113 13 1MB
German Pages 272 Year 2023
Internetrecht und Digitale Gesellschaft Band 51
Personenbezogene Daten als Gegenleistung im Internet – mit einem Klick zur Kommerzialisierung des Privaten
Von
Anabel Wenzel
Duncker & Humblot · Berlin
ANABEL WENZEL
Personenbezogene Daten als Gegenleistung im Internet – mit einem Klick zur Kommerzialisierung des Privaten
Internetrecht und Digitale Gesellschaft Herausgegeben von
Dirk Heckmann
Band 51
Personenbezogene Daten als Gegenleistung im Internet – mit einem Klick zur Kommerzialisierung des Privaten
Von
Anabel Wenzel
Duncker & Humblot · Berlin
Die Hohe Rechtswissenschaftliche Fakultät der Universität zu Köln hat diese Arbeit im Jahr 2022 als Dissertation angenommen.
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Alle Rechte vorbehalten
© 2023 Duncker & Humblot GmbH, Berlin Satz: Fotosatz Voigt, Berlin Druck: CPI books GmbH, Leck Printed in Germany
ISSN 2363-5479 ISBN 978-3-428-18917-5 (Print) ISBN 978-3-428-58917-3 (E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706 Internet: http://www.duncker-humblot.de
Meinen Eltern
Vorwort Die vorliegende Arbeit wurde im Jahr 2022 an der Universität zu Köln als Dissertation angenommen. Literatur und Rechtsprechung wurden bis Mai 2022 berücksichtigt. Ich möchte mich herzlichst bei meinem Doktorvater Herrn Prof. Dr. Daniel Effer-Uhe bedanken, ohne den ich nie den Mut gefasst hätte, mich an dieses Projekt zu wagen. Der persönliche und wissenschaftliche Austausch während der Betreuung hat mich ungemein motiviert, mich wachsen lassen und mich stets weiter vorangebracht. Eine bessere Betreuung hätte ich mir nicht wünschen können! Ebenfalls möchte ich mich bei Herrn Prof. Dr. Ulrich Ehricke für die zügige Erstellung des Zweitgutachtens bedanken. Zuletzt danke ich inniglich meinen liebsten Eltern Dr. Uwe Wenzel und Ursula Wenzel, meinem liebsten Bruder Fabian Wenzel, meinem wunderbaren Lebenspartner Dr. Paul Gerstmayr und meinen Freunden und Freundinnen, insbesondere Artemis Koulouklidi, Laura Loebel und Alica Mohnert. Vielen Dank für die unermüdliche Unterstützung! Frankfurt, im Februar 2023
Anabel Wenzel
Inhaltsverzeichnis Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
19
Kapitel 1 Personenbezogene Daten als Wirtschaftsgut
21
A. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
B. Was sind personenbezogene Daten? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Was sind Daten? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Personenbezogene Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Sachdaten mit Personenbezug: Beispiel IP-Adresse . . . . . . . . . . . . . . . . . . 2. Pseudonymisierung und Anonymisierung . . . . . . . . . . . . . . . . . . . . . . . . . .
21 21 22 22 24
C. Verwendung und Wert der Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Zivilrechtlicher Vermögens(wert)begriff: Personenbezogene Daten als Vermögenswerte? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Verwendung zur Optimierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Personalisierte Werbeanzeigen und deren Wert . . . . . . . . . . . . . . . . . . . . . . . . 1. Targeted Advertising . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Real-Time-Bidding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Komplexität der Vorgänge als Hindernis für die Informiertheit . . . . . . . . IV. Marktforschung/Marktanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Kritisches Beispiel: Versteckte Preisbildungsalgorithmen . . . . . . . . . . . . . . . VI. Und was ist mit den Prinzipien des Datenschutzes? . . . . . . . . . . . . . . . . . . . . VII. Wie hoch ist der Preis? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Wird der Wert der Daten überschätzt? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Wird der Wert der Daten unterschätzt? . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24 25 27 28 28 31 33 33 34 38 38 39 40
D. Ist der eigentliche Wert der Daten allein pekuniär sinnvoll erfassbar? . . . .
41
Kapitel 2 Personenbezogene Daten als Entgelt (B2C-Vertrag mit Onlinediensten) 42 A. Personenbezogene Daten als Gegenleistung in der DIRL und deren Umsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Gegenleistung oder nicht – Etikettenschwindel oder richtige Differenzierung in der DIRL? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42 42
10
Inhaltsverzeichnis II. Umsetzung in Deutschland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 III. Bedeutung der ePrivacy-Verordnung für Daten als Gegenleistung . . . . . . . . 47
B. Personenbezogene Daten als Gegenleistung im BGB . . . . . . . . . . . . . . . . . . . . . I. Übertragung personenbezogener Daten als Nebenabrede . . . . . . . . . . . . . . . . 1. Ist die Datenübertragung Neben- oder Hauptleistung – oder eine reine Nebenabrede? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Problem: AGB-Kontrolle der Hauptleistung . . . . . . . . . . . . . . . . . . . . . . . . . II. Personenbezogene Daten als Entgelt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. „Data as currency“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Allgemein: Daten als Entgelt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Intransparentes Entgelt? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Der neue § 516a BGB: Schenkung trotz Daten(gegen)leistung? . . . . . . . 5. Inhalt des Entgelts: Datenzugang oder Datenübertragung? . . . . . . . . . . . . III. Der problematische Wille des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Vertragsschluss bei Facebook mit Registrierung . . . . . . . . . . . . . . . . . . . . . 2. Vertragsschluss bei Google als Suchmaschine ohne Registrierung . . . . . 3. Kopplungsverbot und Freiwilligkeit beim Vertragsschluss . . . . . . . . . . . . IV. Personenbezogene Daten als Gegenleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Abgrenzung: Synallagmatische, konditionale und kausale Verknüpfungen 2. Zwittervertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Pflichten des Betroffenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Personenbezogene Daten als Leistung im Sinne des BGB . . . . . . . . . . b) Personenbezogene Daten als indisponibler Teil des Persönlichkeitsrechts? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Gemeinsamkeiten von Verträgen mit punktuellem Austausch und Dauerschuldverhältnissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Bereitstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Einwilligung als Leistungsgegenstand . . . . . . . . . . . . . . . . . . . . . . . (1) Vertraglich vereinbarte Pflicht zur Einwilligung und Widerrufsverzicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Einwilligung als Naturalobligation . . . . . . . . . . . . . . . . . . . . . . (3) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Rechtsfolgen der ständigen Widerruflichkeit . . . . . . . . . . . . . . . . . (1) Sekundäransprüche nach Widerruf . . . . . . . . . . . . . . . . . . . . . . (2) Berechtigung zur Vertragsbeendigung . . . . . . . . . . . . . . . . . . . (3) Vertragsanpassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Bestätigung durch § 327q BGB . . . . . . . . . . . . . . . . . . . . . . . . . (5) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Schulden einer bestimmten Datenqualität . . . . . . . . . . . . . . . . . . . . (1) Gesetzliche Datenqualität: Daten als Gattungsschuld . . . . . .
49 51 51 53 55 55 56 58 59 61 62 63 64 67 68 69 73 74 75 76 79 79 81 81 84 85 85 86 87 89 89 90 90 90
Inhaltsverzeichnis (2) Datenqualität in der Praxis: Beispiele aus Nutzungsvereinbarungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (a) Facebook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (b) XING . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Klarnamenpflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (4) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ee) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Besonderheiten der Gegenleistung bei Verträgen mit punktuellem Austausch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Datenleistung als Tauschgeschäft . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Punktueller Austausch mit länger andauernder Datenverarbeitung: Tauschvertrag oder Dauerschuldverhältnis? . . . . . . . . . . . . . cc) Datenleistung als Werkleistung . . . . . . . . . . . . . . . . . . . . . . . . . . . . e) Besonderheiten der Gegenleistung bei Verträgen mit Dauerschuldcharakter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . aa) Vermietung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . . bb) Verpachtung personenbezogener Daten . . . . . . . . . . . . . . . . . . . . . cc) Personenbezogene Daten als Gegenstand eines Lizenzvertrags . . dd) Daten als Vergütung für eine Dienstleistung . . . . . . . . . . . . . . . . . f) Folgeproblem aus Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO . . . . . . . . . . . g) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Pflichten des Verantwortlichen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Allgemeine Voraussetzungen nach § 327 ff. BGB . . . . . . . . . . . . . . . . aa) Digitale Produkte zweierlei Art . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Bereitstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Vertragstypologie bei Verträgen mit punktuellem Leistungsaustausch: Kauf- bzw. Tauschvertrag? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Vertragstypologie bei Verträgen mit Dauerschuldcharakter . . . . . . . . aa) Tauschvertrag, § 480 BGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . bb) Miet-/Pachtvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Lizenzvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . dd) Dienst-/Werkvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Vertrag sui generis oder neuer Vertragstyp „Datenvertrag“? . . . . . . . . . . 6. Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Exkurs: Andere Konstellationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Verträge mit zusätzlichem monetärem Entgelt: Telematik- und Freemium-Modelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vertragsschluss in App-Stores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Vertragshindernisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Minderjährigkeit und Geschäftsunfähigkeit . . . . . . . . . . . . . . . . . . . . . . . . .
11
92 92 93 93 94 95 96 97 99 100 100 101 101 102 104 104 108 109 109 110 110 111 112 112 113 116 117 119 119 121 122 122 123 126 126
12
Inhaltsverzeichnis 2. Sittenwidrigkeit: Persönlichkeitsprofile und behavioral microtargeting . . VII. Pflichtverletzungen und Leistungsstörungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Leistungsstörungen auf Seiten des Anbieters . . . . . . . . . . . . . . . . . . . . . . . . a) Behavioral microtargeting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Weitere Pflichtverletzungen des Anbieters . . . . . . . . . . . . . . . . . . . . . . . aa) Unterbleiben der Bereitstellung und Rechte des Verbrauchers . . bb) Mangelhafte digitale Dienste und Rechte des Verbrauchers . . . . . cc) Unzureichende Datenschutzerklärung . . . . . . . . . . . . . . . . . . . . . . . dd) Sicherheitslücken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Pflichtverletzungen des Nutzers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Fehlerhafte Einwilligung als Mangel . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Angabe falscher Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Widerruf als Pflichtverletzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . d) Verwendung von Anti-Tracking-Apps und Adblockern . . . . . . . . . . . .
127 130 130 130 133 133 133 134 135 136 136 137 138 139
C. Fazit zu Personenbezogenen Daten als Gegenleistung . . . . . . . . . . . . . . . . . . . . 142
Kapitel 3 Die datenschutzrechtliche Einwilligung A. Die datenschutzrechtliche Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Überblick: Systematik und Rechtsgrundlage . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Bedeutung und Anwendbarkeit von Erwägungsgründen . . . . . . . . . . . . . . II. Anforderungen an die datenschutzrechtliche Einwilligung . . . . . . . . . . . . . . . 1. Eindeutige bestätigende Handlung und Unmissverständlichkeit . . . . . . . . 2. Freiwilligkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Klares Ungleichgewicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Kopplungsverbot, Art. 7 Abs. 4 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . 3. Für den konkreten Fall und in informierter Weise . . . . . . . . . . . . . . . . . . . . a) Keine Blanko-Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Granularität der Einwilligung anstelle von „Take it or leave it“ . . . . . 4. Widerrufbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Form und Wirkung des Widerrufs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Verletzung der Hinweispflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Vor Inkrafttreten der DS-GVO erteilte Einwilligungen . . . . . . . . . . . . . . . 6. Einwilligung als Teil von AGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7. Die Einwilligung Minderjähriger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Voraussetzungen in der DS-GVO, Art. 8 DS-GVO . . . . . . . . . . . . . . . . aa) Dienste von Informationsgesellschaften . . . . . . . . . . . . . . . . . . . . . bb) Weitere Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
144 144 144 144 146 148 149 152 154 155 161 161 162 164 164 166 167 169 171 173 173 175
Inhaltsverzeichnis (1) (Starre) Altersgrenze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (2) Direktes Angebot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (3) Rolle der Eltern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . cc) Kritik an der Regelung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Übrige Konstellationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . c) Geschäftsfähigkeit Minderjähriger nach dem BGB . . . . . . . . . . . . . . . aa) § 110 BGB: Taschengeldparagraph als Lösung? . . . . . . . . . . . . . . bb) Rechtlicher Vorteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Rechtsnatur der datenschutzrechtlichen Einwilligung . . . . . . . . . . . . . . . . . . . 1. Ist die Einordnung nach deutschem Zivilrecht heute obsolet? . . . . . . . . . 2. Dogmatische Folgeprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Beispiel Anfechtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Weiterer Anwendungsbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Ansätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . a) Realakt oder geschäftsähnliche Handlung? . . . . . . . . . . . . . . . . . . . . . . b) Ergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Die Einwilligung und das zugrundeliegende Rechtsgeschäft – Verfügung und Verpflichtung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Kritik an der Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Einwilligung als „Fetisch“ oder „Fiktion“ . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Kritik an der Widerruflichkeit der Einwilligung . . . . . . . . . . . . . . . . . . . . . VI. Probleme bei der Einwilligung in Web-Tracking . . . . . . . . . . . . . . . . . . . . . . . 1. Einwilligung in Webtracking: Google Analytics und Co. . . . . . . . . . . . . . a) CMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . b) Praktisches Beispiel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Anonymisiertes Tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Pseudonymisierung als Datenschutz: Abweichungen vom TMG . . . . . . . 4. Die ePrivacy-Verordnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5. Einwilligung oder berechtigtes Interesse . . . . . . . . . . . . . . . . . . . . . . . . . . .
13 175 176 177 178 178 181 181 182 183 183 184 184 185 187 187 190 190 191 192 197 197 198 199 200 201 202 203 204
B. Fazit zur datenschutzrechtlichen Einwilligung . . . . . . . . . . . . . . . . . . . . . . . . . . 207
Kapitel 4 Vorschläge für mehr Transparenz
208
A. Gegen Gegenargumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 B. Besondere Anforderungen an Datenschutzerklärungen . . . . . . . . . . . . . . . . . . I. Datenschutzerklärungen als One-Pager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . II. Voreingestellte Browsereinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Für Cookie-Banner/CMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
210 210 211 211
14
Inhaltsverzeichnis 1. Dark Patterns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 2. Nudging über die Klick-Ebenen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 3. Lösungsvorschlag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
C. Zertifizierung und Datenampel – Verkehrsschilder für den Datenverkehr? 213 I. Datenampel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214 II. Transparente Darstellung komplexer Inhalte und algorithmenbasierter Vorgänge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 D. Gamification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 E. Datentreuhand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 I. Ideen zur Datentreuhand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 II. Datentreuhand durch Personal Information Management Systems . . . . . . . . 220 F. Dateneigentum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I. Ausschließlichkeitsrecht an Daten in der DS-GVO . . . . . . . . . . . . . . . . . . . . . II. Dateneigentum nach entsprechender Anwendung von § 903 BGB . . . . . . . . 1. Planwidrige Regelungslücke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Vergleichbare Interessenlage: Unterschiede zwischen personenbezogenen Daten und Sachen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Vergleichbare Interessenlage wegen § 303a StGB . . . . . . . . . . . . . . . . . . . 4. Dateneigentum als sonstiges Recht i. S. v. § 823 Abs. 1 BGB . . . . . . . . . . 5. Dateneigentum als Urheberrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Zwischenergebnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Verfechter des Dateneigentums . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Repräsentatives Dateneigentum nach Fezer . . . . . . . . . . . . . . . . . . . . . . . . . 2. Stellungnahme zu Fezers Vorschlag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Gegen Dateneigentum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Stellungnahme zum Dateneigentum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
221 222 223 223 224 226 228 229 229 230 230 231 233 234
G. Aktuelle Entwicklungen: Neue Schranken durch das Kartellrecht . . . . . . . . . 235 I. DSA und DMA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 II. Nationale Praxis: BGH, Urteil vom 23.06.2020 – KVR 69/19 . . . . . . . . . . . . 237 Schlussbetrachtung und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Sachwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
Abkürzungsverzeichnis a. A. a. E. a. F. Abs. AcP AEUV AfP AGB Az. BAG BB Bd. BDSG BeckRS BGB BGH BGHZ BITKOM BKartA BT-Drs. BVerfG bzw. CR CRi DB ders. DGRI dies. DIRL
DIVSI DS-GVO DSK
andere Ansicht, anderer Auffassung am Ende alte Fassung Absatz Archiv für die civilistische Praxis Vertrag über die Arbeitsweise der Europäischen Union Archiv für Presserecht Allgemeine Geschäftsbedingungen Aktenzeichen Bundesarbeitsgericht Betriebs-Berater Band Bundesdatenschutzgesetz Beck-Rechtsprechung Bürgerliches Gesetzbuch Bundesgerichtshof Entscheidungen des Bundesgerichtshofs in Zivilsachen Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. Bundeskartellamt Drucksachen des Deutschen Bundestages Bundesverfassungsgericht beziehungsweise Computer und Recht Computer Law Review International Der Betrieb derselbe Deutschen Gesellschaft für Recht und Informatik e.V. dieselbe/dieselben Richtlinie (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen Deutsches Institut für Vertrauen und Sicherheit im Internet Datenschutz-Grundverordnung Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
16 DSRL
DuD EG et al. etc. EuGH f./ff. FAZ Fn. FS GG ggf. GRCh GRUR GRUR Int. i. e. i. S. d. i.V. m. IT ITRB JA JuS JZ K&R KUG m.w. N. MDR MMR NJOZ NJW NJW-RR NStZ NVwZ NZKart o. g. PAngV PinG Rn. S. s. o. sog.
Abkürzungsverzeichnis Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Datenschutz und Datensicherheit Erwägungsgrund et alii/et aliae et cetera Gerichtshof der Europäischen Union folgende Frankfurter Allgemeine Zeitung Fußnote Festschrift Grundgesetz gegebenenfalls Charta der Grundrechte der Europäischen Union Gewerblicher Rechtsschutz und Urheberrecht Gewerblicher Rechtsschutz und Urheberrecht Internationaler Teil id est im Sinne des/der in Verbindung mit Informationstechnologie IT-Rechtsberater Juristische Arbeitsblätter Juristische Schulung Juristen Zeitung Kommunikation & Recht Kunsturhebergesetz mit weiteren Nachweisen Monatsschrift für Deutsches Recht MultiMedia und Recht Neue Juristische Online Zeitschrift Neue Juristische Wochenschrift NJW-Rechtsprechungs-Report Zivilrecht Neue Zeitschrift für Strafrecht Neue Zeitschrift für Verwaltungsrecht Neue Zeitschrift für Kartellrecht oben genannt Preisangabenverordnung Privacy in Germany Randnummer Seite siehe oben sogenannt
Abkürzungsverzeichnis StGB TKG TMG u. a. UAbs. usw. UWG VersR vgl. VuR WRP WuW ZD ZEuP ZfPW ZUM
17
Strafgesetzbuch Telekommunikationsgesetz Telemediengesetz unter anderem Unterabsatz und so weiter Gesetz gegen den unlauteren Wettbewerb Versicherungsrecht vergleiche Verbraucher und Recht – Zeitschrift für Wirtschafts- und Verbraucherrecht Wettbewerb in Recht und Praxis Wirtschaft und Wettbewerb Zeitschrift für Datenschutz Zeitschrift für Europäisches Privatrecht Zeitschrift für die gesamte Privatrechtswissenschaft Zeitschrift für Urheber- und Medienrecht
Einführung „Privacy is dead.“1 – Privatheit ist tot. Verfolgt man das Originalzitat aus einem Artikel des internationalen Wirtschaftsmagazins Forbes weiter, so wird auch gleich der Schuldige benannt: „and we killed it“. Gemeint ist die tägliche Einspeisung persönlicher Informationen in hungrige Algorithmen, die unsere Daten erheben und zu den kommerziellen Gunsten ihres Betreibers verarbeiten – weil wir darin eingewilligt haben. „Big Data“ hat sich so nach und nach zum Fundament des sozialen Lebens evolviert und zum Verwalter unserer Intimitäten. Was ist „Big Data“? „Big data is high-volume, high-velocity and/or high-variety information assets that demand cost-effective, innovative forms of information processing that enable enhanced insight, decision making, and process automation.“2
Nach dieser Definition sind die Aspekte Volumen, Geschwindigkeit und Vielfalt für die Definition von „Big Data“ zentral. Dazu kommen Kosteneffektivität und Prozessoptimierung. Doch wie behält man den Überblick in einer noch wenig gereiften Disziplin, die gerade durch Ihre Veränderlichkeit und ihren Umfang charakterisiert wird? Wie kartiert man die „terra incognita“ der wachsenden Datenökonomie?3 Darauf kann diese Arbeit keine Antwort geben – und auch den Verfall der Privatheit nicht analysieren bzw. erklären, wie es so schnell so weit kommen konnte. Die rechtliche Abbildung des alltäglichen Verlusts von Privatheit ist schwierig und diese Arbeit wird nur einen kleinen Teilbereich beleuchten können: nämlich die Frage, inwieweit personenbezogene Daten als Gegenleistung nach deutschem Recht kategorisierbar sind und welche Konsequenzen sich daraus im Einzelnen ergeben können. Was passiert rechtlich, wenn wir unsere Daten online fast unbemerkt preisgeben? Naturgemäß muss der Raum, in dem diese Frage gestellt und (zumindest annäherungsweise) beantwortet werden kann, auch ein wenig ausge1 Sanders, Southern University Law Rev, 39 S.U. L. Rev. (2011–2012), 243; Morgan, Forbes (19.08.2014), Privacy is completely and utterly dead, and we killed it, abrufbar unter: https://www.forbes.com/sites/jacobmorgan/2014/08/19/privacy-is-completelyand-utterly-dead-and-we-killed-it/ (Stand 01.05.2022). 2 Gartner-IT-Glossar, abrufbar unter: http://www.gartner.com/en/information-techno logy/glossary/big-data (Stand 01.05.2022). Freie Übersetzung des Verf.: „Big Data – das sind großvolumige, schnell verfügbare und/oder vielfältige Informationsressourcen, die kostengünstige, innovative Formen der Informationsverarbeitung erfordern, die verbesserte Einblicke, Entscheidungsfindung und Prozessautomatisierung ermöglichen.“ 3 Körber, NzKart 2018, 105.
20
Einführung
leuchtet werden. Eine umfassende Beschreibung der Big-Data-Situation wird insofern ersetzt durch die wichtigen Rahmenpfeiler, die stehen müssen, um ein etwaiges Konstrukt von personenbezogenen Daten als Gegenleistung standhaft zu machen (oder auch standhaft zu hinterfragen). Kernthema und Rahmenpfeiler teilen sich daher sinnhaft auf in die folgenden Kapitel: 1. Kapitel: Personenbezogene Daten als Wirtschaftsgut Welchen Wert haben personenbezogene Daten in der Onlinewelt, wofür werden sie genutzt, wie werden sie erhoben und ist ihr Wert allein wirtschaftlich erfassbar? 2. Kapitel: Personenbezogene Daten als Entgelt (nach BGB) In welchen Situationen kommt es faktisch zu einer Vereinbarung zwischen Nutzern und Datenverarbeitern, auf deren Grundlage die personenbezogenen Daten als Gegenleistung in Erscheinung treten? Welche Rechte und Pflichten ergeben sich daraus für die Beteiligten? Hier soll die Kernfrage der Arbeit beantwortet werden: Sind personenbezogene Daten im Internet regelmäßig eine Gegenleistung und wenn ja, wie ist die Vertragssituation ausgestaltet? 3. Kapitel: Die datenschutzrechtliche Einwilligung In vielen Fällen dürfen personenbezogene Daten ohne eine datenschutzrechtliche Einwilligung gar nicht erhoben werden. Auch die Frage, inwieweit die Einwilligung selbst mit der etwaigen Daten-Gegenleistung verquickt sein mag, muss berücksichtigt werden. In welchen Fällen darf die Einwilligung entfallen? Was sind die rechtlichen Grundlagen der Legitimität einer kommerziellen Verarbeitung personenbezogener Daten? 4. Kapitel: Vorschläge für mehr Transparenz Es wird sich zeigen, dass die Inhalte der gewählten Thematik nicht nur für den Verfasser4, sondern erst recht für den Verbraucher schwierig zu durchdringen bleiben. Der Verbraucher gibt regelmäßig seine personenbezogenen Daten preis. Wenn dem Verbraucher aber das Bewusstsein (oder gar die Durchdringung) über den Umfang dieser Leistung eigentlich fehlt, werden wichtige datenschutzrechtliche Prinzipien umgangen. Wie kann der Online-Prozess, in den die Vereinbarung mit dem Datenverarbeiter eingebettet ist, transparenter und verbraucherfreundlicher gestaltet werden, und welche darüber hinausgehenden Möglichkeiten gibt es, den Verbraucher hier mit mehr Rechten auszustatten? Die Arbeit schließt mit einer thesenartigen Zusammenfassung der Ergebnisse.
4 Ausschließlich zum Zwecke der besseren Lesbarkeit wird im Text das generische Maskulinum verwendet. Gemeint sind jedoch immer alle Geschlechter.
Kapitel 1
Personenbezogene Daten als Wirtschaftsgut A. Einleitung Den Anbietern digitaler Dienste, die Nutzern digitale Dienste zur Verfügung stellen, ohne eine monetäre Gegenleistung zu verlangen, kann nicht schlechthin Altruismus unterstellt werden.1 Oft handelt es sich bei den im Hintergrund agierenden Unternehmen (vgl. Google, Facebook usw.) um große Wirtschaftskonzerne, denen vielmehr das – selbstverständlich legitime – Ziel der ständigen Profitmaximierung und Vergrößerung zugeschrieben werden kann.2 Doch wie ist dies bei scheinbar „kostenfreier“ Bereitstellung der Dienste möglich? Die Antwort ergibt sich regelmäßig aus einem einzigen Klick bzw. allem, was dieser anstößt: Nutzer willigen in die Erhebung und Verarbeitung ihrer personenbezogenen Daten ein, aus denen die Unternehmen auf verschiedene Weise Gewinne schöpfen können;3 sie „zahlen“ mit ihren Daten.4 Diese Entwicklung wird nicht ohne Grund teilweise als „vierte industrielle Revolution“5 bezeichnet und die Daten als neue „Währung“.6
B. Was sind personenbezogene Daten? I. Was sind Daten? Der Begriff des Datums ist zunächst denkbar ungenau: Im Grunde genommen kann bei weiter Auslegung jeder Informationsgehalt als Datum verstanden werden.7 Im Sinnzusammenhang mit dem europäischen Datenschutzrecht sind bei der allgemeinen Rede von Daten regelmäßig personenbezogene Daten gemeint. 1
Czajkowski/Müller-ter Jung, CR 2018, 157, 158; Beck, ZRP 2019, 112, 114. Czajkowski/Müller-ter Jung, CR 2018, 157, 158. 3 Vgl. Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 191, 196. 4 Mendelsohn, ZEuP 2020, 235, 236. 5 Mühlich, ZD 2014, 381; Bräutigam/Klindt, NJW 2015, 1137; Grünwald/Nüßing, MMR 2015, 378; Wandtke, MMR 2017, 6. 6 Eggers/Hamill/Ali, Data as the new currency, 13 Deloitte Review (2013), S. 18, 21; Körber, WRP 2012, 761, 764; Hoeren, WuW 2013, 463; Langhanke/Schmidt-Kessel, EuCML 2015, 218. 7 Körber, NzKart 2016, 303, 304. 2
22
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
Diese sind schließlich die relevanten, wenn es beispielsweise um datenschutzrechtlich relevante Fragen hinsichtlich der Einwilligung des Betroffenen in die Erhebung seiner persönlichen Daten geht. Was unter Personenbezug zu verstehen ist und wo dieser Begriff zu Schwierigkeiten führen kann, wird im Folgenden kurz erläutert.
II. Personenbezogene Daten Den Begriff der „personenbezogenen Daten“ definiert Art. 4 Nr. 1 DS-GVO wie folgt: Es handelt sich um – „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ,betroffene Person‘) beziehen; – als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, – die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“ 8 Diese Legaldefinition zeigt einen weiten Anwendungsbereich auf und wird in der Regel auch weit ausgelegt.9 1. Sachdaten mit Personenbezug: Beispiel IP-Adresse Sachdaten sind zwar grundsätzlich ausgenommen, allerdings nur, soweit sich durch sie kein Personenbezug herstellen lässt.10 Als bedeutsames Beispiel hierfür kann die Erhebung einer IP-Adresse11 herangezogen werden. Die IP-Adresse besteht aus einer mehrstelligen Zahlenfolge und kann vereinfacht gesagt als „An8
Originaltext des Art. 4 Nr. 1 DS-GVO, Anordnung mit Spiegelstrichen durch Verf. Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 3; Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 7; siehe auch als Beispiel für weite Auslegung: EuGH Urteil vom 20.12.2017 – C-434/16: Antworten eines Prüflings und Anmerkungen des Prüfers als personenbezogene Daten = NJW 2018, 767. 10 Taeger/Gabel/Arning/Rothkegel, 3. Aufl. 2019, DS-GVO, Art. 4 Rn. 10; Kühling/ Buchner/Klar/Kühling, 3. Aufl. 2020, DS-GVO Art. 4 Nr. 1 Rn. 12 f. 11 Zur Definition einer IP-Adresse, Taeger/Gabel/Arning/Rothkegel, 3. Aufl. 2019, DS-GVO Art. 4 Rn. 12, in Fn. 13: „,IP‘ steht für ,Internet Protocol‘ und ist das grundlegende Netzwerkprotokoll für das Internet. Computern wird im Internet eine IPAdresse zugeteilt, um sie adressieren zu können, die entweder 32 Bit lang ist nach IPv4 (z. B. 207.142.131.235) oder zukünftig 128 Bit lang nach IPv6 (z. B. 2001:0db8:85a3: 08d3:1319:8a2e:0370:7344). Ferner ist zwischen statischen, mithin dauerhaft zugeteilten, und dynamischen, mithin lediglich temporär zugeteilten, IP-Adressen zu differenzieren.“ 9
B. Was sind personenbezogene Daten?
23
schrift“ eines Computers verstanden werden.12 Dadurch können Geräte und Computer in Netzwerken identifiziert werden und auch untereinander kommunizieren.13 Router verbinden die Geräte mit dem Internet und können anhand der IP-Adressen Datenpakete an den richtigen Empfänger senden.14 Wenn sich durch die IP-Adresse nun auch ein Personenbezug herstellen lässt, ist damit das Kriterium für ein personenbezogenes Datum erfüllt. Dem Internetzugangsanbieter, mit dem der Nutzer seinen Internetvertrag abgeschlossen hat, ist der betroffene Internetnutzer hinter der IP-Adresse bekannt – denn der Internetanbieter (auch „Access-Provider“) vergibt die IP-Adresse an den Nutzer.15 Der Zusammenhang zwischen der Person (bzw. jedenfalls dem genutzten Computer) und der IP-Adresse ist in dieser Konstellation eindeutig ein Personenbezug.16 Für einen Websitebetreiber ist eine IP-Adresse jedoch zunächst nur eine technische Sachinformation, da der individuelle Personenbezug der IP-Adresse nicht an der IP-Adresse selbst ablesbar ist. Sie kann mit entsprechenden Zusatzinformationen des Internetanbieters jedoch einer Person zugeordnet werden, nämlich derjenigen, die den Internetvertrag mit dem Provider, der ihr die IP-Adresse zugeordnet hat, abgeschlossen hat.17 Diese Informationen müssen durch den Websitebetreiber aber erst vom Internetzugangsanbieter eingeholt werden.18 Sofern der jeweiligen datenverarbeitenden Stelle also die rechtliche Erlaubnis (z. B. aufgrund einer Einwilligung) zusteht, diese Zusatzinformationen über den Internetzugangsanbieter der betroffenen Person abzufragen, handelt es sich bei der IPAdresse um ein personenbezogenes Datum, da die Person hinter dem Sachdatum bestimmbar wird.19 Insofern kann bei der Abgrenzung zu Sachdaten auch auf
12 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 27. 13 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 27; Meyerdierks, MMR 2009, 8, 9. 14 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 27; Meyerdierks, MMR 2009, 8, 9. 15 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 27; Meyerdierks, MMR 2009, 8, 9. 16 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 27; Meyerdierks, MMR 2009, 8, 9; siehe auch: EuGH, Urteil vom 24.11.2011 – C-70/10 = GRUR 2012, 265: Unerlaubtes System der Filterung und Sperrung von „Peer-to-Peer“-Dateien. 17 Taeger/Gabel/Arning/Rothkegel, 3. Aufl. 2019, DS-GVO Art. 4 Rn. 12; ähnlich Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 18; Gola/Gola, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 21 mit Verweis auf: EuGH Urteil vom 19.10.2016 – C-582/ 14, Speicherung von IP-Adressen beim Besuch einer Website = NJW 2016, 3579; ebenso BGH, ZD 2017, 424; siehe dazu auch Brauneck, EuZW 2019, 680; im Detail Auer-Reinsdorff/Conrad/Conrad/Hausen, Handbuch IT, § 36 Rn. 86 ff. 18 Redeker, IT-Recht, Rn. 1013 ff. 19 EuGH Urteil vom 19.10.2016 – C-582/14, Speicherung von IP-Adressen beim Besuch einer Website = NJW 2016, 3579.
24
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
einen „personenbezogenen Verarbeitungszusammenhang“ 20 abgestellt werden, um die Kategorisierung als personenbezogene Daten herzuleiten. 2. Pseudonymisierung und Anonymisierung Gleiches gilt im Falle einer anderweitigen Pseudonymisierung von personenbezogenen Daten: Sind personenbezogene Daten pseudonymisiert oder verschlüsselt, so ist die dahinterstehende Person nach wie vor identifizierbar im Sinne von Art. 4 Nr. 1 DS-GVO;21 die Daten gelten somit weiterhin als von der Verordnung geschützte personenbezogene Daten.22 Anders verhält es sich lediglich bei anonymisierten Daten. Anonymisierung der Daten bedeutet, dass die Daten keinen Rückschluss auf die betroffene Person mehr zulassen dürfen, sodass die Person endgültig nicht mehr identifizierbar ist.23 Solche Fälle sind daher vom speziellen Schutz der DS-GVO ausgenommen.24 Hinsichtlich der Anonymisierungstechniken sind daher gewisse Hürden zu überwinden; denn vom Verantwortlichen wird beispielsweise eine regelmäßige Überprüfung der Anonymisierungsvorgänge gefordert; das etwaige Restrisiko einer Identifizierung soll so gering wie möglich gehalten werden.25
C. Verwendung und Wert der Daten Evident ist, dass die Daten einen Wert haben. Für den Verbraucher ist dieser Wert jedoch regelmäßig schwer messbar. Wie genau kommt es zu diesem Wert und welche Verwendungsmöglichkeiten begründen ihn? Ein kurzer Überflug muss auch über den Begriff des Vermögenswertes erfolgen: Denn nur, wenn dieser wenigstens etwas umrissen ist, kann auch 20
Krügel, ZD 2017, 455, 457 f. Siehe auch Erwägungsgrund 26 S. 1–2: „Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.“ 22 Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 19; näher zur Differenzierung von Pseudonymisierung und Anonymisierung: Karg, DuD 2015, 520; Hofmann/Johannes, ZD 2017, 221, 223 f. 23 Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 19 f.; Sydow/Ziebarth, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 24 ff. m.w. N.; zur Problematik der praktischen Anforderungen an Anonymisierung im Detail Hofmann/Johannes, ZD 2017, 221, 223 f. 24 Siehe auch Erwägungsgrund 26 S. 5: „Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“ 25 Vgl. Artikel-29-Datenschutzgruppe, WP 216 Stellungnahme 5/2014 zu Anonymisierungstechniken; siehe auch Hofmann/Johannes, ZD 2017, 221, 223 f. 21
C. Verwendung und Wert der Daten
25
eine Subsumtion als Vermögenswert erfolgen. Diese Subsumtion soll dabei helfen, zu verstehen, wo die Leistungsbeziehung zwischen einem Verbraucher, der nur seine „Daten leistet“, und dem Anbieter eines digitalen Produkts anknüpft – und warum diese Praxis so relevant geworden ist. Wird den Daten nämlich kein Wert beigemessen, kann schließlich auch nicht die Äquivalenz der ausgetauschten Leistungen festgestellt werden oder gleichwertige Alternativen zur Datenerhebung angeboten werden. Daher wird im Folgenden der Wert von personenbezogenen Daten erörtert.
I. Zivilrechtlicher Vermögens(wert)begriff: Personenbezogene Daten als Vermögenswerte? Das BGB hält keine Definition für den zivilrechtlichen Vermögensbegriff bereit. Verschiedene Normen des BGB beziehen sich auf verschiedene Aspekte des Vermögens.26 Eine Gleichsetzung mit den bekannten strafrechtlichen Vermögensdefinitionen27 greift indes zu kurz, da Gesetzesfunktion und Schutzzwecke von Zivil- und Strafrecht nicht pauschal übereinandergelegt werden können. Einige Rahmenpfeiler eines allgemeinen zivilrechtlichen Vermögensbegriffes im Sinne des BGB lassen sich dennoch konstatieren: Im Hinblick auf eine Person ist mit Vermögen der „Inbegriff aller geldwerten Güter“28 der Person gemeint. Unter dieses weite Verständnis lassen sich, neben den evidenten Sachen und Rechten als Vermögenswerte, auch Rechtsbeziehungen, zukünftige Rechte und persönlichkeitsbezogene Güter einer Person zählen, deren Wert nicht zwingend mit objektiven, marktbedingten Vergleichsmöglichkeiten monetär erfassbar sein muss.29 Inwieweit personenbezogene Daten als solche Vermögenswerte qualifiziert werden können, muss in einer Betrachtung der konkreten Materie beurteilt werden. Möglicherweise könnte der Vermögenswert hier beispielsweise eher in der Marktmacht bei Konzentration großer Datenmassen liegen als in jedem einzelnen Datum selbst. Ohne diese komplexen Fragen im kleinsten Detail auszudifferenzieren, werden im Folgenden ein paar Eckpunkte aufgezeigt, die die Überschrift „Personenbezogene Daten als Vermögenswerte“ skizzenhaft illustrieren können: 26 Vgl. für die Schenkung Staudinger/Chiusi, (2021) BGB § 516 Rn. 10; für das Kindesvermögen MüKoBGB/Lugani, 8. Aufl. 2020, § 1666 Rn. 127; für das reine Aktivvermögen i. S. v. § 1365 BGB MüKoBGB/Koch, 8. Aufl. 2019, § 1365 Rn. 11; schadensrechtlich zur Arbeitsleistung als Vermögenswert BGH, NJW 1996, 921, 922 ff.; allgemein schadensrechtlich zum Vermögen MüKoBGB/Oetker, 8. Aufl. 2019, § 249 Rn. 24 ff. 27 Juristischer, wirtschaftlicher oder juristisch-ökonomischer Vermögensbegriff, siehe dazu statt vieler MüKOStGB/Hefendehl, 3. Aufl. 2019, § 263 Rn. 366 ff. 28 ErmanBGB/Lieder, 16. Aufl. 2020, § 1922 Rn. 7. 29 ErmanBGB/Lieder, 16. Aufl. 2020, § 1922 Rn. 7; etwas weniger weit MüKoBGB/ Leipold, 8. Aufl. 2020, § 1922 Rn. 21.
