internet der Dinge, Berlin / Heidelberg 2005.
416
Literaturverzeichnis
Franzen, Martin / Gallner, Inken / Oetker, Hartmut (Hrsg.), Kommentar zum europäischen Arbeitsrecht, 3. Auflage, München 2020 [zitiert: Bearbeiter, in: Kommentar zum europäischen Arbeitsrecht]. Freyler, Carmen: Die vertragsrechtliche Bedeutung von Emoticons, JA 2018, 732–738. Funke, Michael: Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, Baden-Baden 2017. Gabriel, Roland / Röhrs, Heinz-Peter: Social Media, Berlin / Heidelberg 2017. Gebauer, Christoph: Grenzen der Ausgestaltung weicher Tarifmerkmale, NVersZ 2000, 7–14. Gernhuber, Joachim: Das Schuldverhältnis, Tübingen 1989. Gerpott, Torsten J.: Datenschutzerklärungen – Materiell fundierte Einwilligungen nach der DS-GVO 2020, 739–744. Gleixner, Alexander: Personalisierte Preise im Onlinehandel und Europas „New Deal for Consumers“, VuR 2020, 417–421. Gola, Peter (Hrsg.), Kommentar zur Datenschutz-Grundverordnung, 2. Auflage, München 2018 [zitiert: Bearbeiter, in: Gola DSGVO]. Gola, Peter / Klug, Christoph / Körffer, Barbara et al., Kommentar zum Bundesdatenschutz gesetz, 12. Auflage, München 2015 [zitiert: Bearbeiter, in: Gola / Schomerus BDSG]. Golland, Alexander: Das Kopplungsverbot in der Datenschutz-Grundverordnung, MMR 2018, 130–135. Golland, Alexander: Der räumliche Anwendungsbereich der DS-GVO, DuD 2018, 351–357. Gottfried, Vossen: Big Data: Daten sammeln, aggregieren, analysieren, nutzen, in: Schwarz (Hrsg.), Big Data im Marketing, München 2015, 35–54. Grabs, Anne / Vogl, Elisabeth / Bannour, Karim-Patrick: Follow me!, 4. Auflage, Bonn 2018. Grimm, Anna: Telematiktarife Existierende Tarifmodelle und ihre Funktionsweisen im KfzBereich, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, Karlsruhe 2018, 47–72. Grimm, Rüdiger / L öhndorf, Nils / Roßnagel, Alexander: E-Commerce meets E-Privacy, in: Bäumler (Hrsg.), E-Privacy, Wiesbaden 2000, 133–140. Groß, Michael: Der Lizenzvertrag, 12. Auflage, Frankfurt am Main 2020. Grünberger, Michael: Verträge über digitale Güter, AcP 2018, 213–296. Grunewald, Barbara / Maier-Reimer, Georg / Westermann, Peter (Hrsg.), Erman, Kommentar zum BGB, 16. Auflage, Köln 2020 [zitiert: Bearbeiter, in: Erman BGB]. Gsell, Beate / Krüger, Wolfgang / L orenz, Stephan et al. (Hrsg.), beck-online.GROSSKOMMENTAR BGB, München 2021 [zitiert: Bearbeiter, in: BeckOGK BGB]. Gumm, Heinz-Peter / Sommer, Manfred: Programmierung, Algorithmen und Datenstrukturen, Berlin / Boston 2016. Gumm, Heinz-Peter / Sommer, Manfred: Rechnerarchitektur, Betriebssysteme, Rechnernetze, Berlin / Boston 2017.
Literaturverzeichnis
417
Haberich, Ralf: Von der Webanalyse zur Digitalen Intelligenz, in: Schwarz (Hrsg.), Big Data im Marketing, München 2015, 66–81. Hacker, Philipp: Daten als Gegenleistung: Rechtsgeschäfte im Spannungsfeld von DS-GVO und allgemeinem Vertragsrecht, ZfPW 2019, 148–197. Hacker, Philipp: Datenprivatrecht, Tübingen 2020. Hahn, Christopher: Moderecht, Wiesbaden 2020. Hall, Eric: Vom Jetzt nach Morgen, in: Bundesverband digitale Wirtschaft (Hrsg.), Program matic Advertising Kompass 2017/2018, Düsseldorf 2017, 6–17. Hanloser, Stefan: BGH: Opt-out durch Streichen der Einwilligungsklausel – HappyDigits, MMR 2010, 138–141. Hanloser, Stefan: Telekommunikation-Telemedien-Datenschutz-Gesetz, ZD 2021, 121–122. Hannich, Rolf (Hrsg.), Karlsruher Kommentar zur Strafprozessordnung, 8. Auflage, München 2019 [zitiert: Bearbeiter, in: Karlsruher Kommentar zur StPO]. Härting, Niko: Digital Goods und Datenschutz – Daten sparen oder monetarisieren?, CR 2016, 735–740. Hau, Wolfgang / Poseck, Roman (Hrsg.), Beck’scher Online-Kommentar BGB, 57. Edition, München 2021 [zitiert: Bearbeiter, in: BeckOK BGB]. Heinemann, Gerrit: Der neue Online-Handel, 8. Auflage, Wiesbaden 2017. Heinemann, Gerrit: Die Neuausrichtung des App- und Smartphone-Shopping, Wiesbaden 2018. Heinemann, Gerrit: Der neue Online-Handel, 11. Auflage, Wiesbaden 2020. Heintschel-Heinegg, Bernd von (Hrsg.), Beck’scher Online-Kommentar StGB, 49. Edition, München 2021 [zitiert: Bearbeiter, in: BeckOK StGB]. Hennemann, Moritz: Datenrichtigkeit, LR 2020, 77–86. Hennemann, Moritz: Datenlizenzverträge, RDi 2021, 61–70. Herzholz, Felix: Das Schuldverhältnis als konstante Rahmenbeziehung, AcP 1929, 257–324. Herzog, Roman / Herdegen, Matthias / Klein, Hans H. et al. (Hrsg.), Maunz / Dürig, Grundgesetz Kommentar, 93. Ergänzungslieferung, München 2020 [zitiert: Bearbeiter, in: Maunz / Dürig GG]. Hess, Thomas / Schreiner, Michel: Ökonomie der Privatsphäre, DuD 2012, 105–109. Heuberger-Götsch, Olivier: Der Wert von Daten aus juristischer Sicht am Beispiel des Profiling, in: Fasel / Meier (Hrsg.), Big Data, Wiesbaden 2016, 83–105. Heussen, Benno: Urheber- und lizenzrechtliche Aspekte bei der Gewährleistung für Computersoftware, GRUR 1987, 779–791. Hilke, Wolfgang: Kennzeichnung und Instrumente des Direkt-Marketing, in: Hilke (Hrsg.), Direkt-Marketing, Wiesbaden 1993, 5–30. Hilty, Lorenz M. / Oertel, Britta / Wölk, Michaela / Pärli, Kurt: Lokalisiert und identifiziert, Zürich 2012.