26
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
Nach Körber kann die Existenz eines ökonomischen Werts von Daten anhand dreier Kriterien festgestellt werden:30 Erstens sind Daten das „Hauptprodukt“ auf bestimmten Märkten, sie werden gehandelt wie andere Güter auch (beispielsweise Marktforschungsdaten); zweitens nehmen Daten auf dem Internetmarkt bereits eine zentrale Rolle ein, indem regelmäßig Daten quasi als „Währung“31 gehandhabt werden (zum Beispiel, wenn ein Nutzer eine Suchmaschine nutzt und die dabei von seiner Seite übertragenen personenbezogenen Daten durch den Suchmaschinenanbieter verarbeitet werden); drittens sind die erhobenen Daten regelmäßig auch ein gleichsam unersetzbares Werkzeug zur Instandhaltung und Verbesserung der angebotenen Dienste.32 Als klare Voraussetzung für einen ggf. messbaren Vermögenswert erscheint des Weiteren, dass nicht ein isoliertes Datum zur Wertgewinnung führen wird, sondern vielmehr eine strukturierte Zusammenführung vielfältiger personenbezogener Daten, die zusammen Datensets bilden.33 So hat eine einzelne „rohe“, also gänzlich unverarbeitete Ziffer als personenbezogenes Datum nur einen geringen Marktwert (z. B. Geburtsjahr), kann diesen aber in Verbindung mit anderen Datenkomponenten (z. B. Wohnort, Beruf) entfalten.34 Quantität und Qualität von Daten spielen hier gleichermaßen eine Rolle: Denn eine bloße Gleichung von „größere Datenmasse gleich größeres Vermögen“ (oder auch größere Marktmacht) kommt zu kurz.35 Zwar wird der Zugang zu wettbewerbsrelevanten Daten nach § 18 Abs. 3 Nr. 3, Abs. 3a Nr. 4 GWB als Kriterium bei der Marktstellung eines Unternehmens inzwischen ausdrücklich genannt,36 die resultierende Marktmacht liegt aber nicht allein in den Daten selbst, sondern in deren Verwendung:37 Auch der Wert liegt nicht in den Daten selbst, sondern in der Möglichkeit, diese zielführend zu analysieren, um beispielsweise gewinnmaximierend Werbeplätze anbieten (bzw. anmieten) zu können oder Produktplatzierungen individualisiert vornehmen zu können.38 Hinzukommen muss letztlich auch die rechtliche Erlaubnis (regelmäßig in Form der datenschutzrechtlichen Einwilligung) und auch 30
Körber, NzKart 2016, 303, 304. Siehe dazu auch Kap. 2, B. II. 1. 32 Körber, NzKart 2016, 303, 304 f. 33 Sagstetter, Neue Regeln für Big Data & Co.?, in: Husemann/Korves/Rosenkranz et al. (Hrsg.), Jahrbuch Junge Zivilrechtswissenschaft. Strukturwandel und Privatrecht, S. 249, 260 f. 34 Sagstetter, Neue Regeln für Big Data & Co.?, in: Husemann/Korves/Rosenkranz et al. (Hrsg.), Jahrbuch Junge Zivilrechtswissenschaft. Strukturwandel und Privatrecht, S. 249, 260 f.; Bisges, MMR 2017, 301, 302. 35 Körber, NzKart 2016, 303, 305; Lindenberg, WRP 2021, 302, 305 f. 36 Siehe auch Lindenberg, WRP 2021, 302, 306, die darauf hinweist, dass auch der scheinbar unentgeltliche Zugang nach § 18 Abs. 2a GWB kein Hindernis für eine Marktabgrenzung mehr darstellen muss. 37 Körber, NzKart 2016, 303, 305. 38 Körber, NzKart 2016, 303, 305 f. 31
C. Verwendung und Wert der Daten
27
die faktische Duldung der Datenerhebung und gewinnschöpfenden Datenverarbeitung; denn eine illegale Datenverarbeitung ist in ihrem Vermögenswert mindestens durch die Bußgeldbewährtheit begrenzt. Die zu einer bloßen Ansammlung personenbezogener Daten hinzutretende Kompetenz, diese rechtlich sauber und technisch effektiv mit entsprechenden Algorithmen zusammenzuführen und wirtschaftlich auszuschöpfen,39 stellt insofern einen entscheidenden Summanden dar: Die technische und rechtliche Voraussetzung zur sinnhaften Verarbeitung plus die qualitative (d. h. auch inhaltlich den verfolgten Interessen tatsächlich dienende) und hinreichend große Datenmasse ergeben eine gewisse Marktmacht und Möglichkeit der Vermögensschöpfung.40 Doch in dieser Gleichung mag eine unbekannte Variable hinzuzudenken sein: Da all diese Faktoren nicht rival, nicht exklusiv sind, also grundsätzlich von verschiedenen Marktteilnehmern gleichzeitig gleichermaßen genutzt werden können, lässt sich aus dieser Gleichung zwar durchaus Macht, aber nicht zwingend Machtkonzentration herauslesen.41 Deutlich wird aus der Gleichung aber, dass auch die persönlichen Daten des Einzelnen einen gewissen Vermögenswert haben, da sich daraus mit den besagten Mitteln Vermögen schöpfen lässt.42 Wie dies konkret aussehen kann, wird im folgenden Teil umrissen.
II. Verwendung zur Optimierung Datenerhebungen haben häufig den Zweck, ein Produkt zu optimieren.43 Durch die Protokollierung von Fehlern wie z. B. Systemabstürzen kann der Anbieter eines digitalen Dienstes Updates zur Fehlerbehebung kurzfristig einspeisen und Intervalle für größere Upgrades sinnhaft planen.44 Auch im Detailbereich 39
Körber, NzKart 2016, 303, 306. Vgl. Martini, JZ 2017, 1017. 41 Körber, NzKart 2016, 303, 306; zur Nicht-Rivalität: Taeger/Pohle/Czychowski/ Siesmayer, Computerrechts-Handbuch 36. EL 2021, 20.5 Rechte an Daten, Rn. 19; Kornmeier/Baranowski, BB 2019, 1219; Pertot/Zech, Rechte an Daten, S. 91, 99; Sattler, CR 2020, 145, 148 ff.; Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://jm.rlp.de/fileadmin/mjv/Jumiko/Fruehjahrskonferenz_neu/Bericht_der_AG_Di gitaler_Neustart_vom_15._Mai_2017.pdf (Stand 01.05.2022), S. 30 ff. 42 Lindenberg, WRP 2021, 302, 303; Kilian, Strukturwandel der Privatheit, GS Steinmüller, S. 195, 207; Walker, Die Kosten kostenloser Dienste, S. 80, 137. 43 Körber, NzKart 2016, 303, 304; Geradin/Kuschewsky, Competition Law and Personal Data, 2013, abrufbar unter: https://ssrn.com/abstract=2216088 (Stand 01.05. 2022), S. 4 f.; vgl. Hacker, ZfPW 2019, 148, 151 f.; vgl. Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung: Die zivilrechtliche Erfassung des Datenhandels, 2012, S. 13; Wiesemann/Mattheis/Wende, MMR 2020, 139; Pertot/Riehm, Rechte an Daten, S. 175, 177. 44 Pertot/Riehm, Rechte an Daten, S. 175, 177. 40
28
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
kann anhand von analysiertem Nutzerverhalten die Nutzerfreundlichkeit verbessert werden:45 So ermöglicht die Datenverarbeitung eine Personalisierung des Angebots (Beispiel: Welche Filme werden einem Nutzer vom Streamingdienst anhand seiner bisherigen Auswahl vorgeschlagen?). Aber auch im weniger personalisierten Bereich kann dies nützlich sein: Suchen die meisten Nutzer beispielsweise nach Aufruf der Website einen bestimmtem Menüpunkt aus, kann dieser auf die Startseite befördert werden (sog. Clickstreamanalyse).46 Diese Vorgehen nennt man auch „predictive maintenance“47 (frei ins Deutsche übersetzbar mit „vorausschauende Wartung“). Letztlich funktionieren auf diese Weise die großen Suchmaschinen: Durch die ständige Auswertung des Suchverhaltens der Nutzer kann ermittelt werden, welche Ergebnisse als relevant beurteilt werden.48 Die Ergebnisse können dann unter anderem nach diesem Kriterium nutzerfreundlich angeordnet werden.49 Letztlich speist sich die Effektivität einer Suchmaschine also auch nach der Intensität ihrer Nutzung – i. e. nach der Auswertung der dadurch eingespeisten verhaltensbasierten Nutzerdaten.50 Ähnlich verhält es sich mit den sozialen Netzwerken. Diese ermöglichen die Kommunikation und Vernetzung der Nutzer untereinander nur dadurch, dass die Nutzer ihre Informationen teilen und, nach Aufbereitung durch die Software des Anbieters, für andere Nutzer zugänglich machen.51 Die Daten sind also zunächst notwendig, um das System überhaupt funktional zu halten. Diese Formen der Produktformung und Produktoptimierung sind aber regelmäßig nicht der einzige Anreiz, Daten zu verarbeiten,52 wie im Folgenden gezeigt wird.
III. Personalisierte Werbeanzeigen und deren Wert 1. Targeted Advertising53 Wohlbekanntes Beispiel für die Wertschöpfung mittels personenbezogener Daten ist die Möglichkeit, den Nutzern individuell zugeschnittene Werbeanzeigen 45
Vgl. Hacker, ZfPW 2019, 148, 151 f. Vgl. Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung: Die zivilrechtliche Erfassung des Datenhandels, 2012, S. 13. 47 Wiesemann/Mattheis/Wende, MMR 2020, 139; Pertot/Riehm, Rechte an Daten, S. 175, 177. 48 Pertot/Riehm, Rechte an Daten, S. 175, 177. 49 Pertot/Riehm, Rechte an Daten, S. 175, 177. 50 Geradin/Kuschewsky, Competition Law and Personal Data, 2013, abrufbar unter: https://ssrn.com/abstract=2216088 (Stand 01.05.2022), S. 4 f. 51 Pertot/Riehm, Rechte an Daten, S. 175, 177, 183. 52 Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 5. a. E. 53 Pertot/Riehm, Rechte an Daten, S. 175, 177; vgl. Podszun/Kersting, NJOZ 2019, 321 46
C. Verwendung und Wert der Daten
29
zu präsentieren.54 Mit Werbeanzeigen erwirtschaftet beispielsweise Facebook ca. 96 % seiner Einnahmen.55 Gerade die individuellen Werbeanzeigen versprechen sinngemäß einen höheren Erfolg und sind dementsprechend wesentlich attraktiver;56 entsprechend wird ein höherer Preis für die Platzierung solcher Werbung im Verhältnis zu gewöhnlicher „Streuwerbung“ geboten.57 Teil einer etwaigen Gegenleistung für die Onlinedienste sind letztlich neben der eingeräumten Datenverarbeitung auch die Aufmerksamkeit für etwaige Werbeanzeigen, die erhofften Klicks, die daraus resultieren.58 Da der Begriff der Verarbeitung in Art. 4 Nr. 2 DS-GVO weit umschrieben wird,59 kann die werbliche Verwendung auch weit verstanden und darunter subsumiert werden.60 Zu diesem Bereich zählt somit das Erheben und Speichern der Daten, der Abgleich von Daten, die direkte werbliche Ansprache durch beispielsweise Newsletter, die indirekte werbliche Ansprache durch personalisierte Werbeanzeigen auf Websites, die dem zugrundeliegenden Selektionsprozesse, die Bildung von Datenprofilen sowie auch – sofern jeweils durch einen Erlaubnistatbestand (bzw. Einwilligung) gedeckt – die Weitergabe bzw. Weiterveräußerung der Daten an andere Werbetreibende.61 Beispielhaft ist die Situation, dass ein Verbraucher, der einmal ein bestimmtes Produkt im Internet gesucht und angesehen hat, zeitnah Werbeanzeigen mit integrierten Links zu dem besagten Pro-
54 Dazu Warner/Sloan, Behavioral Advertising: From One-Sided Chicken to Informational Norms, 15 Vand. J. Ent. & Tech. L. 49 (2012), S. 3, abrufbar unter: https:// scholarship.kentlaw.iit.edu/cgi/viewcontent.cgi?article=1566&context=fac_schol (Stand 01.05.2022); BKartA, Sektoruntersuchung Smart-TVs – Bericht Juli 2020, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Publikation/DE/Sektoruntersuchun gen/Sektoruntersuchung_SmartTVs_Bericht.pdf?__blob=publicationFile&v=5 (Stand 01.05.2022), S. 39; zum technischen Ablauf von Datenerhebung bis Werbeanzeige, siehe Kneuper/Perlitz, DuD 2019, 502 f. (vor allem Abbildung auf S. 503), siehe auch bereits Kugelmann, DuD 2016, 566. 55 D’Onfro, Facebook admits that it’s worried about ad blockers, Business Insider (29.01.2016), abrufbar unter: https://www.businessinsider.de/facebook-admits-that-itsworried-about-adblockers-2016-1?r=US&IR=T (Stand 01.05.2022). 56 Dazu Farahat/Bailey, How Effective is Targeted Advertising?, 2012, abrufbar unter: https://www2012.universite-lyon.fr/proceedings/proceedings/p111.pdf (Stand 01.05.2022); Baumgartner/Hansch, ZD 2020, 435. 57 Hacker, ZfPW 2019, 148, 152; Pertot/Riehm, Rechte an Daten, S. 175, 177. 58 Becker, CR 2021, 87, 92. 59 Wortlaut Art. 4 Nr. 2 DS-GVO: „– ,Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ 60 Gierschmann, MMR 2018, 7, 8. 61 Gierschmann, MMR 2018, 7, 8.
30
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
dukt oder zu ähnlichen Produkten erhalten wird.62 Dieses Prozedere kann vom Betroffenen freilich auch als Vorteil empfunden werden, sofern das Gefühl, „observiert“ zu werden, nicht überwiegt.63 Schließlich kann es auch gerade interessant sein, Werbung zu sehen, die persönlich als relevant empfunden wird. Dass hierin aber vor allem eine Chance auf unmittelbaren Gewinn für die Werbetreibenden ruht, ist evident. Die mangelnde Transparenz dieser Tracking-Methoden wird zwar moniert,64 eine klare rechtliche Handhabe dafür allerdings noch nicht vorgeschrieben – bis dato bieten die Aufsichtsbehörden lediglich eine „Orientierungshilfe“ 65 hinsichtlich des Trackings für die Anbieter von Telemedien. Neben der Methode, die eingespeisten Daten des Nutzers selbst zu analysieren, gibt es auch die Möglichkeit der sog. „Predictive Analytics“.66 Hier werden die pseudonymisierten oder sogar auch die anonymisierten Daten in großem Umfang gesammelt und dann durch einen Algorithmus mit den persönlichen Daten des betroffenen Nutzers abgeglichen. Stimmen maßgebliche Parameter wie Geschlecht, Wohnort, Herkunft, häufig aufgerufene Websites, Alter etc. überein, kann der Algorithmus den Nutzer einer bestimmten Gruppe zuordnen, deren Verhalten er aufgrund der gesammelten und analysierten Massendaten besser vorhersehen kann.67 Möglicherweise erhält dann ein Nutzer, der in eine bestimmte Gruppe fällt, Werbeanzeigen, die nichts mit seinen vorherigen Suchen im Internet zu tun haben, aber von der „Predictive Analytics“ als vielversprechend eingestuft wird. Die Zuverlässigkeit einer solchen Vorhersage hängt schließlich von Quantität und Qualität der zur Abgleichung genutzten Datenmasse ab.68 Sind die zugrundeliegenden Daten nicht reliabel und valide, wird auch die Einstufung des betroffenen Nutzers nicht inhaltlich richtig sein – es besteht hier grundsätzlich eine Gefahr
62 Beispielhaft Valentino-Devries/Singer-Vine, They Know What You’re Shopping For, WALL ST. J., 07.12.2012, abrufbar unter: http://online.wsj.com/news/articles/ SB10001424127887324784404578143144132736214 (Stand 01.05.2022). 63 Masing, NJW 2012, 2305, 2309; vgl. dazu die (nicht ganz humorlose) Formulierung der Online-Boutique www.zalando-lounge.de bzgl. der Einwilligung: „Wenn du ,Geht klar‘ sagst, bist du damit einverstanden und erlaubst uns, diese Daten an Dritte weiterzugeben, etwa an unsere Marketingpartner. Falls du dem nicht zustimmen magst, beschränken wir uns auf die wesentlichen Cookies und du musst damit leben, dass unsere Inhalte nicht auf dich zugeschnitten sind.“ 64 Kneuper/Perlitz, DuD 2019, 502, 506. 65 Siehe die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, herausgegeben von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Stand: März 2019, abrufbar unter: https://www.datenschutz konferenz-online.de/media/oh/20190405_oh_tmg.pdf (Stand 01.05.2022). 66 Härtel, LKV 2019, 49, 54; Dreyer, in: Hoffmann-Riem (Hrsg.), Big Data – Regulative Herausforderungen, 2018, S. 135. 67 Dreyer, in: Hoffmann-Riem (Hrsg.), Big Data – Regulative Herausforderungen, 2018, S. 135, 137. 68 Dreyer, in: Hoffmann-Riem (Hrsg.), Big Data – Regulative Herausforderungen, 2018, S. 135, 137.
C. Verwendung und Wert der Daten
31
von Diskriminierung durch den Algorithmus.69 Denn auch Systeme können Vorurteile haben – egal ob gelernt oder (unintendiert) einprogrammiert.70 Ein solcher System-Bias wird zum Teil als grundrechtlich prekär eingestuft.71 Problematisch ist dabei nämlich, dass die Wirkweisen des Algorithmus in der Regel nur von speziellen Experten überprüfbar ist und nicht allgemein zugänglich – sie sind intransparent.72 Die resultierte von außen aufgedrängte Zuordnung zu einem bestimmen Kundenprofil vermag durchaus die eigene Willensbildung und bestimmte Entschlüsse in marktrelevantem Verhalten (z. B. welche Plattform genutzt, welches Produkt gekauft wird etc.) zu verändern.73 Vereinzelt diskutiert wird in diesem Zusammenhang das Urteil des BVerfG zum Stadionverbot, bei dem die Ausstrahlung des allgemeinen Gleichheitssatzes aus Art. 3 Abs. 1 GG in das Zivilrecht festgehalten wurde.74 In diesem konkreten Fall ging es indes um den Ausschluss von kulturellen Veranstaltungen, die grundsätzlich einem großen Publikum ohne Ansehen der Person geöffnet werden. Die Veranstalter wurden angehalten, bestimmte Personen nicht ohne sachlichen Grund von einem Ereignis auszuschließen. Ein derartiger Bezug zum gesellschaftlichen Leben ist bei der algorithmenbasierten Einstufung in eine bestimmte „Werbezielgruppe“ allerdings nicht zu befürchten, sodass die Überlegungen zu einer Eröffnung von Art. 3 Abs. 1 GG hier fehlgehen und die Bedeutung der Privatautonomie in einer Gesamtbetrachtung überwiegt.75 2. Real-Time-Bidding Doch wie genau kommt der Werbetreibende im letzten entscheidenden Schritt überhaupt an den begehrten personalisierten Werbeplatz? Hintergrund dieser Zuordnung ist regelmäßig eine großteils algorithmenbasierte Auktion mit bestimm-
69 Dreyer, in: Hoffmann-Riem (Hrsg.), Big Data – Regulative Herausforderungen, 2018, S. 135, 137; Wischmeyer, AöR 2018, 1, 27; Martini, JZ 2017, 1017, 1018. 70 Bozdag, Bias in algorithmic filtering and personalization, Ethics and Information Technology 15, 2013, 209; Martini, JZ 2017, 1017, 1018. 71 Dreyer, in: Hoffmann-Riem (Hrsg.), Big Data – Regulative Herausforderungen, 2018, S. 135, 137. 72 Martini, JZ 2017, 1017, 1018; Härtel, LKV 2019, 49, 56 f. 73 Dreyer, in: Hoffmann-Riem (Hrsg.), Big Data – Regulative Herausforderungen, 2018, S. 135, 139 f. Fn. 7, formuliert hierzu: „Diese psychologisch [. . .] determinierten Grenzen vor allem rationaler Entscheidungen aber stammen aus just dem biologischen System, dem die Handlungsfreiheit zusteht, während die Vorhersagen von PredictiveAnalytics-Systemen von außen oktroyiert werden.“ Diese Äußerung könnte freilich eine eigene rechts- bzw. wirtschaftsphilosophische Abhandlung nach sich ziehen, wie weit bis dato zulässige Werbestrategien unter diesen Gesichtspunkten tatsächlich reichen dürfen – dass das Ringen um die Aufmerksamkeit der Zielgruppe ein legitimes Interesse ist, wird hier nicht hinterfragt. 74 BVerfG, NJW 2018, 1667; Härtel, LKV 2019, 49, 57. 75 Härtel, LKV 2019, 49, 56 f.
32
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
ten wählbaren Voreinstellungen und mehreren Beteiligten: Das sogenannte „Real-Time-Bidding“.76 Der Vorgang ist komplex und besteht aus zahlreichen kleinen Schritten. Vereinfacht zusammengefasst werden die auf einer Website verfügbaren Werbeplätze an den Höchstbietenden versteigert. Der faktische Wert der Werbeplätze hängt dabei letztlich davon ab, wie wahrscheinlich eine „conversion“, d. h. ein Verfolgen/Anklicken des Werbelinks durch den individuellen Nutzer ist; dies wird auch als Interaktionsrate bezeichnet.77 Die bekannten personenbezogenen Daten des Nutzers sind dabei wichtige Faktoren im Real-TimeBidding (RTB): Je nach Datenprofil des Nutzers lässt sich eine Interaktion eher vorhersagen oder als unwahrscheinlich einstufen. Aufgrund deren Zugänglichkeit lohnt sich das RTB daher heutzutage im Internet mehr als die zuvor übliche Streuwerbung, bei der ohne Auktion der Preis für den Werbeplatz vorher festgelegt war.78 Die Auktion selbst findet indes in den wenigen Augenblicken statt, in der sich eine Website aufbaut und der Computer sie lädt – daher auch der Begriff „real time“.79 Die wichtigsten Beteiligten sind der Publisher, i. e. Website/AppBetreiber, der Werbefläche anbietet, und der Advertiser, der die Werbefläche in Anspruch nehmen und möglichst effektiv nutzen möchte, indem er die richtigen Kunden damit erreicht.80 Zwischen diesen beiden Akteuren treten regelmäßig noch andere Vermittlungsagenten, die den Vorgang technisch optimieren. Dazu gehören auf Seiten der Advertiser die „bidder“, die dann regelmäßig für Advertiser agieren und Angebote abgeben.81 Die Publisher auf der anderen Seite bedienen sich sog. „Supply-Side-Plattformen“ (SSP), die die Versteigerung mehrerer Website-Werbeplätze zugleich gebündelt ermöglichen. Demgegenüber gibt es auch für die Advertiser wiederum sog. „Demand-Side-Platforms“, die die Interessen der Advertiser bündeln.82 Die relevanten Nutzerinformationen, die durch Cookies und Tracking-Methoden zuvor gesammelt wurden, werden in einem „bid request“ seitens des Pub76 Siehe dazu Becker, CR 2021, 87, 90 f.; Baumgartner/Hansch, ZD 2020, 435; Olejnik/Tran/Castelluccia, Selling Off Privacy at Auction, 2014, abrufbar unter: https:// www.ndss-symposium.org/ndss2014/programme/selling-privacy-auction (Stand 01.05. 2022); Wang/Zhang/Yuan, Display Advertising with Real-Time Bidding (RTB) and Behavioral Targeting, arXiv:1610.03013, abrufbar unter: https://arxiv.org/abs/1610.03 013v2 (Stand 01.05.2022); Gharibshah/Zhu, User Response Prediction in Online Advertising, 2021, arXiv:2101.02342, abrufbar unter: https://arxiv.org/abs/2101.02342 (Stand 01.05.2022). 77 Baumgartner/Hansch, ZD 2020, 435. 78 Baumgartner/Hansch, ZD 2020, 435. 79 Baumgartner/Hansch, ZD 2020, 435; Becker, CR 2021, 87, 90 f. 80 Baumgartner/Hansch, ZD 2020, 435; Becker, CR 2021, 87, 90 f. 81 Zur Übersicht siehe hierzu die Grafik bei Becker, CR 2021, 87, 90 und auch die Grafik auf S. 4 bei Gharibshah/Zhu, User Response Prediction in Online Advertising, 2021, arXiv:2101.02342, abrufbar unter: https://arxiv.org/abs/2101.02342 (Stand 01.05. 2022). 82 Baumgartner/Hansch, ZD 2020, 435; Becker, CR 2021, 87, 90 f.
C. Verwendung und Wert der Daten
33
lishers preisgegeben. Der Advertiser kann dies mit seiner Werbezielgruppe abgleichen und je nachdem, wie wahrscheinlich eine Conversion angesichts dieser Personendaten ist, ein Gebot für den Werbeplatz abgeben.83 3. Komplexität der Vorgänge als Hindernis für die Informiertheit Diese rudimentären Erläuterungen lassen aber jedenfalls erkennen, dass ein komplexes System mit zahlreichen (teilweise virtuellen bzw. algorithmenbasierten) Beteiligten dahintersteckt, das beeinflusst, wie die personenbezogenen Daten schlussendlich verarbeitet werden. Die offene Frage bleibt: Welche Anforderungen sind tatsächlich an die Informiertheit der zugrundeliegenden Einwilligung in die Verarbeitung zu stellen? Faktisch ist klar, dass der durchschnittliche Endnutzer kein tieferes Verständnis dieser beschriebenen Vorgänge aufweist. Würde man dies verlangen, würde die Informiertheit regelmäßig fehlen und die Einwilligung wäre unwirksam. Andererseits kann argumentiert werden, dass es eben genügt, wenn der Nutzer die groben Zusammenhänge versteht, um eine Informiertheit zu begründen: Diese wären zum Beispiel das Verständnis darüber, dass die personenbezogenen Daten zur gezielten Werbeplatzierung verwendet werden und daran schlicht mehrere Akteure beteiligt sind. Lässt man diese Vorstellung genügen, so steht der Informiertheit freilich nichts im Wege. Setzt man allerdings ein detailliertes Verständnis voraus, würde das bedeuten, dass der Nutzer beispielsweise den Prozess des Real-Time-Biddings, bei dem seine Daten weiterverarbeitet werden, auch genau versteht. Unter solchen Anforderungen kann nur noch von einer Einwilligungsfiktion gesprochen werden, da tatsächliches Verstehen abwegig ist. Es ist daher nach allgemeiner Ansicht ausreichend, dass sich der Nutzer ganz abstrakt der Verwendung für Werbezwecke bewusst ist. Inwieweit dies tatsächlich datenschutzrechtlichen Zielen gerecht werden kann, darf hinterfragt werden.84
IV. Marktforschung/Marktanalyse Auch wenn der Nutzer nicht in die personalisierten (oder wie es im Terminus der Anbieter regelmäßig heißt: relevanten) Werbeanzeigen einwilligt, wird ihm Werbung angezeigt – diese beruht dann nicht auf seinem Verhaltensprofil, sondern kann zufällig oder lediglich aufgrund eines Interessenzusammenhangs mit der aktuell aufgerufenen Website gewählt sein. Die jeweilige Reaktivität auf sowohl personalisierte als auch nicht personalisierte Werbeanzeigen fließt wiederum in Mess- und Analyseergebnisse ein: Inwieweit reagiert ein Nutzer auf die Anzeige, von welcher Seite wird er ggf. zum Produkt weitergeleitet, wie reagiert der Nutzer je nachdem, auf welchem Endgerät er die Werbung sieht, ist die Re83 84
Baumgartner/Hansch, ZD 2020, 435; Becker, CR 2021, 87, 90 f. Zu Regulierungsvorschlägen ab Kap. 4.
34
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
aktivität je nach Tageszeit oder Ort unterschiedlich? Je besser die verschiedenen Interaktionen eines Nutzers hier zusammengeführt werden, desto genauer sind letztlich die Analyseergebnisse – und desto genauer lässt sich Werbung auch weiterhin platzieren. Hierbei zählt sowohl der Wert des individuellen Nutzerprofils als auch die Statistik, die sich aus der Anzahl vieler Nutzer über die Ergebnisfreudigkeit der Werbeanzeige ergibt. Insofern ist es nicht überraschend, dass Facebook und Google immer wieder ihren Login „verleihen“, sodass sich Nutzer auch bei Drittanbietern über den jeweiligen Plattform-Login verifizieren können. Diese Methode erscheint für den Nutzer unkompliziert und ermöglicht dem Anbieter gleichzeitig eine vielfältigere Vernetzung von Informationen. Je weiter das Informationsnetz eines Anbieters aufgespannt ist, desto wertvoller lassen sich die Informationen mittels der anderen aufgezeigten Methoden in Gewinne transformieren.85
V. Kritisches Beispiel: Versteckte Preisbildungsalgorithmen Bereits weit verbreitet sind Rabatt-Systeme, in denen „gesammelte Punkte“ den ursprünglichen Preis eines Produktes erheblich reduzieren. Beispielsweise können, wenn beim „Miles and More“-Rabattsystem verschiedener Fluglinien genug „Meilen gesammelt“, i. e. Flüge gebucht und wahrgenommen wurden, Preise aus dem zugehörigen Onlineshop je nach Anzahl der gesammelten Meilen reduziert werden. Ähnlich funktioniert auch die weit verbreitete Payback-Kundenkarte, mit der der Kunde bei jedem Kauf in zahlreichen teilnehmenden Geschäften Punkte sammelt, die im Wege einer Preisreduktion bei speziell dafür angezeigten Online-Angeboten zu einer Individualisierung des Preises führen, die an das vorangegangene Kundenverhalten anknüpft. Bei dieser Art von Preisindividualisierungen ist der Nutzer darüber aufgeklärt, wie sie zustande kommen (z. B. wird bei der abgebildeten Zusammensetzung eines Preises unmissverständlich unterschieden zwischen den zu zahlenden Punkten aus dem Bonusprogramm und dem monetären Restpreis). Dies trifft auf andere Formen von Preisindividualisierungen nicht immer zu. Im Allgemeinen sind starke Preisschwankungen im Internet zwar nichts Ungewöhnliches,86 regelmäßige nutzerabhängige Preisabweichungen sind in Deutschland hingegen noch nicht verbreitet. Dies hat eine empirische Studie des Bundesministeriums für Justiz- und Verbraucherschutz (BMJV) bestätigt.87 Lediglich für das Hotel-Buchungsportal „www.booking.com“ 85
Vgl. Kugelmann, DuD 2016, 566; Martini, JZ 2017, 1017. Hofmann, WRP 2016, 1074; siehe dazu auch Schneiders, Jeder kriegt einen eigenen Preis, FAZ, 08.04.2015, abrufbar unter: http://www.faz.net/aktuell/finanzen/meinefinanzen/geld-ausgeben/dynamische-preise-das-ende-des-einheitspreises-13522679.html (Stand 01.05.2022). 87 Seidenschwarz/Faltermeier/Wierer/Deichner/Wittmann/Beer/Schenkl, Projekt im Auftrag des Bundesministeriums für Justiz- und Verbraucherschutz (BMJV), Schlussbericht – Empirie zu personalisierten Preisen im E-Commerce, ibi research an der Univer86
C. Verwendung und Wert der Daten
35
wurden in der Studie signifikante Preisabweichungen je nach Endgerät, mit dem die Website aufgerufen wurde, festgestellt (bis zu ca. 10 % niedrigerer Preis bei Aufruf von einem Handy).88 Diese Preisdifferenz beruht laut der Studie darauf, dass eine höhere Buchungsquote über das Handy zu verzeichnen sei und die Website www.booking.com, die lediglich als Vermittlerplattform zwischen Hotels/Vermietern und Kunden auftritt, den Anbietern daher eine Preisdifferenz bis zu 15 % für mobile Endgeräte empfiehlt. Diese Vergünstigung wird dem Kunden aber auch in einem kleinen Kästchen mit der Erläuterung „Preis nur für Mobilgerätebenutzer“ angezeigt. Die Transparenz ist insofern gewahrt. Diesem – methodisch wohl reliablen Beispiel – stehen ältere Berichte aus der Presse gegenüber, nach denen beispielsweise Flugbuchungen vom Smartphone um einen erheblichen Betrag teurer sein sollen als von einem Desktop-PC.89 Auch wenn der (deutsche) Markt von undurchsichtig verschobenen Preisen jedenfalls noch nicht durchzogen ist, gibt es bereits die Möglichkeit, Algorithmen einzusetzen, welche die Preisanzeige bei Angeboten im Internet auch individuell an das ermittelte Nutzerprofil anpassen (sog. „Dynamic/Personalized Pricing“90).91 In solchen Fällen hätte sich der Kunde anders als bei Rabattsystemen wie Payback und Miles & More jedoch nicht spezifisch für ein Rabattprogramm angemeldet und könnte die individualisierte Auspreisung eines Produkts auch nicht notwendigerweise als solche identifizieren. Je höher die errechnete Wahrscheinlichkeit, dass ein Nutzer sität Regensburg GmbH, abrufbar unter: https://www.bmjv.de/SharedDocs/Downloads/ DE/Service/Fachpublikationen/Schlussbericht_Empirie.pdf;jsessionid=E69B5B6DB7099 DBEE7CF5CF1A02F5854.1_cid324?__blob=publicationFile&v=1 (Stand 01.05.2022), S. 71: „Die durchgeführte statistische Auswertung der gesammelten Daten konnte nicht bestätigen, dass personalisierte Preisgestaltung im Markt vorliegt und von Anbietern aktiv eingesetzt wird.“ 88 Dazu S. 68 des Schlussberichts der Studie. 89 Dazu der Bericht im Stern vom 05.01.2017 „Derselbe Flug, aber zwei Preise – je nachdem, ob man am PC oder per App bucht“, abrufbar unter: https://www.stern.de/ reise/service/flug-buchen-preis-unterschied-smartphone-pc-apple-7266794.html (Stand 01.05.2022). Hier wurde Bezug auf einen Test der Zeitschrift „Clever reisen!“ genommen, nach dessen Angaben wohl Preisdifferenzen bis zu 160 EUR pro Flug festgestellt wurden. 90 Zander-Hayat/Reisch/Steffen, VuR 2016, 403 mit Verweis auf die Definition im Onlinelexikon für Informationstechnologie, abrufbar unter: http://www.itwissen.info/ definition/lexikon/Dynamic-Pricing-dynamic-pricing.html (Stand 01.05.2022); Golland, CR 2020, 186; Schmidt, Davon träumen Kapitalisten und Sozialisten: Dynamische und individualisierte Preise, 17. Februar 2016, abrufbar unter: https://www.datenschutz-no tizen.de/davon-traeumen-kapitalisten-und-sozialisten-dynamische-und-individualisiertepreise-4913912 (Stand 01.05.2022); mit Beispielen aus der Praxis Zuiderveen Borgesius/Poort, J Consum Policy 40 (2017), 347, 349. 91 Siehe dazu bereits Körber, NzKart 2016, 303, 308; ausführlich Wolf, NZKart 2019, 2 sowie Hofmann, WRP 2016, 1074; beispielhaft Valentino-Devries/Singer-Vine/ Soltani, Websites Vary Prices, Deals Based on Users’ Information, WALL ST. J., 24.12.2012, abrufbar unter: https://www.wsj.com/articles/SB1000142412788732377 7204578189391813881534 (Stand 01.05.2022); siehe auch Singer/Baumgarten, in: Kalka/Krämer (Hrsg.), Preiskommunikation, S. 325, 330.