418
Literaturverzeichnis
Hilty, Reto M.: Der Softwarevertrag – ein Blick in die Zukunft, MMR 2003, 3–15. Hoeren, Thomas: Softwareüberlassung als Sachkauf, München 1989. Hoeren, Thomas: Datenbesitz statt Dateneigentum, MMR 2019, 5–8. Hoeren, Thomas: Dateneigentum und Datenbesitz, in: Pertot / Schmidt-Kessel / Padovini (Hrsg.), Rechte an Daten, Tübingen 2020, 37–47. Hoffmann, Johanna / Johannes, Paul: DS-GVO: Anleitung zur autonomen Auslegung des Personenbezugs, ZD 2017, 221–226. Hoffmann, Raphael / Schmidt, Dominik: Facebook-Profiling zu Marketingzwecken – datenschutzkonform?, GRUR 2021, 679–685. Hofmann, Henning: Richtlinie Digitale Inhalte – Schuldrechtliche Kontextualisierung von Daten als Wirtschaftsgut, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, 161–176. Holland, Heinrich: Direktmarketing, 3. Auflage, München 2009. Holland, Heinrich: Dialogmarketing und Kundenbindung mit Connected Cars, Wiesbaden 2019. Hornung, Gerrit / Gilga, Carolin: Einmal öffentlich – für immer schutzlos?, CR 2020, 367–379. Hornung, Gerrit / Wagner, Bernd: Der schleichende Personenbezug, CR 2019, 565–574. Jentzsch, Nicola: Datenhandel und Datenmonetarisierung: Ein Überblick, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, 177–190. Jerger, Christoph: Kontrolle und Unwirksamkeit von Preisnebenabreden, NJW 2019, 3752– 3755. Joecks, Wolfang / Miebach, Klaus (Hrsg.), Münchener Kommentar zum Strafgesetzbuch, Band 4, 3. Auflage, München 2017 [zitiert: Bearbeiter, in: Münchener Kommentar zum StGB]. Joecks, Wolfang / Miebach, Klaus (Hrsg.), Münchener Kommentar zum Strafgesetzbuch, Band 5, 3. Auflage, München 2019 [zitiert: Bearbeiter, in: Münchener Kommentar zum StGB]. Jöns, Johanna: Daten als Handelsware, Baden-Baden 2019. Karg, Moritz / T homsen, Sven: Tracking und Analyse durch Facebook, DuD 2012, 729–738. Kelber, Ulrich: Nicht Daten sind der Rohstoff des 21. Jahrhunderts, sondern Vertrauen, DuD 2020, 226–227. Kienle, Thomas: Datenmündigkeit, PinG 2020, 208–214. Kilian, Wolfgang: Personenbezogene Daten als schuldrechtliche Gegenleistung, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, 191–207. Kindhäuser, Urs / Neumann, Ulfrid / Paeffgen, Hans-Ullrich (Hrsg.), NomosKommentar zum Strafgesetzbuch, 5. Auflage, Baden-Baden 2017 [zitiert: Bearbeiter, in: NK-StGB]. Kipker, Dennis-Kenji / Walkusz, Michael: Mehr verbraucherbezogene IT-Sicherheit durch die Umsetzung der Digitale-Inhalte-Richtlinie?, RDi 2021, 30–34. Kirn, Stefan / Müller-Hengstenberg, Claus: Überfordert die digitale Welt der Industrie 4.0 die Vertragstypen des BGB?, NJW 2017, 433–438.
Literaturverzeichnis
419
Klammer, Gregor: Dateneigentum, Wien 2019. Klein, Urs Albrecht / Datta, Amit: Vertragsstrukturen beim Erwerb kostenloser Apps, CR 2016, 587–590. Klimke, Dominik: Telematik-Tarife in der Kfz-Versicherung, r+s 2015, 217–225. Kloss, Ingomar: Werbung, 5. Auflage, München 2012. Knieper, Rolf: Soraya und die Schmerzensgeldrechtsprechung des BVerfG, ZRP 1974, 137– 140. Köhler, Helmut: BGB AT, 44. Auflage, München 2020. Kopp, Gisela: Behavioral Targeting, Hamburg 2014. Körner, Marita: Zur Aufgabe des Haftungsrechts – Bedeutungsgewinn präventiver und punitiver Elemente, NJW 2000, 241–246. Kraft, Dennis: Telematik im Gesundheitswesen, Wiesbaden 2003. Kramme, Malte: Vertragsrecht für digitale Produkte, RDi 2021, 20. Kremer, Sascha: Wer braucht warum das neue BDSG?, CR 2017, 367–378. Krieger, David J.: Einführung in die allgemeine Systemtheorie, 2. Auflage, München 1998. Kristol, David M.: HTTP Cookies: Standards, Privacy, and Politics, TOIT 2001, 151–198. Kühling, Jürgen: Rechtliche Rahmenbedingungen für Zulässigkeitstatbestände in einer künftigen ePrivacy-VO, CR 2020, 199–208. Kühling, Jürgen / Buchner, Benedikt (Hrsg.), Datenschutz-Grundverordnung / Bundesdatenschutz gesetz, 2. Auflage, München 2018 [zitiert: Bearbeiter, in: Kühling / Buchner DSGVO / BDSG]. Kühling, Jürgen / Buchner, Benedikt (Hrsg.), Datenschutz-Grundverordnung / Bundesdatenschutz gesetz, 3. Auflage, München 2020 [zitiert: Bearbeiter, in: Kühling / Buchner DSGVO / BDSG]. Kühling, Jürgen / Klar, Manuel: Anmerkung zu EuGH, Urteil vom 19. 10. 2016, C-582/14, Rechtssache Breyer, ZD 2017, 27–29. Kühling, Jürgen / Sauerborn, Cornelius: TTDSG-Kabinettsentwurf und Art. 95 DSGVO, CR 2021, 271–280. Kumkar, Lea Katharina: Herausforderungen eines Gewährleistungsrechts im digitalen Zeitalter, ZfPW 2020, 306–333. Kunkel-Razum, Kathrin: Duden – Die deutsche Rechtschreibung, 28. Auflage, Berlin 2020. Kurose, James F. / Ross, Keith W.: Computer networking, 7. edition, Boston / Columbus / Indianapolis / A msterdam / Cape Town 2017. Kuschel, Linda / Rostam, Darius: Urheberrechtliche Aspekte der Richtlinie 2019/770, CR 2020, 393–400. Lach, Kevin Philipp: Anmerkung zu OLG München, Urteil vom 08. 12. 2020, 18 U 2822/19 Pre, jurisPR-ITR 5/2021 Anm. 2. Lahusen, Benjamin: Verdinglichung durch Datenschutz, AcP 2021, 1–31.
420
Literaturverzeichnis
Lammenett, Erwin: Praxiswissen Online-Marketing, 7. Auflage, Wiesbaden 2019. Langhanke, Carmen: Daten als Leistung, Tübingen 2018. Langhanke, Carmen / Schmidt-Kessel, Martin: Consumer Data as Consideration, EuCML 2015, 218–223. Langheid, Theo / Rixecker, Roland / Gal, Jens et al., Kommentar zum Versicherungsvertrags gesetz, 6. Auflage 2019 [zitiert: Bearbeiter, in: Langheid / R ixecker VVG]. Langheid, Theo / Wandt, Manfred (Hrsg.), Münchener Kommentar zum VVG, Band 1, 2. Auflage, München 2016 [zitiert: Bearbeiter, in: Münchener Kommentar zum VVG]. Lanzer, Wolfgang: Quo vadis Behavioral Targeting?, Information – Wissenschaft & Praxis 2010, 293–298. Larenz, Karl: Lehrbuch des Schuldrechts AT, 14. Auflage, München 1987. Larenz, Karl / Canaris, Claus-Wilhelm: Lehrbuch des Schuldrechts BT II/1, 13. Auflage, München 1986. Larenz, Karl / Canaris, Claus-Wilhelm: Lehrbuch des Schuldrechts BT II/2, 13. Auflage, München 1994. Larenz, Karl / Canaris, Claus-Wilhelm: Methodenlehre der Rechtswissenschaft, 3. Auflage, Berlin / Heidelberg 1995. Lauber-Rönsberg, Anne / Hartlaub, Anneliese: Personenbildnisse im Spannungsfeld zwischen Äußerungs- und Datenschutzrecht, NJW 2017, 1057–1062. Leenen, Detlef: Typus und Rechtsfindung, Berlin 1971. Lehner, Franz: Preis- und Wertermittlung für Daten und Informationen, in: Specht-Riemenschneider / Werry / Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2019, 471–488. Leinemann, Franziska: Personenbezogene Daten als Entgelt, Berlin / Bern / Brüssel / New York / Oxford / Warschau / Wien. Lenhard, Frank: Vertragstypologie von Softwareüberlassungsverträgen, München 2006. Levy, Justin R.: Facebook Marketing, München 2012. Lewandowski, Dirk: Suchmaschinen verstehen, Berlin 2018. Lewinski, Kai von: Wert von personenbezogenen Daten, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, 209–220. Linardatos, Dimitrios: Daten als Gegenleistung im Vertrag mit Blick auf die Richtlinie über digitale Inhalte, in: Specht-Riemenschneider / Werry / Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2019, 506–559. Linnhoff-Popien, Claudia: Ubiquitous Computing – Machbarkeit und Grenzen, in: Eber spächer / Reden (Hrsg.), Umhegt oder abhängig?, Berlin / Heidelberg 2006, 35–49. Louven, Sebastian: Datenmacht und Zugang zu Daten, NZKart 2018, 217–222. Lüdemann, Volker / Sengstacken, Christin / Vogelpohl, Kerstin: Pay as you drive: Datenschutz in der Telematikversicherung, RDV 2014, 302–306.
Literaturverzeichnis
421
Luhmann, Niklas: Einführung in die Systemtheorie, 7. Auflage, Heidelberg 2017. Mandl, Thomas / Schulz, Julia Maria / Mahrholz, Nadine: Benutzerforschung anhand von LogDateien: Chancen, Grenzen und aktuelle Trends, Information – Wissenschaft & Praxis 2011, 29–37. Martinek, Michael: Moderne Vertragstypen I, München 1991. Martinek, Michael: Moderne Vertragstypen III, München 1993. Marwedel, Peter: Eingebettete Systeme, Berlin / Heidelberg 2008. Mayer, Claudia: Haftung und Paarbeziehung, Tübingen 2017. McGuire, Mary-Rose: Die Lizenz, Tübingen 2012. Meinel, Christoph / Sack, Harald: Internetworking, Berlin / Heidelberg 2013. Metzger, Axel: Dienst gegen Daten, AcP 2016, 817–865. Michl, Fabian: „Datenbesitz“ – ein grundrechtliches Schutzgut?, NJW 2019, 2729–2733. Mischau, Lena: Daten als „Gegenleistung“ im neuen Verbrauchervertragsrecht, ZEuP 2020, 335–365. Möllnitz, Christina: Änderungsbefugnis des Unternehmers bei digitalen Produkten, MMR 2021, 116–121. Mugdan, Benno: Die gesamten Materialien zum Bürgerlichen Gesetzbuch für das Deutsche Reich, Neudruck der Ausgabe Berlin 1899, Aalen 1979. Müller, Jürgen: Auto-ID-Verfahren im Kontext allgegenwärtiger Datenverarbeitung, Wiesbaden 2018. Musielak, Hans-Joachim / Hau, Wolfgang: Grundkurs BGB, 16. Auflage, München 2019. Muthorst, Olaf: Auslegung: Eine Einführung, JA 2013, 721–727. Nestler, Anke: Data as Assets – die finanzielle Bewertung von Knowhow, in: Fischer / Hoppen / Wimmers (Hrsg.), DGRI Jahrbuch 2018, Köln 2019, 37–46. Nettesheim, Martin (Hrsg.), Das Recht der Europäischen Union – Kommentar, 71. Ergänzungslieferung, München 2020 [zitiert: Bearbeiter, in: Grabitz / Hilf / Nettesheim, Das Recht der Europäischen Union]. Nink, Judith / Pohle, Jan: Die Bestimmbarkeit des Personenbezugs – Von der IP-Adresse zum Anwendungsbereich der Datenschutzgesetze, MMR 2015, 563–567. Nitsche, Martin / Gründig, Christian: Dialoge in Zeiten des Internets der Dinge, in: Schwarz (Hrsg.), Big Data im Marketing, München 2015, 19–27. Noam, Eli M.: Privacy and Self-Regulation: Markets for Electronic Privacy, in: US Department of Commerce (Hrsg.), Privacy and Self-Regulation in the Information Age, Washington 1997. Nord, Jantina / Manzel, Martin: „Datenschutzerklärungen“ – misslungene Erlaubnisklauseln zur Datennutzung, NJW 2010, 3756–3758. Nöth, Winfried: Handbuch der Semiotik, 2. Auflage, Stuttgart / Weimar 2000.
422
Literaturverzeichnis
Ohly, Ansgar: „Volenti non fit iniuria“, Tübingen 2002. Oster, Jan: „Information“ und „Daten“ als Ordnungsbegriffe des Rechts der Digitalisierung, JZ 2021, 167–175. Paal, Boris P. / Pauly, Daniel A. (Hrsg.), Beck’scher Kompakt-Kommentar – DatenschutzGrundverordnung, Bundesdatenschutzgesetz, 3. Auflage, München 2021 [zitiert: Bearbeiter, in: Paal / Pauly DSGVO / BDSG]. Palandt, Otto (Hrsg.), Palandt, Beck’scher Kurzkommentar zum Bürgerlichen Gesetzbuch, 80. Auflage, München 2021 [zitiert: Bearbeiter, in: Palandt BGB]. Pelzer, Guido / Gerigk, Dagmar: Google AdWords, 2. Auflage, Bonn 2018. Pohlmann, Petra: Telematikversicherungen – Vertragliche Gestaltung, Gefahrerhöhung und Obliegenheiten, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, Karlsruhe 2018, 73–116. Polajner, Klaus: Grundlagen des Mobile Marketing, in: Ternès / Englert (Hrsg.), Digitale Unternehmensführung, Wiesbaden, 213–219. Posner, Richard A.: The Right of Privacy, Georgia Law Review 1978, 393–422. Posner, Richard A.: The Economics of Privacy, The American Economic Review 1981, 405–409. Rank-Haedler, Alisa: Daten als Leistungsgegenstand: Vertragsrechtliche Typisierung, in: Specht-Riemenschneider / Werry / Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2019, 489–505. Redeker, Helmut: Softwareerstellung und § 651 BGB, CR 2004, 88–91. Redeker, Helmut: Teil 12 Vertragsrecht für Internetdienste, in: Hoeren / Sieber / Holznagel (Hrsg.), Handbuch Multimedia-Recht, 54. Ergänzungslieferung, München 2020, Rn. 1–493. Reese, Frank: Web Analytics – damit aus Traffic Umsatz wird, 2. Auflage, Göttingen 2009. Rein, Christian: Der nicht-unternehmerisch tätige Verantwortliche, PinG 2021, 27–32. Richter, Heiko / Hilty, Reto M.: Die Hydra des Dateneigentums – eine methodische Betrachtung, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, 241–260. Rieber, Daniel: Mobile Marketing, Wiesbaden 2017. Riechert, Anne: Dateneigentum – ein unauflösbarer Interessenkonflikt?, DuD 2019, 353–360. Riehm, Thomas: Rechtsgrund – Pflicht – Anspruch, in: Grigoleit / Petersen (Hrsg.), Privatrechtsdogmatik im 21. Jahrhundert, Berlin / Boston 2017, 345–369. Riehm, Thomas: Daten als Gegenleistung?, in: Specht-Riemenschneider / Buchner / Heinze et al. (Hrsg.), Festschrift für Jürgen Taeger, Frankfurt am Main 2020, 55–77. Riehm, Thomas: Freie Widerrufbarkeit der Einwilligung und Struktur der Obligation, in: Pertot / Schmidt-Kessel / Padovini (Hrsg.), Rechte an Daten, Tübingen 2020, 175–206. Rogosch, Patricia: Die Einwilligung im Datenschutzrecht, Baden-Baden 2013. Rosenkranz, Frank: Eigenverantwortung und Verbraucherschutz bei Verträgen über digitale Inhalte, GPR 2018, 28–37.