36
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
ein angesehenes Produkt erwerben wird bzw. bereits fest dazu entschlossen erscheint, desto eher könnte der Preis zur Gewinnmaximierung erhöht werden. Fehlt dem Nutzer nach Analyse seines Verhaltens eher noch die Entschlossenheit zum Kauf, können beispielsweise auch individuelle Rabatte angeboten werden, um den Kunden endlich zur Bestellung zu bewegen. Dazu könnten zum Beispiel auch beigefügte Gutscheine oder Gratisgeschenke gehören.92 Auf den ersten Blick könnte man hierin auch kein Problem sehen: Schließlich ist es Ausdruck der Privatautonomie, Produkte im Einzelnen zu verschiedenen Preisen verkaufen zu dürfen.93 Ebenso sind gruppenspezifische Auspreisungen keine Neuerung (man denke beispielsweise an sog. „gender pricing“, bei dem je nach Geschlecht faktisch gleiche Produkte verschieden bepreist werden).94 Rechtlich problematisch erscheint daher nicht die andere Auspreisung per se, sondern die Missbrauchs- und Manipulationsgefahr, die bei solchen Preisbildungsalgorithmen besonders hoch ist: So hätte der Anbieter möglicherweise aufgrund vorangegangener onlinedatenbasierter Verhaltensanalysen des (potenziellen) Kunden einen Einblick in dessen persönliche Schwächen, sodass dem Kunden gezielt beeinflussende Anreize gesetzt werden könnten, die auf seine Person zugeschnitten sind und ihn zum Vertragsschluss bewegen könnten.95 Der Kunde wäre darüber aber nicht aufgeklärt. Kunden könnten aufgrund der gesammelten Verhaltensdaten verschiedenen Gruppen zugeordnet werden, für die verschiedene Preise gelten.96 Zudem besteht nicht zu Unrecht die Befürchtung, dass Verbraucher mit einem weniger ausdifferenzierten Konsumentenprofil eben keine Vorteile erwarten könnten – je nachdem, wie viele Dateneinspeisungen über seine Person ein Konsument bewilligt, könnte sich nach diesem Modell die Chance auf einen angepassten Preis verändern.97 Diese denkbare Abhängigkeit des Preises von der Bereitschaft, Einwilligungen in Datenverarbeitungen zu geben, spricht letztlich auch gegen ein Überwiegen von wohlfahrtsökonomischen Aspekten98 personalisierter Preise: Zwar ist der Gedanke, dass jeder nur den Preis zahlen muss, den er sich wirtschaftlich gut leisten kann, auf den ersten Blick ausgleichend im Sinne einer Wohlfahrtsökonomie, praktisch aber datenschutzrechtlich nicht wünschenswert, weil diese Datenverarbeitung und mithin Kundenkategorisierung am Ende eher zu einem Autonomieverlust auf Seiten des Betroffenen führen würde.99 Zudem erscheint es tatsächlich eher als Farce, dass ein Anbieter für einen finanziell 92
Vgl. Pertot/Riehm, Rechte an Daten, S. 175. Dazu und bezugnehmend auf die dynamische online-Preisgestaltung Hofmann, WRP 2016, 1074. 94 Tietjen/Flöter, GRUR-Prax 2017, 546. 95 Ebers, MMR 2018, 423, 428. 96 Golland, CR 2020, 186 f. 97 Zander-Hayat/Reisch/Steffen, VuR 2016, 403, 405. 98 Dazu Zuiderveen Borgesius/Poort, J Consum Policy 40 (2017), 347, 353 ff. 99 Vgl. Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, S. 191, 206. 93
C. Verwendung und Wert der Daten
37
schlecht dastehenden Verbraucher den Preis individuell reduziert – denn die gleichwohl stattfindende Datenerhebung bleibt schließlich in nicht hinreichend nachvollziehbarer Weise eingepreist.100 Letztlich würde sich der Nutzer, wenn ihm die individualisierte Auspreisung denn bewusst würde, möglicherweise ungerecht behandelt fühlen, wenn derselbe Anbieter für dasselbe Produkt online ohne nähere Kennzeichnung je nach Vorverhalten seiner Kunden verschiedene Preise anzeigt – vorausgesetzt, dass ihm dieses überhaupt zugänglich wäre.101 Sollten potenzielle Kunden in Zukunft indes tatsächlich bemerkenswerte Preisdifferenzierungen aufgrund der seitens des Anbieters gesammelten Kundendaten bemerken, spricht dieser Aspekt (jedenfalls vermuteter Weise) gegen den Erfolg dieses Modells: Denn sofern diese Praktik öffentlich bekannt würde, wäre die Vermeidung eines solchen Angebots eine wahrscheinlich naheliegende Option für viele Nutzer, sodass sich die Preisdifferenzierung am Ende womöglich nicht lohnt.102 Unabhängig vom individuellen Vorverhalten des Kunden gibt es freilich auch Preiselastizitäten hinsichtlich des Zeitpunktes (Wochentag, Uhrzeit) sowie des Standortes des Nutzers.103 All diese Aspekte führen unter Beachtung von Verbraucher- und Datenschutz zu Bedenken: Müsste der Nutzer nicht eigentlich darüber informiert werden, wenn ihm individuell angepasste Preise angezeigt werden? Datenethisch fragt sich auch, inwieweit eine ordnungsgemäß erteilte Einwilligung mit entsprechender Datenschutzerklärung ausreichend sein dürfte, um eine etwaige Preisdiskriminierung104 zu legitimieren;105 schließlich ist faktisch eben nicht anzunehmen, dass der Verbraucher die Datenschutzerklärung inklusive aller Eventualitäten (wie Dynamic Pricing), die sich aus dieser ergeben, erfasst und verinnerlicht hat.106 Und selbst wenn dies der Fall wäre, könnte er doch 100 Zander-Hayat/Reisch/Steffen, VuR 2016, 403, 405; weniger pressimistisch Tietjen/Flöter, GRUR-Prax 2017, 546; vgl. auch dazu Golland, CR 2020, 186, 189 f. 101 Zander-Hayat/Reisch/Steffen, VuR 2016, 403, 407. 102 Körber, NzKart 2016, 303, 308; Zuiderveen Borgesius/Poort, J Consum Policy 40 (2017), 347, 355 f. 103 Zander-Hayat/Reisch/Steffen, VuR 2016, 403, 404 f. mit Verweis auf die Studie von Mikians et al., Detecting price and search discrimination on the Internet (2012), abrufbar unter: http://conferences.sigcomm.org/hotnets/2012/papers/hotnets12-final94. pdf. (Stand 01.05.2022), S. 1. Diese Studie verdeutlicht, dass je nach Standort im Zeitpunkt der Bestellung der Preis variieren kann, siehe S. 4 sowie plakativ die Abbildungen auf S. 5. 104 Mehr dazu bei Zuiderveen Borgesius/Poort, J Consum Policy 40 (2017), 347, 350. 105 Golland, CR 2020, 186, 190; Zuiderveen Borgesius/Poort, J Consum Policy 40 (2017), 347, 359 f. 106 Vgl. Zander-Hayat/Reisch/Steffen, VuR 2016, 403, 408 f.; Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747; dazu auch kritisch Obar/Oeldorf-Hirsch, Clickwrap Impact: Quick-Join Options and Ignoring Privacy and Terms of Service Policies of Social Networking Services, #SMSociety17: Proceedings of the 8th International Con-
38
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
im Einzelnen nicht erkennen, welcher Preis nun individualisiert ist und welcher nicht.107 Daher wäre wenigstens im Sinne eines fairen Wettbewerbs die Anzeige eines Preisrahmens, in dem sich jedwede etwaige Personalisierung des Preises bewegt, für den Verbraucher hilfreich und fair, wenngleich für den Anbieter eher nicht erwünscht.108 Denkbar erschiene auch ein informierender Hinweis bei Websites, die Dynamic Pricing-Algorithmen verwenden, ggf. als Teil der Datenschutzerklärung, in die eingewilligt werden müsste – wobei auch hier ein optionales Ablehnen personalisierter Preise trotz Nutzung des Angebots möglich bleiben sollte, um das Kopplungsverbot nicht zu berühren.
VI. Und was ist mit den Prinzipien des Datenschutzes? Nach diesem Einblick in Verwendung, Nutzen, und Wert der angesprochenen Datenverarbeitungen mag sich der Datenschutzrechtler fragen: Gehen hier die Datenschutzziele wie beispielsweise das Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 lit. c DS-GVO nicht fehl?109 Angesichts der Komplexität der Vorgänge kann von einer umfassenden Informiertheit des Einwilligenden kaum mehr die Rede sein. Soll- und Istzustand begegnen sich hier anscheinend nur noch in der Theorie. Die Crux liegt in der zugrundeliegenden Auslegung der Handlungsfreiheit: Denn die Datensparsamkeit gilt nicht für den Betroffenen hinsichtlich seiner eigenen Daten: Jeder ist grundsätzlich frei, damit zu verfahren, wie es ihm beliebt. Solange die jeweiligen Einwilligungen seitens der Betroffenen als Ausdruck dieser subjektiven Freiheit kategorisiert werden, ist keine objektive Einschränkung wegen der Datensparsamkeit möglich.
VII. Wie hoch ist der Preis? Die Untersuchung hat gezeigt, dass die Art und Weise, personenbezogene Daten vermögensmehrend zu verarbeiten, vielseitig sind – personenbezogene Daten ference on Social Media & Society, 2017, Article No.: 50, abrufbar unter: https://doi. org/10.1145/3097286.3097336 (Stand 01.05.2022), S. 1–5; Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), III. 2; Kettner/Thorun/Vetter, Verhaltenswissenschaftliche Ergebnisse zur Wirksamkeit des OnePager-Ansatzes und weiterer Lösungsansätze im Datenschutz, 2018, abrufbar unter: https://www.conpoli cy.de/data/user_upload/Studien/Bericht_ConPolicy_2018_02_Wege_zur_besseren_Infor miertheit.pdf (Stand 01.05.2022). 107 Zander-Hayat/Reisch/Steffen, VuR 2016, 403, 408. 108 Zander-Hayat/Reisch/Steffen, VuR 2016, 403, 408; Zuiderveen Borgesius/Poort, J Consum Policy 40 (2017), 347, 359. 109 Becker, CR 2021, 87, 90, moniert zutreffend, „dass das Ziel, Werbewirkung, also die Passgenauigkeit von Werbung zum Individuum in der konkreten Situation zu optimieren, quer zum Ziel des Datenschutzes liegt“.
C. Verwendung und Wert der Daten
39
haben einen wirtschaftlichen Wert. Doch wie lassen sich konkrete Vermögensmehrungen anhand dieser abstrakten Beispiele berechnen? Anhand einiger Rechenversuche wird im Folgenden versucht, ein Gefühl für den Wert der Daten – oder vielmehr deren Wertspektrum – zu vermitteln. Dabei finden sich sowohl Ansätze dafür, dass der Wert der Daten seitens der Nutzer überschätzt wird, als auch, dass der Wert der Daten unterschätzt wird. Letztlich beeinflussen verschiedene Faktoren, wie beispielsweise die Aktualität eines Datensatzes, dessen Wert.110 1. Wird der Wert der Daten überschätzt? Der Hintergrund einer bevorzugten Datenzahlung anstelle eines monetären Entgelts war wohl zunächst dessen Praktikabilität: Schließlich lohnen sich gerade bei Kleinstbeträgen im Onlinebereich die Transaktionskosten regelmäßig nicht.111 Legt man als Beispiel den Prozess des Real-Time-Biddings zugrunde, ergeben sich laut einer Studie von 2014 Durchschnittspreise von ca. 0,0005 USD für Informationen über einen virtuell anwesenden Nutzer auf einer Website (diese Informationen bedingen schließlich die Wirksamkeit einer personalisierten Werbeanzeige).112 Eine simplifizierte Hochrechnung der Studie beruhte auf der Beobachtung eines Freiwilligen:113 An einem Tag wurden in dessen Verlauf 50 Websites manuell gezählt, dabei 40 Anzeigen erkannt (0,8 Anzeigen pro Website), davon 30 %, also 12, personalisierte Werbeanzeigen. Legt man hierfür den in der Studie berechneten Durchschnittpreis von 0,0005 USD pro personalisierte Anzeige zugrunde, kosten diese Anzeigen Werbetreibende 0,006 USD pro Tag, folglich ca. 0,18 USD pro Monat und 2,16 USD pro Jahr.114 Zieht man dann noch Provisionen der Anzeigebörsen von ca. 20 % für jede Transaktion ab, landet man bei ca. 1,728 US-Dollar pro Benutzer und Jahr. Nimmt man nun bei konservativer Rechnung an, dass ein Nutzer 2–3 USD pro Jahr an die Werbetreiber zahlt, damit diese nicht seine Daten einspeisen, erscheint dies durchaus machbar. Doch warum sind diese Zahlen so gering und vor allem tatsächlich noch geringer als laut dieser Studie die Nutzer selbst den Wert ihrer Daten einschätzen? Möglicherweise liegt die Antwort auf diese Frage in einem Blick auf Angebot und Nachfrage: Zwar ist die Nachfrage immens, das Datenangebot allerdings ebenso. Es 110
Sattler, CR 2020, 145, 149. Becker, CR 2021, 87, 90, 92. 112 Olejnik/Tran/Castelluccia, Selling Off Privacy at Auction, 2014, abrufbar unter: https://www.ndss-symposium.org/ndss2014/programme/selling-privacy-auction (Stand 01.05.2022). 113 Zu der folgenden Berechnung Olejnik/Tran/Castelluccia, Selling Off Privacy at Auction, 2014, abrufbar unter: https://www.ndss-symposium.org/ndss2014/programme/ selling-privacy-auction (Stand 01.05.2022), S. 13. 114 Freilich handelt es sich um eine sehr theoretische Herangehensweise, da, mehr als die Zeiteinheit selbst, die im Rahmen der Zeiteinheit aufgerufenen Websites das Ergebnis stark beeinflussen. 111
40
Kap. 1: Personenbezogene Daten als Wirtschaftsgut
stellt kaum eine Herausforderung dar, den Nutzer zur Preisgabe seiner Daten zu bewegen – ubiquitär geben die Betroffenen ihre personenbezogenen Daten im Internet preis und willigen in deren weitergehende Verarbeitung ein. Ein so leicht erhältliches Massenprodukt erreicht eben keinen allzu hohen Wert. Andererseits haben Schätzungen, ebenfalls aus dem Jahr 2014, einen möglichen Wert von ca. 88,– EUR für ein durchschnittliches Facebook-Profil für denkbar gehalten – bei einem solchen Profil geht es abstrakt um die Datensammlung über eine Person als solche, anstelle der aufaddierten Aufmerksamkeitsmomente, die eine Person einer Werbeanzeige zukommen lässt.115 Der Online-Rechner der New-York-Times geht wiederum grundsätzlich von einem Minimalwert von 0,007 USD für ein einfaches Nutzerprofil aus.116 Eine genaue Rechnung, wie sich die zahlreichen gesammelten Daten, kombiniert mit Profilen in sozialen Medien und regelmäßiger Internetaktivität, am Ende tatsächlich aufsummieren, führt hier zu weit. Der Ausgleich, den ein Nutzer durchschnittlich insgesamt an die verschiedenen Anbieter digitaler Inhalte leistet, dürfte aufgrund der Masse der alltäglichen Datentransaktionen im Internet jedenfalls kumuliert einen höheren Wert ergeben. Deutlich wird in jedem Falle, dass den Daten ein monetärer Wert zugeordnet werden kann, der bei entsprechender Transparenz und dem entsprechenden algorithmischen Zugang zu allen Datentransaktionen auch errechnet werden könnte. 2. Wird der Wert der Daten unterschätzt? Das LG Köln hatte den Streitwert für den auf Datenauskunft gem. Art. 15 DSGVO gerichteten Klageantrag mit 1.000,– EUR im Ergebnis als zu gering bewertet.117 Ein Streitwert von bis zu 5.000,– EUR sei nach Ansicht des OLG Köln grundsätzlich angemessen; anderes gelte nur, wenn der Wert des immateriellen und materiellen Angreiferinteresses insgesamt nach billigem Ermessen offenkundig geringer anzusetzen sei.118
115 Dapp/Heine, Deutsche Bank Research, Big Data – die ungezähmte Macht, 2014, S. 20, wohlgemerkt ist dies eine Schätzung ohne hinreichende Nachweise, die sich lediglich aus einer Division von Marktkapital durch Anzahl der aktiven Nutzer ergibt. 116 Steel/Locke/Cadman/Freese, How much is your personal data worth? Use our calculator to check how much multibillion-dollar data broker industry might pay for your personal data, New York Times, 12.06.2013, ergänzt von Martin Stabe am 15.07. 2017, abrufbar unter: https://ig.ft.com/how-much-is-your-personal-data-worth/ (Stand 01.05.2022) – Laut diesem für den amerikanischen Markt erstellten Rechner sind beispielsweise die personenbezogenen relevanten Daten der Autorin knapp 1 USD wert. 117 OLG Köln, CR 2021, 162; wenig später bestätigend in einem anderen Fall LG Köln, ZD 2021, 379. 118 OLG Köln, CR 2021, 162; siehe auch mit einer Übersicht zu Entscheidungen über das Recht auf Datenauskunft: Leibold, ZD-Aktuell, 2021, 05313.
D. Ist der eigentliche Wert der Daten allein pekuniär sinnvoll erfassbar?
41
Inwieweit ein besonnener Nutzer diesen Streitwert selbst zugrunde gelegt hätte, oder ob er diesen ggf. niedriger angesetzt hätte, bleibt fraglich – es bleibt der paradoxe Satz nicht erspart: Die Intransparenz ist klar.
D. Ist der eigentliche Wert der Daten allein pekuniär sinnvoll erfassbar? Den eigentlichen wirtschaftlichen Wert personenbezogener Daten zu ermitteln, fällt in den Aufgabenbereich wirtschaftswissenschaftlicher Forschung.119 Es ist aber nicht nur der monetäre Preis, der hier den Wert der personenbezogenen Daten wiedergibt und die Gegenleistung als solche ausmacht: Es ist auch die Macht, d. h. das Wissen über den Kunden, das dahintersteckt. Die Macht, die sich daraus ergibt, dass einzelne Marktakteure so viele persönliche Daten ihrer Kunden sammeln, dass deren Persönlichkeitsmerkmale in Konsumentenprofilen gläsern werden – denn dies hat praxisrelevante Erkenntnisse zur Folge: Wann genau muss welche Anzeige an welcher Stelle erscheinen, damit der Kunde endlich zuschlägt – welche sind seine geheimen Wünsche und Sehnsüchte? Auf der einen Seite mögen diese Fragen und Ziele der Marktwirtschaft ganz natürlich innewohnen. Auf der anderen Seite ist hier das gedachte Maß an marktwirtschaftlicher Auswertung weit überschritten: Der Konsument ist nicht länger privat.120 Doch wie soll dieser Preis gemessen werden? Kilian bezeichnet diese Situation trefflich als das „Dilemma“, dass durch „Zahlungen mit personenbezogenen Daten weniger das Geldvermögen als die Autonomie verringert wird“.121
119
Walker, Die Kosten kostenloser Dienste, S. 50. Siehe dazu auch die augenöffnende arte-Fernsehdokumentation „Der unaufhaltsame Aufstieg von Amazon“, Dokumentarfilm Deutschland 2018, arte. 121 Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, S. 191, 206. 120
Kapitel 2
Personenbezogene Daten als Entgelt (B2C1-Vertrag mit Onlinediensten) A. Personenbezogene Daten als Gegenleistung in der DIRL2 und deren Umsetzung Im Zentrum dieses Kapitels steht die Frage, wie datenfinanzierte Online-Geschäfte3, die unter dem Deckmantel der Unentgeltlichkeit auftreten, rechtlich einzuordnen sind – handelt es sich bei den personenbezogenen Daten um eine (synallagmatische) Gegenleistung im Sinne des BGB? Bevor die rechtliche Einordnung in den bestehenden Rechtsrahmen des deutschen Zivilrechts unternommen wird, erfolgt ein kurzer Überblick über die Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und deren Umsetzung (DIRL). Dies erleichtert die Deutung neuerer Regelungen im BGB und auch die Anwendung unveränderter Grundsätze, wenn es um die Frage von personenbezogenen Daten als zivilrechtliche Gegenleistung geht.4
I. Gegenleistung oder nicht – Etikettenschwindel oder richtige Differenzierung in der DIRL? Der Vorschlag vom 09.12.2015 für die Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte enthielt noch regelmäßig die Formulierung „Gegenleistung in Form von personenbezogenen oder anderen Daten“5 (siehe Art. 3 Abs. 1 des Vorschlages). Dies wurde in der Stellungnahme 1
„Business to consumer“, MüKoBGB/Emmerich, 8. Aufl. 2019, § 311 Rn. 4. Richtlinie (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (DIRL), ABl. L 136 v. 22.05.2019, S. 1–27, im folgenden Abschnitt nur noch referiert als „die Richtlinie“ oder „DIRL“. 3 Redeker, IT-Recht, Rn. 1279. Dazu gehören beispielsweise auch das Angebot von Kundenkarten wie der PayBack-Karte; siehe dazu Wagner, DuD 2010, 30, 33; in diesem Zusammenhang zur Erstellung von Konsumentenprofilen mittels KI: Gausling, ZD 2019, 335, 337 ff. 4 Siehe zu diesem Thema auch die nach Einreichung dieser Arbeit erschienene Dissertation von Scheibenpflug, Personenbezogene Daten als Gegenleistung, S. 156 ff. 5 Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, COM(2015) 634 final 2015/ 0287 (COD). 2
A. Personenbezogene Daten als Gegenleistung in der DIRL
43
des Europäischen Datenschutzbeauftragten (EDSB) vom 14.03.2017 kritisiert.6 Er „warnt vor neuen Bestimmungen, die die Vorstellung suggerieren, dass Menschen mit ihren Daten auf die gleiche Weise bezahlen können, wie sie es mit Geld tun. Grundrechte wie das Recht auf den Schutz personenbezogener Daten lassen sich nicht einfach auf Verbraucherinteressen reduzieren, und personenbezogene Daten können nicht nur als Ware betrachtet werden“.7 In der finalen Version der Richtlinie wurde die Formulierung „Gegenleistung“ daher aufgegeben.8 Eine etwaige Reziprozität des Austauschs von Daten gegen Leistung wird in Erwägungsgrund 24 der Richtlinie allerdings nach wie vor angedeutet:9 „Digitale Inhalte oder digitale Dienstleistungen werden häufig auch dann bereitgestellt, wenn der Verbraucher keinen Preis zahlt, sondern dem Unternehmer personenbezogene Daten zur Verfügung stellt.“ Zentral Bezug herstellend ist das Wort „Sondern“ – dieses deutet schließlich implizit darauf hin, dass die Daten eine Alternative zur Zahlung eines Preises darstellen und somit an dessen Stelle rücken können. Diese Möglichkeit erscheint von der Richtlinie somit als weiterhin anerkannt10 – allerdings ohne die formale Kategorisierung als Gegenleistung. Schwierig wird hier die Einschränkung, die auf diese Feststellung in Erwägungsgrund 24 folgt: „Obwohl in vollem Umfang anerkannt wird, dass der Schutz personenbezogener Daten ein Grundrecht ist und daher personenbezogene Daten nicht als Ware betrachtet werden können, sollte mit dieser Richtlinie sichergestellt werden, dass die Verbraucher im Zusammenhang mit solchen Geschäftsmodellen Anspruch auf vertragliche Rechtsbehelfe haben.“ Einerseits sollen personenbezogene Daten also nicht als Ware, demgemäß auch nicht als Entgelt fungieren können11 bzw. nicht wie ein solches disponibel sein; andererseits ist angesichts der tatsächlichen Umstände notwendig, den Verbraucher zu schützen, soweit er der Zuhilfenahme vertraglicher Rechtsbehelfe bedarf: und zwar so, als 6 Veröffentlicht am 23.06.2017 (ABl. EU 2017/C 200/07); siehe dazu auch Walker, Die Kosten kostenloser Dienste, S. 166. 7 Einleitung der Stellungnahme des EDSB, 23.06.2017 (ABl. EU 2017/C 200/07); als Alternative bietet der EDSB in seiner Schlussfolgerung an: „– die Verwendung des Begriffs ,Dienstleistungen‘ im EU-Recht könnte bei der Überlegung helfen, wie Dienstleistungen erfasst werden, wenn kein Preis gezahlt wird; – der Anwendungsbereich der DS-GVO, der das Anbieten von Waren und Dienstleistungen unabhängig davon abdeckt, ob eine Zahlung verlangt wird, könnte ebenfalls eine Überlegung wert sein.“ 8 Vgl. Walker, Die Kosten kostenloser Dienste, S. 166. Das Wort „Gegenleistung“ findet sich nur noch einmal in der Richtlinie, in Art. 25 im Hinblick auf Werbung als mögliche Form einer Gegenleistung; letzteres ist aber (noch) nicht von der Richtlinie erfasst, soll erst vom geplanten Folgebericht über die Richtlinie im Jahre 2024 berücksichtigt werden. 9 Vgl. Schulze, ZEuP 2019, 695, 701. 10 Spindler/Sein, MMR 2019, 415, 418; Schulze, ZEuP 2019, 695, 701. 11 Was wiederum bedeutet, dass die zugrundeliegenden Verträge ohne anderweitige Gegenleistung/Geldzahlung dem Anschein nach als unentgeltlich zu qualifizieren wären, siehe Spindler/Sein, MMR 2019, 415, 418.
44
Kap. 2: Personenbezogene Daten als Entgelt
ob es sich um eine (monetäre) Gegenleistungspflicht handelte.12 Zurecht wurde vereinzelt eine solche Gleichstellung auch gefordert, da Verbraucher, die ein „kostenfreies“ Angebot mit über das vertragsbedingt Notwendige hinausgehender Datenerhebung nutzen, nicht schlechter gestellt werden sollen als in einem Vertrag, der stattdessen eine monetäre Gegenleistung seitens des Verbrauchers fordert.13 Die apriorische Annahme, dass personenbezogene Daten als grundrechtlich geschütztes Gut nicht als Ware betrachtet werden können, darf demgemäß hinterfragt werden.14 Diese Aussage ist jedenfalls grundsätzlich schon deshalb fragwürdig, weil beispielsweise auch andere grundrechtlich geschützte Rechte wie das Recht auf körperliche Unversehrtheit in Maßen durchaus in einem zumindest warenähnlichen Charakter disponibel sind: So kann man sich gegen Entgelt für Arzneimitteltests und Studien als Proband zur Verfügung stellen. Die Crux bei solchen Tests ist, dass sie gerade deswegen notwendig sind, da das in Frage stehende Medikament regelmäßig entweder hinsichtlich seiner Wirksamkeit oder auch hinsichtlich seiner Unbedenklichkeit nicht hinreichend erforscht ist und der Proband seine körperliche Unversehrtheit somit für Entgelt in einem gewissen Maße riskiert. Dieses Beispiel zeigt deutlich, dass die Verankerung eines Rechts als unverzichtbares Grundrecht dessen Disponibilität seitens des Betroffenen nicht von vornherein und gesamtheitlich ausschließt. Das Disponieren über eigene personenbezogene Daten als weniger invasiver Eingriff sollte insofern ebenso wenig von vornherein ausgeschlossen werden. Insbesondere sollte nicht eine politisch motivierte Terminologie verwendet werden, welche die unliebsamen Fakten umetikettiert: Personenbezogene Daten werden faktisch als Waren bewertet, veräußert, gesammelt usw.15 Solche richtungsweisenden Aussagen versucht die Richtlinie zu vermeiden und hält sich mit weiteren Wertungen zurück.16 In Conclusio zeichnet die Richtlinie hinsichtlich Daten als Gegenleistung somit folgendes eher befremdliches Bild: Personenbezogene Daten sollen aufgrund ihrer grundrechtlich garantierten Schutzwürdigkeit nicht als Ware oder Entgelt
12 Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 287. Beispielhaft wären z. B. Zurückbehaltungsrechte hinsichtlich der Daten im Falle des Versagens des digitalen Dienstes. 13 Mánko, Contracts for supply of digital content, A legal analysis of the Commission’s proposal for a new directive, (2016) PE 582.048, abrufbar unter: https://www. europarl.europa.eu/RegData/etudes/IDAN/2016/582048/EPRS_IDA%282016%295820 48_EN.pdf (Stand 01.05.2022), S. 16; Mak, The new proposal for harmonised rules on certain aspects concerning contracts for the supply of digital content, (2016) PE 536.494, abrufbar unter: http:/ /www.epgencms.europarl.europa.eu/cmsdata/upload/a6bdaf0ad4cf-4c30-a7e8-31f33c72c0a8/pe__536.494_en.pdf (Stand 01.05.2022), S. 4, 17 f. 14 Ausdrücklich von „Warencharakter“ der persönlichen Daten sprechend: Wandtke, MMR 2017, 6. 15 Langhanke/Schmidt-Kessel, EuCML 2015, 218, 219; Wandtke, MMR 2017, 6, 9. 16 Mischau, ZEuP 2020, 335, 339.
A. Personenbezogene Daten als Gegenleistung in der DIRL
45
behandelt werden, ergo dürfen sie nicht als primärer (einklagbarer, veräußerlicher) Leistungsgegenstand fungieren. In der Konsequenz dürften sie somit eigentlich nur mittels freiwilliger Nebenabreden Teil des Vertrags werden. Doch ist diese normativ geprägte Einschätzung noch realitätskonform, wenn die Bereitstellung digitaler Dienste regelmäßig an die Bereitstellung der personenbezogenen Daten geknüpft wird?17 Die Abgrenzung zwischen Bedingung/Nebenabrede und Gegenleistung scheint zu verschwimmen. Ziel der Überlegungen sollte schließlich eine Lösung sein, die nicht nur dem Etikett nach, sondern auch im Ergebnis verbraucherfreundlich und grundrechtskonform, aber zugleich auch realitätsnah ist. Eine solche Umsetzung ist – im Rahmen der verfolgten Vollharmonisierung nach Art. 4 DIRL – für die Mitgliedstaaten anzustreben. Dabei sind einige Aspekte der Umsetzung offen, vgl. Erwägungsgründe 24 a. E. für die Anforderungen an einen Vertrag, 25 a. E. sowie 16 und 18 bzgl. des Anwendungsbereichs.18
II. Umsetzung in Deutschland Die der Umsetzung dienenden Regelungen im BGB finden in Deutschland seit dem 01.01.2022 Anwendung. Die neuen Regelungen entsprechen einer großflächigen Umsetzung:19 In Abschnitt 3 des BGB wurde Titel 2a „Verträge über digitale Produkte“ und Untertitel 1 „Verbraucherverträge über digitale Produkte“ eingefügt. Dieser Überschrift entsprechend geltend die Normen nur für Verträge zwischen Verbrauchern (§ 13 BGB) und Unternehmern (§ 14 BGB), entfalten also keine Wirkung im B2B-Bereich (zwischen Unternehmern). Der zuletzt unbesetzte § 327 BGB leitet in die Thematik ein und enthält wesentliche Definitionen. Darauf folgen die §§ 327a–327s BGB. Die Einführung von Regeln im allgemeinen Schuldrecht anstelle der Schaffung eines neuen Datenvertragsrecht im besonderen Schuldrecht wird vielfältig begründet:20 Einerseits kennt das BGB spezifische Verträge nur hinsichtlich der Art der Leistung (Eigentumsverschaffung, Nutzungsüberlassung, Schaffung eines Werks, Dienstleistung usw.), differenziert jedoch grundsätzlich nicht nach dem Leistungsgegenstand als solchem.21 Die Neuschaffung eines Rahmens, der sich speziell auf einen Leistungsgegenstand bezieht (digitale Produkte), ist nicht Teil der bekannten Systematik des BGB.22 Eine Einführung neuer Normen als Block „Datenvertrag“ im Besonderen Teil widerspräche insofern der sonstigen Differenzierung nach Leistungsart – denn der neue Block müsste Regelungen für die verschiedenen Leistungsarten
17 18 19 20 21 22
Vgl. Metzger, JZ 2019, 577, 579. Dazu Mischau, ZEuP 2020, 335, 364. Siehe dazu insgesamt Kramme, RDi 2021, 20. Zum Ganzen BT-Drs. 19/27653, S. 24 f.; Rosenkranz, ZUM 2021, 195, 196 f. BT-Drs. 19/27653, S. 24. BT-Drs. 19/27653, S. 24.
46
Kap. 2: Personenbezogene Daten als Entgelt
enthalten, um dem Umsetzungsanspruch der DIRL gerecht zu werden. Daher hätte sich wohl eher entweder eine Ergänzung der bereits bestehenden Vertragstypen, jeweils um den Leistungsgegenstand „digitales Produkt“ mit entsprechenden individuellen Regeln, oder auch die Schaffung mehrere verschiedener Vertragstypen für die jeweiligen Leistungsarten angeboten.23 Im Gegensatz zur gewählten Umsetzung vor der Klammer bergen diese Möglichkeiten anscheinend aber eher die Gefahr größerer Unübersichtlichkeit.24 Außerdem können die vertragstypenübergreifend geltenden Regelungen auch unerwarteten Entwicklungen neuer Geschäftsmodelle flexibler gegenübertreten.25 Die gewählte allgemeine Fassung vor der Klammer kann auch zukünftigen Entwicklungen gegenüber offen reagieren; diese Flexibilität wäre bei einer spezifischen Umsetzung im Besonderen Teil schwieriger zu erreichen und könnte damit die hinreichende Umsetzung der Richtlinie gefährden.26 Die zusätzlichen Anpassungen bei den vertraglichen Schuldverhältnissen ergänzen die neuen Vorschriften insofern nur um das Nötigste: So wird das Mietrecht um den Gegenstand des „digitalen Inhalts“ ergänzt (§§ 548a, 578b BGB), der Werkliefervertrag in § 650 BGB um den Tatbestand „Verbrauchervertrag über die Herstellung digitaler Produkte“ (in Einklang mit § 327 Abs. 4 BGB, wonach die §§ 327 ff. BGB auch für Verträge gelten sollen, bei denen ein digitales Produkt spezifisch im Sinne des Verbrauchers entwickelt wird), der Kaufvertrag um den Kauf digitaler Inhalte und so fort. Ebenso wie die DIRL selbst beziehen sich die neuen Vorschriften aber vor allem auf die Pflichten des Anbieters digitaler Produkte und die Rechte des Verbrauchers. Weniger im Fokus stehen die etwaigen Leistungspflichten des Verbrauchers selbst.27 Zumindest wird in §§ 312 Abs. 1a, 327 Abs. 3 BGB klargestellt, dass auch Verträge erfasst werden sollen, in denen der Verbraucher kein monetäres Entgelt leistet, aber seine personenbezogenen Daten zur Verfügung stellt. Das Gewand der Unentgeltlichkeit muss ein solcher Vertrag damit ablegen.28 Auch wird in § 327q Abs. 1 BGB auf die Unantastbarkeit datenschutzrechtlicher Betroffenenrechte (Widerruf etc.) hingewiesen. In Abs. 2 wird konkretisiert, dass die Ausübung des Widerrufs seitens des Verbrauchers ein fristloses Kündigungsrecht für den Unternehmer begründen kann, sofern eine Abwägung der beiderseitigen Interessen ergibt, dass die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen
23
BT-Drs. 19/27653, S. 24 f. BT-Drs. 19/27653, S. 24 f. 25 Kramme, RDi 2021, 20; vgl. Lejeune, ITRB 2021, 87, 89. 26 BT-Drs. 19/27653, S. 25. 27 Vgl. Spindler, MMR 2021, 528, 531. 28 MüKoBGB/Metzger, 9. Aufl. 2022, Vor § 327 Rn. 17; Spindler/Sein, MMR 2019, 415, 418; Lejeune, ITRB 2021, 87; siehe dazu im Detail ab Kap. 2, B. II. 2. ff. 24
A. Personenbezogene Daten als Gegenleistung in der DIRL
47
oder vertraglichen Kündigungsfrist dem Unternehmer nicht zugemutet werden kann. Dabei ist der weiterhin zulässige Umfang der Datenverarbeitung zu berücksichtigen. Darüber hinaus finden sich aber keine direkten Anhaltspunkte, die genau konkretisieren, wie sich die Leistungen zueinander verhalten und wie die etwaige „Datenleistung“ des Verbrauchers auszusehen hat. Das Gesetz adressiert diese Offenheit sogar in der Begründung, denn für die Anwendung der neuen Vorschriften sei dies zunächst auch unerheblich.29 Für tiefergehendes Verständnis etwaiger dogmatischer Folgeprobleme wäre es jedoch hilfreich, auch die Pflichten des Verbrauchers und deren Verhältnis zur Leistung des Unternehmers zu elaborieren.30
III. Bedeutung der ePrivacy-Verordnung für Daten als Gegenleistung Neben der DIRL gibt es noch andere unionsrechtliche Gesetzgebungsprojekte, die bei der Einordnung und Regelung von Daten als Leistungsgegenstand eine Rolle spielen. So soll die ePrivacy-Verordnung31 die bisherige e-Privacy-Richtlinie 2002/58/EG (auch: „Datenschutzrichtlinie“) ablösen. Die Datenschutzpolitik setzt somit, indem eine Richtlinie von einer Verordnung abgelöst wird, weiterhin mehr auf verbindliche und vereinheitlichte Regelungen für die Mitgliedsstaaten. Erwägungsgrund 173 der DS-GVO kündigt diesbezüglich an, dass die bisherige Datenschutzrichtlinie überprüft und an die DS-GVO angepasst werden müsse, um „Kohärenz“ herzustellen. Als Ergebnis dieses geforderten Prozesses soll die ePrivacy-Verordnung die DS-GVO ergänzen und es soll ein Gesamtbild der europäischen Datenschutzvorgaben für die verschiedensten digitalen Anwendungsmöglichkeiten gezeichnet werden; denn die ePrivacy-Verordnung soll vor allem in die Bereiche eingreifen, die durch die DS-GVO weniger eindeutig erfasst und durchdrungen werden. Dazu gehören insbesondere digitale Kommunikationsdienste, Tracking und Cookies; sie dient damit als lex specialis zur DS-GVO.32 Den Schutzzweck der Verordnung offenbart Art. 1 Abs. 1 eP-VO-E: Es handele 29
BT-Drs. 19/27653 S. 35, 40; ebenso Kramme, RDi 2021, 20, 21. Spindler, MMR 2021, 528, 531; siehe dazu ab Kap. 2, B. IV. 3. 31 Den ersten Entwurf hierzu veröffentlichte die EU-Kommission am 10.07.2017, COM(2017) 10 final, 2017/0003 (COD). Dieser enthielt in Art. 27 die Bestimmung, dass gemeinsam mit dem Inkrafttreten der DS-GVO im Mai 2018, die alte Datenschutzrichtlinie aufgehoben werden sollte und mithin durch die neue Verordnung abgelöst. Dieses Zeitziel ist gescheitert und wurde auf 2022 ohne genauen Termin verschoben; indes ist im Anschluss an das Inkrafttreten eine 24-monatige Übergangsphase vorgesehen, bevor die Verordnung dann gelten kann; dazu https://www.bfdi.bund.de/DE/Fach themen/Inhalte/Telefon-Internet/Positionen/ePrivacy_Verordnung.html (Stand 01.05. 2022). 32 Siehe die Begründung der EU-Kommission am 10.07.2017, COM(2017) 10 final, 2017/0003 (COD), S. 3. 30
48
Kap. 2: Personenbezogene Daten als Entgelt
sich um „Vorschriften zum Schutz von Grundrechten und Grundfreiheiten natürlicher und juristischer Personen bei der Bereitstellung und Nutzung elektronischer Kommunikationsdienste [. . .] insbesondere die Rechte auf Achtung des Privatlebens und der Kommunikation und den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Aufgrund verschiedener Probleme bei der Einhaltung des ursprünglichen Zeitplans ist das Inkrafttreten der neuen Verordnung zum jetzigen Zeitpunkt nicht verlässlich vorhersehbar.33 Nach aktueller Fassung sind für die Frage, inwieweit personenbezogene Daten als Gegenleistung qualifiziert werden können, vor allem die folgenden Aspekte der ePrivacy-Verordnung relevant, die Erwägungsgrund 18 des ePrivacy-Verordnung-Vorschlags im Einklang mit dem Kopplungsverbot34 konstatiert: „Grundlegende breitbandige Internetzugangs- und Sprachkommunikationsdienste gelten als unverzichtbare Dienste, damit Personen kommunizieren und an den Vorteilen der digitalen Wirtschaft teilhaben können. Eine Einwilligung in die Verarbeitung von Daten aus der Benutzung von Internet- oder Sprachkommunikationsdiensten ist unwirksam, wenn die betroffene Person keine echte und freie Wahl hat oder ihre Einwilligung nicht verweigern oder widerrufen kann, ohne Nachteile zu erleiden.“
Der Zusammenfall der postulierten „Unverzichtbarkeit“35 der Dienste mit dem dringenden Hinweis, dass aus der Verweigerung/dem Widerruf keine „Nachteile“36 entstehen dürfen, kann durchaus zu Irritation führen. Denn die Unverzichtbarkeit gerade eines Kommunikationsmittels ergibt sich regelmäßig aus seiner weit verbreiteten Nutzung (vgl. WhatsApp, dessen Problematik gerade darin besteht, dass ein Nicht-Nutzer regelmäßig sozial und ggf. auch beruflich in wesentlichem Umfange ausgegrenzt bleibt). Zu klären wäre demnach, in welchem Umfang ein Nachteil angenommen werden muss, damit die Einwilligung im Sinne von Erwägungsgrund 18 unwirksam werden müsste. Denn gerade bei Kommunikationsmitteln ergibt sich deren Wert aus deren Reichweite; ein Verzicht auf den jeweiligen Markführer unter den Anbietern führt bereits zu Nachteilen. Sofern der Anbieter aber keine Alternative zur Datenerhebung bei Nutzung ermöglicht (beispielsweise Geldzahlung), steht man erneut vor dem Problem einer nur scheinbaren Freiwilligkeit.37 Bis dato bleibt die ePrivacy-Verordnung diesem Problem gegenüber im Ergebnis genauso abgewandt wie die DS-GVO. Denkbar ist auch, die Verpflichtung zur Bereitstellung der Daten als Gegenleis33 Böhm/Halim, MMR 2020, 651, 652. Es gibt sogar den Verdacht, dass Google die neue Datenschutzgesetzgebung auszubremsen versuchte, Krempl, „Google will europäische E-Privacy-Regeln erfolgreich verzögert haben“, 25.10.2021, abrufbar unter: https://www.heise.de/news/Google-will-europaeische-E-Privacy-Regeln-erfolgreich-ver zoegert-haben-6228162.html (Stand 01.05.2022). 34 Siehe dazu Kap. 3, A. II. 2. b). 35 Im englischen Originaltext „essential services“. 36 Im englischen Originaltext „without detriment“. 37 Zur Freiwilligkeit Kap. 3, A. II. 2.