Literaturverzeichnis
423
Roßnagel, Alexander: Modernisierung des Datenschutzrechts für eine Welt allgegenwärtiger Datenverarbeitung, MMR 2005, 71–75. Roßnagel, Alexander: Wie zukunftsfähig ist die Datenschutz-Grundverordnung?, DuD 2016, 561–565. Roßnagel, Alexander: Entwurf eines neuen Bundesdatenschutzgesetzes, DuD 2017, 269–270. Roßnagel, Alexander: Rechtsfragen eines Smart Data-Austauschs, NJW 2017, 10–15. Roßnagel, Alexander: Pseudonymisierung personenbezogener Daten – beck-online, ZD 2018, 243–247. Rubin, Doron: Inhalt und versicherungsrechtliche Auswirkungen der Datenschutz-Grundverordnung, r+s 2018, 337–345. Rudkowski, Lena: Grundrechte als Grenze von Self-Tracking-Tarifen in der Privatversicherung, in: Koch / Werber / Winter (Hrsg.), Der Forschung – der Lehre – der Bildung, Karlsruhe 2016, 679–692. Rudkowski, Lena: Vertragsrechtliche Anforderungen an die Gestaltung von „Self-Tracking“Tarifen in der Privatversicherung, ZVersWiss 2017, 453–502. Rüffer, Wilfried / Halbach, Dirk / Schimikowski, Peter (Hrsg.), NomosKommentar zum Versicherungsvertragsgesetz, 4. Auflage 2020 [zitiert: Bearbeiter, in: NK-VVG]. Säcker, Franz Jürgen / Rixecker, Roland / Oetker, Hartmut et al. (Hrsg.), Münchener Kommentar zum Bürgerlichen Gesetzbuch, 8. Auflage, München [zitiert: Bearbeiter, in: Münchener Kommentar zum BGB]; Band 1, §§ 1–240, 8. Auflage 2018; Band 2, §§ 241–310, 8. Auflage 2019; Band 3, §§ 311–432, 8. Auflage 2019; Band 4, §§ 433–534, 8. Auflage 2019; Band 5, §§ 535–630h, 8. Auflage 2020; Band 6, §§ 631–704, 8. Auflage 2020, Sandner, Günther / Spengler, Hans: Die Entwicklung der Datenverarbeitung, Böblingen 2006. Sattler, Andreas: Personenbezogene Daten als Leistungsgegenstand, JZ 2017, 1036–1046. Sattler, Andreas: Personenbezogene Daten als Leistungsgegenstand, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, Karlsruhe 2018, 1–46. Sattler, Andreas: Autonomie oder Heteronomie – Welchen Weg geht das Datenschuldrecht?, in: Ochs / Friedewald / Hess et al. (Hrsg.), Die Zukunft der Datenökonomie, Wiesbaden 2019, 215–247. Sattler, Andreas: Neues EU-Vertragsrecht für digitale Güter, CR 2020, 145–154. Sattler, Andreas: Personenbezug als Hindernis des Datenhandels, in: Pertot / Schmidt-Kessel / Padovini (Hrsg.), Rechte an Daten, Tübingen 2020, 49–85. Sattler, Andreas: Urheber- und datenschutzrechtliche Konflikte im neuen Vertragsrecht für digitale Produkte, NJW 2020, 3623–3629. Schäfers, Dominik: Rechtsgeschäftliche Entscheidungsfreiheit im Zeitalter von Digitalisierung, Big Data und Künstlicher Intelligenz, AcP 2021, 32–67. Schantz, Peter / Wolff, Heinrich Amadeus: Das neue Datenschutzrecht, München 2017.
424
Literaturverzeichnis
Schippel, Robert: Hochverfügbare Micro-Services, MMR 2021, 8–10. Schleipfer, Stefan: Pseudonymität in verschiedenen Ausprägungen, ZD 2020, 284–291. Schmid, Gregor / Grewe, Max: Digital Services Act: Neues „Grundgesetz für Onlinedienste“?, MMR 2021, 279–282. Schmidl, Martin: Softwareerstellung und § 651 BGB – ein Versöhnungsversuch, MMR 2004, 590–593. Schmidt-Kessel, Martin / Grimm, Anna: Unentgeltlich oder entgeltlich? – Der vertragliche Austausch von digitalen Inhalten gegen personenbezogene Daten, ZfPW 2017, 84–108. Schönfeld, Dagmar / Klimant, Herbert / Piotraschke, Rudi: Informations- und Kodierungstheorie, 4. Auflage, Wiesbaden 2012. Schröder, Kay: Potentiale der Informationsvisualisierung im Datenschutz – eine kommunikationswissenschaftliche Betrachtung, in: Specht-Riemenschneider / Werry / Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2019, 345–359. Schröder, Kay / Ajdadilish, Batoul / Valdez, André Calero: Towards bridging the gap between Privacy Terms and Humans through Information Visualization, PinG 2020, 6–12. Schumann, Daniel: Pay as you drive, Karlsruhe 2017. Schur, Nico: Die Lizenzierung von Daten, GRUR 2020, 1142–1152. Schur, Nico B.: Die Lizenzierung von Daten, Tübingen 2020. Schuster, Fabian / Reichl, Wolfgang: Cloud Computing & SaaS: Was sind die wirklich neuen Fragen?, CR 2010, 38–43. Schwamberger, Sebastian: Reichweite des datenschutzrechtlichen Koppelungsverbots nach alter und neuer Rechtslage, GPR 2019, 57–60. Schwartmann, Rolf / Benedikt, Kristin / Reif, Yvette: Entwurf zum TTDSG: Für einen zeit gemäßen Online-Datenschutz?, MMR 2021, 99. Schwartmann, Rolf / Hentsch, Christian-Henner: Eigentum an Daten – Das Urheberrecht als Pate für ein Datenverwertungsrecht, RDV 2015, 221–230. Schweiger, Alfred / Wilde, Klaus D.: Database Marketing – Aufbau und Management, in: Hilke (Hrsg.), Direkt-Marketing, Wiesbaden 1993, 89–125. Schweinoch, Martin: Geänderte Vertragstypen in Software-Projekten, CR 2010, 1–8. Schweitzer, Heike: Datenzugang in der Datenökonomie: Eckpfeiler einer neuen Informationsordnung, GRUR 2019, 569–580. Schwichtenberg, Simon: „Pay as you drive“ – neue und altbekannte Probleme, DuD 2015, 378–382. Siber, Heinrich: Der Rechtszwang im Schuldverhältniss nach deutschem Reichsrecht, Leipzig 1903. Simitis, Spiros / Hornung, Gerrit / Spieker gen. Döhmann, Indra (Hrsg.), NomosKommentar zum Datenschutzrecht, Baden-Baden 2019 [zitiert: Bearbeiter, in: NK-Datenschutzrecht].