B. Personenbezogene Daten als Gegenleistung im BGB
49
tung bereits als nachteilhaft zu verstehen.38 Andererseits kann im Sinne der Privatautonomie argumentiert werden, dass es nicht sinnhaft ist, eine etwaige schuldrechtliche Verpflichtung aus einem freiwillig abgeschlossenen Vertrag bereits als Nachteil zu qualifizieren.39 Der Nachteil läge dann in einem aufgrund der Monopolstellung gewisser Dienste resultierenden faktischen Kontrahierungszwang – wer nicht mitmacht, wird sozial ausgegrenzt. Diese Problematik berührt auch kartellrechtliche Grenzen (Monopolstellung), sodass angesichts des Wortlauts „Nachteil“ neben einer etwaigen schuldrechtlichen Verpflichtung insbesondere auch das ggf. kartellrechtlich bedenkliche Ungleichgewicht, das diese Verpflichtung bedingt, zu berücksichtigen ist. Wie sich die endgültige Fassung der ePrivacy-Verordnung hierzu positionieren wird, bleibt mit Spannung zu erwarten.
B. Personenbezogene Daten als Gegenleistung im BGB Wie ist ein Vertrag einzuordnen, bei dem personenbezogene Daten dem Anschein nach als Leistung erbracht werden? Teilweise wird von einem „neuartigen digitalen Synallagma“ gesprochen.40 Jedoch kann auch argumentiert werden, dass es sich weniger um ein synallagmatisches als ein konditionales Verhältnis handle.41 Denn möglicherweise ist die regelmäßig geforderte Einwilligung nicht als synallagmatisch geforderte Gegenleistung, sondern als bloße Bedingung zu betrachten.42 Die Feststellung, wie genau ein Vertragsverhältnis einzuordnen ist, kann aber erst nach einer genauen Analyse und Typisierung der etwaigen vertraglichen Verpflichtungen und Leistungsgegenstände erfolgen.43 Personenbezogene Daten als solche sind im BGB bisher nicht als spezifische Rechtsobjekte definiert.44 Das BGB ist vor allem geprägt durch Vertragsgestaltungen, in denen eine Seite die Gegenleistung in Form einer Geldleistung erbringt.45 Zunächst müsste daher für den jeweiligen Fall festgestellt werden, ob die Bereitstellung der Daten der einzige als mögliche Gegenleistung qualifizierbare Beitrag des Leistungsempfängers ist.46 Erbringt dieser neben seinen Daten beispielsweise noch ein Entgelt als Gegenleistung, kann dies im Einzelnen zu Abgrenzungsschwierigkei38 Pertot/Riehm, Rechte an Daten, S. 175, 190 ff. zum ähnlich verwendeten Begriff des Nachteils bei Erwägungsgrund 42 der DS-GVO. 39 Siehe zur Privatautonomie Kap. 3, A. II. 2. b); zu Nachteilen in Bezug auf den Widerruf Kap. 2, B. IV. 3. c) cc). 40 Hofmann, in: Stiftung Datenschutz, Dateneigentum und Datenhandel, S. 161, 166. 41 Hacker, ZfPW 2019, 148. 42 Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 277. 43 Vgl. MüKoBGB/Emmerich, 8. Aufl. 2019, § 311 Rn. 8, 24. 44 Pertot/Riehm, Rechte an Daten, S. 175, 176. 45 Hofmann, in: Stiftung Datenschutz, Dateneigentum und Datenhandel, S. 161, 167. 46 Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 5.
50
Kap. 2: Personenbezogene Daten als Entgelt
ten führen, da weniger eindeutig ist, ob der Vertragspartner auch ohne die erhaltenen Daten nur aufgrund des Entgelts bereit wäre, seine Leistung zu erbringen.47 Solche Fälle werden daher hier zunächst ausgeklammert;48 es wird Bezug genommen auf Vertragssituationen, in denen keine unzweifelhafte Gegenleistung in Form einer Geldleistung erbracht wird. Als den Vertrag charakterisierende Hauptleistung könnte in den hier untersuchten Konstellationen, allgemein gesprochen, die Bereitstellung digitaler Dienste oder Inhalte gesehen werden. Doch worin genau besteht die fragliche Gegenleistung Daten? Ist sie die Datenerhebung, -speicherung, -verarbeitung oder die aktive Übermittlung seitens des Verbrauchers? Oder besteht die Gegenleistung vielmehr nur in der Gestattung dieser Vorgänge: der Erteilung der datenschutzrechtlichen Einwilligung? Was ist der wirtschaftliche Wert der jeweiligen Leistungen? Letzteres ist insbesondere für den Verbraucher kaum ermittelbar.49 Für ihn präsentiert sich die erhaltene Leistung häufig im Gewand der Unentgeltlichkeit.50 Wie stark muss dies mit Hinblick auf den Verbraucherschutz bei Auslegung der Willenserklärung berücksichtigt werden? Zu klären sind sowohl die Pflichten des Anbieters digitaler Dienste als auch die Pflichten des Nutzers. Sodann muss untersucht werden, inwieweit diese Pflichten tatsächlich Hauptleistungspflichten im Sinne des abgeschlossenen Vertrags sind, oder ob es sich vielmehr um Nebenpflichten aufgrund einer Nebenabrede handelt. In diesem Zusammenhang sind auch die entsprechenden AGBKlauseln Teil der Diskussion.51 Denn es gibt verschiedene Möglichkeiten, die Rolle personenbezogener Daten im Vertrag zu qualifizieren.52 So ist die Unterscheidung der beiden Begriffe „synallagmatisch“ und „entgeltlich“ für die weitere Rechtsanwendung von Bedeutung.53 Denn die Anwendung zahlreicher Normen ist davon abhängig, z. B. §§ 320–322, 326, 105a, 316, 346 Abs. 2 S. 2 BGB;54 ähnlich stünde auch, für den Fall einer Kategorisierung als unentgeltliche Leistung, die (analoge) Anwendung der §§ 107, 131 Abs. 2 S. 2 Alt. 1, 521, 523 f. BGB in Frage.55 47 Specht, JZ 15/16/2017, 763 (764); Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 5. 48 Siehe Exkurs Kap. 2, B. V. 49 Vgl. Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 304; Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 191, 206. 50 Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 275 f., 304; vgl. Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), I. 51 Metzger, AcP 2016, 817, 849 f.; vgl. Langhanke, Daten als Leistung, S. 233 ff. 52 Metzger, JZ 2019, 577, 580. 53 Hacker, ZfPW 2019, 148, 149 f. 54 Hacker, ZfPW 2019, 148, 150. 55 Faust, NJW-Beil 2016, 29.
B. Personenbezogene Daten als Gegenleistung im BGB
51
Zu beachten ist bei alledem nicht zuletzt, dass auch die DS-GVO gewisse Optionen zur möglichen Vertragsgestaltung eingrenzt, z. B. Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO und Art. 7 Abs. 4 DS-GVO.56
I. Übertragung personenbezogener Daten als Nebenabrede 1. Ist die Datenübertragung Neben- oder Hauptleistung – oder eine reine Nebenabrede? Die Datenerhebung ist in den besagten Fällen, in denen die Datenerhebung über das zur Vertragsdurchführung Erforderliche hinausgeht, aufgrund einer Einwilligung rechtlich möglich (Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO). Die jederzeitige Widerruflichkeit der Einwilligung (Art. 7 Abs. 3 DS-GVO) würde indes im Ergebnis dazu führen, dass die vermeintliche Gegenleistung niemals sicher wäre.57 Daher könnte man die Einwilligung und die daraus resultierende Datenerhebung als bloße Nebenabrede verstehen; denn was stetig widerrufen werden kann, kann denklogisch nicht klagbar sein, und eine nicht klagbare vertragliche Hauptleistungspflicht erscheint problematisch bzw. paradox.58 Auch denkbare Sekundäransprüche können nicht als Ersatz für die Klagbarkeit der Leistung herhalten; schließlich sollen an den Widerruf der Einwilligung keine Nachteile für den Nutzer geknüpft werden.59 Diese Bedingung würde im Falle drohender Schadensersatzansprüche, die lediglich auf den Widerruf der datenschutzrechtlichen Einwilligung zurückgeführt werden, unterlaufen.60 Wenn die Bereitstellung der Daten aber eine bloße Nebenabrede ist, kann sie nicht gleichzeitig charakterisierende Hauptleistung des Vertrags sein.61 Der Vertrag wäre daher unentgeltlich wie eine Schenkung oder Leihe, §§ 516, 598 BGB.62 Dem steht entgegen, dass dafür entscheidende Wesensmerkmale nicht erfüllt sind:63 Die Unentgeltlichkeit verlangt die „Abwesenheit einer Gegenleistung“64, egal ob diese synallagmatisch, konditional oder kausal ausgeformt ist.65 56
Pertot/Riehm, Rechte an Daten, S. 175, 176. Vgl. Metzger, AcP 2016, 817, 850; siehe dazu auch Kap. 2, B. IV. 3. c) cc). 58 Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 7 Rn. 12. 59 Erwägungsgrund 42 a. E. DS-GVO; siehe dazu Pertot/Riehm, Rechte an Daten, S. 175, 190 ff. 60 Siehe hierzu Kap. 2, B. IV. 3. c) cc); VII. 2. c). 61 Vgl. hinsichtlich der Abgrenzung zu Preisnebenabreden MüKoBGB/Wurmnest, 8. Aufl. 2019, § 307 Rn. 17. 62 Kremer, CR 2011, 769, 771. 63 Staudinger/Chiusi, (2021) BGB § 516 Rn. 37 ff. 64 Schmidt-Kessel/Grimm, ZfPW 2017, 84, 92 f.; BGH, NJW 1992, 564; BGH, NJW 1992, 2566. 65 Staudinger/Chiusi, (2021) BGB § 516 Rn. 45. 57
52
Kap. 2: Personenbezogene Daten als Entgelt
Sie geht einher mit der Entreicherung des Zuwendenden.66 Ein bloßer Verzicht auf eine Vergütung oder auf ähnliche in Zusammenhang mit der Schenkung bestehende Leistungen, beispielsweise Dienstleistungen, reicht zur Bejahung der Unentgeltlichkeit nicht aus.67 Ist die Zuwendung noch in einer Weise mit einer Leistung des Empfängers verbunden, die über das bloße Erwünschen oder Erhoffen der Leistung hinausgeht und somit eine gewisse Verbindlichkeit aufweist, so kann – wie auch hier – nicht von einer einseitigen Schenkung gesprochen werden.68 Ob ein Vertrag als unentgeltlich qualifiziert werden kann, entscheidet sich nämlich nicht allein anhand objektiver Gesichtspunkte, sondern auch nach der jeweiligen Parteivereinbarung und dem Parteiwillen, insbesondere nach dem Interesse des Zuwendenden an der vermeintlichen Gegenleistung.69 Hier hat der Anbieter ein großes Interesse an der Einwilligung bzw. den Daten, sodass die Einordnung als unentgeltliche Leistung abwegig wird.70 Aus denselben Gründen muss auch eine Schenkung unter Auflage ausscheiden: Denn hierfür ist regelmäßig gefordert, dass die Auflage aus der Schenkung und nicht aus dem Vermögen des Beschenkten stammt.71 Somit bleibt es nur bei der Unentgeltlichkeit, wenn die Auflage sich aus dem Schenkungsgegenstand ergibt und diesen lediglich verringert. Insofern erfolgt die Schenkung sinnigerweise vor der Erfüllung der Auflage. Im hiesigen Fall ist der Zugang zu dem digitalen Angebot eher umgekehrt an die Erteilung der datenschutzrechtlichen Einwilligung geknüpft.72 Die Präsentation des Angebots als „kostenlos“ o. Ä. ist dabei selbstredend ohne Einfluss auf die tatsächliche rechtliche Einordnung.73 Insgesamt ist die Rolle der Daten im Vertrag für eine Qualifizierung als Nebenabrede zu zentral; dies käme einer Nebenabrede gleich, die die Verpflichtung zur 66
Staudinger/Chiusi, (2021) BGB § 516 Rn. 15. MüKoBGB/Koch, 8. Aufl. 2019, § 516 Rn. 6; a. A. BeckOK BGB/Gehrlein, 61. Ed. 01.02.2022, § 516 Rn. 4. 68 BeckOK BGB/Gehrlein, 61. Ed. 01.02.2022, § 516 Rn. 7. 69 Staudinger/Chiusi, (2021) BGB § 516 Rn. 45; Schmidt-Kessel/Grimm, ZfPW 2017, 84, 93. 70 Schmidt-Kessel/Grimm, ZfPW 2017, 84, 94. Man betrachte beispielhaft Fälle wie den Skandal um eine „kostenlose“ Taschenlampen-App, die sich dem wohl begründeten Verdacht des Datenmissbrauchs ausgesetzt sah, siehe z. B.: https://www.sueddeutsche. de/digital/smartphone-als-taschenlampe-beliebte-handy-app-spaeht-android-nutzer-aus1.1837585 (Stand 01.05.2022). Solch trickreiche Versuche, reichlich Nutzerdaten zu verarbeiten, lassen auf ein großes Interesse daran schließen. 71 Somit bleibt es nur bei der Unentgeltlichkeit, wenn die Auflage sich aus dem Schenkungsgegenstand ergibt und diesen lediglich verringert, Staudinger/Chiusi, (2021) BGB § 525 Rn. 16. 72 So auch Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, Gutachten A zum 71. Deutschen Juristentag, 2016, S. 15, A 89. 73 Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, Gutachten A zum 71. Deutschen Juristentag, 2016, S. 16, A 89; vgl. auch Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 21. 67
B. Personenbezogene Daten als Gegenleistung im BGB
53
Kaufpreiszahlung enthält.74 Anders verhielte es sich freilich, wenn die Datenerhebung nur zusätzlich zu einer monetären Gegenleistung hinzutreten und diese ggf. verringern würde („data on top-Modell“ oder „Rabattmodell“); in diesen Fällen wäre die Datenerhebung als Preisnebenabrede justiziabel.75 2. Problem: AGB-Kontrolle der Hauptleistung Es kommt darauf an, ob die Datenleistung selbst als Leistungsbeschreibung schon justiziabel sein soll oder ggf. nur ihre individuelle Ausprägung, also zum Beispiel der Umfang oder die Art und Weise der Erhebung. Wenn die Daten nämlich als Hauptleistung kategorisiert werden, ist die Inhaltskontrolle nach § 307 Abs. 3 S. 1 BGB beschränkt.76 Denn die Beschreibung von Leistung und Gegenleistung sowie deren Äquivalenz soll grundsätzlich nicht der AGB-Kontrolle unterliegen;77 der zwischen den Parteien verhandelte Preis soll kein Gegenstand der richterlichen Kontrolle sein, sondern durch Verbotsnormen wie § 138 BGB kontrolliert werden.78 Dagegen, dass die Parteien eine solche Einordnung der Daten als Gegenleistung überhaupt bezwecken, könnte eingewandt werden, dass in der Regel keine offene „Deklaration als Hauptleistung“79 erfolgt. Indes ist aus Sicht des Datenempfängers der Entgeltcharakter der Daten und somit die Einordnung als Hauptleistung des Verbrauchers anzunehmen;80 schließlich ist diese Form datenfinanzierter Geschäfte gerade das gewinnbringende Geschäftsmodell des Anbieters und der digitale Inhalt wird ohne Zugang zu den personenbezogenen Daten oftmals nicht zur Verfügung gestellt. Im Einzelfall bleibt dies jedoch eine Frage der Auslegung nach §§ 133, 157 BGB. Im Allgemeinen kann die Gegenleistung auch dann als solche qualifiziert werden, wenn sie zumindest vermögensmehrend ist.81 Auf die Äquivalenz der Leistungen kommt es hier zu-
74
In diese Richtung auch Hacker, ZfPW 2019, 148, 163 f., 187 f. Hacker, ZfPW 2019, 148, 187; Klimke, r+s 2015, 217, 220; Armbrüster, r+s 2012, 365, 367; Schulze/Staudenmayer/Lohsse/Zoll, Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, S. 179, 186 f.; BGH, NJW 1992, 2356 (Beitragsrückerstattung bei Krankenversicherung); BGH, NJW 2000, 651 (bankseitige Bestimmungsvorbehalte zur notwendigen Anpassung). 76 MüKoBGB/Wurmnest, 8. Aufl. 2019, § 307 Rn. 1, 13; Metzger, AcP 2016, 817, 847; vgl. Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748. 77 BT-Drs. 7/3919, S. 22; MüKoBGB/Wurmnest, 8. Aufl. 2019, § 307 Rn. 17; BeckOK BGB/H. Schmidt, 61. Ed. 01.02.2022, § 307 Rn. 79 ff.; im gleichen Zusammenhang siehe Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 277. 78 Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 277; Hacker, ZfPW 2019, 148, 188. 79 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748. 80 A. A. Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3750. 81 Hacker, ZfPW 2019, 148, 158 f. m.w. N. 75
54
Kap. 2: Personenbezogene Daten als Entgelt
nächst nicht an:82 Die AGB-Kontrolle kann hinsichtlich der Intensität der Datenleistung, also der Höhe des „Datenpreises“, nicht greifen, Art. 4 Abs. 2 RL 93/ 13/EWG.83 Es müsste auf § 138 BGB zurückgegriffen werden. Eine Störung des Äquivalenzverhältnisses kann nur dann Gegenstand einer Prüfung nach § 307 Abs. 2 Nr. 2 BGB sein, wenn „marginale Situationen, die bei Vertragsschluss keine Berücksichtigung finden, zu einer grundlegenden Störung des Gleichgewichts der vertraglichen Rechte und Leistungen führen“.84 Dabei geht es indes nicht um Wertdifferenzen zwischen Leistung und Gegenleistung, sondern vielmehr um Kräfteverhältnisse, die die eine Partei deutlich benachteiligen. Mit diesem Gedanken im Hinterkopf ist der folgende Vorschlag besonders gut nachvollziehbar: So wird in Bezug auf das isolierte Betrachten von Leistung und Datengegenleistung eine teleologische Reduktion des § 307 Abs. 3 S. 1 BGB vorgeschlagen.85 Denn der Grund dafür, dass der Preis regelmäßig nicht der richterlichen Kontrolle unterliegen soll, liegt darin, dass er sich in einem dynamischen Markt aufgrund von Angebot und Nachfrage entwickelt.86 Dieser Aspekt fehlt bei den datenfinanzierten Angeboten, der Verbraucher hat keinen Überblick über verschiedene Datenpreise.87 Der (absolute) Datenpreis und das digitale Angebot müssten bei dieser teleologischen Reduktion daher auch separat voneinander betrachtet werden (da die Äquivalenz der Leistungen nach wie vor der Wertung des § 138 BGB überlassen bliebe).88 Bezüglich der Wirksamkeit anderweitiger, nicht die Hauptleistung betreffender Geschäftsbedingungen finden die AGB neben den datenschutzrechtlichen Bestimmungen freilich Anwendung.89 Schutzmechanismen für die richtige und verbraucherschonende Durchführung von Einwilligung, Datenschutzhinweisen bzgl. der Verarbeitung usw. kann hinsichtlich der Daten in Entgeltfunktion (siehe unten) bis dato vor allem die DS-GVO bieten;90 hinsichtlich der rahmenmäßigen 82
MüKoBGB/Wurmnest, 8. Aufl. 2019, § 307 Rn. 54. Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 277; Hacker, ZfPW 2019, 148, 187. 84 MüKoBGB/Wurmnest, 8. Aufl. 2019, § 307 Rn. 54. 85 Hacker, ZfPW 2019, 148, 188; vgl. Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 277. 86 Hacker, ZfPW 2019, 148, 188. 87 Hacker, ZfPW 2019, 148, 188. 88 Dazu Hacker, ZfPW 2019, 148, 181, 188 f.; Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 276 f., vgl. auch Schmidt-Kessel, Wandlungen des Privatrechts – Erwartungen an ein Privatrecht 2050, in: Beyer/Erler/Hartmann et al. (Hrsg.), Jahrbuch Junge Zivilrechtswissenschaft. Privatrecht 2050 – Blick in die digitale Zukunft, S. 9, 25 ff. 89 Hennemann, ZUM 2017, 544, 552; noch weiter für die AGB-Kontrolle Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3749. 90 Nicht umsonst wird der Verbraucherschutz in diesem Bereich als „unterentwickelt“ bezeichnet, siehe Metzger, JZ 2019, 577. 83
B. Personenbezogene Daten als Gegenleistung im BGB
55
Gestaltung und Darstellung der Gegenleistung ist eine Prüfung anhand von § 307 BGB denkbar, wenn beispielsweise von DS-GVO Vorschriften zur Einwilligung abgewichen wird.91
II. Personenbezogene Daten als Entgelt 1. „Data as currency“ Immer wieder wird von Daten als neuer Währung gesprochen.92 Facebook beispielsweise sei in diesem Sinne nur dem Anschein nach „unentgeltlich“, tatsächlich seien die von den Nutzern zur Verfügung gestellten Daten eine „harte Währung“.93 Diese Formulierung geht jedoch zumindest im deutschen Sprachgebrauch zu weit; denn eine Währung zeichnet sich per definitionem dadurch aus, dass sie auch gesetzlich als Zahlungsmittel gedacht ist.94 Dies trifft bei Daten nicht zu.95 Lediglich rein theoretisch kann daher von Daten als Währung bzw. „data as currency“96 gesprochen werden, da gewisse Parallelitäten zu beobachten sind; so z. B. die Tatsache, dass eine Vielzahl vernetzter Daten einen erheblichen wirtschaftlichen Wert darstellen kann und auch als „Tauschmittel“ Verwendung finden kann.97 Insofern käme höchstens eine etwas fantasievoll anmutende Kategorisierung als virtuelle Kryptowährung (die keiner notwendigen Erlaubnispflicht unterliegt98) in Frage, deren Wert sich durch die faktische Werteinschätzung der beteiligten Parteien auf dem Markt bildet und entwickelt.99 Dem kann allerdings entgegengehalten werden, dass dem Verbraucher als wichtigem Datenproduzenten regelmäßig ein spezifisches Preisbewusstsein fehlt.100 Es fehlt insofern zur Qualifizierung als Währung auch an der Wertmessfunktion. Zudem sind sowohl die bekannten Kategorien der Rivalität und Exklusivität ein Hindernis im Hin91 Siehe dazu KG Berlin, Urteil v. 21.03.2019, 23 U 268/13, Rn. 99 ff.; siehe auch zur Einwilligung als Teil von AGB Kap. 3, A. II. 6. 92 Eggers/Hamill/Ali, Data as the new currency, 13 Deloitte Review (2013), S. 18, 21; Körber, WRP 2012, 761, 764; Hoeren, WuW 2013, 463; Langhanke/Schmidt-Kessel, EuCML 2015, 218. 93 Hoeren, WuW 2013, 463. 94 Siehe hierzu die vom Duden vorgeschlagene Definition von „Währung“ abrufbar unter: https://www.duden.de/rechtschreibung/Waehrung (Stand 01.05.2022). 95 Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 191, 195. 96 Eggers/Hamill/Ali, Data as the new currency, 13 Deloitte Review (2013), S. 18, 21. 97 Eggers/Hamill/Ali, Data as the new currency, 13 Deloitte Review (2013), S. 18, 21. 98 Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 191, 195. 99 Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 191, 195. 100 Hacker, ZfPW 2019, 148, 181 f.; Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 276.
56
Kap. 2: Personenbezogene Daten als Entgelt
blick auf eine Währungsfunktion; ebenso die datenschutzrechtlichen Einschränkungen: Eine Währung, für die ein unbedingtes Widerrufsrecht gelten muss, ist nicht haltbar. Die immer wieder anzutreffende Formulierung von „Daten als Währung“ entspricht daher einer nachvollziehbaren Übertreibung und keiner rechtlichen Einordnung. 2. Allgemein: Daten als Entgelt Der Begriff des Entgelts in § 312 BGB ist richtlinienkonform weit auszulegen.101 Entgeltlich bedeutet nicht notwendig pekuniär.102 Für die Qualifizierung als Entgelt ist vielmehr entweder ein zurechenbarer Marktwert103 erforderlich oder dass der Vertragspartner etwas erhält, das „in irgendeiner Weise für ihn nützlich ist“104.105 In der zur Umsetzung der DIRL dienenden Neufassung von § 312 Abs. 1 BGB ist nicht länger eine „entgeltliche Leistung“ gefordert, sondern die Verpflichtung des Verbrauchers, einen Preis zu zahlen. Dies soll den Anwendungsbereich indes nicht einschränken, sondern dient der Angleichung an die Verbraucherrechte-Richtlinie (RL 2011/83/EU), in der diese Formulierung gewählt wurde.106 Es handelt sich insofern weiterhin um das Erfordernis einer Gegenleistung, die entweder synallagmatisch, konditional oder kausal mit der Hauptleistung verbunden ist.107 Nach diesem allgemeinen Verständnis lassen sich grundsätzlich auch personenbezogene Daten als Entgelt im Sinne von § 312 BGB verwenden.108 101 In der VerbrRRL ist das Erfordernis der Entgeltlichkeit nur mittelbar in Art. 2 Nr. 5, 6 zu finden. 102 BT-Drs. 17/13951, S. 72; HK-BGB/Schulte-Nölke, 10. Aufl. 2019, § 312 Rn. 5; zur alten Fassung BeckOK BGB/Martens, 60. Ed. 01.11.2021, § 312 Rn. 10, zur neuen Fassung BeckOK BGB/Martens, 61. Ed. 01.02.2022, § 312 Rn. 9a. 103 Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, IV. 2. g); statt vieler MüKoBGB/Wendehorst, 8. Aufl. 2019, § 312 Rn. 37; NK-BGB/Ring, 4. Aufl. 2021, § 312 Rn. 5. 104 MüKoBGB/Wendehorst, 8. Aufl. 2019, § 312 Rn. 37; vgl. noch BeckOK BGB/ Martens, 60. Ed. 01.11.2021, BGB § 312 Rn. 10. 105 Früher wurde ein aktives Handeln seitens des Verbrauchers gefordert, um Entgeltlichkeit zu rechtfertigen; da als solches aber bereits das einmalige Einwilligen in zukünftig regelmäßig erfolgende Datenerhebungen gewertet werden kann, ist dieses Erfordernis jedenfalls seit der DS-GVO in den hier betrachteten Fällen, in denen die Datenerhebung über das zur Vertragserfüllung Notwendige hinausgeht, ohnehin gewährleistet; vgl. Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, Gutachten A zum 71. Deutschen Juristentag, 2016, S. 16, A 89. 106 BeckOK BGB/Martens, 61. Ed. 01.02.2022, § 312 Rn. 9a f. 107 MüKoBGB/Wendehorst, 8. Aufl. 2019, § 312 Rn. 36; ErmanBGB/Koch, 16. Aufl. 2020, § 312 Rn. 6 ff. 108 MüKoBGB/Wendehorst, 8. Aufl. 2019, BGB § 312 Rn. 38; Brönneke/Schmidt, VuR 2014, 3; Melan/Wecke, DStR 2015, 2267, 2268 f.; vgl. auch Langhanke/SchmidtKessel, EuCML 2015, 218; Metzger, ACP 2016, 817, 833 f.; in diese Richtung auch LG
B. Personenbezogene Daten als Gegenleistung im BGB
57
Diese Einschätzung wird auch durch die Umsetzung der DIRL bestätigt: Der neue § 327 Abs. 3 BGB erweitert die Anwendung auf Verträge, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies soll nur dann nicht gelten, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet – ergo keine Entgeltlichkeit wie im oben erläuterten Sinne zu erkennen ist. Diese Einschränkung bezieht sich naheliegenderweise auf Datenverarbeitungen auf der Grundlage von Art. 6 Abs. 1 UAbs. 1 lit. b, c und e DS-GVO, wenngleich eine ausdrückliche Erwähnung nicht vorgenommen wird.109 In Kraft getreten ist diese Vorschrift im Zuge der Umsetzung der DIRL am 01.01.2022. Diese Entwicklung entspricht dem technischen Wandel.110 Eine genauere Typisierung des jeweiligen Vertrags ist EU-rechtlich nicht vorgegeben und unterliegt somit der Einordnung nach dem nationalstaatlichen Vertragsrecht.111 Denn die datenschutzrechtliche Beurteilung eines Vertragsgeschehens ist zivilrechtlich nicht immer aufschlussreich für die Ansprüche, die sich zwischen den Beteiligten ergeben.112 Auch die Umsetzung der DIRL bewegt sich im Bereich des Allgemeinen Schuldrechts. Die Regelungen befassen sich vor allem mit den Rechten des Verbrauchers und den Pflichten des Unternehmers. Genauere Qualifizierungen hinsichtlich der Gegenleistung des Verbrauchers sind kaum enthalten. Weitere Untersuchungen dieses Gegenstands sind jedoch nicht obsolet. Nach deutschem Recht gibt es drei verschiedene Möglichkeiten, eine Gegenleistung zu qualifizieren: Es kann sich im individuellen Falle um ein synallagmatisches (gegenseitiger Vertrag), ein konditionales (Setzung einer Bedingung) oder ein kausales (Verfolgung bestimmten Rechtszweckes) Verhältnis handeln.113 Wenn keiner der im BGB typisierten, zumeist synallagmatischen Verträge unzweifelhaft passt, muss im Einzelfall durch Auslegung der Willenserklärungen und des Vertrags ermittelt werden, um was für eine Art Gegenleistung es sich handelt, vgl. §§ 133, 157 BGB.114 Berlin, MMR 2014, 563; Faust, NJW-Beil 2016, 29; a. A. Spindler/Schuster/Schirmbacher, Das Recht der elektronischen Medien, 4. Aufl. 2019, BGB § 312 Rn. 32. 109 BT-Drs. 19/27653, S. 36; Piltz/Kühner, CR 2021, 1, 3. 110 Vgl. zuvor in diese Richtung hoffend Sattler, CR 2020, 145, 149. 111 Dazu Hacker, ZfPW 2019, 148, 167. 112 Langhanke/Schmidt-Kessel, EuCML 2015, 218, 219; Mischau, ZEuP 2020, 335, 340. 113 MüKoBGB/Emmerich, 8. Aufl. 2019, Vor § 320 Rn. 7; MüKoBGB/Koch, 8. Aufl. 2019, § 516 Rn. 27, 28; NK-BGB/Tettinger, 4. Aufl. 2021, § 320 Rn. 2 f.; Hacker, ZfPW 2019, 148, 167; BGH, NJW 2014, 294, 296 Rn. 18 m.w. N. 114 Vgl. NK-BGB/Tettinger, 4. Aufl. 2021, § 320 Rn. 3; Hacker, ZfPW 2019, 148, 168.
58
Kap. 2: Personenbezogene Daten als Entgelt
3. Intransparentes Entgelt? Daten, insbesondere personenbezogene Daten, können also zweifellos als Entgelt fungieren.115 Dabei ist in der Regel (in den hier betrachteten B2C-Situationen) bei faktischer Betrachtung nicht allein das Datum selbst das Entgelt, sondern der berechtigte Zugang116 zu diesem Datum – die Datenübertragung als solche ist nicht alleiniger Gegenstand der Leistung des datenerzeugenden Nutzers, sondern die Tatsache, dass dieser den Zugang zu den erzeugten Daten rechtlich mit seiner Einwilligung ermöglicht. Problematisch bleibt bei alledem jedoch, dass der tatsächliche Wert dieses Zugangs zu den personenbezogenen Daten nebulös ist und jedenfalls auf Seite des Verbrauchers regelmäßig zu einer Preisintransparenz führt.117 Genau diese Intransparenz kann ein Gefühl der Unentgeltlichkeit beim Nutzer begründen. Wäre der Wert der Daten (bzw. der Einwilligung) leicht ermittelbar oder offener Bestandteil des Vertrages, könnte dies zur Entwicklung eines Preisbewusstseins auf Seiten des Verbrauchers beitragen.118 Die Möglichkeit des Verbrauchers, den Preis für einen vergleichbaren Dienst, der eine monetäre Gegenleistung verlangt, als Vergleichswert heranzuziehen, besteht in den meisten Fällen nicht.119 Für Monopoldienste wie Facebook und Google stehen keine solchen Vergleichsmodelle zur Verfügung. Jedenfalls müsste der Verbraucher initiativ wohl eine tiefgehende Einarbeitung und Recherche in den Bereich der jeweiligen Datenverwertung betreiben, die seine zweifellos erwartbare Kompetenz durchaus übersteigen würde. Diese Diffusität könnte naheliegender Weise im Interesse der großen (und kleinen) Anbieter digitaler Dienste liegen, die davon profitieren, wenn Verbraucher leichtherzig und ohne Preisbewusstsein ihre Daten zur Verfügung stellen, um einen als kostenlos angepriesenen Dienst zu nutzen.120 Zwar kann man durchaus annehmen, dass die Betroffe115
Spindler/Sein, MMR 2019, 415, 418; Brönneke/Schmidt, VuR 2014, 3; Melan/ Wecke, DStR 2015, 2267, 2268 f.; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 21; Peitz/Schweitzer, NJW 2018, 275; zum Warencharakter von Daten Wandtke, MMR 2017, 6, 7. 116 Siehe dazu Kap. 2, B. IV. 3. c) bb); insgesamt zur Einwilligung siehe Kap. 3. 117 Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 191, 204 f.; v. Lewinski, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 209, 210 ff.; Mischau, ZEuP 2020, 335, 363; dazu Schwintowski, NJOZ 2018, 841; vgl. auch Härting, CR 2016, 735. 118 Zum Wert eines Facebook-Profils: Dapp/Heine, Deutsche Bank Research, Big Data – die ungezähmte Macht, 2014, S. 20, schätzten den Wert eines genutzten, also aktiven Facebook-Profils im Jahre 2014 auf etwa 88 EUR – wohlgemerkt ist dies eine Schätzung ohne hinreichende Nachweise, die sich lediglich aus einer Division von Marktkapital durch Anzahl der aktiven Nutzer ergibt. 119 Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 191, 205; Schwintowski, NJOZ 2018, 841. 120 Facebook warb lange auf der Startseite mit dem Spruch „Facebook ist und bleibt kostenlos“, dies wurde mit Urteil des Kammergerichts vom 20.12.2019, Az. 5 U 9/18 (= MMR 2020, 239) für zulässig erklärt, da sich die Aussage „auf die Freiheit von allein pekuniären oder sonst vermögensschmälernden Gegenleistungen“ beziehe. Siehe
B. Personenbezogene Daten als Gegenleistung im BGB
59
nen ein Gefühl dafür haben, dass ihre Daten einen gewissen Wert haben,121 inwieweit dieser individuell jedoch einer monetären Vorstellung gleichzusetzen ist, kann bis dato kaum verallgemeinert werden. Hierin liegt nach Kilian das „Dilemma“: Dass durch „Zahlungen mit personenbezogenen Daten weniger das Geldvermögen als die Autonomie verringert wird“.122 Natürlich ist den personenbezogenen Daten auch ein wirtschaftlicher Wert beizumessen – aber dieser kann ohne Vermögenseinbuße geteilt werden: Denn Geld kann nur einmal ausgegeben werden, während mit Daten grundsätzlich mehrfach gezahlt werden kann.123 Dennoch liegt hier ein bisher vernachlässigtes Problem im Entgeltcharakter der Daten.124 Neben der Datenbereitstellung werden – in ebenso schwer messbarer Weise – „Aufmerksamkeit, Klicks, [. . .] Mitgliedschaften“ als Vergütung bezeichnet.125 Betrachtet aus einem weiteren Blickwinkel, ist dies auch nur eine Auflistung weiterer personenbezogener Daten; denn die Aufmerksamkeit, die Klicks, die ein Nutzer online einem Produkt schenkt, stellen ebenso verhaltensgenerierte Daten dar, die (soweit möglich) vom Anbieter des digitalen Dienstes erhoben werden. Die Differenzierung zwischen einzelnen Segmenten des daraus resultierenden Gesamt-Datenpreises ist umso schwieriger.126 4. Der neue § 516a BGB: Schenkung trotz Daten(gegen)leistung? Im Lichte dieser Erwägungen wirft der Wortlaut des § 516a BGB zumindest bei rein dogmatischer Hinterfragung Unklarheiten auf. Er sieht vor, dass auf einen Verbrauchervertrag, bei dem der Unternehmer sich verpflichtet, dem Verbraucher digitale Produkte zu schenken, und der Verbraucher dem Unternehmer personenbezogene Daten nach Maßgabe des § 327 Abs. 3 BGB bereitstellt oder sich hierzu verpflichtet, die §§ 523 und 524 BGB über die Haftung des Schenkers für Rechts- oder Sachmängel nicht anzuwenden sind. Die Haftungsprivilegierung des Schenkers für einfache Fahrlässigkeit entfällt damit. dazu auch Buchner, DuD 2010, 39; Schmidt-Kessel/Grimm, ZfPW 2017, 84, 86; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 219; Hacker, ZfPW 2019, 148, 181 f.; Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 276; a. A. Knop, Die Nutzer überschätzen den Wert ihrer Daten massiv, FAZ, 21.11.2019, abrufbar unter: https://www.faz.net/aktuell/wirtschaft/digitec/internetoekonomie-nutzerueberschaetzen-den-wert-ihrer-daten-massiv-16496290.html (Stand 01.05.2022). 121 Siehe dazu Kap. 1, C. VII.; siehe auch ausführlich die Studie der University of Chicago: Acquisti/John/Loewenstein, ,What Is Privacy Worth?‘ (2013), 42 Journal of Legal Studies, S. 249. 122 Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 191, 206. 123 Siehe dazu Kap. 1, C. 124 Zu Verbesserungsvorschlägen ab Kap. 4. 125 Becker, CR 2021, 87, 92. 126 Vgl. zum problematischen Datenpreis Kap. 1, C.