Literaturverzeichnis
425
Specht, Louisa: Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, Köln 2012. Specht, Louisa: Ausschließlichkeitsrechte an Daten – Notwendigkeit, Schutzumfang, Alternativen, CR 2016, 288–296. Specht, Louisa: Daten als Gegenleistung – Verlangt die Digitalisierung nach einem neuen Vertragstypus?, JZ 2017, 763–770. Specht, Louisa: Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit, in: Briner / Funk (Hrsg.), DGRI Jahrbuch 2017, Köln 2018, 35–64. Specht, Louisa: Rechte an Daten – Regulierungsbedarf aus Sicht des Verbraucherschutzes, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, 301–314. Specht-Riemenschneider, Louisa / Bienemann, Linda: Informationsvermittlung durch standardisierte Bildsymbole, in: Specht-Riemenschneider / Werry / Werry (Hrsg.), Datenrecht in der Digitalisierung, Berlin 2019, 324–344. Spindler, Gerald: Verträge über digitale Inhalte – Anwendungsbereich und Ansätze Vorschlag der EU-Kommission zu einer Richtlinie über Verträge zur Bereitstellung digitaler Inhalte, MMR 2016, 147–153. Spindler, Gerald: Der Vorschlag für ein neues Haftungsregime für Internetprovider – der EUDigital Services Act, GRUR 2021, 653–662. Spindler, Gerald: Der Vorschlag für ein neues Haftungsregime für Internetprovider – der EUDigital Services Act (Teil 1), GRUR 2021, 545–553. Spindler, Gerald / Schuster, Fabian (Hrsg.), Kommentar zum Recht der elektronischen Medien, 4. Auflage, München, München 2019 [zitiert: Bearbeiter, in: Spindler / Schuster, Recht der elektronischen Medien]. Spindler, Gerald / Sein, Karin: Die endgültige Richtlinie über Verträge über digitale Inhalte und Dienstleistungen, MMR 2019, 415–420. Stadler, Martin: Telematiktarife und Gleichbehandlung, in: Schmidt-Kessel / Grimm (Hrsg.), Telematiktarife & Co. – Versichertendaten als Prämienersatz, Karlsruhe 2018, 169–179. Staudenmayer, Dirk: Die Richtlinien zu den digitalen Verträgen, ZEuP 2019, 663–694. Staudinger, Julius von, Staudinger, Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen, Berlin [zitiert: Bearbeiter, in: Staudinger BGB]; Buch 1, Allgemeiner Teil, §§ 90–124, 130–133, Bearbeitung 2017; Buch 1, Allgemeiner Teil, §§ 134–138, Bearbeitung 2017; Buch 1, Allgemeiner Teil, §§ 139–163, Bearbeitung 2020; Buch 2, Recht der Schuldverhältnisse, §§ 241–243, Bearbeitung 2019; Buch 2, Recht der Schuldverhältnisse, §§ 255–304, Bearbeitung 2019; Buch 2, Recht der Schuldverhältnisse, §§ 305–310, Bearbeitung 2019; Buch 2, Recht der Schuldverhältnisse, §§ 315–326, Bearbeitung 2020; Buch 2, Recht der Schuldverhältnisse, §§ 346–361, Bearbeitung 2012; Buch 2, Recht der Schuldverhältnisse, §§ 433–480, Bearbeitung 2013; Buch 2, Recht der Schuldverhältnisse, §§ 516–534, Bearbeitung 2021; Buch 2, Recht der Schuldverhältnisse, Vorbem zu §§ 581 ff.; 581–606, Bearbeitung 2018. Steinrötter, Björn: Zur Diskussion um ein auf syntaktische Informationen bezogenes „Dateneigentum“, in: Specht-Riemenschneider (Hrsg.), Digitaler Neustart, Köln 2019, 17–56.
426
Literaturverzeichnis
Stigler, George J.: An Introduction to Privacy in Economics and Politics, The Journal of Legal Studies 1980, 623–644. Streich, Mathias / D’Imperio, Antonio / Anke, Jürgen: Bewertung von Anreizen zum Teilen von Daten für digitale Geschäftsmodelle am Beispiel von Usage-based Insurance, HMD 2018, 1086–1109. Stürner, Rolf (Hrsg.), Jauernig, Bürgerliches Gesetzbuch, 18. Auflage, München 2021 [zitiert: Bearbeiter, in: Jauernig BGB]. Suneetha, K. / Krishnamoorthi, R.: Identifying User Behavior by Analyzing Web Server Access Log File, IJCSNS 2009, 327–332. Sydow, Gernot (Hrsg.), Handkommentar zur Europäischen Datenschutz-Grundverordnung, 2. Auflage, Baden-Baden 2018 [zitiert: Bearbeiter, in: Sydow, Europäische Datenschutzgrundverordnung]. Taeger, Jürgen / Gabel, Detlev (Hrsg.), Kommentar DSGVO-BDSG, 3. Auflage, Frankfurt am Main 2019 [zitiert: Bearbeiter, in: Taeger / Gabel DSGVO / BDSG]. Tinnefeld, Marie-Theres: Reformvertrag von Lissabon, Charta der Grundrechte und Rechtspraxis im Datenschutz, DuD 2009, 504. Unseld, Florian: Die Kommerzialisierung personenbezogener Daten, München 2010. Upathilake, Randika / Li, Yingkun / Matrawy, Ashraf: A classification of web browser fingerprinting techniques, in: NTMS (Hrsg.), 7th International Conference on New Technologies, Mobility and Security 2015, 1–5. Varian, Hal R.: Economic Aspects of Personal Privacy, in: Lehr / P upillo (Hrsg.), Internet Policy and Economics, 2. edition, Boston 2009, 101–109. Volmar, Maximilian: Digitale Marktmacht, Baden-Baden 2019. Wandtke, Artur-Axel: Ökonomischer Wert von persönlichen Daten, MMR 2017, 6–12. Wendehorst, Christiane / Schwamberger, Sebastian / Grinzinger, Julia: Datentreuhand – wie hilfreich sind sachenrechtliche Konzepte?, in: Pertot / Schmidt-Kessel / Padovini (Hrsg.), Rechte an Daten, Tübingen 2020, 103–121. Wendehorst, Christiane / Westphalen, Friedrich Graf von: Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, NJW 2016, 3745–3750. Wendland, Matthias: GEK 2.0 Ein europäischer Rechtsrahmen für den Digitalen Binnenmarkt, GPR 2016, 8–19. Westphalen, Friedrich Graf von / Wendehorst, Christiane: Hergabe personenbezogener Daten für digitale Inhalte – Gegenleistung, bereitzustellendes Material oder Zwangsbeitrag zum Datenbinnenmarkt?, BB 2016, 2179–2187. Wilfinger, Alexander: Unwirksame AGB-Klauseln, dispositives Recht und EuGH, VuR 2021, 18–23. Winde, Viktoria: Die Regulierung anlagevermittelnder und -beratender Internet-Plattformen, 1. Auflage, Baden-Baden 2019. Wirtz, Bernd W. / Sammerl, Nadine: Versandhandel – Erscheinungsformen und künftige Entwicklung, in: Zentes (Hrsg.), Handbuch Handel, Wiesbaden 2006, 425–437.
Internetquellen
427
Wischmeyer, Thomas / Herzog, Eva: Daten für alle? – Grundrechtliche Rahmenbedingungen für Datenzugangsrechte, NJW 2020, 288–293. Wolf, Maximilian: Bereicherungsausgleich bei Eingriffen in höchstpersönliche Rechtsgüter, Baden-Baden 2017. Zech, Herbert: Information als Schutzgegenstand, Tübingen 2012. Zech, Herbert: Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“, CR 2015, 137–146. Zech, Herbert: Besitz an Daten?, in: Pertot / Schmidt-Kessel / Padovini (Hrsg.), Rechte an Daten, Tübingen 2020, 91–102.
Internetquellen Allianz: Zusatzvereinbarung Allianz BonusDrive vom September 2017, abrufbar unter https:// goc-eportale.allianz.de/dlc_app/Intranet/dlc?nr=PKRB-0357Z0&m=d [zuletzt geprüft am 05. 05. 2021]. App Annie: Marktprognose für 2017–2022, 2018, abrufbar unter https://www.appannie.com/ de/insights/market-data/app-annie-2017-2022-forecast [zuletzt geprüft am 05. 05. 2021]. Art. 29 Datenschutzgruppe: WP 251, 06. 02. 2018, abrufbar unter https://ec.europa.eu/newsroom/ article29/document.cfm?action=display&doc_id=49826 [zuletzt geprüft am 05. 05. 2021]. Art. 29 Datenschutzgruppe: WP 259, 10. 04. 2018, abrufbar unter https://www.datenschutzstelle. li/application/files/3615/3674/7263/wp259rev01_de.pdf [zuletzt geprüft am 05. 05. 2021]. Biermann, Kai: Smartphone: Mächtige Sensoren, Zeit Online, 28. 05. 2014, abrufbar unter https://www.zeit.de/digital/mobil/2014-05/smartphone-sensoren-iphone-samsung [zuletzt geprüft am 05. 05. 2021]. Bitter, Philip / Uphues, Steffen: Big Data und die Versichertengemeinschaft – „Entsolidarisierung“ durch Digitalisierung?, September 2017, abrufbar unter http://www.abida.de/sites/ default/files/13%20Entsolidarisierung.pdf [zuletzt geprüft am 05. 05. 2021]. BReg: Gesetzesentwurf zur Umsetzung der Änderungs-RL, abrufbar unter https://www. bmjv.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/RegE_Bereitstellungdigitaler Inhalte_2_Modernisierungsrichtlinie.pdf?__blob=publicationFile&v=4 [zuletzt geprüft am 05. 05. 2021]. BReg: Gesetzesentwurf zur Umsetzung der DIRL, abrufbar unter https://www.bmjv.de/ SharedDocs/Gesetzgebungsverfahren/Dokumente/RegE_BereitstellungdigitalerInhalte. pdf?__blob=publicationFile&v=3 [zuletzt geprüft am 05. 05. 2021]. Bundesamt für Sicherheit in der Informationstechnik: Mobile Endgeräte und mobile Applikationen: Sicherheitsgefährdungen und Schutzmaßnahmen, 2006, abrufbar unter https://docplayer.org/3656221-Mobile-endgeraete-und-mobile-applikationen-sicherheits gefaehrdungen-und-schutzmassnahmen.html [zuletzt geprüft am 05. 05. 2021]. Bundeskartellamt: Beschluss vom 06. 02. 2019 – B6-22/16, abrufbar unter https://www. bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Missbrauchsaufsicht/ 2019/B6-22-16.pdf?__blob=publicationFile&v=8 [zuletzt geprüft am 05. 05. 2021].
428
Literaturverzeichnis
DCORE: Anteil der Befragten, die folgende Internetaktivitäten ausüben, in Deutschland im Jahr 2017, zitiert nach Statista, Februar 2018, abrufbar unter https://de.statista.com/ statistik/daten/studie/4187/umfrage/nutzung-von-internetaktivitaeten-in-deutschlandoesterreich-und-der-schweiz [zuletzt geprüft am 05. 05. 2021]. Deutsche Präsidentschaft im Rat der Europäischen Union: Gemeinsam. Europa wieder stark machen, 2020, abrufbar unter https://www.eu2020.de/blob/2360246/d0e7b758973f0b1f56e 74730bfdaf99d/pdf-programm-de-data.pdf [zuletzt geprüft am 05. 05. 2021]. eMarketer: Ausgaben für Online-Werbung weltweit in den Jahren 2013 bis 2019 sowie eine Prognose bis 2024, zitiert nach Statista, Juli 2020, abrufbar unter https://de.statista. com/statistik/daten/studie/185637/umfrage/prognose-der-entwicklung-der-ausgaben-fueronline-werbung-weltweit [zuletzt geprüft am 05. 05. 2021]. Europäische Kommission: Eine Digitale Agenda für Europa, KOM(2010)245 endgültig, 19. 05. 2010, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CE LEX:52010DC0245&from=de [zuletzt geprüft am 05. 05. 2021]. Europäische Kommission: Strategie für einen digitalen Binnenmarkt für Europa, COM(2015) 192 final, 06. 05. 2015, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/ ?uri=CELEX:52015DC0192&from=DE [zuletzt geprüft am 05. 05. 2021]. Europäische Kommission: Ein modernes Vertragsrecht für Europa, COM(2015) 633 final, 09. 12. 2015, abrufbar unter https://ec.europa.eu/transparency/regdoc/rep/1/2015/DE/12015-633-DE-F1-1.PDF [zuletzt geprüft am 05. 05. 2021]. Europäische Kommission: Aufbau einer Europäischen Datenwirtschaft, COM(2017) 9 final, 10. 01. 2017, abrufbar unter http://ec.europa.eu/transparency/regdoc/rep/1/2017/DE/COM2017-9-F1-DE-MAIN-PART-1.PDF [zuletzt geprüft am 05. 05. 2021]. Europäische Kommission: Eine europäische Datenstrategie, COM(2020) 66 final, 19. 02. 2020, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020D C0066&from=de [zuletzt geprüft am 05. 05. 2021]. Europäische Kommission: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über europäische Daten-Governance, COM(2020) 767 final, 25. 11. 2020, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020PC076 7&from=DE [zuletzt geprüft am 05. 05. 2021]. Europäische Kommission: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über bestreitbare und faire Märkte im digitalen Sektor, COM(2020) 842 final, 15. 12. 2020, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CE LEX:52020PC0842&from=EN [zuletzt geprüft am 05. 05. 2021]. Europäische Kommission: Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über einen Binnenmarkt für digitale Dienste, COM(2020) 825 final, 15. 12. 2020, abrufbar unter https://ec.europa.eu/transparency/regdoc/rep/1/2020/EN/COM-2020-825F1-EN-MAIN-PART-1.PDF [zuletzt geprüft am 05. 05. 2021]. Europäischer Datenschutzausschuss: Stellungnahme 2/2019 vom 8. 10. 2019, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines-art_6-1-b-adopted_ after_public_consultation_en.pdf [zuletzt geprüft am 05. 05. 2021].