60
Kap. 2: Personenbezogene Daten als Entgelt
Wie unterscheidet sich diese Konstellation von der bisher hier untersuchten? Die in § 516a BGB genannte Bereitstellung personenbezogener Daten darf jedenfalls keinen Entgeltcharakter haben, wenn der Unternehmer die digitalen Produkte schenkt, da die Schenkung schließlich durch ihre Unentgeltlichkeit charakterisiert wird.127 Die zugrundeliegende Situation muss also insofern anders aussehen, als dass die Leistung des Unternehmers hier in keiner Weise mit der Bereitstellung der Daten durch den Verbraucher verknüpft ist – weder synallagmatisch noch konditional oder kausal. Es bestünde also gerade kein reziprokes Verhältnis, sondern lediglich eine Schenkung seitens des Unternehmers und eine davon unabhängig zu betrachtende Datenbereitstellung des Verbrauchers. Bedenkt man aber das Interesse, das der Unternehmer zumindest regelmäßig an dem Zugang zu den personenbezogenen Daten des Nutzers hat, erscheint der komplette Ausschluss der Reziprozität eher fernliegend. Es müsste aber genau eine solche Situation vorliegen, bei der jedwede Wertschöpfung des Verantwortlichen aus den bereitgestellten Daten ausgeschlossen wird. Denn eines der Merkmale einer Schenkung ist schließlich auch die endgültige Entreicherung des Schenkers.128 Ganz abgesehen davon, dass dies jedenfalls begrifflich bei digitalen Produkten aufgrund deren Nicht-Rivalität und Nicht-Exklusivität faktisch nicht möglich erscheint, erscheint auch das regelmäßig große Interesse des Unternehmers an der Nutzung der personenbezogenen Daten einer einseitigen bloßen Entreicherung entgegenzustehen.129 Ähnliche Bedenken hatte möglicherweise auch der Gesetzgeber: Denn der Ausschluss der Haftungsprivilegierung des Schenkers enthält auch den logischen Verweis auf die Vorschriften des Abschnitts 3 Titel 2a. Eine genaue Abgrenzung zwischen Schenkung und Gegenseitigkeitsverhältnis (bzw. eine faktisch verschiedenartige Beurteilung) ist damit an dieser Stelle eigentlich aufgehoben.130 In der Praxis erscheint dies aufgrund der erläuterten Komplexität der vermeintlich kostenfreien, aber doch entgeltlichen Verträge aber auch angebracht. Denn die Grenzen zwischen deklarierter Gratiskultur und faktischem Datenschöpfungsinteresse verschwimmen in der Praxis. § 516a BGB dürfte zwar rein dogmatisch nur für solche Fälle relevant sein, in denen die Auslegung nur ergeben kann, dass eben kein wirtschaftliches Interesse seitens des Unternehmers an den personenbezogenen Daten besteht. Da dies freilich schwer nachweisbar sein wird, muss der Unternehmer sich daher behandeln lassen, als seien die personenbezogenen Daten eben doch eine Gegenleistung –
127 Staudinger/Chiusi, (2021) BGB § 516 Rn. 45; MüKoBGB/Koch, 8. Aufl. 2019, § 516 Rn. 6. 128 NK-BGB/Dendorfer-Ditges/Wilhelm, 4. Aufl. 2021, § 516 Rn. 11; MüKoBGB/ Koch, 8. Aufl. 2019, § 516 Rn. 6; BeckOK BGB/Gehrlein, 61. Ed. 01.02.2022, § 516 Rn. 4; Staudinger/Chiusi, (2021) BGB § 516 Rn. 15. 129 Staudinger/Chiusi, (2021) BGB § 516 Rn. 45; Schmidt-Kessel/Grimm, ZfPW 2017, 84, 93. 130 Dazu allgemein Staudinger/Chiusi, (2021) BGB § 516 Rn. 45.
B. Personenbezogene Daten als Gegenleistung im BGB
61
und der Schenkungsbegriff verliert hier – ganz logisch und praxisnah, aber eben doch dogmatisch fragwürdig – an Bedeutung.131 5. Inhalt des Entgelts: Datenzugang oder Datenübertragung? Begrifflich muss genau differenziert werden, was genau den Inhalt der Gegenleistung als Entgelt ausmacht, wie die Gegenleistung funktioniert und abzulaufen hat. Die bloße Feststellung, dass die Daten allgemein als Gegenleistung dienen können,132 bleibt zu ungenau. Die Frage stellt sich, ob die Daten tatsächlich selbst als Vertragsgegenstand/Entgelt übertragen werden, oder ob es sich nur um die Einräumung eines Nutzungs- und Verwertungsrechts an den Daten handelt. In letzterem Falle wäre der Terminus Datenzugang trefflicher als die Bezeichnung Datenübertragung. Es würde dann als Entgelt ein Datenzugang mit dem Recht zur Datenverarbeitung eingeräumt. Zur vorläufigen Überprüfung dieser These mag das Beispiel eines sozialen Netzwerks dienen: Der Nutzer generiert durch die Benutzung der Plattform Daten. Dies tut er sowohl aktiv, z. B. durch das Hochladen von Bildern, Angabe des Geburtsdatums, als auch passiv, z. B. durch die Erzeugung von Standort-Daten und die Analyse seines Onlineverhaltens auf der Plattform. Bereits diese Differenzierung verschieden generierter Status- und Verhaltensdaten zeigt, dass der Begriff der Datenübertragung an seine Grenzen käme; der Nutzer überträgt nicht aktiv Daten über seinen Standort, sondern diese Daten werden von dem sozialen Netzwerk erhoben. Man könnte eher von einer Art rechtlicher Bereitstellung der Daten sprechen, sofern die entsprechende Einwilligung plus Erzeugung der Daten als ausreichend für diesen Begriff angesehen werden kann. Passender ist es daher, seitens des Dienstes nur von Zugangs- und Verarbeitungsrechten zu sprechen. Der Begriff der Datenübertragung ist unpassend. Die Gegenleistung auf Seiten des Nutzers besteht damit, vereinfacht gesagt, in einer oder mehreren bestimmten Arten der Bereitstellung der Daten. Hier kann hinterfragt werden: Besteht tatsächlich ein Anspruch auf diese Gegenleistung – d. h. wird der Nutzer verpflichtet, Daten zu generieren?133 Dies kann wohl nicht pauschal ohne Einzelfallbetrachtung beantwortet werden und muss in einigen Fällen auch klar verneint werden: Denn bei vielen Websites, die keine Registrierung erfordern, bleibt die Websitenutzung durch ein Ablehnen nicht notwendiger Cookies im Einzelfall möglich.134 Wenn ein Nutzer hingegen auf einen Dienst zugreift, der die Einwilligung voraussetzt (so häufig bei Diensten, die einen Registrierungsvorgang verlangen), will der Dienstanbieter ihn grundsätzlich auch 131 In diesem Sinne einen engen Anwendungsbereich der Vorschrift annehmend MüKoBGB/Koch, 9. Aufl. 2023, BGB § 516a Rn. 2. 132 BT-Drs. 19/27653, S. 34 f.: „Bezahlen mit Daten“. 133 Siehe zu den Pflichten des Nutzers Kap. 2, B. IV. 3. 134 Walker, Die Kosten kostenloser Dienste, S. 165.
62
Kap. 2: Personenbezogene Daten als Entgelt
veranlassen, die generierten Daten bereitzustellen, also beispielsweise nicht mittels Anti-Tracking-Software einen Zugang seitens des Dienstes zu sperren oder die Cookies abzulehnen, sondern den Zugang und die Verarbeitung zu gewähren.135 Der Inhalt der Leistung besteht insofern, vorläufig zusammengefasst,136 in der rechtlichen Bereitstellung der personenbezogenen Daten. Diese wird durch die datenschutzrechtliche Einwilligung in der Regel begrenzt und flankiert.
III. Der problematische Wille des Nutzers Vereinzelt wird im Rahmen der üblichen Fallkonstellationen bei Onlinediensten und Websites von einem „vertragslosen Umfeld“ und einer „de facto-Austauschsituation“ gesprochen.137 Dies fußt nicht zuletzt auf dem Problem, dass zwar faktisch ein Austausch stattfinden mag, der Moment einer verbindlichen Verpflichtung zu einem solchen aber stets diffus bleibt. Es stellen sich daher mehrere Fragen: Wo könnten dennoch die Mindestanforderungen für einen Vertragsschluss als erfüllt betrachtet werden? Hat der Verbraucher im entscheidenden Moment wirklich nach dem objektiven Empfängerhorizont das Bewusstsein, einen Vertrag abzuschließen oder eine Leistung zu erbringen? Es müsste – und hier liegt regelmäßig die größte Schwierigkeit – ein Rechtsbindungswille als Ergebnis der Auslegung zu bejahen sein, § 133, 157 BGB.138 Kann der erforderliche Rechtsbindungswille in dem rechtlich139 erheblichen Verhalten – in der Regel der Klick auf „Einverstanden“ und die weitere Nutzung des Dienstes – gefunden werden? In Kapitel 3 dieser Arbeit wird erläutert, dass in der Einwilligung selbst zumindest eine geschäftsähnliche Handlung gesehen werden kann. In welcher juristischen Sekunde kommt es also zum Vertragsschluss mit einer Erklärung, die tatsächlich den Anforderungen einer Willenserklärung genügt? Bezeichnend für die Situation eines solchen etwaigen Vertragsabschlusses ist, dass es keinen direkten Kontakt zwischen den zwei Vertragspartnern gibt, der eine einzelfallbezogen situative Auslegung der Erklärungen offenbart. Insofern sind die Erklärungen „typisiert“ zu betrachten:140 Im Sinne der Auslegung der 135 Hacker, ZfPW 2019, 148, 173 f.; vgl. Walker, Die Kosten kostenloser Dienste, S. 165. 136 Zu den Pflichten des Nutzers Kap. 2, B. IV. 3. 137 Becker, CR 2021, 87, 98 und CR 2021, 230. 138 Statt vieler BeckOK BGB/Eckert, 61. Ed. 01.02.2022, § 145 Rn. 36 f. m.w. N.; MüKoBGB/Busche, 9. Aufl. 2021, § 145 Rn. 7, § 133 Rn. 20; Piltz/Kühner, CR 2021, 1, 3; BT-Drs. 19/27653, S. 40. 139 Looks/Bergau, MwStR 2016, 864, 868. 140 BT-Drs. 19/27653, S. 40.
B. Personenbezogene Daten als Gegenleistung im BGB
63
jeweiligen konkreten Willenserklärungen nach §§ 133, 157 BGB ist darauf einzugehen, was typischerweise erwartet werden darf. Was erwartet der durchschnittliche Verbraucher typischerweise anhand der ihm dargelegten digitalen Informationen?141 Welcher Wille ist typischerweise von Seiten des digitalen Anbieters anzunehmen? Dies wird im Folgenden anhand zweier Beispiele genauer untersucht. 1. Vertragsschluss bei Facebook mit Registrierung Der Vertragsschluss mit Facebook ist durch den Registriervorgang bei Erstellung eines Profils (zusammenhängend mit den damit verbundenen Einwilligungen) für den Nutzer erkennbar. Der Nutzer muss Felder mit Aufschriften wie „Neues Konto erstellen“ und „Registrieren“ etc. anklicken. Es ist dabei anzunehmen, dass der Nutzer in dem Bewusstsein handelt, im weitesten Sinne eine Vereinbarung mit Facebook zu treffen.142 Allerdings geht der Nutzer (berechtigt) möglicherweise davon aus, ohne Angabe von Gründen sein Profil jederzeit mit sofortiger Wirkung wieder löschen zu können, ohne an Kündigungsfristen o. Ä. gebunden zu sein. Ein Nutzer, der entweder seine Rechte aus der DS-GVO kennt oder die Datenschutzerklärung von Facebook tatsächlich eingesehen, gelesen und verstanden hat, weiß um sein nicht an Bedingungen geknüpftes Löschungs- und Widerrufsrecht – dies könnte die Auslegung begünstigen, dass kein für einen Vertragsschluss hinreichender Rechtsbindungswille vorhanden ist. Da jedoch ein durchschnittlicher Internetnutzer nicht im Detail mit all diesen seinen Rechten vertraut sein wird, kann dies nicht als ausschlaggebend zugrunde liegen. Zudem kann für einen Rechtsbindungswillen selbst bei über das Erwartbare hinausgehenden Kenntnissen des Nutzers argumentiert werden, dass die Möglichkeit eines Widerrufs gerade darauf hinweist, dass man sich zunächst bindet und es ausdrücklich der Gestaltungsmöglichkeit des Widerrufs bedarf, um nicht zwangsläufig in dieser Bindung verhaftet zu bleiben. Das wiederum spricht für die Annahme eines Rechtsbindungswillens bei Erstellung eines Facebook-Profils, wenn man einen besonnenen und halbwegs aufgeklärten Nutzer zugrunde legt. Schließlich werden Begrifflichkeiten wie Widerruf, Rücktritt, Kündigung in der Laiensphäre auch nicht derart verschieden gewichtet, wie es rechtlich gebührlich wäre. Für den Verbraucher ist bei diesen Begrifflichkeiten vielmehr das Wissen entscheidend, dass es eine Möglichkeit gibt, sich möglichst unkompliziert wieder aus dem Vertragsgeschehen zu lösen – mit welchen juristischen Konnotationen 141 Auch bei Vertragsschlüssen im Internet ist auf die Kenntnisse eines durchschnittlichen Verbrauchers abzustellen: OLG Frankfurt, MMR 2009, 341; Hoeren/Sieber/ Holznagel/Kitz, Handbuch Multimedia-Recht, Teil 13.1 Vertragsschluss im Internet, Rn. 8; Walker, Die Kosten kostenloser Dienste, S. 166 in Fn. 166. 142 Vgl. allgemein zu Registrierungsvorgängen als Willenserklärungen Fervers, NJW 2016, 2289, 2290.
64
Kap. 2: Personenbezogene Daten als Entgelt
die jeweiligen Möglichkeiten versehen sind, bleibt dabei regelmäßig unklar. Es ließe sich aber der Rückschluss ziehen, dass dem Verbraucher die rechtliche Erheblichkeit seines Verhaltens spätestens durch den Hinweis auf einen erforderlichen Zustimmungsakt seinerseits zu dem Rechtsverhältnis bewusst wird.143 Liest man die Nutzungsbedingungen von Facebook genauer, findet man in Ziffer 3 Nr. 3.2 der Facebook-Nutzungsbedingungen den Ausschluss eines „Ausgleichs“ für die Verwendung der Nutzerdaten durch Facebook.144 Walker hält hierzu treffend fest, dass „aus Sicht eines hierbei relevanten durchschnittlichen Internetnutzers, der mit den Besonderheiten des Internets vertraut ist [. . .] deutlich [wird], dass die preisgegebenen Daten für Facebook jedenfalls so wirtschaftlich relevant sind, dass das Unternehmen einen expliziten Ausschluss eines Ausgleichs für erforderlich hält“.145 Auf Seiten des Anbieters muss angesichts dessen ein Rechtsbindungswille bejaht werden.146 Es ist auch anzunehmen, dass das zugrundeliegende Interesse darauf abzielt, den Nutzer zum regelmäßigen Nutzen des Dienstes/Aufrufen der Website zu bewegen. Denn die Finanzierung des Angebots (sowie die Wertschöpfung) sind regelmäßig von den Zugriffszahlen abhängig.147 Ein Rechtsbindungswille kann hier diesbezüglich weniger problematisch bejaht werden. 2. Vertragsschluss bei Google als Suchmaschine ohne Registrierung Mit Registrieren eines Google-Accounts wäre die Situation wohl ganz ähnlich zu beurteilen wie bei Facebook. Doch die Situation im Falle einer bloßen Nutzung der Google-Suchmaschine ohne Registrierungsvorgang ist anders zu beurteilen. Auch hier verlangt Google vor der Nutzung eine Einwilligung und verweist auf die Datenschutzerklärungen. Denn auch ohne Google-Account werden Daten gesammelt, die, den Voreinstellungen entsprechend, auf den Nutzer bzw. auf sein
143 Das Bewusstsein über ein rechtserhebliches Verhalten soll hier jedoch nicht gleichzusetzen sein mit dem Bewusstsein über die Details (AGB, Datenschutzerklärung), die ggf. damit verbunden sind; denn gerade über diese Details wird sich der Nutzer leider nicht hinreichend informiert haben. Dazu Rothmann/Buchner, DuD 2018, 342. 144 Wörtlich: „[. . .] Dein Name und dein Profilbild sowie Informationen über Handlungen, die du auf Facebook vorgenommen hast, können neben oder in Verbindung mit Werbeanzeigen, Angeboten und sonstigen gesponserten Inhalten verwendet werden, die wir in unseren Produkten anzeigen, ohne dass du hierfür einen Ausgleich erhältst. [. . .]“ abrufbar unter: https://www.facebook.com/terms (Stand 01.05.2022). 145 Walker, Die Kosten kostenloser Dienste, S. 166 in Fn. 166. 146 Walker, Die Kosten kostenloser Dienste, S. 166 in Fn. 166; Piltz/Kühner, CR 2021, 1, 3. 147 BT-Drs. 19/27653, S. 40; Becker, CR 2021, 87, 92.
B. Personenbezogene Daten als Gegenleistung im BGB
65
Verhalten zugeschnittene Werbeanzeigen ermöglichen. Diese Voreinstellungen lassen sich jedoch teils deaktivieren. Anstelle des Schaltens verhaltensorientierter Werbung werden dann im Falle der Deaktivierung personalisierter Werbeanzeigen die zugrundeliegenden Daten also anderweitig genutzt, indem beispielsweise die Reichweite und der Erfolg von (ggf. persönlich unpassenden) Werbeanzeigen weiterhin zumindest überprüft wird. Das Leistungsangebot seitens Google wird insofern durch das Abschalten personalisierter Werbeanzeigen nicht gedrosselt. Entscheidend bleibt aber, dass die Einwilligung in die Erhebung und Verarbeitung der entsprechenden personenbezogenen Daten erteilt wird, wenn auch manche speziellen Verwendungszwecke ausgeschlossen werden können. Dies geht aus dem Pop-Up-Fenster bei erstmaliger Nutzung von www.google.de hervor: Ohne Einwilligung, d. h. komplett ohne jegliche Datenerhebung, beispielsweise nur zur Dienstoptimierung, gibt es grundsätzlich keine Nutzung.148 Mit der Bestätigung der Einwilligung gibt der Nutzer eine Erklärung ab, die für ihn erkennbar eine gewisse rechtliche Relevanz aufweist. Der erforderliche Klick als aktive Handlung unterstreicht dies. Insofern könnte man an dieser Stelle von einer Willenserklärung des Nutzers und folglich von einem Vertragsschluss reden, der auf Seiten von Google durch einen Algorithmus erfolgt.149 Damit würde ein vertragliches Verhältnis begründet. Dass dessen genaue Natur weder Google, geschweige denn dem Nutzer vor Augen ist, kann dabei nur eine Nebenrolle spielen. Letztlich kommt es vielmehr darauf an, dass die Parteien sich auf einen bestimmten Austausch einigen: Datenerhebung gegen Suchmaschinennutzung. Dagegen kann angeführt werden, dass der Nutzer den Klick nur tätigt, da er schnellstmöglich auf sein Suchergebnis zugreifen möchte, ohne sich Gedanken über den Inhalt seiner Erklärung und seiner Einwilligung zu machen.150 Nach dem OLG Hamburg würde es „der Lebenserfahrung und der Nutzererwartung“ widersprechen, wenn „der Besuch einer frei zugänglichen Website [. . .] per se vertragliche Rechte und Pflichten begründen“ würde.151 Das Urteil bezieht sich 148 Ohne Zustimmung nutzt Google die Daten jedenfalls für: „– Dienste anbieten und betreiben, z. B. Störungen prüfen und Maßnahmen gegen Spam, Betrug oder Missbrauch ergreifen – Daten zu Zielgruppeninteraktionen und Websitestatistiken erheben, um zu verstehen, wie unsere Dienste verwendet werden.“ (Stand: 01.05.2022) Nicht ausreichend kann hier der abschließende Hinweis von Google sein, der erscheint, wenn man anstelle von „Zustimmen“ zunächst auf „Anpassen“ klickt: „Sie haben die Möglichkeit, Ihre Browsereinstellungen so zu konfigurieren, dass einige oder alle Cookies blockiert werden.“ Die Datenerhebung muss also selbständig aktiv verhindert werden, was vom Prinzip her bereits fragwürdig erscheint. 149 Grundsätzlich zum Vertragsschluss durch Handlungsagenten/Algorithmen: EfferUhe, RDi 2021, 169; Weingart, CR 2020, 701. 150 Vgl. Rothmann/Buchner, DuD 2018, 342, 346; Walker, Die Kosten kostenloser Dienste, S. 147 f. 151 OLG Hamburg, GRUR-RS 2012, 22946 Rn. 156; zustimmend Kreutz, ZUM 2018, 162, 163 f.
66
Kap. 2: Personenbezogene Daten als Entgelt
indes nicht auf die Situation, in der nach dem Aufrufen einer Website auch eine datenschutzrechtliche Einwilligung in Datenerhebungen und verarbeitungen zu kommerziellen Zwecken als etwaige Gegenleistung erfolgt; Tracking und Cookies wurden nicht berücksichtigt.152 Walker zieht hier den Vergleich mit einem Passanten, der ein Schaufenster nicht nur anonym begutachtet, sondern dabei von Videokameras auf dem weiteren Heimweg gefilmt und kommerziell analysiert wird – damit kann die Parallele zu einem bloßen Blick in das Schaufenster ohne diese Konsequenz (i. e. Besuchen einer Website ohne Einwilligung) nicht gleichgesetzt werden.153 Doch allein aus der Tatsache, dass faktisch eine Gegenleistung zu erfolgen scheint, kann kein Rechtsbindungswillen gefolgert werden: Dem Durchschnittsnutzer sind die Details der essentialia negotii selbst bei fortwährender Website-Nutzung weitgehend unbekannt:154 Denn er könnte einem unbeteiligten Dritten wohl kaum erklären, wie genau welche Daten von ihm nun von wem als Gegenleistung verarbeitet würden.155 Außerdem erfolgt die Einwilligung hier mit demselben Klick wie die auf den Leistungsaustausch bezogene Willenserklärung. Dies wiederum könnte dem Prinzip aus Erwägungsgrund 42 zuwiderlaufen, wonach die Einwilligung eigentlich nicht mit anderen Erklärungen verbunden sein soll. Ist jedoch sinnhaft erkennbar, dass die Einwilligung und die Erklärung ein „Gesamtpaket“ bilden, kann auch die Annahme dieses Gesamtpakets mit der Einwilligung zusammen erteilt werden.156 Sinn und Zweck des Erwägungsgrundes 42 bzw. des Art. 7 Abs. 2 S. 1 DS-GVO ist insofern eher, zu verhindern, dass die Einwilligung zwischen vielfältigen Erklärungen untergeht und aus dem Fokus des Nutzers rückt und dieser eher beiläufig einwilligt, anstatt bewusst eine datenschutzrechtliche Erklärung abzugeben.157 Dieses Problem bloß beiläufiger Einwilligungen oder Willenserklärungen in der faktisch flüchtigen Welt des Internets ist bis dato schwer umgänglich – zweierlei ebenso rasch getätigte Klicks würden die Problematik nur zum Schein reparieren.158 Im Ergebnis muss festgehalten werden, dass die Konstruktion eines Rechtsbindungswillens des Verbrauchers bei Aufrufen einer Website wie der Google-Suchmaschine auch mit Aufforderung zur Abgabe einer datenschutzrechtlichen Ein152
Walker, Die Kosten kostenloser Dienste, S. 147. Walker, Die Kosten kostenloser Dienste, S. 147 f. 154 Walker, Die Kosten kostenloser Dienste, S. 149. 155 Walker, Die Kosten kostenloser Dienste, S. 149. 156 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 36. 157 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 10; siehe dazu Kap. 1, A. II. 1. am Ende; Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 3. 158 Zum Problem faktisch fehlender Informiertheit Rothmann/Buchner, DuD 2018, 342. 153
B. Personenbezogene Daten als Gegenleistung im BGB
67
willigung eher künstlich erscheint.159 Google verlangt, wie die meisten Websites heutzutage, keine zwingende Einwilligung in die individualisierte Weiterverarbeitung personenbezogener Daten, um weiter auf das Website-Produkt zugreifen zu können – lehnt der Verbraucher diese Einwilligung ab, bleibt meist dennoch der Zugriff auf die Website ungehindert und die Datenerhebung beschränkt sich auf die Dienstoptimierung. Auch dies führt dazu, dass der Nutzer keine verbindliche Leistung-/Gegenleistung-Situation wahrnehmen wird, sondern die Erteilung der Einwilligung als separate Option, unabhängig von der Möglichkeit zur Websitenutzung versteht.160 Hier zeigt sich eine besondere Diskrepanz zwischen dem Interesse des Anbieters an der Einwilligung des Nutzers, das einen Rechtsbindungswillen auf Anbieterseite naheliegend erscheinen lässt und der Desinformiertheit des Verbrauchers, der bei Nutzung der Website auch nach dem flüchtigen Klick auf „Zustimmen“ eher keinen Rechtsbindungswillen haben wird. Dennoch profitiert der Anbieter von der regelmäßig erteilten Einwilligung in nicht unerheblicher Weise; so gestaltet sich der Zugang zu den personenbezogenen Daten als faktische Gegenleistung in einem tatsächlich „vertragslosen Umfeld“.161 In diesem Kapitel mit Schwerpunkt auf vertraglichen Konstellationen wird diese Situation daher vernachlässigt.162 Echte Rechte und Pflichten können sich hier nur aus gesetzlichen Schuldverhältnissen, insbesondere einer culpa in contrahendo gem. § 311 Abs. 2 BGB ergeben.163 3. Kopplungsverbot164 und Freiwilligkeit beim Vertragsschluss Um einen Vertragsschluss zu ermöglichen, darf im Übrigen das Kopplungsverbot nicht im Wege stehen, Art. 7 Abs. 4 DS-GVO. Wenn die besagte „Pflicht“, den Datenzugang bereitzustellen, begründet wird, darf dies nicht aufgrund einer die Freiwilligkeit des Betroffenen beeinträchtigenden Situation geschehen. Wann eine solche Situation vorliegt, ist indes nicht immer eindeutig – genügt bereits das Verlangen nach einer datenschutzrechtlichen Einwilligung als Voraussetzung für die Nutzung des Dienstes, um eine Kopplung anzunehmen? Die Grenze zwischen erlaubter Einbeziehung von Einwilligungen zur Refinanzierung einerseits und unerlaubter Kopplung andererseits bleibt oft unklar.165 Um einen Vertragsschluss also überhaupt zu ermöglichen, muss das Kopplungsverbot restriktiv an159 160 161 162 163 164 165
Specht-Riemenschneider/Riemenschneider/Schneider, Internetrecht, S. 283 f. Walker, Die Kosten kostenloser Dienste, S. 149 f.; Kreutz, ZUM 2018, 162, 165 f. Becker, CR 2021, 87, 98 und CR 2021, 230. Zu praktischen Lösungsvorschlägen für mehr Transparenz siehe Kap. 4. Hierzu ausführlich Walker, Die Kosten kostenloser Dienste, S. 150–155. Siehe dazu ab Kap. 3, A. II. 2. b). Pertot/Riehm, Rechte an Daten, S. 175, 184.
68
Kap. 2: Personenbezogene Daten als Entgelt
gewendet werden.166 Schließlich soll die Einschränkung durch das Kopplungsverbot den Nutzer in seinen Rechten stärken und nicht von vornherein in der Ausübung seiner Privatautonomie beschneiden.167 Problematisch wird die Konstellation, die den Verbraucher angesichts der markbeherrschenden Stellung und der mangelnden Alternativen zu einem Dienst zum Vertragsschluss leitet.168 Hier darf Kritik aber nicht allein auf den Gedanken des Kopplungsmodells gestützt werden.169 Vielmehr sind hierfür – jenseits des Datenschutzrechts – auch Art. 102 AEUV und § 19 GWB zu beachten; es handelt sich insofern nicht allein um ein datenschutzrechtliches, sondern auch um ein kartellrechtliches Problem.170 Als Antwort auf diese diffuse Problematik zwischen Datenschutzrecht und Interessen der Datenwirtschaft wird teilweise ein „Recht auf datenerhebungsfreie Produkte“ postuliert.171
IV. Personenbezogene Daten als Gegenleistung Bei einem Synallagma handelt es sich um ein Gegenleistungsverhältnis (vgl. §§ 320 ff. BGB); charakterisierendes Merkmal ist die finale wechselseitige Abhängigkeit zweier (Haupt-)Leistungen voneinander.172 Um ein rechtliches Verhältnis als Synallagma qualifizieren zu können, ist zunächst erforderlich, die etwaigen reziproken Leistungspflichten zu definieren, um anschließend deren Wechselseitigkeit feststellen zu können. Entscheidend sind dabei die Hauptleistungspflichten.173 Deren Inhalt wiederum wird von den Parteien bestimmt, sodass grundsätzlich auch solche Pflichten, die gemeinhin als Nebenpflichten verstanden werden, individuell als Hauptleistungspflicht vereinbart werden können. Unproblematisch und beispielhaft könnte die Qualifizierung von Daten jedenfalls als Teil einer synallagmatischen Gegenleistung bei sog. Telematik-Tarifen in der Automobilversicherung sein.174 Bei diesen Tarifen wird der Versicherungsbeitrag verringert, wenn der Verbraucher sich an bestimmte Vorschriften hinsichtlich der Automobilnutzung hält, durch die ein Schaden als unwahrscheinlicher 166
Specht-Riemenschneider, NJW 2019, 3687; kritisch Dammann, ZD 2016, 306,
311. 167
Specht-Riemenschneider, NJW 2019, 3687. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 21. 169 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 21. 170 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 21. Dies wurde auch vom BGH in seinem Urteil vom 23.06.2020, KVR 69/19, erkannt, siehe dazu Kap. 4, G. II. 171 Dazu Becker, JZ 2017, 170 m.w. N. 172 Statt vieler Grüneberg/Grüneberg, 81. Aufl. 2022, Einf. v. § 320 Rn. 5. 173 Jauernig/Stadler, 18. Aufl. 2021, § 320 Rn. 7. 174 Hacker, ZfPW 2019, 148, 163; zu solchen „data-on-top-Modellen“ Kap. 2, B. V. 1. 168
B. Personenbezogene Daten als Gegenleistung im BGB
69
eingestuft wird. Insofern ist die Übermittlung der personenbezogenen Daten aus dem intelligenten Fahrzeugsystem an den Versicherungsgeber maßgeblicher Teil der Vereinbarung und bestimmt die Höhe des Beitrags. Letztlich ist hier aber nicht allein das Datum als solches Teil der Gegenleistung, sondern das Verhalten des Versicherungsnehmers, das sich in den Daten widerspiegelt und nicht anders nachgewiesen werden kann. Gleichwohl wäre es durchaus möglich, aus den so gesammelten Daten weiteren wirtschaftlichen Wert zu schöpfen.175 Dafür erscheint allerdings eine entsprechende Einwilligung erforderlich. Diese spannende Konstellation wird hier nicht untersucht, um den Fokus auf allein datenfinanzierten Geschäften zu lassen. Abzugrenzen vom Synallagma ist ein nicht wechselseitig abhängiges konditionales Verhältnis, bei dem auf die Erbringung einer der Hauptleistungen kein Anspruch besteht, sondern diese lediglich als Bedingung nach § 158 Abs. 1 BGB für die Erbringung der Gegenleistung dient. Erst nach Erfüllen dieser Bedingung (= einer Hauptleistung) ist der Anspruch auf die Gegenleistung durchsetzbar.176 Inwieweit sich eine synallagmatische und eine konditionale Verknüpfung im Einzelnen abgrenzen lassen, wird im folgenden Teil erörtert. 1. Abgrenzung: Synallagmatische, konditionale und kausale Verknüpfungen Bei einem Vertrag mit konditionaler Verknüpfung hat der Gläubiger eine Bedingung zu erfüllen, bevor sein Anspruch auf die Gegenleistung einklagbar wird; dies geschieht jedoch regelmäßig freiwillig, sodass der Bedingung nicht der gleiche Charakter wie einer klagbaren Verpflichtung zugesprochen werden kann.177 Es handelt sich dabei um mehr als eine Schenkung unter Auflage, da mit der Erfüllung der Bedingung die Gegenleistung final erstrebt wird.178 Auch damit sind – ohne Synallagma – die Voraussetzungen für einen entgeltlichen Vertrag erfüllt.179 Bei den synallagmatischen Verträgen kann es eine ähnliche Konstellation geben: Denn bei einer beständigen Vorleistungspflicht in einem Synallagma ist eine Partei ebenfalls erst dann berechtigt, ihre Gegenleistung zu verlangen, wenn sie selbst geleistet hat, weil die Fälligkeit der Gegenleistung bis zu diesem 175 Siehe dazu Schmidt-Kessel/Grimm, ZfPW 2017, 84, 87 Klimke, r+s 2015, 217, 225; Lüdemann, ZD 2015, 247. 176 MüKoBGB/Koch, 8. Aufl. 2019, § 516 Rn. 27; Staudinger/Chiusi, (2021) BGB § 516 Rn. 45; Schulze HK-BGB/Saenger, 11. Aufl. 2022, § 516 Rn. 4. 177 ErmanBGB/Ulber, 16. Aufl. 2020, Vor § 320 Rn. 18; MüKoBGB/Emmerich, 8. Aufl. 2019, Vor § 320 Rn. 8. 178 ErmanBGB/Ulber, 16. Aufl. 2020, Vor § 320 Rn. 18; MüKoBGB/Koch, 8. Aufl. 2019, § 516 Rn. 27; Staudinger/Schwarze, (2020) BGB Vor §§ 320 ff. Rn. 57; MüKoBGB/Emmerich, Vor § 320 Rn. 8. 179 ErmanBGB/Ulber, 16. Aufl. 2020, Vor § 320 Rn. 18; zur Entgeltlichkeit Kap. 2, B. II. 2.
70
Kap. 2: Personenbezogene Daten als Entgelt
Zeitpunkt aufgeschoben ist.180 Im Unterschied zur konditionalen Verknüpfung besteht hier jedoch von vornherein eine vereinbarte Vorleistungspflicht.181 Eine solche ist in der Bedingung bei einer konditionalen Verknüpfung gerade nicht enthalten.182 Davon wiederum zu unterscheiden sind kausale Verknüpfungen: Hier versucht eine Partei mit einer nicht geschuldeten Leistung oder einem Leistungsversprechen, die andere Partei zu einer ebenso nicht geschuldeten Gegenleistung zu bewegen.183 Dies betrifft die Fallgruppen sogenannter Vorleistungs- oder Veranlasserfälle. Der Unterschied zur konditionalen Verknüpfung besteht vor allem darin, dass nicht einmal eine Bedingung gegeben ist. Die Gegenleistung fungiert hier nur als bereicherungsrechtlicher Behaltensgrund für die Leistung.184 Im Ergebnis handelt es sich dabei vor allem um die hier nicht näher zu erörternde Materie von § 812 Abs. 1 S. 2 Alt. 2 BGB (Leistungserbringung mit dem Zweck, eine nicht geschuldete Leistung zu erhalten).185 Denkbar bleibt also eine Einordnung als konditionale Verknüpfung. Hierfür plädiert Hacker und argumentiert, dass die im Einzelfall zugrundeliegenden Nutzungsbedingungen und Datenschutzerklärungen regelmäßig keine ausdrückliche Leistungsverpflichtung zur Datenüberlassung enthalten.186 Eine solche klar formulierte Darstellung sei allerdings zur Begründung einer Leistungspflicht erforderlich.187 Dies gelte insoweit unabhängig davon, ob auf die Datenüberlassung oder auf das Erteilen der datenschutzrechtlichen Einwilligung abgestellt werde. Denn sofern das Erteilen der datenschutzrechtlichen Einwilligung nicht auf einer vertraglich ausdrücklich festgeschriebenen Verpflichtung beruhe, sondern auf fakultativer Entscheidung des Nutzers, könne nicht von einer Leistungspflicht gesprochen werden.188 Insbesondere spreche dafür, dass die Einwilligung oft nicht der einzige Erlaubnistatbestand zur Datenerhebung sei, sondern diese auch auf Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO (Erforderlichkeit für Erfüllung eines Vertrags) und Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO (Erforderlichkeit zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten) gestützt werden könne.189 Diese Auslegung entspricht im Ergebnis zwar einer genauen Be180
Staudinger/Schwarze, (2020) BGB Vor §§ 320 ff. Rn. 55. Staudinger/Schwarze, (2020) BGB § 321 Rn. 23. 182 Staudinger/Schwarze, (2020) BGB Vor §§ 320 ff. Rn. 56. 183 ErmanBGB/Ulber, 16. Aufl. 2020, Vor § 320 Rn. 19; MüKoBGB/Emmerich, 8. Aufl. 2019, § 320 Rn. 9; MüKoBGB/Koch, 8. Aufl. 2019, § 516 Rn. 28; Hacker, ZfPW 2019, 148, 168, 170 f. 184 Staudinger/Schwarze, (2020) BGB Vor §§ 320 ff. Rn. 59. 185 Hacker, ZfPW 2019, 148, 168. 186 Hacker, ZfPW 2019, 148, 169. 187 Hacker, ZfPW 2019, 148, 169. 188 Hacker, ZfPW 2019, 148, 169. 189 Hacker, ZfPW 2019, 148, 169. 181
B. Personenbezogene Daten als Gegenleistung im BGB
71
trachtung der üblichen verschriftlichten Nutzungsbedingungen und mithin rechtlich besonders relevanten Vertragsbausteine. Das faktische Interesse des Verantwortlichen an der Einwilligung und der somit rechtlich abgesicherten Datenüberlassung wird dabei aber als äußerer Faktor nicht hinreichend berücksichtigt.190 Dieses Interesse entspricht in seiner Intensität dem Interesse an der erwünschten Erfüllung einer synallagmatischen Gegenleistungspflicht.191 Dagegen führt Hacker an, dass der Anbieter bei genauer Auslegung eigentlich gerade kein Interesse an der Durchsetzung eines Anspruchs auf Einwilligung und Datenübertragung hat, da dies sowohl seine Reputation als auch die Datenqualität beeinträchtigen könnte.192 Dies finde letztlich auch Ausdruck in der laut Nutzungsbedingungen der einschlägigen Anbieter tatsächlich uneingeschränkt möglichen Beendigung der Nutzung.193 Die Nutzung ohne erforderliche Einwilligung wird nicht ermöglicht, also liege eine aufschiebende Bedingung nach § 158 Abs. 1 BGB vor; im Übrigen stehe der Dienst aber auch nicht mehr zur Verfügung, wenn die Einwilligung wegfällt, hier dann als auflösende Bedingung, vgl. § 158 Abs. 2 BGB.194 Dieses große Interesse, die Leistung freiwillig zu erhalten, könne nicht ohne Weiteres mit dem Interesse an einer durchsetzbaren Leistungspflicht gleichgesetzt werden, da die Beweggründe und Konsequenzen hier gegenläufig seien:195 Durch die freiwillige Leistung erhöht sich eher der Marktwert des Produkts, da bei vielen digitalen Angeboten gerade die Masse der Nutzer den Wert ausmacht und ein leicht zugängliches, unkompliziert nutzbares Produkt sich leichter gegen die Konkurrenz durchsetzt. Der Grund, warum die mangelnde Durchsetzbarkeit in Kauf genommen wird, sei also, dass Abweichendes den guten Ruf des Angebots nur beeinträchtigen könnte.196 Im Kern des Interesses steht insofern nicht
190
Vgl. Schmidt-Kessel/Grimm, ZfPW 2017, 84, 94 f. Vgl. Schmidt-Kessel/Grimm, ZfPW 2017, 84, 94. 192 Hacker, ZfPW 2019, 148, 173; Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 290. 193 Hacker, ZfPW 2019, 148, 173 mit Verweis auf u. a. die Nutzungsbedingungen von Google, abrufbar unter: https://policies.google.com/terms?hl=de (Stand 01.05.2022): „Natürlich steht es Ihnen jederzeit frei, die Nutzung unserer Dienste einzustellen.“; die Nutzungsbedingungen von Facebook, abrufbar unter: https://www.facebook.com/legal/ terms (Stand 01.05.2022), unter Punkt 4.2: „Wir hoffen zwar, dass du unsere Produkte weiterhin nutzen wirst. Wenn du aber unseren aktualisierten Nutzungsbedingungen nicht zustimmst und nicht länger zur Meta-Gemeinschaft gehören möchtest, kannst du dein Konto jederzeit löschen.“ 194 Hacker, ZfPW 2019, 148, 175; allgemein zu § 158 BGB statt vieler BeckOK BGB/Rövekamp, 61. Ed. 01.02.2022, § 158 Rn. 6, 28 ff. 195 Hacker, ZfPW 2019, 148, 173; Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 290. 196 Hacker, ZfPW 2019, 148, 173; Körber/Kühling/Schweitzer, Regulierung – Wettbewerb – Innovation, 2017, S. 269, 290. 191
72
Kap. 2: Personenbezogene Daten als Entgelt
der Verzicht auf die Durchsetzbarkeit, sondern das Angebot so attraktiv zu gestalten, dass der Nutzer freiwillig seinen Teil der Leistung erbringt. Das Interesse an dieser freiwilligen Leistung entspricht damit nur auf rein faktischer Ebene dem Interesse an der Erfüllung einer Leistungspflicht, ist mit dieser aber nicht gleichzusetzen. Gegen dieses Verständnis richtet sich Walker mit dem Hinweis, dass die Wünsche des Anbieters, wie sein Produkt wahrgenommen werden soll, keine so prägende Wirkung auf die Rechtsnatur des Vertrages haben könnten.197 Schließlich sei der Verzicht darauf, etwas einzuklagen, nicht entscheidend für die Entstehung des betroffenen Anspruchs.198 Dies überzeugt. Weiterhin kann gegen Hackers Argumentation angeführt werden, dass es sich im Grunde auch unter Annahme eines synallagmatischen Vertrags so verhält, dass die Hauptleistungspflichten erst mit Vertragsschluss entstehen. Das besondere an den hier untersuchten Fällen ist, dass die auf den Vertragsschluss gerichtete Erklärung sowie die Einwilligung als notwendige Voraussetzung für die Datenleistung regelmäßig gleichzeitig erfolgen. Dass ein etwaiger Anspruch auf Erteilen einer Einwilligung nicht bereits vor einem fraglichen Vertragsschluss bestehen kann, ist evident. Die Annahme, dass im Sinne einer konditionalen Verknüpfung erst mit dem Erteilen der Einwilligung als Bedingungserfüllung i. S. v. § 158 Abs. 1 BGB ein Anspruch auf die Gegenleistung in Form des angebotenen Dienstes besteht, kann somit eben nicht als Hauptargument für die Qualifizierung als konditionale Verknüpfung genügen, wenn doch durch das Erteilen der Einwilligung auch der konkludente Abschluss eines synallagmatischen Vertrags mit erfolgt sein könnte. Die Nutzungsbedingungen des Anbieters können schließlich auch als umfassendes Angebot gesehen werden, welches mit der Annahme des Nutzers (die regelmäßig in direktem zeitlichem Zusammenhang mit der Einwilligung erfolgt) den Vertrag begründet. Eine auflösende Bedingung, die durch den Widerruf eintritt, wird dadurch auch nicht ausgeschlossen; es bedarf nur nicht mehr der aufschiebenden Bedingung, wenn doch von vornherein bei Vertragsschluss diese Bedingung mit Erteilen der Einwilligung erfüllt ist. Jedenfalls zutreffend erkennt Hacker, dass eine einmalige Bedingungserfüllung i. S. v. § 158 Abs. 1 BGB für die dauerhafte Nutzung des Dienstes nicht ausreichen kann.199 Vielmehr ist die dauerhafte Datenbereitstellung entscheidend für die dauerhafte Nutzungsmöglichkeit des entsprechenden Dienstes.200 Dies bedeutet jedoch, dass bei einem zwischenzeitlichen Abbruch des Datenflusses (beispielsweise aufgrund des Verwendens einer Anti-Tracking-App o. Ä.) die kondi-
197 198 199 200
Walker, Die Kosten kostenloser Dienste, S. 163. Walker, Die Kosten kostenloser Dienste, S. 163. Hacker, ZfPW 2019, 148, 174. Hacker, ZfPW 2019, 148, 174.
B. Personenbezogene Daten als Gegenleistung im BGB
73
tionale Verknüpfung erneut beschlossen und erfüllt werden müsste, was weder praktikabel noch dogmatisch sinnhaft erscheint. Unter Annahme eines synallagmatischen Vertrags mit Dauerschuldcharakter würde dieser fortbestehen und das Verwenden einer Anti-Tracking-App könnte beispielsweise eine Pflichtverletzung seitens des Nutzers begründen.201 Der häufig anzutreffende Charakter eines Dauerschuldverhältnisses zeigt die Schwierigkeit einer Einordnung als rein konditional und erinnert eher an ein synallagmatisches Verhältnis im Sinne von Do ut des. Hacker räumt in diesem Zusammenhang ein, dass dies „der einzig wirkliche konstruktive Vorteil des synallagmatischen Modells [sei], in dem diese ,Unterbrechung‘ ohne Weiteres durch die anspruchsbeschränkende Einrede des § 320 BGB umsetzbar ist“.202 Im Ergebnis lässt sich schwerlich eine pauschale Einordnung treffen, da die genauen Abläufe und Willensrichtungen im Einzelfall eigentlich berücksichtigt werden sollten.203 In den meisten typischen Fällen, wie sie dieser Arbeit zugrunde gelegt werden (z. B. Facebook-Nutzung) ist ein synallagmatisches Verhältnis aber die dogmatisch überzeugende Lösung. Dafür spricht im Beispiel von Facebook auch konkret die Formulierung aus den Nutzungsbedingungen zu den Berechtigungen, die der Nutzer Facebook einräumt: „Verwendung deines Namens, deines Profilbildes sowie von Informationen über deine Interaktionen mit Werbeanzeigen und gesponserten Inhalten: Dein Name und dein Profilbild sowie Informationen über Handlungen, die du auf Facebook vorgenommen hast, können neben oder in Verbindung mit Werbeanzeigen, Angeboten und sonstigen gesponserten Inhalten verwendet werden, die wir in unseren Produkten anzeigen, ohne dass du hierfür einen Ausgleich erhältst [. . .].“ 204
Dass Facebook hier einen anderweitigen Ausgleich der Datenverarbeitung ausdrücklich ausschließt, zeigt, welche wirtschaftliche Bedeutung der Datenverarbeitung beigemessen wird.205 Es ist daher eine synallagmatische Verknüpfung zugrunde zu legen.206 2. Zwittervertrag Eine eindeutige Zuordnung zu einem der BGB-Vertragstypen (Kauf, Miete usw.) ist im hier betrachteten Falle der digitalen Leistung bei „Zahlung mit Da201
Siehe dazu Kap. 2, B. VII. 2. d). Hacker, ZfPW 2019, 148, 174. 203 Walker, Die Kosten kostenloser Dienste, S. 166. 204 Facebook-Nutzungsbedingungen, abrufbar unter: https://de-de.facebook.com/terms (Stand 01.05.2022), Punkt 3.2. 205 Walker, Die Kosten kostenloser Dienste, S. 166 in Fn. 166. 206 Metzger, AcP 2016, 817, 835; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 223; Walker, Die Kosten kostenloser Dienste, S. 166 f.; Bräutigam, MMR 2012, 635; Specht, JZ 2017, 763, 770; Jöns, Daten als Handelsware, 2019, S. 120 f. 202
74
Kap. 2: Personenbezogene Daten als Entgelt
ten“ nicht möglich; es gibt jedenfalls keinen Vertragstyp, der genau auf diesen Austausch passt.207 Möglicherweise könnten die etwaigen gegenüberstehenden Hauptleistungspflichten jeweils einem synallagmatischen Vertragstyp, wenigstens in entsprechender Anwendung, zugerechnet werden.208 In Frage käme daher die Konstruktion eines typengemischten „Zwittervertrags“, bei dem nur in Bezug auf die jeweilige Leistung die Vorschriften des jeweils passenden Vertragstyps Anwendung finden.209 Damit könnten sich die Rechte und Pflichten der Parteien entweder im Sinne eines Kombinationsvertrags aus beiden jeweiligen Vertragsbereichen ergeben, oder der das Vertragsgefüge stärker prägende Vertragstyp könnte den anderen fraglichen Vertragstyp verdrängen und alleinige Anwendung finden.210 Welche Methode einschlägig ist, muss anhand des Einzelfalles durch Auslegung ermittelt werden.211 Im Kernbereich stünde bei den hier betrachteten Fällen ein Synallagma, bei dem faktisch nur Daten gegen Daten gehandelt werden;212 denn schließlich handelt es sich auch auf Seiten des Anbieters um ein (digitales) Datenprodukt. Inwieweit eine Einordnung als Zwittervertrag hilfreich erscheint, wird sich aus den folgenden Anschauungen ergeben. Die Untersuchung soll in Erfahrung bringen, welche Vorschriften für die individuellen Leistungen jeweils anwendbar sind und somit auch zur Lösung etwaiger leistungsstörungsrechtlicher bzw. gewährleistungsrechtlicher Probleme beitragen könnten.213 Als erster Schritt erfolgt hierfür die genaue Kartierung der gegenseitigen Hauptleistungen, da – im Gegensatz zur oben erfolgten, allgemein gehaltenen Qualifizierung als Entgelt – die Definition eines bestimmten Synallagmas aufgrund dessen spezifischer Merkmale eine kleinschrittige Vorgehensweise nahelegt. 3. Pflichten des Betroffenen Zwar öffnet der neue § 312 Abs. 1a S. 1 BGB die Tür für Verträge, bei denen der Verbraucher kein monetäres Entgelt zahlt, sondern stattdessen seine perso207 Dazu ausführlich Kirn/Müller-Hengstenberg, NJW 2017, 433; noch problematischer wird die Typologisierung bei Vertragsschlüssen über Plattformen, bei denen drei Beteiligte mitwirken; siehe dazu: Klein/Datta, CR 2016, 587, 587 f.; Hoeren/Sieber/ Holznagel/Kitz, Handbuch Multimedia-Recht, Teil 13.1 Rn. 149; Kremer, CR 2011, 769. 208 Kirn/Müller-Hengstenberg, NJW 2017, 433, 434; dazu und zum Folgenden allgemein MüKoBGB/Emmerich, 8. Aufl. 2019, § 311 Rn. 28 ff. 209 Walker, Die Kosten kostenloser Dienste, S. 180 f.; Bräutigam, MMR 2012, 635, 638; Specht, JZ 2017, 763, 765; BeckOK BGB/Gehrlein, 61. Ed. 01.02.2022, § 311 Rn. 24; auch „Koppelverträge“, siehe Metzger, AcP 2016, 817, 836, 847. 210 Statt vieler MüKoBGB/Emmerich, 8. Aufl. 2019, § 311 Rn. 28 m.w. N. 211 MüKoBGB/Emmerich, 8. Aufl. 2019, § 311 Rn. 29; Redeker, IT-Recht, Rn. 1102. 212 Vgl. ErmanBGB/Ulber, 16. Aufl. 2020, Vor § 320 Rn. 10. 213 Vgl. zur Anwendbarkeit bei Problematiken des Urheberrechts: Spindler/Schuster/ Wiebe, Recht der elektronischen Medien, 4. Aufl. 2019, Vor §§ 31 ff. UrhG Rn. 7.
B. Personenbezogene Daten als Gegenleistung im BGB
75
nenbezogenen Daten zur Verfügung stellt; eine Aussage über die Qualität dieser Art von Gegenleistung trifft der Gesetzgeber jedoch nicht.214 Was der Nutzer also genau schuldet, wenn er anstelle eines monetären Entgelts nur in die Erhebung und Verarbeitung der Daten einwilligt und deren Abschöpfung duldet, ist gesetzlich nicht geregelt. Schwerpunkt der Neuregelungen ist nicht die Lösung des dogmatischen Streits über Daten als Gegenleistung, sondern vielmehr die Verwirklichung der Schutzwürdigkeit der Verbraucher (und im Einzelnen der Unternehmer) bei Verträgen über digitale Produkte. Die Frage, wie im Falle gegenübertretender Rückabwicklungsansprüche hinsichtlich der seitens des Verbrauchers bereits geleisteten personenbezogenen Daten zu verfahren ist, bleibt jedoch beispielsweise unbeachtet und unbeantwortet. Bevor hier auf die resultierenden Fragen eingegangen werden kann, wird zunächst der Inhalt der Gegenleistungspflicht des Betroffenen eruiert und dogmatisch begründet, warum und wie weit personenbezogene Daten im Detail als Leistungsgegenstand tauglich sind. a) Personenbezogene Daten als Leistung im Sinne des BGB Das BGB kennt keinen einheitlichen Leistungsbegriff.215 Es genügt grundsätzlich, dass sich die Parteien auf ein irgendwie geartetes (rechtlich nicht verbotenes) Tun, Dulden oder Unterlassen einigen; demgemäß ist der jeweilige Leistungsgegenstand ggf. durch Auslegung zu ermitteln.216 Auch Daten kommen daher grundsätzlich als Leistungsgegenstand in Frage.217 Ebenso könnte die Leistungspflicht aber auch nur im Erteilen der Einwilligung liegen.218 Die Differenzierung, was genau die Hauptleistung darstellt oder ob es sich nur um eine Nebenleistungspflicht handelt, kann im Einzelnen anhand des Parteiwillens erfolgen.219 Oftmals ist der Übergang jedoch fließend; beides kann auch ggf. eingeklagt werden.220 Die Hauptleistungspflicht charakterisiert den Vertrag,221 während Neben(leistungs)pflichten der Vor- oder Nachsicht dienen, ergo der Vorbereitung oder Durchführung der Hauptleistungen hilfreich sein sollen.222 214
BT-Drs. 19/27653, S. 36 f. MüKoBGB/Bachmann, 8. Aufl. 2019, § 241 Rn. 17; NK-BGB/Krebs, 4. Aufl. 2021, § 241 Rn. 10. 216 Näher zum Leistungsbegriff: Jauernig/Mansel, 18. Aufl. 2021, § 241 Rn. 7–8; MüKoBGB/Bachmann, 8. Aufl. 2019, § 241 Rn. 17, 29; BeckOK BGB/Sutschet, 61. Ed. 01.02.2022, § 241 Rn. 33 ff.; NK-BGB/Krebs, 4. Aufl. 2021, § 241 Rn. 10. 217 Schmidt-Kessel/Grimm, ZfPW, 2017, 84, 89; Langhanke, Daten als Leistung, S. 101. 218 Specht, JZ 2017, 763, 765. 219 MüKoBGB/Bachmann, 8. Aufl. 2019, § 241 Rn. 29. 220 MüKoBGB/Bachmann, 8. Aufl. 2019, § 241 Rn. 30. 221 BeckOK BGB/Sutschet, 61. Ed. 01.02.2022, § 241 Rn. 13. 222 MüKoBGB/Bachmann, 8. Aufl. 2019, § 241 Rn. 29. 215
76
Kap. 2: Personenbezogene Daten als Entgelt
Weiterhin ist zu differenzieren zwischen Leistungshandlung (das pflichtgemäße Verhalten des Schuldners) und Leistungserfolg (die Befriedigung des Gläubigers).223 Diese beiden können regelmäßig zusammenfallen oder auch unabhängig voneinander sein. Was genau geschuldet wird, ist von der jeweiligen Vertragskonstellation abhängig.224 Wie sieht es also hier aus: Einerseits könnte die Einwilligung als bloße Leistungshandlung ausreichen. Andererseits ist wiederum fraglich, ob dies als Gegenleistung hinreichen kann, wenn der auf Seiten des Unternehmers erwünschte Leistungserfolg ausbleibt, beispielsweise weil im Nachhinein entweder ungenügende Daten angegeben werden225 oder auch mangels Nutzung des digitalen Angebots nach erteilter Einwilligung gar keine weiteren Daten generiert werden. Auch wenn diese Fragen in den §§ 327 ff. BGB im Einzelnen nicht klar beantwortet wurden, ist zumindest eine irgendwie geartete Reziprozität der in Frage stehenden Datenleistung und der Leistung eines digitalen Produkts durch die Einführung der §§ 312 Abs. 1a und 327 Abs. 3 BGB auch von Seiten des Gesetzgebers anerkannt. Wird statt der aktiven Bereitstellung nur die Duldung der Erhebung seitens des Anbieters gefordert, so kann die Leistungspflicht auch nur in dieser Duldung zu sehen sein.226 b) Personenbezogene Daten als indisponibler Teil des Persönlichkeitsrechts? Dagegen könnte allerdings eingewandt werden, dass personenbezogene Daten aufgrund besonderen persönlichkeitsrechtlichen Schutzes nicht als „Waren“227 gehandelt werden sollten – dies wäre aber u. U. der Fall, wenn die personenbezogenen Daten (bzw. der Zugriff darauf sowie die Einwilligung zur Erhebung und Verarbeitung derselben) als geschuldete Gegenleistung gefordert werden können.228 Das Persönlichkeitsrecht als Ganzes wird als unveräußerlich, indisponibel, nicht übertragbar bezeichnet.229 Personenbezogene Daten sind – wie die Attribu223 Jauernig/Mansel, 18. Aufl. 2021, BGB § 241 Rn. 7–8; BeckOK BGB/Sutschet, 61. Ed. 01.02.2022, § 241 Rn. 33. 224 Jauernig/Mansel, 18. Aufl. 2021, BGB § 241 Rn. 7–8; siehe auch Langhanke, Daten als Leistung, S. 123 f. 225 Facebook beispielsweise fordert in Nr. 3 der Nutzungsbedingungen ausdrücklich, dass die personenbezogenen Daten, die der Nutzer in seinem Profil erzeugt, „genau und korrekt“ sind. 226 Metzger, AcP 2016, 817, 834, 850. 227 Einleitung der Stellungnahme des EDSB, 23.06.2017 (ABl. EU 2017/C 200/07). 228 In diesem Sinne der EDSB in seiner Stellungnahme zur Richtlinie, 23.06.2017 (ABl. EU 2017/C 200/07); siehe auch Wandtke, MMR 2017, 6, 9. 229 Peifer, GRUR 2002, 495, 499 f.; in diese Richtung auch Schack, JZ 2000, 1060, 2062; Bräutigam, MMR 2012, 635, 637.
B. Personenbezogene Daten als Gegenleistung im BGB
77
ierung zu erkennen gibt – untrennbar an die Person geknüpft. Sie geben Informationen über die Persönlichkeit bzw. das Verhalten desjenigen preis, der sie generiert hat, und sind somit grundsätzlich rechtlich ihm zuzuordnen. Das Erteilen der Einwilligung in die Erhebung und Verarbeitung der personenbezogenen Daten bedeutet jedoch nicht, dass in den hier untersuchten Situationen Persönlichkeitsrechte als solche übertragen werden, sondern vielmehr, dass die Person mittels ihrer Einwilligung einen Zugang zu bestimmten personenbezogenen Daten (und in der Folge deren wirtschaftliche Verwertung) erlaubt.230 Die Unübertragbarkeit von Persönlichkeitsrechten als solchen bleibt davon unberührt. Grundsätzlich sind personenbezogene Daten somit kommerzialisierbar,231 d. h. schuldrechtlich verwertbar.232 Der Betroffene soll über sein Persönlichkeitsrecht bis zu einem gewissen Grade disponieren dürfen,233 wie bereits das bekannte Volkszählungsurteil234 feststellt: „Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“235 Dies findet auch Ausdruck in dem von der DS-GVO eingeführten „Recht auf Vergessenwerden“236, das dem Betroffenen jederzeit den Widerruf der erteilten Einwilligung gewährleistet und zugleich die Löschung der aufgrund der Einwilligung erhobenen Daten ermöglicht, Art. 17 DS-GVO.237
230
Schmidt-Kessel/Grimm, ZfPW 2017, 84, 89. EGMR, NJW 2016, 781 (Ernst August von Hannover); EuGH, MMR 2014, 455 m. Anm. Sörup (Google/Recht auf Löschung); BVerfG, NJW 2000, 2195 (Marlene Dietrich); BGH, GRUR 2013, 196 (Playboy am Sonntag); BGH, GRUR 2010, 546 (Boris Becker); BGH, GRUR 1960, 122 (Caterina Valente); BGH, GRUR 1956, 427, 428 (Paul Dahlke). Beispielhaftes Zitat aus der Marlene-Dietrich-Rechtsprechung, BGH, GRUR 2000, 709, 711: „Das von § 823 Abs. 1 BGB geschützte allgemeine Persönlichkeitsrecht und seine besonderen Erscheinungsformen wie das Recht am eigenen Bild und das Namensrecht dienen nicht nur dem Schutz ideeller, sondern auch vermögenswerter Interessen der Persönlichkeit.“ 232 Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 83, 88 f. mit Verweis auf Zech, GRUR 2015, 1151, 1154 f.; Schmidt-Kessel/Grimm, ZfPW 2017, 84, 89; Wandtke, MMR 2017, 6, 9. Der schuldrechtlichen Verwertung sind natürlich auch Grenzen gesetzt, vgl. § 138 BGB, siehe Specht, GRUR Int. 2017, 1040, 1044; Metzger, AcP 2016, 817, 843; Bull, NJW 2006, 1617, 1621. 233 Wandtke, MMR 2017, 6, 10. 234 BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 –, BVerfGE 65, 1–71. 235 BVerfG, Urteil vom 15. Dezember 1983 – 1 BvR 209/83 –, BVerfGE 65, 1–71, Rn. 149. 236 Vgl. dazu ausführlich Becker, Das Recht auf Vergessenwerden, S. 17 ff., 54 ff., 229 ff. 237 Zu beachten: Löschen ist nicht gleich Vernichten, vgl. Wortlaut des Art. 4 Nr. 2 DS-GVO: „Löschen oder Vernichten“. Das Löschen bezieht sich nach Entscheidung der Datenschutzbehörde in Österreich wohl auch auf die Anonymisierung, während Vernichten eher ein endgültiges Zerstören der Daten bedeutet; siehe Az. DSB-D123.270/ 0009-DSB/2018. 231
78
Kap. 2: Personenbezogene Daten als Entgelt
Die Diskussion darüber, ob bei jedwedem Austausch von Daten gegen Leistung die Verletzung von Persönlichkeitsrechten nichtsdestotrotz zu bejahen ist, lässt erkennen, dass der Leistungsaustausch an dieser Stelle vor allem aus Sicht des Datenschutzrechts und Persönlichkeitsschutzes betrachtet wird.238 Dass Datenschutz und Persönlichkeitsschutz natürlich Schranken für vertragsrechtliche Gestaltungen markieren, ist unbestritten.239 Allerdings genügen öffentlich-rechtlich geprägte Schutzmechanismen allein nicht, um den Anforderungen privatautonomer Vertragsgestaltung mit den eigenen personenbezogenen Daten als Vertragsgegenstand gerecht zu werden.240 Das Recht auf informationelle Selbstbestimmung dient schließlich ursprünglich als Abwehrrecht des Bürgers gegen staatliche Eingriffe; zwischen Privaten kann hier lediglich von einer Drittwirkung gesprochen werden.241 Daher müssen zivilrechtliche Vorschriften und Prinzipien helfen, einen Interessenausgleich242 zu schaffen.243 Dafür ist entscheidend: erstens, dass die personenbezogenen Daten legitimerweise aufgrund der Einwilligung verwertet werden dürfen; zweitens, dass diese Verwertung eine von der Person abgekoppelte Verwertung losgelöster Persönlichkeitsaspekte darstellt und keine Verwertung der Persönlichkeit als solcher stattfindet.244 Das Recht auf informationelle Selbstbestimmung sollte insgesamt also grundsätzlich nicht nur als Schutzrecht zum Verbot, sondern auch als Recht zur Verwertung begriffen werden.245 Dafür spricht auch die Umsetzung der DIRL, die mit § 327 Abs. 3 BGB gerade auf die Möglichkeit hinweist, sich zur Bereitstellung personenbezogener Daten zu verpflichten.246
238 Schmidt-Kessel/Grimm, ZfPW 2017, 84, 85; vgl. Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 83, 88 ff. 239 Wendehorst/Graf v. Westphalen, BB 2016, 2179, 2183 f. 240 Schmidt-Kessel/Grimm, ZfPW 2017, 84, 85 f. 241 Kilian, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 191, 197 f.; dazu Jobst, NJW 2020, 11, 14 f. 242 Schmidt-Kessel/Grimm, ZfPW 2017, 84, 85. 243 Schmidt-Kessel/Grimm, ZfPW 2017, 84, 85. 244 In diesem Kontext erscheint die Erstellung ganzer Persönlichkeitsprofile fragwürdig, vgl. Sattler, in: Ochs/Friedewald/Hess/Lamla (Hrsg.), Die Zukunft der Datenökonomie: Zwischen Geschäftsmodell, Kollektivgut und Verbraucherschutz, S. 215, 218 f. 245 Weichert, NJW 2001, 1463, 1467; Ullmann, AfP 1999, 209, 211; in diese Richtung auch Kilian, CR 2002, 921, 928; vgl. auch Indenhuck/Britz, BB 2019, 1091, 1095 mit Verweis auf OLG Frankfurt, 30.06.2005 – 6 U 168/04 = MMR 2005, 696, 698, zum BDSG-a. F.: „Die in § 28 Abs. 1 BDSG getroffene Regelung findet ihre Rechtfertigung darin, dass der Betroffene eine autonome Entscheidung für einen Vertragsabschluß (oder die Begründung eines Vertrauensverhältnisses) getroffen hat, womit er zugleich auch sein informationelles Selbstbestimmungsrecht ausgeübt hat.“ 246 BT-Drs. 19/27653, S. 34 f.: „Bezahlen mit Daten“.
B. Personenbezogene Daten als Gegenleistung im BGB
79
„Kühne Brückenschläge zwischen Art. 2 und 14 GG“247, die dem Betroffenen ein eigentumsähnliches Ausschließlichkeitsrecht an den selbstgenerierten Daten einräumen, führen an dieser Stelle zu einer Grundsatzdiskussion über etwaiges Dateneigentum,248 zu der in Kapitel 4 Stellung genommen wird. c) Gemeinsamkeiten von Verträgen mit punktuellem Austausch und Dauerschuldverhältnissen Eine erteilte Einwilligung kann sich nur auf die Datenerhebung und Verarbeitung im Zeitpunkt des Vertragsschlusses beziehen oder aber auch zukünftige Datenverwertungen nach dem einmaligen Bereitstellen des digitalen Dienstes umfassen. Je nachdem kann die Vertragssituation unterschiedlich zu beurteilen sein. Hinsichtlich der Pflichten des Betroffenen finden sich indes viele Gemeinsamkeiten bei Verträgen mit punktuellem Austausch und Dauerschuldverhältnissen. Denn aus Sicht des Betroffenen gestaltet sich die Vertragssituation zunächst oftmals kaum verschieden: Er erteilt die datenschutzrechtliche Einwilligung und erhält daraufhin Zugang zu einem digitalen Produkt. Insofern unterscheidet auch die Umsetzung der DIRL nicht zwischen Dauerschuldverhältnissen und punktuellem Leistungsaustausch: Es gibt beispielsweise keine Differenzierung zwischen Kündigung und Rücktritt vom Vertrag, vgl. § 327c Abs. 1 BGB; der Verbraucher „beendet“ den betroffenen Vertrag hiernach bei Vorliegen der in § 327c BGB genannten Bedingungen. Wiederum geht es hier allerdings um die Seite des Verbrauchers, also um dessen Rechte und die Pflichten des Unternehmers. Die Frage, was genau der Verbraucher schuldet und inwieweit sich Unterschiede für die Pflichten des Verbrauchers ergeben, je nachdem, ob der Dienst zur dauerhaften oder einmaligen Nutzung dient und ob es sich um eine Einwilligung in eine einmalige oder in eine fortlaufende Datenerhebung und -verarbeitung handelt, bleibt noch offen. aa) Bereitstellung Bedingung des § 327 Abs. 3 BGB ist, dass der Verbraucher die personenbezogenen Daten „bereitstellt“. Für die Pflichten des Unternehmers wird der Begriff der Bereitstellung in § 327b BGB definiert.249 Unklar bleibt, inwieweit sich dies
247 Duisberg, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 53, 60. 248 Zur Diskussion: Ensthaler, NJW 2016, 3473, 3475; Zech, GRUR 2015, 1151, 1153; Stender-Vorwachs/Steege, NJOZ 2018, 1361, 1364; Hoeren, MMR 2013, 486; Kühling/Sackmann, NVwZ 2018, 681, 685; Esken, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 73, 77 f.; vgl. Spindler, Der Betrieb 2018, 41, 41f.; Fezer, Repräsentatives Dateneigentum, 2018, S. 31 m.w. N. 249 Siehe dazu Kap. 2, B. IV. 4. a).
80
Kap. 2: Personenbezogene Daten als Entgelt
auf die Bereitstellung der personenbezogenen Daten seitens des Verbrauchers übertragen lässt. Die Frage, welche Pflichten die Bereitstellung seitens des Betroffenen enthält, muss mit Rücksicht auf die konkrete Situation beurteilt werden. Insgesamt sind die Anforderungen an die Bereitstellung angesichts ständig wachsender technischer Verfahren weit auszulegen.250 Ein aktives Bereitstellen im Sinne von bewusstem Erstellen der Daten und Übermitteln derselben, wie beispielsweise bei einem formularmäßigen Registrierungsvorgang, ist dabei nicht erforderlich,251 um der Kennzeichnung als Gegenleistung zu genügen.252 Das Erfordernis eines aktiven Handelns des Nutzers ist für die Gegenleistung insofern (abgesehen von der Einwilligung) regelmäßig nicht erforderlich:253 Er sammelt keine Daten, die er dann selbsttätig dem Verarbeiter zukommen lässt. Vielmehr ist hinreichend, dass der Nutzer den technischen Rahmen aufrechterhält, der die Datenerhebung seitens des Verantwortlichen ermöglicht, d. h. beispielsweise keine blockierende Software auf Seiten des Betroffenen den vereinbarten Datenzugang vereitelt.254 Das darüber hinausgehende grundlegende Risiko, dass die erhobenen Daten sicher beim Verantwortlichen ankommen, trägt dieser selbst: Dies entspricht zumindest im Ergebnis § 269 BGB, wonach der Leistungsort grundsätzlich beim Schuldner, also hier beim Betroffenen, liegt. Zwar stellt § 269 BGB auf den Wohnsitz ab, während der Nutzer seine Daten in der Regel an nahezu jedem Aufenthaltsort generieren kann; gespeichert werden diese Daten dann womöglich auf Servern, die sich wiederum an einem anderen Ort befinden. § 269 BGB passt insofern weniger faktisch als nur dem Gedanken nach. Damit fällt die Gefahrtragung auf den Gläubiger, hier den Verantwortlichen. Der Betroffene erfüllt seinen Teil also mit der bloßen Datengenerierung. Dies erscheint aufgrund des im Falle der hier betrachteten B2C-Verträge zu beachtenden technischen und wirtschaftlichen Gefälles zwischen Anbieter und Nutzer auch besonders naheliegend.255 Insbesondere ist aufgrund der regelmäßigen Reproduzierbarkeit der Daten die
250 MüKoBGB/Metzger, 9. Aufl. 2022, § 327 Rn. 16; Hacker, ZfPW 2019, 148, 166 f.; BT-Drs. 19/27653, S. 36. 251 MüKoBGB/Metzger, 9. Aufl. 2022, § 327 Rn. 16; HK-BGB/Schulze, 11. Aufl. 2022, § 327 Rn. 16. 252 Hacker, ZfPW 2019, 148, 166 f. 253 BeckOK BGB/Wendland, 63. Ed. 01.08.2022, BGB § 327 Rn. 67; ausführlich MüKoBGB/Metzger, 9. Aufl. 2022, § 327 Rn. 16; a. A. Linardartos in seinem Vortrag „Daten als Gegenleistung“ vom 12.05.2021 in Bayreuth im Rahmen der Bayreuther Gespräche zum Verbraucherrecht. 254 Das faktische Aufrechterhalten einer Internetverbindung selbst wird ohnehin vorausgesetzt, da dies technische Voraussetzung nicht nur für den Datenzugang, sondern auch für die Nutzung des digitalen Angebots ist – ohne die Internetverbindung gibt es in der Regel gar keinen Leistungsaustausch. 255 Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, Gutachten A zum 71. Deutschen Juristentag, 2016, S. 17, A 89.