Internetquellen
429
Europäischer Datenschutzausschuss: Guidelines 8/2020 on the targeting of social media users, 02. 09. 2020, abrufbar unter https://edpb.europa.eu/sites/edpb/files/consultation/ edpb_guidelines_202008_onthetargetingofsocialmediausers_en.pdf [zuletzt geprüft am 05. 05. 2021]. Europäischer Datenschutzbeauftragter: Stellungnahme des Europäischen Datenschutzbeauftragen, 14. 03. 2017, abrufbar unter https://edps.europa.eu/sites/edp/files/publication/ 17-03-14_opinion_digital_content_de.pdf [zuletzt geprüft am 05. 05. 2021]. Eurostat: Anteil der Bevölkerung in Deutschland, die das Internet für das Versenden und Empfangen von E-Mails nutzen in den Jahren 2002 bis 2020, zitiert nach Statista, Februar 2021, abrufbar unter https://de.statista.com/statistik/daten/studie/204272/umfrage/ nutzung-des-internets-fuer-versenden-empfangen-von-e-mails-in-deutschland [zuletzt geprüft am 05. 05. 2021]. Eurostat: Anteil der Deutschen, die noch nie das Internet genutzt haben in den Jahren 2005 bis 2020, zitiert nach Statista, Februar 2021, abrufbar unter https://de.statista.com/statistik/ daten/studie/158813/umfrage/anteil-der-nicht-nutzer-des-internets-in-deutschland [zuletzt geprüft am 05. 05. 2021]. Facebook: Datenrichtlinie vom 21. 08. 2020, abrufbar unter https://de-de.facebook.com/ privacy/explanation [zuletzt geprüft am 05. 05. 2021]. Facebook: Nutzungsbedingungen vom 20. 12. 2020, abrufbar unter https://de-de.facebook. com/legal/terms [zuletzt geprüft am 05. 05. 2021]. Faust, Florian: Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, 2016, abrufbar unter http://static1.1.sqspcdn.com/static/f/1376130/26847040/1455040340113/ Faust+Digitale+Wirtschaft+-+Analoges+Recht+Gutachten+fur+den+71.+DJT.PDF?token= 73St8IVwwV4tYnJQSVMQJmH3F8c%3D [zuletzt geprüft am 05. 05. 2021]. Fittkau & Maaß Consulting GmbH: Furcht vor Datenmissbrauch beeinflusst Nutzerverhalten, 29. 06. 2009, abrufbar unter https://www.w3b.org/nutzungsverhalten/furcht-vordatenmissbrauch-beeinflusst-nutzerverhalten.html [zuletzt geprüft am 05. 05. 2021]. GfK Media and Communication Research: Durchschnittliche tägliche Nutzungsdauer des Internets unter mobilen Internetnutzern in Deutschland in den Jahren 2016 bis 2018, Oktober 2018, abrufbar unter https://de.statista.com/statistik/daten/studie/763083/umfrage/ taegliche-internetnutzungsdauer-unter-mobilen-internetnutzern-n-in-deutschland [zuletzt geprüft am 05. 05. 2021]. GfK Media and Communication Research: Entwicklung der durchschnittlichen täglichen Nutzungsdauer des Internets in Deutschland in den Jahren 2000 bis 2018, zitiert nach Statista, Oktober 2018, abrufbar unter https://de.statista.com/statistik/daten/studie/1388/umfrage/ taegliche-nutzung-des-internets-in-minuten [zuletzt geprüft am 05. 05. 2021]. Ghostery: Sie wissen, was du letzten Sommer geklickt hast, zitiert nach Statista, 2017, abrufbar unter https://de.statista.com/infografik/12252/tracking-reichweite-von-internetunternehmen [zuletzt geprüft am 05. 05. 2021]. Google: Datenschutzerklärung vom 04. 02. 2021, abrufbar unter https://policies.google.com/ privacy [zuletzt geprüft am 05. 05. 2021].
430
Literaturverzeichnis
Google: Geschäftsbedingungen, abrufbar unter https://policies.google.com [zuletzt geprüft am 05. 05. 2021]. Google: Nutzungsbedingungen vom 31. 03. 2020, abrufbar unter https://policies.google.com/ terms [zuletzt geprüft am 05. 05. 2021]. Horchert, Judith: Das digitale Universum schwillt an, Spiegel Netzwelt, 11. 12. 2012, abrufbar unter https://www.spiegel.de/netzwelt/web/das-internet-der-dinge-erzeugt-2-8-zettabytedaten-a-872280.html [zuletzt geprüft am 05. 05. 2021]. IDC: European Data Market Studie, Smart 2013/0063, Final Report, 01. 02. 2017, abrufbar unter https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=44400 [zuletzt geprüft am 05. 05. 2021]. IDC: Prognose zum Volumen der jährlich generierten digitalen Datenmenge weltweit in den Jahren 2018 und 2025, zitiert nach Statista, November 2018, abrufbar unter https://de.statista.com/statistik/daten/studie/267974/umfrage/prognose-zum-weltweitgenerierten-datenvolumen [zuletzt geprüft am 05. 05. 2021]. Janrein / Blue Research: Online Account – Angabe falscher Informationen, zitiert nach Statista, Februar 2011, abrufbar unter https://de.statista.com/statistik/daten/studie/180806/ umfrage/angabe-falscher-informationen-bei-einem-online-account [zuletzt geprüft am 05. 05. 2021]. Kantar: Anzahl der Internetnutzer in Deutschland in den Jahren 1997 bis 2020, zitiert nach Statista, Oktober 2020, abrufbar unter https://de.statista.com/statistik/daten/studie/ 36146/umfrage/anzahl-der-internetnutzer-in-deutschland-seit-1997 [zuletzt geprüft am 05. 05. 2021]. Kantar: Anteil der Internetnutzer nach Altersgruppen in Deutschland in den Jahren 2014 bis 2020, zitiert nach Statista, Februar 2021, abrufbar unter https://de.statista.com/statistik/ daten/studie/3101/umfrage/internetnutzung-in-deutschland-nach-altersgruppen [zuletzt geprüft am 05. 05. 2021]. Kantar: Anteil der mobilen Internetnutzer in Deutschland in den Jahren 2015 bis 2020 zitiert nach Statista, Februar 2021, abrufbar unter https://de.statista.com/statistik/daten/ studie/633698/umfrage/anteil-der-mobilen-internetnutzer-in-deutschland [zuletzt geprüft am 05. 05. 2021]. Länderarbeitsgruppe: „Digitaler Neustart“ – Bericht vom 15. 05. 2017, abrufbar unter https:// www.justiz.nrw.de/JM/schwerpunkte/digitaler_neustart/zt_bericht_arbeitsgruppe/bericht_ ag_dig_neustart.pdf [zuletzt geprüft am 05. 05. 2021]. Länderarbeitsgruppe: „Digitaler Neustart“ – Berichte vom 01. 10. 2018 und 15. 04. 2019, abrufbar unter https://www.justiz.nrw.de/JM/schwerpunkte/digitaler_neustart/zt_fortsetzung_ arbeitsgruppe_teil_2/2019-04-15-Berichte_Apr_19_Okt_18_Druckfassung.pdf [zuletzt geprüft am 05. 05. 2021]. Mearian, Lucas: Study: Digital universe and its impact bigger than we thought, 11. 03. 2008, abrufbar unter https://www.computerworld.com/article/2537648/study--digital-universeand-its-impact-bigger-than-we-thought.html [zuletzt geprüft am 05. 05. 2021]. Merkel, Angela: Rede auf dem Digitalisierungskongress der CDU, 12. 09. 2015, abrufbar unter https://www.cdu.de/mitgliederkongress [zuletzt geprüft am 05. 05. 2021].
Internetquellen
431
NortonLifeLock: Cyber Safety Insights Report Global Results, zitiert nach Statista, März 2019, abrufbar unter https://www.statista.com/statistics/1025549/global-willingness-to-pay-socialmedia-providers-for-personal-information-protection [zuletzt geprüft am 05. 05. 2021]. Obar, Jonathan A. / Oeldorf-Hirsch, Anne: The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services, 18. 08. 2018, abrufbar unter https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2757465 [zuletzt geprüft am 05. 05. 2021]. OECD: Exploring the Economics of Personal Data: A Survey of Methodologies for Measuring Monetary Value, 02. 04. 2013, abrufbar unter https://www.oecd-ilibrary.org/doc server/5k486qtxldmq-en.pdf?expires=1609519945&id=id&accname=guest&checksum=2E 98E116F68C327840D169D25CF14B70 [zuletzt geprüft am 05. 05. 2021]. Palmetshofer, Walter / Semsrott, Arne / Alberts, Anna: Der Wert persönlicher Daten – Studien und Gutachten im Auftrag des Sachverständigenrates für Verbraucherfragen, Juni 2017, abrufbar unter http://www.svr-verbraucherfragen.de/wp-content/uploads/Open_Knowledge_ Foundation_Studie.pdf [zuletzt geprüft am 05. 05. 2021]. Press, Gil: A Very Short History Of Big Data, 09. 05. 2013, abrufbar unter https://www.forbes. com/sites/gilpress/2013/05/09/a-very-short-history-of-big-data/#2917385365a1 [zuletzt geprüft am 05. 05. 2021]. PwC: Ergebnisse: Bevölkerungsbefragung zu personalisierter Werbung, März 2019, abrufbar unter https://www.pwc.de/de/technologie-medien-und-telekommunikation/bevoelke rungsbefragung-personalisierte-werbung.pdf [zuletzt geprüft am 05. 05. 2021]. Schweitzer, Frank: Selbstorganisation und Information, 1997, abrufbar unter https://storage. sg.ethz.ch/users/fschweitzer/until2005/p_tueb.html [zuletzt geprüft am 05. 05. 2021]. Statista Digital Market Outlook: Ausgaben für Suchmaschinenwerbung weltweit in den Jahren 2017 bis 2019 sowie eine Prognose bis 2025, Oktober 2020, abrufbar unter https:// de.statista.com/prognosen/457519/weltweite-umsaetze-mit-suchmaschinenwerbung [zuletzt geprüft am 05. 05. 2021]. Statista Digital Market Outlook: Ausgaben für Social-Media-Werbung weltweit in den Jahren 2017 bis 2019 sowie eine Prognose bis 2025, November 2020, abrufbar unter https:// de.statista.com/prognosen/457505/weltweite-umsaetze-mit-social-media-werbung [zuletzt geprüft am 05. 05. 2021]. Statista Digital Market Outlook: Digital Advertising Report 2020, Dezember 2020, abrufbar unter https://de.statista.com/statistik/studie/id/42327/dokument/digital-advertising-report [zuletzt geprüft am 05. 05. 2021]. Strategy Analytics: Number of internet of things (IoT) connected devices worldwide in 2018, 2025 and 2030, zitiert nach Statista, Mai 2019, abrufbar unter https://www.statista.com/ statistics/802690/worldwide-connected-devices-by-access-technology [zuletzt geprüft am 05. 05. 2021].