B. Personenbezogene Daten als Gegenleistung im BGB
81
Gefahrtragung wohl in der Praxis selten problematisch.256 Die geschuldete Aktivität auf Seiten des Nutzers kann sich insofern darauf beschränken, die eigentliche Datenerhebung zu dulden.257 Der Dienstanbieter sammelt die verhaltensgenerierten Daten sodann nämlich eigenständig. Insbesondere bei Diensten, die eine unzweifelhafte Registrierung und somit auch eine aktive Datenpreisgabe erfordern, werden schließlich regelmäßig in der auf die Registrierung folgenden Nutzungsphase weiterhin verhaltensgenerierte Daten erhoben und verarbeitet. bb) Einwilligung als Leistungsgegenstand Möglicherweise könnte auch die Erteilung der datenschutzrechtlichen Einwilligung als Teil der Primärleistungspflicht gesehen werden258 oder sogar den Kern der eigentlichen Leistungspflicht darstellen.259 Schließlich ist die Einwilligung aufgrund des Datenschutzrechts die Voraussetzung für jegliche Datenerhebung und -verarbeitung, die über das zur Vertragserfüllung Erforderliche hinaus getätigt wird.260 So kann auch im Falle einer Datenerhebung, die zunächst nur zur Vertragserfüllung erforderlich und somit zunächst ohne Einwilligung wirksam ist, bei schließlich doch über das Erforderliche hinausgehender Verarbeitung und Verwertung der Daten wieder eine Einwilligung erforderlich werden.261 Insofern kann das Argument angeführt werden, dass die erhobenen Daten selbst ohne die vorangegangene Einwilligung ohne Wert sind – die DS-GVO hat mit ihren Bußgeldern dafür den Rahmen gelegt.262 (1) Vertraglich vereinbarte Pflicht zur Einwilligung und Widerrufsverzicht Allerdings dürfte das Erteilen der Einwilligung als Leistungspflicht vertraglich nur gefordert werden, wenn die datenschutzrechtlich nicht umgehbare Widerruf256 Probleme werden wohl vor allem im zeitlichen Zusammenhang mit einem Widerruf relevant – wenn nämlich die geleisteten Daten/bzw. der Zugang zu denselben bis zum Widerruf aufgrund eines technischen Hindernisses auf Seiten des Nutzers vereitelt wird, aber ab dem Widerruf ex nunc keine weiteren Daten erhoben werden dürfen, steht der Anbieter ohne die verlangte Gegenleistung da. Zur Problematik des Widerruflichkeit Kap. 2, B. IV. 3. c) cc). 257 BeckOK BGB/Wendland, 63. Ed. 01.08.2022, BGB § 327 Rn. 67; zur Problematik des jederzeitigen Widerrufs Kap. 2, B. IV. 3. c) cc). 258 Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 161, 171 f.; Specht, ZfPW 2017, 763, 765. 259 Vgl. Schmidt-Kessel/Grimm, ZfPW 2017, 84, 90; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 220. 260 Schmidt-Kessel/Grimm, ZfPW 2017, 84, 90. 261 Vgl. „Entgeltfunktion“ bei Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747. 262 Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, II.
82
Kap. 2: Personenbezogene Daten als Entgelt
lichkeit unangetastet bleibt.263 Das Bestehenbleiben zeitlich uneingeschränkter Widerruflichkeit führt jedoch denklogisch dazu, dass auch von Anfang an die Einwilligung verweigert werden darf. Eine Rechtspflicht liefe also doch ins Leere. Vereinzelt wird daher angenommen, dass der Widerruf vertraglich ausschließbar sein muss,264 wobei dafür wiederum gefordert wird, dass die Einwilligung selbst eine „unverzichtbare Voraussetzung“ für den jeweiligen Vertrag darstelle265 (i. e. faktisch als Entgelt oder Gegenleistung dient266). Der Widerruf solle dann nur möglich sein, wenn ein Festhalten an der Einwilligung als unzumutbar bewertet werden müsste.267 Dagegen kann eingewandt werden, dass datenschutzrechtliche und privatrechtliche Rechtswirkungen durchaus aufeinander wirken können und müssen: Das heißt, eine privatrechtlich vereinbarte Gegenleistungspflicht seitens des Verbrauchers kann dessen durch die DS-GVO zugesicherten Rechte nicht ersetzen bzw. vor allem nicht verringern,268 da andernfalls die datenschutzrechtlichen Ziele unterlaufen würden.269 Die Prinzipien des Privatrechts werden insofern durch die unverhandelbaren Vorgaben des Datenschutzrechts beschränkt. Jedenfalls in Bezug auf das Datensubjekt270 als Schutzziel zahlreicher DS-GVO-Vorschriften darf es keine Abweichungen geben. Die erforderliche Freiwilligkeit der Einwilligung setzt eine Erteilung „ohne Zwang“ voraus und dies spricht klar gegen eine Einschränkung des Widerrufsrechts. Denn im Falle einer bestehenden vertraglich begründeten Rechtspflicht zur Erteilung und Aufrechterhaltung der Einwilligung wäre ein Zwang grundsätzlich zu bejahen.271 Die Voraussetzung der Freiwilligkeit bezieht sich nicht allein auf den Augenblick der Erteilung der Einwilligung, sondern auf den ge-
263
Langhanke/Schmidt-Kessel, EuCML 2015, 218, 222 f. Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 92; Indenhuck/Britz, BB 2019, 1091 unter Fn. 52; Gola/Schulz, 2. Aufl. 2018, DSGVO Art. 7 Rn. 57 für eine Einschränkung nach Treu und Glauben; Kühling/Buchner/ Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 38 f. 265 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 38. 266 Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 93; Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 7 Rn. 12; vgl. auch Indenhuck/Britz, BB 2019, 1091, 1095. 267 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 38; Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 7 Rn. 13. 268 Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 93; Schmidt-Kessel/Grimm, ZfPW 2017, 84, 92; Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748. 269 Vgl. BeckOK-DatenschutzR/Stemmer, 39. Ed. 01.11.2021, Art. 7 Rn. 93; Sydow/ Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 46; Langhanke, Daten als Leistung, S. 119; Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748. 270 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748. 271 Pertot/Riehm, Rechte an Daten, S. 175, 182. 264
B. Personenbezogene Daten als Gegenleistung im BGB
83
samten Zeitraum, in dem die damit legitimierte Datenverarbeitung stattfindet.272 Das ist ein wesentlicher Unterschied zu einer vertraglichen Verpflichtung, die grundsätzlich nur im Zeitpunkt ihrer Eingehung freiwillig erfolgen muss, um später den Grundsatz pacta sunt servanda aufrechtzuerhalten. 273 Würde man also annehmen, dass eine vertragliche Verpflichtung zur Erteilung der Einwilligung (oder in vergleichbarer Weise ein Widerrufsverzicht) bestand, und der Nutzer seine resultierende Verpflichtung widerwillig erfüllt, um vertragstreu zu bleiben, so müsste man die Einwilligung mangels Freiwilligkeit als unwirksam einstufen.274 Ein Ausschluss des Widerrufs ist damit sowohl datenschutzrechtlich als auch privatrechtlich ausgeschlossen (vgl. § 134 BGB).275 Dagegen wird zwar vereinzelt argumentiert, dass nach Treu und Glauben die Widerrufsmöglichkeit einschränkbar sein müsse, „wenn die Einwilligung danach aufgrund einer wirksamen vertraglichen Verpflichtung sofort wieder erteilt werden müsste“.276 Dies setzt freilich voraus, dass ein privatrechtlicher Verzicht auf ein öffentlich-rechtliches Schutzrecht möglich ist, obwohl dies in der zugrundeliegenden Verordnung nicht vorgesehen ist. Eine solche Einschränkung kann bei eindeutigem Verordnungstext (Widerruf „jederzeit“, Art. 7 Abs. 3 DS-GVO) nicht überzeugen.277 Auch nach weiteren BGB-Vorschriften ist eine Einwilligung als Vertragspflicht bzw. der Ausschluss des Widerrufs nicht haltbar: Als höchstpersönliches Rechtsgeschäft wäre stets eine subjektive Unmöglichkeit nach § 275 Abs. 3 BGB zu befürchten.278 Denn die in § 275 Abs. 3 BGB geforderte Interessenabwägung wird im Falle der Abwägung zwischen wirtschaftlichen Interessen des Anbieters im Vergleich zur informationellen Selbstbestimmung des Nutzers wohl zu Gunsten des Nutzers ausfallen. Zusätzlich schützt auch § 242 BGB mit dem Grundsatz dolo agit qui petit quod statim redditurus est vor einer vertraglichen Verpflichtung, deren Wert durch jederzeitigen Widerruf wieder aufgelöst kann.279
272
Pertot/Riehm, Rechte an Daten, S. 175, 188. Vgl. Pertot/Riehm, Rechte an Daten, S. 175, 188. 274 Pertot/Riehm, Rechte an Daten, S. 175, 189, spricht trefflich von einer „paradoxen Situation“. 275 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748; Schmidt-Kessel/Grimm, ZfPW 2017, 84, 92; Pertot/De Cristofaro, Rechte an Daten, S. 152, 166; BeckOK DatenschutzR/Stemmer, 39. Ed. 01.11.2021, DS-GVO Art. 7 Rn. 93. 276 Simitis/Hornung/Spiecke/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 92. 277 BeckOK DatenschutzR/Stemmer, 39. Ed. 01.11.2021, DS-GVO Art. 7 Rn. 93; Walker, Die Kosten kostenloser Dienste, S. 202; Schantz/Wolff, Das neue Datenschutzrecht, D. Grundprinzipien und Zulässigkeit der Datenverarbeitung, Rn. 532; vgl. auch Wendehorst/Graf v. Westphalen, BB 2016, 2179, 2183 f.; Metzger, AcP 2016, 817, 825. 278 Pertot/Riehm, Rechte an Daten, S. 175, 189. 279 Pertot/Riehm, Rechte an Daten, S. 175, 189; Langhanke, Daten als Leistung, 2018, S. 127. 273
84
Kap. 2: Personenbezogene Daten als Entgelt
(2) Einwilligung als Naturalobligation Teilweise wird die Einwilligung dementsprechend nicht als Kernelement der Leistungspflicht, sondern lediglich als Wirksamkeitsvoraussetzung der Datenverarbeitung bzw. der Gewährung des Zugangs zu den Daten verstanden, wobei letzteres die eigentliche Gegenleistung darstelle.280 Insoweit wird die Einwilligung teils auch als Naturalobligation qualifiziert.281 Evtl. könnte vergleichend an § 762 BGB gedacht werden:282 Bei Spiel oder Wette bestehen auf der einen Seite nur unvollkommene Verbindlichkeiten, die nicht klagbar sind (was wohl auch von der dauerhaft widerruflichen Einwilligung angenommen werden könnte),283 aber einen Erwerbsgrund bilden.284 Man könnte also argumentieren, dass die Möglichkeit der Datenverwirtschaftung den Anbieter digitaler Dienste zum Vertragsschluss motiviert, obschon er sich der Unsicherheit aufgrund des stetig möglichen Widerrufs bewusst ist. Indes kann diese rechtliche Gestaltung nicht einfach unterstellt werden, sondern eine entsprechende Vereinbarung müsste von den Parteien getroffen worden sein, was regelmäßig nicht ersichtlich ist.285 Eine anderweitige Unterstellung wäre lediglich bei einer auch inhaltlich näheren Vergleichbarkeit mit den von § 762 BGB umfassten Konstellationen denkbar. Gegen eine solche Vergleichbarkeit spricht, dass die Ergebnisse bei § 762 BGB vielfach „aleatorischen Charakter“286 haben und nicht von einer aktiven Gestaltungsmöglichkeit des Verbrauchers abhängen.287 Der Erwerbsgrund ist somit gänzlich anders zu beurteilen als bei in Aussicht stehender Gewinnmöglichkeit eines Glücksspiels. Auch eine Analogie scheidet somit jedenfalls wegen der feh-
280 So Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, II. mit Verweis auf Specht-Riemenschneider/Werry/Werry/Linardatos, Datenrecht in der Digitalisierung, S. 489 ff.; dazu auch Pertot/Riehm, Rechte an Daten, S. 175, 192, 196; Langhanke/ Schmidt-Kessel, EuCML 2015, 218, 221. 281 Langhanke/Schmidt-Kessel, EuCML 2015, 218, 221; Specht, JZ 2017, 763, 767 vergleicht mit der fehlenden Vollstreckbarkeit hinsichtlich Eheschließung; dagegen Sattler, JZ 2017, 1036, 1040. 282 Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, IV. 2. K. aa. 283 Langhanke/Schmidt-Kessel, EuCML 2015, 218, 221; Langhanke, Daten als Leistung, S. 127; in diese Richtung auch Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, IV. 2. K. aa. 284 Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, IV. 2. K. aa. 285 Langhanke, Daten als Leistung, S. 126. 286 MüKoBGB/Habersack, 8. Aufl. 2020, § 762 Rn. 4. 287 Sattler, JZ 2017, 1036, 1040.
B. Personenbezogene Daten als Gegenleistung im BGB
85
lenden vergleichbaren Interessenlage aus; man beachte auch die grundsätzliche Missbilligung des Gesetzgebers hinsichtlich aleatorischer Verträge, die im Datenschutzrecht nicht gleichermaßen unterstellt werden kann – denn der datenschutzrechtlich geschützte Wille des Betroffenen, mit seinen personenbezogenen Daten privat frei umzugehen, ist in keiner Weise mit einem Glücksspiel vergleichbar.288 (3) Zwischenergebnis Festzuhalten ist, dass die datenschutzrechtliche Einwilligung per se als vertraglich geschuldete Leistung aufgrund ihrer besonderen datenschutzrechtlichen Ausprägung nicht tauglich ist. Eine Verpflichtung zur Einwilligung kann nur soweit zulässig sein, wie der Betroffene selbst es aktuell wünscht.289 Entscheidet er sich für den Widerruf seiner Einwilligung, bleibt ihm dieser Weg, wie Art. 7 Abs. 3 DS-GVO vorgibt, jederzeit offen. Die Rechtsfolgen dieser Situation werden im Folgenden beleuchtet. cc) Rechtsfolgen der ständigen Widerruflichkeit Abgesehen von der Feststellung, dass die stetige Möglichkeit des Widerrufs eine Qualifizierung der datenschutzrechtlichen Einwilligung als klagbare Leistungspflicht verbietet, stellt sich auch die Frage nach den Rechtsfolgen eines etwaigen Widerrufs. Ein Gut, das sich in jeder Sekunde auflösen kann, ist nicht verlässlich; im Grunde kann damit kaum wirtschaftlich kalkuliert werden.290 Auf der faktischen Seite ist letztlich selten zu erwarten, dass in den einschlägigen Geschäftsmodellen (Google, Facebook etc.) tatsächlich regelmäßig Widerrufe stattfinden. Doch diese Vermutung kann keineswegs als Ausweg aus dem Dilemma dienen.
288 Sattler, JZ 2017, 1036, 1040; Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, IV. 2. K. aa.; vgl. auch BeckOK BGB/Janoschek, 61. Ed. 01.02.2022, § 762 Rn. 1; Walker, Die Kosten kostenloser Dienste, S. 202; vgl. auch hinsichtlich der Ehevermittlung MüKoBGB/Roth, 8. Aufl. 2020, § 656 Rn. 1 f. 289 Langhanke, Daten als Leistung, S. 127; Metzger, AcP 2016, 817, 834. 290 Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 83, 91; Zech, GRUR 2015, 1151, 1155; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 221; vgl. Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 7 Rn. 12; vgl. auch Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 161, 173; siehe dazu auch KG Berlin, Urteil v. 21.03.2019, 23 U 268/13, Rn. 70: Hier wird aus diesem Grunde die Gegenseitigkeit und die Entgeltfunktion, zumindest hinsichtlich der Einwilligung selbst, negiert, sofern der Nutzer sich nicht (ausdrücklich) dazu verpflichtet hat, die Einwilligung zu erteilen.
86
Kap. 2: Personenbezogene Daten als Entgelt
(1) Sekundäransprüche nach Widerruf Hinsichtlich Sekundäransprüchen muss beachtet werden, dass diese einen Nachteil im Sinne von Erwägungsgrund 42 darstellen könnten und somit als unmittelbare Folge eines Widerrufs grundsätzlich ausschieden. Zwar stellen vertragsrechtliche Gestaltungen hier historisch nicht den zentralen Schutzzweck dar: Die von Erwägungsgrund 42 a. E. gemeinten Nachteile sind wohl vor allem im Verhältnis zu einer Behörde, also einem Träger öffentlich-rechtlicher Gewalt, gedacht gewesen.291 Indes hat der Betroffene dort meist auch keinen Vorteil durch die Erteilung der Einwilligung genossen und ein hinzukommender Nachteil wäre insofern drastischer.292 In privatrechtlichen Konstellationen lässt sich der Betroffene aber regelmäßig gerade zur Erlangung eines bestimmten Vorteils (z. B. Nutzung des digitalen Dienstes) auf die Erteilung der Einwilligung ein.293 Der bloße Verlust dieses Vorteils kann jedoch nicht zur Bejahung eines Nachteils reichen; regelmäßig sind schließlich digitale Angebote (i. e. bei Zugriff Vorteile) an die Einwilligung und Datenverarbeitung geknüpft.294 Der Widerruf wirkt ex nunc, so dass nur für die Zukunft ein weiterer Austausch von digitalem Angebot gegen Datenverarbeitung behindert wird.295 Zusätzliche etwaige Schadensersatzansprüche gegen den Betroffenen vorzubringen, würde diesem Nachteile aufbürden, die einen gewissen Sanktionscharakter hätten und daher nicht mit der von der DS-GVO geforderten Freiwilligkeit vereinbar wären.296 Ein Verschuldensvorwurf kann bei Geltendmachung eines durch die DS-GVO garantierten Rechts auch kaum erhoben werden.297 Anderes käme nur dann in Frage, wenn der Betroffene arglistig den Rechtschein geschaffen hat, zu einer dauerhaften Einwilligung bereit zu sein.298 Der schadensersatzauslösende Moment wäre hierbei aber nicht der Widerruf selbst, sondern das unbillige Vorverhalten, welches einen Anspruch aus culpa in contrahendo begründen würde (§§ 281 Abs. 1, 241 Abs. 2, 311 Abs. 2 BGB).299 Denn dass die datenschutzrechtlichen Schutzmechanismen zugunsten des Betroffenen nicht verringert werden können, ist stets die logische Konsequenz bei einem Konflikt zwi-
291
Pertot/Riehm, Rechte an Daten, S. 175, 191. Pertot/Riehm, Rechte an Daten, S. 175, 191. 293 Pertot/Riehm, Rechte an Daten, S. 175, 191. 294 Vgl. Ernst, ZD 2017, 110, 112. 295 Pertot/Riehm, Rechte an Daten, S. 175, 191. 296 Pertot/Riehm, Rechte an Daten, S. 175, 191. 297 Specht, JZ 2017, 763, 767. 298 Selbst hier bliebe indes fraglich, ob die „Ausübung gesetzlicher Befugnisse“ eine „schuldhafte Verletzung vertraglicher Verpflichtungen bedeuten“ könne, Specht, JZ 2017, 763, 767. 299 Pertot/Riehm, Rechte an Daten, S. 175, 192 m.w. N. 292
B. Personenbezogene Daten als Gegenleistung im BGB
87
schen privatrechtlichen und öffentlich-rechtlichen Vorschriften.300 Privatrechtlich darf somit nur das ausgeformt werden, was nicht bereits abschließend durch die DS-GVO geregelt ist.301 (2) Berechtigung zur Vertragsbeendigung Anstelle der Geltendmachung von Schadensersatzansprüchen berechtigt der Widerruf die andere Partei zur Leistungsverweigerung oder zur Vertragsbeendigung.302 Schließlich ist unter Berücksichtigung des ursprünglichen Parteiwillens anzunehmen, dass die Parteien den Vertrag eingehen wollten; dies kann nicht durch die Widerruflichkeit verändert werden.303 Der Widerruf gilt schließlich nur ex nunc. Zwar könnte das Dilemma gelöst werden, indem man bei Verträgen mit Dauerschuldcharakter eine schuldrechtliche Kündigung in den Widerruf hineinliest.304 Dagegen spricht jedoch, dass der Widerruf selbst nicht die für eine Kündigung oder anderweitige Vertragsbeendigung hinreichende Deutlichkeit und vor allem Bezüglichkeit aufweist: Der Widerruf per se bezieht sich nur und allein auf die erteilte Einwilligung zur Datenverarbeitung, nicht auf den Vertrag als solchen; daher kann der Vertrag nicht ipso iure durch Widerruf der Einwilligung beendet werden.305 Sinnvoller erscheint es, dem Vertragspartner im Falle eines Widerrufs ein außerordentliches Kündigungsrecht zuzusprechen.306 In jedem Fall müssten bei Verträgen mit Dauerschuldcharakter die entsprechenden Vorschriften aus dem Miet- und Pachtvertragsrecht analog greifen: Wenn der Gegenstand von Miete
300 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748; vgl. allgemein zum Nebeneinander von öffentlichem Recht und Privatrecht: BGH, Beschluss vom 19. September 2012 – V ZB 86/12, Grundstückskaufvertrag zwischen Trägern öffentlicher Verwaltung: Die Bindung an öffentlich-rechtliche Vorschriften rahmt den Vertrag, beeinträchtigt aber nicht seine privatrechtliche Natur. 301 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 222. 302 Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 93; vgl. Schulze/Staudenmayer/Lohsse/Zoll, Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, S. 179, 184–186. 303 Metzger, AcP 2016, 817, 835. 304 Spindler/Schuster/Schuster/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 7 Rn. 13; ähnlich auch Schulze/Staudenmayer/Lohsse/Zoll, Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, S. 179, 184 ff. 305 Langhanke/Schmidt-Kessel, EuCML 2015, 218, 222. 306 Metzger, AcP 2016, 817, 864; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 222; a. A. Indenhuck/Britz, BB 2019, 1091, 1095.
88
Kap. 2: Personenbezogene Daten als Entgelt
oder Pacht nämlich entzogen wird, kann der Pächter oder Mieter eine außerordentliche Kündigung gem. § 543 Abs. 2 Nr. 1 BGB aussprechen.307 Das vertragliche Dauerschuldverhältnis wird damit beendet. Gleiches sollte im Falle des Widerrufs gelten.308 Denn auch hier wird mit dem Widerruf der Einwilligung der legitime Datenzugang aufgehoben und somit der Gegenstand der dauerhaften Verarbeitung entzogen. Indes ist ein analoger Rückgriff auf Miet- und Pachtvertrag nicht unbedingt erforderlich, da auch ein Kündigungsgrund des Vertragspartners aus § 314 BGB in Betracht kommt, sofern der Widerruf als „wichtiger Grund“ im Sinne des § 314 BGB eingestuft werden kann. Dies ist zu bejahen, wenn die Datenverarbeitung als Ausdruck einer tatsächlichen Gegenleistung erfolgt ist, die damit ihre Legitimationsgrundlage verliert.309 Voraussetzung dafür wäre aber, dass eine Interessenabwägung zugunsten des Anbieters ausfällt: Das bedeutet vor allem, dass der Nutzer nicht auf den Dienst angewiesen sein darf (was an diesem Zeitpunkt eigentlich durch das Kopplungsverbot bereits ausgeschlossen sein dürfte310), der Anbieter hingegen die Datenverarbeitung maßgeblich zur Refinanzierung seines Angebots einsetzt bzw. mangels anderer Finanzierungsmöglichkeiten auch einsetzen muss.311 Es geht also darum, dass das „vertragliche Äquivalenzverhältnis“312 aus Leistung und Gegenleistung nachhaltig gestört wurde. Diese Einschränkungen werden nicht zuletzt deshalb gefordert, damit die Kündigung nicht ohne weitere Prüfungsschritte zur kaum regulierten „Sanktion“ des Widerrufs wird.313 Denn der Nutzer soll grundsätzlich nicht von der Möglichkeit des Widerrufs abgeschreckt werden; er soll lediglich mit denklogischen Konsequenzen rechnen können (denkbar wären geänderte Konditionen, z. B. neben der endgültigen vollständigen Kündigung schlicht ein verknapptes Leistungsangebot oder die Option einer Geldzahlung für das weitere Komplettangebot, siehe dazu im Folgenden).314
307 Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, IV. 2. J.; Specht, JZ 2017, 763, 768. 308 Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, IV. 2. J.; Specht, JZ 2017, 763, 768; Metzger, AcP 2016, 817, 864. 309 Pertot/Riehm, Rechte an Daten, S. 175, 201 f. 310 Bei Verletzung des Kopplungsverbots stünde andernfalls die Wirksamkeit der erteilten Einwilligung bereits in Frage: Dazu Kap. 3, A. II. 2. b). 311 Pertot/Riehm, Rechte an Daten, S. 175, 202. 312 Pertot/Riehm, Rechte an Daten, S. 175, 202. 313 Pertot/Riehm, Rechte an Daten, S. 175, 202. 314 Pertot/Riehm, Rechte an Daten, S. 175, 202.
B. Personenbezogene Daten als Gegenleistung im BGB
89
(3) Vertragsanpassung Auch eine Vertragsanpassung nach § 313 BGB könnte in Frage kommen.315 Wer gem. § 314 BGB zur Kündigung berechtigt ist, kann, wenn die Voraussetzungen des § 313 Abs. 1 BGB vorliegen, auch eine Vertragsanpassung fordern.316 Jedoch ist die Unzumutbarkeit hinsichtlich einer Kündigung weniger restriktiv auszulegen als bei Anwendung des § 313 BGB. Dies begründet sich darin, dass die Kündigung grundsätzlich ein „vertragsimmanentes Mittel“ zur Vertragsauflösung und damit allgemeines Risiko bei Dauerschuldverhältnissen ist, § 313 BGB aber für außerhalb des Vertrags liegende Ausnahmesituationen geschaffen ist und gerade der Vermeidung spezifischer, nicht vorhersehbarer unzumutbarer Folgen dient.317 Kommt indes eine Anpassung infrage, so sollte diese – sofern zumutbar – stets neben der Kündigung denkbar sein. Insgesamt ist das Verhältnis der beiden Vorschriften indes umstritten.318 Die sachgerechte Lösung bleibt vom Einzelfall abhängig. Betrachtet man die fortwährende Einwilligung als Geschäftsgrundlage, steht die Anwendung des § 313 Abs. 1 BGB damit nach hier vertretener Auffassung grundsätzlich offen. Je nach Vertragskonstellation wäre nach dem Widerruf beispielsweise denkbar, dass das Angebot seitens des digitalen Dienstes eingeschränkt wird, bis die Einwilligung erneut erteilt würde. Somit stünde das Angebot zumindest begrenzt noch zur Verfügung – soweit zumutbar im Sinne des § 313 BGB.319 Umgekehrt könnte auch eine andere Gegenleistung verlangt werden, beispielsweise eine monetäre, um den Zugang zum digitalen Dienst für den Nutzer auch ohne Datenverarbeitung aufrecht zu erhalten.320 (4) Bestätigung durch § 327q BGB Die o. g. Vorschläge werden durch die Einführung des § 327q BGB bestätigt, wonach der Betroffene uneingeschränkt seine Betroffenenrechte geltend machen kann, ohne dass der Vertrag primär dadurch beeinträchtigt wird.321 Der Widerruf der Einwilligung oder die Ausübung von anderen Betroffenenrechten (Art. 16– 18, 21 DS-GVO) bleiben von vertraglichen Vereinbarungen somit unberührt – 315 Schmidt-Kessel/Grimm, ZfPW 2017, 84, 102 f.; Pertot/Riehm, Rechte an Daten, S. 175, 204. 316 Jauernig/Stadler, 18. Aufl. 2021, BGB § 314 Rn. 2; BGH, NJW 1997, 1702, 1703; MMR 2014, 826, 827. 317 BGH, NJW 1997, 1702, 1703; MMR 2014, 826, 827. 318 Zu diesem Streit, der hier den Umfang leider sprengen würde, statt vieler MüKoBGB/Gaier, 8. Aufl. 2019, § 314 Rn. 22 m.w. N. 319 Pertot/Riehm, Rechte an Daten, S. 175, 204. 320 Pertot/Riehm, Rechte an Daten, S. 175, 204. 321 BeckOK BGB/Wendland, 63. Ed. 01.08.2022, § 327q Rn. 9; MüKoBGB/Metzger, 9. Aufl. 2022, § 327q Rn. 6.
90
Kap. 2: Personenbezogene Daten als Entgelt
und auch umgekehrt, solange der Verantwortliche seinerseits seine aus dem Widerruf sich begründenden Rechte zur Vertragsbeendigung geltend macht. (5) Zwischenergebnis Die stetige Widerruflichkeit erfordert ein besonderes Augenmerk auf die dadurch beeinträchtigten (und auch dadurch entstehenden) Rechten und Pflichten der Parteien.322 Maßgebend ist, dass der Betroffene sein Widerrufsrecht „jederzeit“ (Art. 7 Abs. 3 DS-GVO) ausüben kann und dadurch keine Nachteile zu erwarten hat, die über zwingend denklogische Folgen hinausgehen. Unter Beachtung dieser Prämisse steht die Widerrufsmöglichkeit der Vereinbarung einer Leistungspflicht nicht per se im Wege.323 Es kann im deutschen Zivilrecht vorkommen, dass eine Leistung zwar grundsätzlich verlangt werden darf, aber nicht vollstreckbar ist. In diesem Zusammenhang weist Specht trefflich auf § 120 Abs. 3 FamFG hin, der ebenso für „persönlichkeitsrechtlich relevante Handlungen“ im ehelichen Bereich die Vollstreckung ausschließt.324 dd) Schulden einer bestimmten Datenqualität Grundsätzlich könnte der Verantwortliche in seinen Nutzungsbedingungen auch eine bestimmte Datenqualität325 einfordern. Hier bleibt zu untersuchen, inwieweit dies zulässig ist. In der Regel wird wohl die Korrektheit der Daten als Beschaffenheitsmerkmal vorausgesetzt; wobei dies weniger ausdrücklich vertraglich vereinbart werden muss, als ohnehin zu unterstellen sein wird.326 Abgesehen von denkbaren Beschaffenheitsvereinbarungen und marktüblichen Erwartungen sind auch gesetzliche Anknüpfungspunkte an die Qualität der Leistung zumindest zu überlegen. (1) Gesetzliche Datenqualität: Daten als Gattungsschuld Unterstellt man, dass es sich bei den Daten, zu denen der Zugang gewährt wird, um eine Gattungsschuld handelt, so könnte an § 243 BGB zu denken sein.327 Die Gattung wären dann die personenbezogenen Daten in einem festgelegten 322 Schmidt-Kessel, Wandlungen des Privatrechts – Erwartungen an ein Privatrecht 2050, in: Beyer/Erler/Hartmann et al. (Hrsg.), Jahrbuch Junge Zivilrechtswissenschaft. Privatrecht 2050 – Blick in die digitale Zukunft, S. 9, 24. 323 BeckOK BGB/Wendland, 63. Ed. 01.08.2022, § 327q Rn. 2. 324 Specht, JZ 2017, 763, 767. Hierzu genauer Kap. 2, B. VII. 2. c). 325 Dazu allgemein Hoeren, MMR 2016, 8. 326 Differenzierend MüKoBGB/Metzger, 9. Aufl. 2022, Vor § 327 Rn. 16. 327 Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://www.jus tiz.nrw/JM/schwerpunkte/digitaler_neustart/zt_bericht_arbeitsgruppe/bericht_ag_dig_ neustart.pdf (Stand 01.05.2022), S. 213 f.
B. Personenbezogene Daten als Gegenleistung im BGB
91
Umfang. Der Betroffene müsste den Zugang zu diesen Daten mittlerer Art und Güte gewähren.328 Inwieweit aber überhaupt eine Qualifizierung mittlerer Art und Güte erfolgen kann, ist nebulös – schließlich hängt der wirtschaftliche Wert der Daten auch von deren Masse ab, die sich regelmäßig aus der Frequenz und Intensität der Nutzung ergibt; ein weniger aktives Facebook-Profil hat entsprechend weniger Wert für Facebook als ein sehr aktives.329 Hingegen ließe sich die Bedeutung der Frage danach, welche Art und Menge generierter Daten mittlerer Art und Güte entspräche, insofern etwas entkräften, als die Daten vielfach erst bei der Nutzung des digitalen Dienstes erzeugt werden – der Nutzer generiert die verwertbaren Daten, soweit er selbst den Dienst beansprucht. Jedenfalls könnte einem etwaigen Äquivalenzproblem damit begegnet werden. Andererseits fußt die Qualifizierung nach mittlerer Art und Güte nicht auf einem Äquivalenzgedanken, sondern betrachtet nur isoliert eine Seite des vertraglichen Geschehens. Letztlich erheben viele Dienste auch dann Daten, wenn sie nicht aktiv genutzt werden.330 Insofern kann hinsichtlich einer vereinbarten Verpflichtung zur Bereitstellung lediglich korrekter wahrheitsgemäßer Daten nur gelten, dass diese grundsätzlich nur bei aktiver Übermittlung seitens des Verbrauchers gelten kann und nicht bei einer davon unabhängigen Erhebung verhaltensgenerierter Daten durch den Anbieter (Einschränkung durch § 242 BGB).331 Selbst dagegen spricht jedoch, dass personenbezogene Daten regelmäßig nicht „gleichwertig austauschbar gegen andere Stücke gleicher Gattung und Menge“332 sind, sodass eine Gattungsschuld im Ergebnis nicht angenommen werden kann. Jedes personenbezogene Datum ist schon in seinem Entstehungsprozess vollständig individuell und einer Person zugeordnet – also nicht austauschbar. Gerade bei verhaltensgenerierten Daten kommt es schließlich auf die individuelle Ausprägung der Daten an.333 328 Allgemein Grüneberg/Grüneberg, 81. Aufl. 2022, § 243 Rn. 4; Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 161, 168; Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://www.justiz.nrw/JM/ schwerpunkte/digitaler_neustart/zt_bericht_arbeitsgruppe/bericht_ag_dig_neustart.pdf (Stand 01.05.2022), S. 213 f. 329 Vgl. Dapp/Heine, Deutsche Bank Research, Big Data – die ungezähmte Macht, 2014, S. 20. 330 Beispielsweise auf dem Smartphone, wo viele Apps im Hintergrund aktiv bleiben, auch wenn sie nicht genutzt werden. 331 Metzger, AcP 2016, 817, 850. 332 Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://www.jus tiz.nrw/JM/schwerpunkte/digitaler_neustart/zt_bericht_arbeitsgruppe/bericht_ag_dig_ neustart.pdf (Stand 01.05.2022), S. 213 f. 333 Hoeren monierte bereits 2016 in Zeiten vor der DS-GVO allgemein eine gewisse Ungeeignetheit der im BGB vorgesehenen Gewährleistungsinstrumente für den Umgang mit Daten: MMR 2016, 8, 9.
92
Kap. 2: Personenbezogene Daten als Entgelt
Die individuelle Qualität der Daten ist bei einem punktuellen Austausch von Datenzugang gegen digitalen Dienst indes weniger problematisch als bei einem Dauerschuldverhältnis. Denn bei der einmaligen Datenerhebung ist der Umfang in der Regel besser abzusehen: Bereits bei Vertragsschluss, i. e. in der Regel parallel zum Erteilen der datenschutzrechtlichen Einwilligung, steht bei einmaliger Datenerhebung und -verarbeitung zumindest deren Umfang bereits in etwa fest. Bei Dauerschuldverhältnissen hängt der wirtschaftliche Wert der Daten gerade auch von deren Quantität ab.334 Denn je eher sich aus dem wiederholt beobachteten Verhalten des Nutzers persönliche Präferenzen ableiten lassen, desto zielgerichteter und somit gewinnbringender lassen sich beispielsweise personalisierte Werbeanzeigen vermarkten.335 In der Theorie stellt sich die Frage nach dem Umgang mit der Situation, in der ein Nutzer seinen Zugang an einen Dritten weitergibt und dieser unter dem Login des Nutzers Daten generiert. Hier wird eine Ungenauigkeit der Daten eintreten: Durch die Weitergabe eines Geräts ändern sich Standortdaten, Surfverhalten usw., werden aber weiterhin dem eingeloggten Nutzer zugeschrieben. Da sich ein Verbot solchen Verhaltens indes nur umständlich konstruieren bzw. dessen Missachtung auch nur schwer nachweisen lassen würde, bleiben solche Fälle hier ausgeklammert. Ob es tatsächlich im wirtschaftlichen Interesse der Anbieter wäre, hier zu sanktionieren, wenn die eigenen Produkte dadurch letztlich nur mehr Reichweite erlangen würden, bleibt ebenso fraglich. (2) Datenqualität in der Praxis: Beispiele aus Nutzungsvereinbarungen Zur Veranschaulichung einer solchen Leistungspflicht folgen zwei Ausschnitte aus den Nutzungsbedingungen der sozialen Netzwerke Facebook und XING, die sich auf die Pflichten des Nutzers beziehen: (a) Facebook • „Denselben Namen verwenden, den du auch im täglichen Leben verwendest. • Genaue und korrekte Informationen über dich zur Verfügung stellen. • Nur ein einziges Konto (dein eigenes) erstellen und deine Chronik für persönliche Zwecke verwenden.“336 334 Vgl. Dapp/Heine, Deutsche Bank Research, Big Data – die ungezähmte Macht, 2014, S. 20. 335 Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://www.jus tiz.nrw/JM/schwerpunkte/digitaler_neustart/zt_bericht_arbeitsgruppe/bericht_ag_dig_ neustart.pdf (Stand 01.05.2022), S. 213. 336 Facebook-Nutzungsbedingungen, abrufbar unter: https://de-de.facebook.com/terms (Stand 01.05.2022), Punkt 3.1.
B. Personenbezogene Daten als Gegenleistung im BGB
93
(b) XING „(a) ausschließlich wahre und nicht irreführende Angaben zu machen sowie seinen Klarnamen und keine Pseudonyme oder Künstlernamen zu verwenden; (b) als Profilbild im Nutzerprofil im Rahmen des sozialen Netzwerks nur ein solches Foto zu verwenden, auf dem der Nutzer klar und deutlich erkennbar ist. Der Nutzer stellt sicher, dass die öffentliche Wiedergabe des von ihm übermittelten Profil-Fotos auf den XING Websites nach geltendem Recht erlaubt ist. Die Nutzung von Fotos oder Abbildungen anderer oder nicht existierender Personen oder anderer Wesen (Tiere, Fantasiewesen etc.) oder von Logos als Profilbild ist nicht gestattet. [. . .]“ (3) Klarnamenpflicht Die oben eingefügten Ausschnitte aus den Nutzungsvereinbarungen weisen auf eine Pflicht hin, die personenbezogenen Daten, insbesondere den eigenen Namen, wahrheitsgemäß anzugeben. Diese sogenannte Klarnamenpflicht hatte das OLG München zunächst in zwei Urteilen für rechtmäßig befunden, wurde vom BGH inzwischen aber zumindest für die Vergangenheit zurechtgewiesen.337 Argumentativ wurde die Einschätzung des OLG München dadurch gestützt, dass die Verwendung des eigenen Namens eher zu sozial verträglichem Verhalten führe und damit Hassrede im Internet vorbeugen könnte sowie diese auch ggf. verfolgbar machen würde.338 Dieser Argumentation ist entgegenzuhalten, dass ein Name für sich genommen oft keine eindeutige Zuordnung ermöglicht und auch gar nicht überprüft werden kann, ob ein unrichtiger Name verwendet wurde.339 Eine pseudonymisierte Nutzung generell zu untersagen, ist vielmehr für die datenverarbeitenden Anbieter des Netzwerks von Vorteil – die Argumentation der besseren Verfolgbarkeit betrifft schließlich nur einen sehr geringen Nutzeranteil.