Sachverzeichnis Abstraktionsprinzip 294, 296 ff. AGB-Recht 363 ff. Allgemeines Persönlichkeitsrecht 86, 108 ff. Auflösende Bedingung 327 f. Berufsfreiheit 97 Button-Lösung 310 ff. Cookies 71 Daten 31 ff. – Als Vertragsgegenstand 101 ff. – Als Zahlungsgegenstand 206 f. – Anonymisierte Daten 128 – Juristischer Datenbegriff 36 f. – Pseudonymisierte Daten 127 f. – Sach- und Geodaten 127 Datenbasierte Leistungspflicht 193 ff. – Dauerschuldcharakter 204 f. – Dogmatische Grundstruktur 252 ff. – Gegenleistungscharakter 217 ff. – Konzeption 193 f. – Leistungshandlung oder Leistungserfolg 312 ff. – Leistungsort 314 f. – Leistungszeit 314 – Vertragstypologische Qualifizierung 272 ff. Dateneigentum 87 Datengetriebene Austauschverhältnisse 28 Datengetriebene Geschäftsmodelle 28, 51 ff. Datenschutzrecht 80 ff., 117 ff. – Historie 117 f. – Quellen des Datenschutzrechts 80 ff. – Rahmenbedingungen der DSGVO 119 ff. Datenschutzrechtliche Einwilligung 104 ff., 130 ff. – Rechtsnatur 106 f. – Verweigerung der Einwilligungserteilung 321 ff.
– Widerruflichkeit der Einwilligung 141 ff. Datenschutzrechtliche Erlaubnistatbestände 129 f. – Einwilligung 130 ff. – Erfüllung rechtlicher Pflichten 226 ff. – Vertragserfüllung 219 ff. – Wahrung berechtigter Interessen 230 ff. Datenüberlassung 194 – Notwendige Daten 261 ff. – Zwecks Datenverarbeitung zu kommerziellen Zwecken 260 Datenübermittlung im Internet 62 ff. Digital Analytics 69 ff. Digitale Inhalte-Richtlinie 30, 339 ff. – Anwendungsbereich und Ziel 339 f. – Umsetzungsgesetz zur DIRL 343 ff. Direktmarketing 41 Durchsetzbarkeit datenbasierter Leistungspflichten 244 ff., 254 ff. – Ausschluss von Sekundäransprüchen 325 – Dolo-Agit Einwand 322 ff. Eingebettete Systeme 73 ff. Einrede des nichterfüllten Vertrags 255 ff. Einwilligungsfähigkeit 134 f. Endgeräte 38, 39 Entgeltlichkeit 206 ff. – Bedeutung 209 f. – Objektive Unentgeltlichkeit 210 ff. – Subjektive Unentgeltlichkeit 214 ff. ePrivacy-Richtlinie 82, 118 f. ePrivacy-Verordnung 118 Facebook 170 ff. – Datenrichtlinie 171 – Nutzungsbedingungen 170 Fingerprints 72 f. Freiwilligkeitspostulat der DSGVO 321, 347
Sachverzeichnis Gefahrerhöhung 115 f. Gefälligkeitsverhältnis 187 ff. Gegenstandsbegriff 100 f. Gesamtnichtigkeit 332 Gesetzliches Verbot 350 ff. Google 166 – Datenschutzerklärung 168 f. – Nutzungsbedingungen 167 Information 31 – Naturwissenschaftlicher Informationsbegriff 32 – Semantische Information 34 f., 91 ff. – Strukturelle Information 33, 88 f. – Syntaktische Information 34, 89 ff. Informationelle Selbstbestimmung 83 ff. Informationsfreiheit 95 f. Interessenlage und Zwecksetzung 173 ff. – Anbieterinteressen 175 ff. – Interessen des Datensubjekts 179 ff. Internetnetzwerk 64 IP-Adresse 128 f.
433
Programmatic Advertising 55 f. Realvertrag 276 Rechtsbindungswille 187 ff. Rechtszwang 254 f., 257 Richtigkeit von Daten 177 f., 315 ff. Sittenwidrigkeit 357 ff. Softwareüberlassung 37, 38 Soziale Netzwerke und Medien 58 ff. Störung der Geschäftsgrundlage 331 f. Stufenleiter der Gestattungen 105, 152 Suchmaschinenmarketing 56 ff. Targeting 54 f. Tauschvertrag 272 ff. TCP/IP-Protokollfamilie 65 f. Telematik-Tarife 59 ff., 78 f. – Grundrechtliche Rahmenbedingungen 94 f. – Versicherungsvertragsrecht 113 ff. Trennungsprinzip 294 ff.
JavaScript 72
Urhebervertragsrecht 110 ff.
Konditionale Bedingungskonstruktion 246 ff. Kopplungsverbot 136 ff. Kündigungsrecht des Anbieters 328 ff.
Verbraucherrechte-Richtlinie 30, 300 ff. – Anwendungsbereich 301 f. – Historie 300 f. – Novellierung 302 f. Verknüpfung von Leistungspflichten 236 ff. – Kausale Verknüpfung 239 – Konditionale Verknüpfung 238 f. – Synallagmatische Verknüpfung 237 f. Vertragsschluss 191 f. Vertragstypensystem 29, 160 ff. Vertragstypologie 156 ff. – Grundlagen 157 ff. – Notwendigkeit 159 f. – Qualifizierung der Austauschverhältnisse 165 ff.
Leistung des Anbieters 192 f., 267 f. – Qualifizierung 267 ff. – Unmöglichkeit 338 Lizenzvertrag 280 ff. Logdateien 69, 70 Naturalobligation 274 ff. Objektiver Empfängerhorizont 173 f. Obliegenheit 261 ff. Ökonomie der Privatsphäre 47 ff. Online-Werbung 52 ff. Ortungstechnologien 76 ff. Pay-as-you-drive 60, 61 Personality Merchandising 43, 109, 287 Personenbezug von Daten 121 ff. Privacy Paradox 182 ff.
Wert personenbezogener Daten 207, 283 f., 386 ff. – Bereicherungsrechtliche Abschöpfung 383 ff. – Methoden der Wertbestimmung 387 f. – Objektiver Verkehrswert 389 ff.