337 OLG München, MMR 2021, 245, aufgehoben mit BGH Urteil vom 27.01.2022 – III ZR 3/21; OLG München, GRUR 2021, 1099. 338 OLG München, GRUR 2021, 1099: „Der Betreiber eines sozialen Netzwerkes ist zur Vermeidung rechtswidrigen Verhaltens seiner Benutzer berechtigt, die Verwendung von Klarnamen zu verlangen“. 339 So die ehemalige Justizministerin Lambrecht, die darauf hinweist, dass die Feststellbarkeit der IP-Adresse hier den größeren Nutzen für die Strafverfolgungsbehörden hat, becklink 2014130, 13.09.2019 „Justizministerin Lambrecht gegen Klarnamenpflicht im Netz“.
94
Kap. 2: Personenbezogene Daten als Entgelt
Richtig hält in diesem Sinne der Staatsanwalt Hebbecker fest, dass wir uns „nicht von dieser kleinen Minderheit diktieren lassen sollten, wie wir Rechte wahrnehmen wollen“.340 Datenschutzrechtlich zu begrüßen war die Bestätigung der Klarnamenpflicht im Hinblick auf Grundprinzipien wie das der Datensparsamkeit nicht.341 Umso erfreulicher ist die Anfang 2022 erfolgte Antwort des BGH342, der das fragliche Urteil des OLG München343 aufhob. Der BGH entschied in dem individuellen Fall, dass nach alter Rechtslage die Klarnamenpflicht als Teil der Nutzungsbedingungen den Nutzer entgegen den Geboten von Treu und Glauben benachteilige und daher unwirksam sei. Im Detail wurde § 13 Abs. 6 S. 1 TMG a. F. angewendet, wonach Anbieter die Nutzung ihrer Dienste „anonym oder unter Pseudonym zu ermöglichen [haben], soweit dies technisch möglich und zumutbar ist“. Die Option der Pseudonymisierung bezog sich hier nur auf die Nutzung des sozialen Netzwerkes, nicht auf die Registrierung im Innenverhältnis. Diese Sachlage hielt der BGH für Facebook für zumutbar. Da die zugrunde gelegte Vorschrift aus dem TMG seit 01.12.2021 gestrichen wurde und die DS-GVO keine dem TMG entsprechende Regelung zur Pseudonymisierung aufweist, kann diese Rechtsprechung nicht unmittelbar auf die Zukunft angewendet werden, sondern entfaltet nur für Altfälle Wirkung.344 (4) Zwischenergebnis Das Mindestmaß der geschuldeten Datenqualität ist aus Sicht der Anbieter digitaler Produkte die Wahrhaftigkeit der Daten – jedenfalls im Zusammenhang mit Registrierungsvorgängen, i. e. aktiven Übermittlungen.345 Schließlich können nur wahrhaftige Daten wirtschaftlich sinnhaft ausgewertet werden.346 Inwieweit dies rechtlich haltbar ist, ist für aktuelle Fallgestaltungen noch nicht entschieden. Datenschutzrechtlich wünschenswert wäre indes eine Anknüpfung an die BGHRechtsprechung zu den Altfällen, nach der die Klarnamenpflicht nicht haltbar ist.
340 Zitiert nach Schmalzried, br, 08.12.2020, Klarnamenpflicht auf Facebook rechtens, abrufbar unter: https://www.br.de/nachrichten/netzwelt/klarnamenpflicht-auf-facebookrechtens,SIVpZsp (Stand 01.05.2022). 341 Caspar, ZRP 2015, 233, anknüpfend § 13 Abs. 6 TMG a. F., der ehemals die Pseudonymisierung als Ausdruck der Datensparsamkeit vorsah; siehe auch Ziebarth, ZD 2013, 375, 378, der in der Klarnamenpflicht jedenfalls einen Verstoß gegen Verbrauchervertragsrecht sieht. 342 BGH Urteil vom 27.01.2022 – III ZR 3/21. 343 Aufgehoben: OLG München, MMR 2021, 245. 344 Dazu Kap. 3, A.VI. 3. 345 Hierzu kritisch zu Zeiten vor der DS-GVO Caspar, ZRP 2015, 233, 236; Ziebarth, ZD 2013, 375. 346 Langhanke, Daten als Leistung, S. 142.
B. Personenbezogene Daten als Gegenleistung im BGB
95
Problematisch ist, dass die DS-GVO einen solchen Tatbestand wie das frühere TMG nicht vorhält.347 An die Datenerhebungen jenseits der Registrierung, also bei der anschließenden Nutzung des Dienstes, (beispielsweise welche Bereiche der Sozialen-Medien-Plattform wie stark genutzt werden oder welche Werbeanzeigen angeklickt werden) werden keine solchen Anforderungen gestellt. Bei diesen rein verhaltensorientierten Datenerhebungen liegt die Wahrhaftigkeit aber regelmäßig vor. ee) Zwischenergebnis Die Erzeugung der personenbezogenen Daten erfolgt in den hier betrachteten Konstellationen regelmäßig durch die Kombination aus aktivem Registrierungsvorgang und dem anschließenden persönlichen Online-Verhalten hinsichtlich des digitalen Angebots (z. B. Verhalten auf Facebook). Diese faktische Bereitstellung als solche, also Datenproduktion und Aufrechterhaltung einer Internetverbindung als technischem Rahmen für den Datenzugang, kann aus rechtlichen Gründen selbst nicht als Leistungspflicht genügen, denn sie allein berechtigt den Anbieter nicht, die Daten auch zu verarbeiten. Hinzutreten muss ein Erlaubnistatbestand, in den hier betrachteten Fällen eine Einwilligung, zu genau dieser Verarbeitung.348 Die Einwilligung als gesetzlich vorgesehener Erlaubnistatbestand kann für sich allein genommen keine taugliche Leistungspflicht sein. Es muss auf diese rechtliche Legitimierung auch die faktische Duldung der Datenverwendung folgen, wobei der Widerruf stets unberührt bleibt. Rechtlich wird die Bereitstellung des Datenzugangs also von der datenschutzrechtlichen Einwilligung gerahmt. Die Einwilligung ist der rechtliche Schritt, der zur (rechtmäßigen und damit langfristig lohnenden) wirtschaftlichen Verwertung der Daten unabdingbar ist.349 Aufgrund dieser notwendigen Verknüpfung von Einwilligung und tatsächlichem Datenfluss kann hinsichtlich des Leistungsgegenstandes nur auf beides in Kombination abgestellt werden: Denn weder die Einwilligung ohne Daten noch die Daten ohne Einwilligung haben für sich genommen einen Wert für den Ver-
347
Zu Pseudonymisierung unter der DS-GVO: Kap. 2, B. VII. 2. b). Schmidt-Kessel/Grimm, ZfPW 2017, 84, 92; Pertot/Riehm, Rechte an Daten, S. 175, 179. Vor allem auf die Einwilligung als Gegenleistung abstellend: Buchner, DuD 2010, 39; i. Erg. auch Specht, JZ 2017, 763, 768. 349 Linardatos bezeichnete dies in seinem Vortrag „Daten als Gegenleistung“ vom 12.05.2021 in Bayreuth im Rahmen der Bayreuther Gespräche zum Verbraucherrecht auch als „Formvorschrift“, während die Daten als solche die eigentliche Gegenleistung darstellten. 348
96
Kap. 2: Personenbezogene Daten als Entgelt
tragspartner.350 Dies gilt, obwohl eben regelmäßig nur eine Einwilligung erfolgen muss, da diese Einwilligung sich in der Regel auf alle zukünftigen Datenerhebungen bis zum Vertragsende bzw. Widerruf bezieht.351 Dieser Leistungscharakter von Einwilligung und Datenerhebung in Kombination ist aufgrund überwältigender Faktizität kaum noch zu negieren.352 Der Leistungscharakter allein führt aber nicht notwendigerweise zu einer rechtlich durchsetzbaren Leistungspflicht. Riehm hält fest, dass es sich hier vielmehr um einen Rechtsgrundvereinbarung halte:353 Der zugrundeliegende Vertrag sei dogmatisch als „schuldrechtlicher Rechtsgrund für die durch die Einwilligung eingeräumte Nutzungsbefugnis an den personenbezogenen Daten“354 zu verstehen. Es handelt sich daran anknüpfend bei der „Datenleistung“ um eine faktische Gegenleistung, der aufgrund der jederzeitigen Widerrufsmöglichkeit die Vollstreckbarkeit fehlt.355 d) Besonderheiten der Gegenleistung bei Verträgen mit punktuellem Austausch Für die Anwendung der §§ 327 ff. BGB ist eine Differenzierung nach punktuellem Leistungsaustausch oder Dauerschuldcharakter nicht von Bedeutung.356 Im Detail könnten sich die jeweiligen Leistungspflichten aber je nach Einordnung des Vertrags unterscheiden und ggf. eine Anwendung spezieller vertraglicher Vorschriften bedingen. Um dies genauer zu untersuchen, werden im Folgenden verschiedene Vertragskonstellationen betrachtet. Ein punktueller Austausch von Leistungen findet im hier betrachteten Feld zum Beispiel beim Er-
350 Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, II. 351 Specht, JZ 2017, 763, 745. 352 Diese Negation wurde mit Bezug auf Art. 7 Abs. 4 DS-GVO teils jedoch noch von öffentlicher Stelle bemüht: Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679 angenommen am 28. November 2017, zuletzt überarbeitet und angenommen am 10. April 2018, abrufbar unter: https://www. datenschutzstelle.li/application/files/3615/3674/7263/wp259rev01_de.pdf (Stand 01.05. 2022), S. 9: „Mit Artikel 7 Absatz 4 soll sichergestellt werden, dass der Zweck der Verarbeitung personenbezogener Daten nicht getarnt oder mit der Erfüllung eines Vertrags oder der Erbringung einer Dienstleistung gebündelt wird, für die diese personenbezogenen Daten nicht erforderlich sind. Dadurch stellt die DS-GVO sicher, dass die Verarbeitung personenbezogener Daten, um deren Einwilligung ersucht wird, nicht direkt oder indirekt zur Gegenleistung für einen Vertrag werden kann.“ Dies ist faktisch inzwischen nicht mehr haltbar. 353 Pertot/Riehm, Rechte an Daten, S. 175, 196. 354 Pertot/Riehm, Rechte an Daten, S. 175, 194. 355 Vgl. ausführlich zu diesem Problem Walker, Die Kosten kostenloser Dienste, S. 210 ff. 356 BeckOK BGB/Wendland, 63. Ed. 01.08.2022, BGB § 327c Rn. 4.
B. Personenbezogene Daten als Gegenleistung im BGB
97
werb von Video- oder Audioinhalten statt,357 bei dem nur eine einmalige Einwilligung und einmalige Datenerhebung verlangt wird. aa) Datenleistung als Tauschgeschäft Manchmal kann der Nutzer beispielsweise auf ein Produkt zugreifen, nachdem er einmalig einwilligt, seine dabei generierten Daten zu Zwecken des Anbieters von diesem verarbeiten zu lassen. Die datenschutzrechtliche Einschätzung erscheint hier auf den ersten Blick wenig komplex: Wenn der Nutzer das Produkt erhält und der Anbieter die einmalig generierten Daten erhoben und verarbeitet hat, so ist damit der Bezugspunkt der Einwilligung erfüllt und es dürfen keine weiteren Datenverarbeitungen ohne weitere Einwilligung erfolgen.358 In dieser Konstellation verliert auch die Möglichkeit eines etwaigen Widerrufs der Einwilligung an Bedeutung, da dieser nach Art. 7 Abs. 3 S. 2 DS-GVO nur ex nunc wirkt;359 wobei der durch den Widerruf bedingte Löschungsanspruch des Betroffenen nach Art. 15 Abs. 1 lit. b DS-GVO auch die fortwährende Speicherung der Daten verhindert, sofern er denn ausgeübt wird.360 Wenn der Nutzer neben der Bereitstellung der personenbezogenen Daten bzw. des Datenzugangs (und der dazugehörenden Einwilligung) keine Leistung erbringt, ist in einer solchen Austauschsituation ein Rechtskauf bzw. -tausch entsprechend §§ 480, 453 BGB denkbar. Der Tausch legt beiden Parteien zunächst die grundlegenden Verkäuferpflichten auf.361 Schwierig wird hier der Erfüllungsvorgang: Denn gegen die Anwendung der tausch- und mithin kaufrechtlichen Vorschriften kann angeführt werden, dass kein Übereignungsvorgang i. S. d. § 929 S. 1 BGB, wie von § 433 Abs. 1 BGB vorgesehen, geschuldet werden kann: Es müsste sich nämlich um einen abstrakten Verfügungsakt handeln.362 Ein solcher würde jedoch die Übertragung eines eigentumsähnlichen Vollrechts erfordern, dessen Existenz mehr als umstritten ist,363 bei Zugrundelegung eines sonstigen nicht verkörperten Gegenstands nach § 453 BGB würde also eine 357
Specht, JZ 2017, 763, 764. Pertot/Riehm, Rechte an Daten, S. 175, 179. 359 Pertot/Riehm, Rechte an Daten, S. 175, 179. 360 Dazu statt vieler BeckOK DatenschutzR/Worms, 39. Ed. 01.11.2021, DS-GVO Art. 17 Rn. 30 ff. 361 MüKoBGB/Westermann, 8. Aufl. 2019, § 480 Rn. 6; ErmanBGB/Grunewald, 16. Aufl. 2020, § 480 Rn. 1. 362 Hoeren, MMR 2013, 486, 489; Stender-Vorwachs/Steege, NJOZ 2018, 1361, 1363. 363 Hoeren, MMR 2013, 486, 489; Ensthaler, NJW 2016, 3473, 3475; Zech, GRUR 2015, 1151, 1153; Stender-Vorwachs/Steege, NJOZ 2018, 1361, 1364; Kühling/Sackmann, NVwZ 2018, 681, 685; Esken, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 73, 77 f.; vgl. Spindler, Der Betrieb 2018, 41, 41 f.; Fezer, Repräsentatives Dateneigentum, 2018, S. 31 m.w. N.; siehe dazu Kap. 4, F. 358
98
Kap. 2: Personenbezogene Daten als Entgelt
Übertragung analog §§ 398 ff. BGB verlangt. Gegen eine Anwendung könnte man anführen, dass hier auf beiden Seiten nicht verkörperte Gegenstände stehen, auf keiner Seite ein körperlicher Gegenstand (oder eine Geldleistung, die zur Anwendung des § 453 BGB beitragen würde). Legt man indes folgerichtig einen Rechtstausch nach §§ 453, 480 BGB zugrunde, so erscheint dies denkbar: Auf der einen Seite steht die Einwilligung als Einräumung eines Nutzungsrechts plus die technisch-faktische Nutzungsermöglichung. Auf der anderen Seite steht das digitale Produkt. Es verbleibt hingegen eine Schwierigkeit bei dieser Kategorisierung: Wird die Erteilung der Einwilligung als Bestandteil der Leistung verstanden,364 muss eine Qualifizierung als sonstiger Gegenstand i. S. d. § 453 BGB fehlgehen: Denn keine der denkbaren rechtlichen Einordnungen der Einwilligung (Willenserklärung, geschäftsähnliche Handlung, Realakt365) kann datenschutzrechtlich die Einordnung als sonstigen Gegenstand erlauben.366 Stellt man indes nicht auf die Einwilligung selbst ab, sondern auf das durch diese begründete Nutzungsrecht, ist die Situation anders zu beurteilen: Das Recht, die personenbezogenen Daten zu verarbeiten, kann als sonstiger Gegenstand i. S. v. § 453 Abs. 1 BGB qualifizierbar sein, genauso wie das digitale Produkt auf der anderen Seite.367 Bis zum Inkrafttreten der Umsetzung der DIRL war insofern mindestens eine Analogie zum Rechtstausch diskutabel. Mit der Änderung des § 453 BGB wird dies hinfällig. Der im Zuge der Umsetzung der DIRL erneuerte § 453 Abs. 1 BGB ist ergänzt um die Sätze: „Auf einen Verbrauchervertrag über den Verkauf digitaler Inhalte durch einen Unternehmer sind die folgenden Vorschriften nicht anzuwenden: 1. § 433 Absatz 1 Satz 1 und § 475 Absatz 1 über die Übergabe der Kaufsache und die Leistungszeit sowie 2. § 433 Absatz 1 Satz 2, die §§ 434 bis 442, 475 Absatz 3 Satz 1, Absatz 4 bis 6 und die §§ 476 und 477 über die Rechte bei Mängeln. An die Stelle der nach Satz 1 nicht anzuwendenden Vorschriften treten die Vorschriften des Abschnitts 3 Titel 2a Untertitel 1.“
Für einen Erwerb digitaler Inhalte, der nur mit personenbezogenen Daten bezahlt wird, kann sinngemäß jedenfalls nichts anderes gelten. Schließlich sollen die §§ 327 ff. BGB gemäß § 327 Abs. 3 BGB gerade auch für Geschäfte gelten, bei denen anstelle einer Geldleistung personenbezogene Daten bereitgestellt werden.
364
Dazu ab Kap. 2, B. IV. 3. c) bb). Siehe dazu Kap. 3, A. III. 366 Walker, Die Kosten kostenloser Dienste, S. 169. 367 Specht, JZ 2017, 763, 764; Faust, NJW-Beil 2016, 29, 30; Walker, Die Kosten kostenloser Dienste, S. 168. 365
B. Personenbezogene Daten als Gegenleistung im BGB
99
bb) Punktueller Austausch mit länger andauernder Datenverarbeitung: Tauschvertrag oder Dauerschuldverhältnis? Möglicherweise wäre die Situation anders zu beurteilen, in der ein Nutzer zwar nur eine einmalige digitale Leistung erhalten, aber in weitere zukünftige Datenverarbeitungen eingewilligt hat. Von den neuen §§ 327 ff. BGB werden diese Möglichkeiten nicht genauer erörtert, da sich die verbraucherschützenden Vorschriften vielmehr auf die grundlegenden Pflichten des Anbieters und Rechte des Verbrauchers konzentrieren und vertragstypologische Fragen nicht erörtert werden.368 Die Abgrenzung zwischen zeitweiliger und dauerhafter Überlassung des Vertragsgegenstandes ist hier häufig nicht so eindeutig wie bei klassischen Beispielen der besagten Vertragstypen.369 Wenn seitens des Nutzers als rechtlich relevante Handlung nur eine einmalige Einwilligung in fortlaufende Datenerhebungen vorliegt, könnte – wie im vorangehenden Absatz erläutert – ein Kauf- bzw. Tauschvertrag nach § 480 BGB i.V. m. §§ 433 Abs. 1, 453 Abs. 1 BGB diskutiert werden. Für Geschäfte, bei denen auch nur einmalig ein Produkt seitens des Onlineanbieters geleistet wird, schien dies bis zur Änderung des § 453 BGB denkbar.370 Zu denken wäre hier beispielsweise an Gewinnspiele, bei denen der Nutzer zwar nur einmal teilgenommen hat, aber seine datenschutzrechtliche Einwilligung auch die Verwendung der erhobenen Daten für Analyse- und vor allem Werbezwecke in der Zukunft umfasst.371 Beispielhaft könnte die weitere Zusendung von E-Mail-Werbung und Newslettern sein. Ob es sich hier um einen Vertrag mit Dauerschuldcharakter handelt, ist undeutlich: Denn zwar findet ein Austausch im Sinne eines Do ut des nur einmalig statt (Datenpreisgabe plus Einwilligung in Verarbeitung gegen Gewinnspielteilnahme), die Einwilligung gilt im Anschluss aber (bis zu einem etwaigen Widerruf) fort. Davon betroffen könnten beispielsweise Verhaltensdaten sein, die der Nutzer erzeugt, wenn er Links aus den Newslettern folgt. Insofern sollte hinsichtlich der Zielrichtung der Einwilligung unterschieden werden, ob es sich entweder um eine bloß einmalige Erhebung mit fortlaufender Verwendung derselben Daten handeln soll (z. B. indem fortlaufend Werbung zu-
368 Kramme, RDi 2021, 20, 21. Beispielsweise wird in § 327c Abs. 1 BGB nicht zwischen Kündigung (Dauerschuldverhältnis) und Rücktritt (Vertrag mit punktuellem Austausch) unterschieden, sondern lediglich von der Möglichkeit gesprochen, den Vertrag zu „beenden“. 369 Metzger, JZ 2019, 577, 585. 370 Specht, JZ 2017, 763, 764; Faust, NJW-Beil 2016, 29, 30; Walker, Die Kosten kostenloser Dienste, S. 168. 371 Pertot/Riehm, Rechte an Daten, S. 175, 178 f.
100
Kap. 2: Personenbezogene Daten als Entgelt
gesandt wird, die Nutzerreaktion darauf indes nicht ermittelt wird), oder ob es sich trotz nur einmaliger Leistung an den Nutzer um eine fortlaufende Erhebung regelmäßig neuer verhaltensgenerierter Daten und deren Verarbeitung handelt (z. B. einmaliger Download eines Handyspiels/einer wartungsfreien Software, die im Hintergrund wiederholt neue Verhaltensdaten sammelt). Der letztere Fall entzieht sich einer Kategorisierung als Vertrag mit punktuellem Austausch: Wenn der Nutzer gelegentlich neue Daten generiert, auf die der Verantwortliche Wert legt und die er weiterverarbeitet, liegt eher ein Dauerschuldverhältnis nahe.372 cc) Datenleistung als Werkleistung An einen Werkvertrag wäre zu denken, sofern es sich bei der Datenleistung um eine speziell generierte und selektierte Leistung bestimmter Daten handelt, also ein spezifischer Erfolg geschuldet ist.373 Mangels Verkörperung der Werkleistung erscheint aber auch dann nur ein Werkvertrag mit Geschäftsbesorgungscharakter vertretbar.374 Da abgesehen davon spezielle Erfolge in den hier betrachteten B2C-Konstellationen regelmäßig nicht gefordert werden, ist eine werkvertragliche Einordnung wenig relevant. e) Besonderheiten der Gegenleistung bei Verträgen mit Dauerschuldcharakter Wenn sowohl Datenerhebung als auch Nutzung des digitalen Dienstes fortlaufend stattfinden, handelt es sich um einen Vertrag mit Dauerschuldcharakter.375 Dann sind Vorschriften über Kauf und Tausch nicht anwendbar, s. o.376 Als wichtiges Beispiel fällt auch die Nutzung sozialer Netzwerke wie Facebook in die Kategorie mit Dauerschuldcharakter – denn die personenbezogenen Daten werden auch hier nicht nur durch einmalige Bereitstellung bei Vertragsschluss bezogen, sondern bei jedem Einloggen, jeder Aktivität (bzw. sogar der Zeitraum der Nichtaktivität als Datum) weiter gesammelt.377 372
Walker, Die Kosten kostenloser Dienste, S. 169; Specht, JZ 2017, 763, 764. Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 136 f., 169. 374 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 136 f. 375 Specht, JZ 2017, 763, 764; Walker, Die Kosten kostenloser Dienste, S. 169. 376 So auch Metzger, AcP 2016, 817, 835, der Tausch-/Kaufvertragsrecht sogar bei Verträgen mit punktuellem Austausch für ausgeschlossen hält, „da der Anbieter die Daten dauerhaft nutzt und zudem ein jederzeitiger Widerruf möglich ist“; vgl. auch Schulze/Staudenmayer/Lohsse/Zoll, Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, S. 179, 184. 377 Specht, JZ 2017, 763, 765. 373
B. Personenbezogene Daten als Gegenleistung im BGB
101
aa) Vermietung personenbezogener Daten Es könnte sich um mietvertragsähnliche Vereinbarungen handeln. Problematisch erscheint hier, dass dann der Datenzugang der Mietgegenstand wäre. Die Ergänzung um § 548a BGB bezieht sich indes nicht auf die Zahlungsmethode (ergo die Daten-Gegenleistung des Nutzers), sondern auf ein digitales Produkt als Mietgegenstand, das wiederum gegen einen Mietzins zugänglich wird. Insofern kann die Bereitstellung in Form des erlaubten Zugangs zu den personenbezogenen Daten nicht mit einer etwaigen Softwaremiete eines digitalen Produkts gleichgesetzt werden.378 Eher als die Datenbereitstellung den Mietgegenstand ersetzt, ersetzt sie das Entgelt für das digitale Produkt. Angesichts des digitalen Produkts auf der anderen Seite des Vertrags, kann die Datenleistung indes nicht der vertragsprägende Gegenstand sein.379 Denn für digitale Produkte ist die Anwendbarkeit mietvertraglicher Vorschriften grundsätzlich durch § 548a BGB eröffnet worden. Personenbezogene Daten selbst fallen nicht unter die Definition eines digitalen Produkts (§ 327 Abs. 2 BGB). Daher könnte höchstens an einen gemischten Vertrag zu denken sein, bei dem auf einer Seite die Miete des digitalen Produkts und auf der anderen Seite die Bereitstellung des Datenzugangs stehen; dieser Bereitstellungs-/Zugangsaspekt erinnert wiederum an einen Lizenzvertrag oder eine Rechtspacht.380 Eine DatenVermietung ist in den hier betrachteten B2C-Konstellationen aus diesen Gründen fernliegend. bb) Verpachtung personenbezogener Daten Sieht man den Verbraucher selbst als den Verpächter seiner personenbezogenen Daten, so scheint die Möglichkeit für einen Pachtvertrag offen. Denn der Unternehmer hat gerade an der für den Pachtvertrag typischen Wertschöpfung aus den personenbezogenen Daten Interesse.381 Das verpachtete Recht ist das Nutzungsrecht an den Daten. Zu klären ist daher, inwieweit dieses Nutzungsrecht an personenbezogenen Daten den Besonderheiten einer Rechtspacht entspricht. Für eine dogmatisch saubere Einordnung bedarf es für die Kategorisierung einer Definition der erfolgenden Wertschöpfung: Handelt es sich um unmittelbare (§ 99 Abs. 1 BGB) oder mittelbare (§ 99 Abs. 3 BGB) Früchte, um Sach- oder Rechtsfrüchte (§ 99 Abs. 2 BGB)? 378
Siehe dazu ab Kap. 2, B. IV. 4. c) bb). Vgl. Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://www. justiz.nrw/JM/schwerpunkte/digitaler_neustart/zt_bericht_arbeitsgruppe/bericht_ag_dig _neustart.pdf (Stand 01.05.2022), S. 213. 380 Vgl. Specht, JZ 2017, 763, 765; Kilian, CR 2002, 921, 927. 381 Walker, Die Kosten kostenloser Dienste, S. 172 m.w. N. 379
102
Kap. 2: Personenbezogene Daten als Entgelt
Eine Subsumtion von Datenverarbeitungen als unmittelbare Sachfrüchte muss von vornherein ausscheiden, da hierfür Sachqualität erforderlich wäre.382 Auch die Subsumption als Rechtsfrüchte nach § 99 Abs. 2 BGB kann nicht überzeugen: Denn solche unmittelbaren Rechtsfrüchte werden verstanden als Teilleistungen, die sich von ihrem (fruchtbringenden) Stammrecht unterscheiden383 – die personenbezogenen Daten sind jedoch implizit auch selbst untrennbar mit dem in Frage stehenden Recht (Persönlichkeitsrecht) verbunden, aus dem sich die Wertschöpfung ergibt. Zwar wird vereinzelt vertreten, dass die Analysedaten aus der Datenverarbeitung als unmittelbare Rechtsfrüchte analog § 99 Abs. 2 BGB zu qualifizieren seien.384 Gegen eine solche Einordnung spricht indes, dass die Datenleistung insgesamt eher die Rolle der entgeltlichen Gegenleistung einnimmt als selbst den Vertrag zu prägen.385 Unterstellte man aber umgekehrt, dass die personenbezogenen Daten als Pachtgegenstand fungieren, so nähmen die bereitgestellten digitalen Produkte des Anbieters die Entgeltfunktion ein. Faktisch gestaltet sich die Situation aber genau andersherum.386 Die mehrfache, parallele Einräumung von Nutzungsbefugnissen entspricht eher einem lizenzvertraglichen Modell als einer Pacht.387 Letztlich ist auch der Parteiwille des Verbrauchers in diesem Sinne auszulegen – der Gedanke, die eigenen personenbezogenen Daten zu verpachten, kommt dem durchschnittlichen Verbraucher mutmaßlich nicht in den Sinn. Insgesamt ist dieses Modell daher abzulehnen. cc) Personenbezogene Daten als Gegenstand eines Lizenzvertrags Der Lizenzvertrag ist nicht gesetzlich kodiert, sondern ein Vertrag sui generis (§ 311 Abs. 1 BGB).388 Wie ein Lizenzvertrag ausgestaltet ist und welche Rechtsnatur eine Lizenz hat, ist folglich nicht festgelegt.389 Der EuGH fasst die 382 Staudinger/Stieper, (2021) BGB § 99 Rn. 10; Walker, Die Kosten kostenloser Dienste, S. 172; BGH, NJW 2018, 1540 Rn 14; BeckOK BGB/Fritzsche, 61. Ed. 01.02. 2022, § 99 Rn. 6; ErmanBGB/Schmidt, 16. Aufl. 2020, BGB § 99 Rn. 3; vgl. auch Schur, GRUR 2020, 1142, 1145. 383 BeckOK BGB/Fritzsche, 61. Ed. 01.02.2022, § 99 Rn. 9; Walker, Die Kosten kostenloser Dienste, S. 172; Staudinger/Stieper, (2021) BGB § 99 Rn. 12. 384 Walker, Die Kosten kostenloser Dienste, S. 173 unter Verweis auf Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012. 385 Vgl. Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://www. justiz.nrw/JM/schwerpunkte/digitaler_neustart/zt_bericht_arbeitsgruppe/bericht_ag_dig _neustart.pdf (Stand 01.05.2022), S. 213. 386 Walker, Die Kosten kostenloser Dienste, S. 173. 387 Walker, Die Kosten kostenloser Dienste, S. 173 f. m.w. N. 388 BGH, NJW 1951, 705, 706; GRUR 1979, 768, 769. 389 Zur (uneindeutigen) Rechtsnatur des Lizenzvertrags: Osterrieth, Patentrecht, 5. Teil Rn. 689 ff.; MüKoBGB/Säcker, 9. Aufl. 2021, § 12 Rn. 85 f.; Auer-Reinsdorff/ Conrad/Roth-Neuschild, Handbuch IT, § 13 Rn. 25 ff.
B. Personenbezogene Daten als Gegenleistung im BGB
103
Hauptleistung eines Lizenzvertrags folgendermaßen zusammen: „Das durch einen Lizenzvertrag gewährte Nutzungsrecht [. . .] umfasst die Befugnis, die Software dauerhaft auf einem Server zu speichern und einer bestimmten Anzahl von Nutzern dadurch Zugriff zu gewähren, dass sie in den Arbeitsspeicher ihrer Arbeitsplatzrechner geladen wird.“390 Zum Teil wird eine Lizenz dementsprechend auch als eine Art „Technologietransfer“391 bezeichnet. Trefflich ist auch die Einordnung als Vertrag über „urheberrechtliche Nutzungsrechte“.392 Als Vertrag sui generis kann der Lizenzvertrag Elemente und Vorschriften verschiedener Vertragstypen (z. B. Kauf, Miete, Pacht) vereinen oder sich auch nur auf spezifische Aspekte derselben beziehen.393 Je nach individueller Vertragsgestaltung kommen die jeweiligen Vorschriften zu entsprechender Anwendung. Der Lizenzvertrag wird auch durch seine Entgeltlichkeit gekennzeichnet: Grundsätzlich wird die Lizenz gegen eine Geldzahlung zur Verfügung gestellt.394 Steht jedoch, wie in den hier untersuchten Fällen, auf der einen Seite ein digitales Produkt, auf der anderen der eingeräumte Datenzugang, so stellen möglicherweise beide Vertragspartner Lizenzen zur Verfügung bzw. keiner zahlt ein monetäres Entgelt.395 Diese Konstellation entspricht mangels Geldleistung nicht dem klassischen Modell eines Lizenzvertrags. Es handelt sich daher um einen Lizenzvertrag mit „atypischer Prägung“, der „nicht allein einem Vertragstypus zugeordnet werden kann“.396 Die den Lizenzvertrag prägende Hauptleistung liegt in der Bereitstellung des digitalen Produkts, während die Einräumung der Nutzung personenbezogener Daten eine atypische Gegenleistung darstellt.397 Hiergegen lässt sich vortragen, dass auch die „Datenleistung“ des Betroffenen an das Gepräge eines Lizenzvertrags jedenfalls erinnert: Die Einwilligung auch als Lizenzierung i. S. e. Lizenzvertrags zu verstehen, scheint zunächst naheliegend.398 Dann stünden sich zwei Lizenzierungen im Austausch gegenüber.399 Jedoch ist die Kategorisierung als Lizenzvertrag mit atypischer Gegenleistung, bei dem die das Vertragsgeschehen prägende Hauptleistung von Seiten des Anbieters digitaler 390
EuGH, NJW 2012, 2565 (UsedSoft GmbH/Oracle International Corp.). Röhricht/Graf v. Westphalen/Haas/Brandi-Dohrn, HGB, 5. Aufl. 2019, Lizenzverträge Rn. 1. 392 Castendyk, ZUM 2007, 169. 393 BGH, GRUR 1970, 547, 549; MüKoBGB/Harke, 8. Aufl. 2020, § 581 Rn. 27; Specht, ZfPW 2017, 763, 764. 394 Auer-Reinsdorff/Conrad/Roth-Neuschild, Handbuch IT, § 13 Rn. 8, 25; vgl. Loewenheim/Lehmann/Spindler, Urheberrecht, 2. Aufl. 2021, § 82 Verträge über Computerprogramme Rn. 33 Vertragsmuster. 395 Walker, Die Kosten kostenloser Dienste, S. 178. 396 Walker, Die Kosten kostenloser Dienste, S. 179. 397 Anders Metzger, AcP 2016, 817, 832, 837, der das digitale Produkt als Entgelt und die „Datenleistung“ als vertragsprägende Leistung einstuft. 398 Walker, Die Kosten kostenloser Dienste, S. 179; Metzger, AcP 2016, 817, 837. 399 So Walker, Die Kosten kostenloser Dienste, S. 178 f. 391
104
Kap. 2: Personenbezogene Daten als Entgelt
Produkte kommt, naheliegender. Denn der Nutzer des digitalen Produkts wählt dieses aufgrund des speziellen Angebots aus; seine Willensrichtung ist dahingehend zu verstehen, dass er auf ein spezifisches Produkt zugreifen möchte. Eine „Nutzbarmachung“ und „Wertschöpfung“ aus seinen eigenen personenbezogenen Daten steht dabei aus Sicht des Betroffenen gerade nicht im Vordergrund – im Gegenteil, diese ist ihm wohl oft nicht hinreichend bewusst. Im Ergebnis ist die Einstufung als Lizenzvertrag mit atypischer Gegenleistung zwar überzeugend; sie dient indes nicht als zuverlässiges Instrument für eine dogmatische Kategorisierung:400 Als Vertrag sui generis lebt der Lizenzvertrag gerade von der Aneignung der Institute anderer Vertragsarten; regelmäßig kommen miet- und pachtvertragliche Vorschriften zur Anwendung.401 Welche Vorschriften im Einzelfall anzuwenden sind, hängt wiederum von der konkreten Situation ab und lässt sich gerade bei einer neuartigen Konstellation eines abgewandelten Vertrags sui generis schwerlich im Voraus verallgemeinern. dd) Daten als Vergütung für eine Dienstleistung Legt man einen Vertrag mit Schwerpunkt auf einer Dienstleistung des Unternehmers zugrunde, so stellt sich die Frage, inwieweit die Bereitstellung der personenbezogenen Daten als Vergütung für die Dienstleistung tauglich ist. Denn Dienstleistungen können im Einzelfall auch anders als in Geld vergütet werden.402 In Frage kommen beispielsweise auch Naturalvergütungen,403 beispielsweise bei Hausmeisterverträgen in Wohnraum.404 Denn der Anwendungsbereich des § 611 BGB ist nicht auf monetär vergütete Dienstleistungen beschränkt.405 Die Bereitstellung personenbezogener Daten kann – nach erfolgter wirksamer Einwilligung – auch eine Vergütung für den Dienstvertrag darstellen.406 f) Folgeproblem aus Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO Wenn die Einwilligung und die Datenüberlassung allerdings tatsächlich im Vertrag als vereinbarte Gegenleistung festgehalten sind, so lässt sich (jedenfalls dogmatisch) darüber streiten, ob überhaupt eine Einwilligung notwendig ist, oder ob die Rechtmäßigkeit der Bereitstellung der Daten mit dem Erlaubnistatbestand
400
Vgl. Metzger, AcP 2016, 817, 837 f. Metzger, AcP 2016, 817, 838. 402 Jauernig/Mansel, 18. Aufl. 2021, BGB § 611 Rn. 31. 403 BeckOK BGB/Baumgärtner, 61. Ed. 01.02.2022, § 611 Rn. 40. 404 Staudinger/Latzel, (2020) BGB § 611 Rn. 328. 405 Staudinger/Latzel, (2020) BGB § 611 Rn. 329. 406 Staudinger/Latzel, (2020) BGB § 611 Rn. 329; zustimmend Walker, Die Kosten kostenloser Dienste, S. 174. 401
B. Personenbezogene Daten als Gegenleistung im BGB
105
des Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO bereits abgedeckt ist.407 Nach Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO ist nämlich die Datenverarbeitung rechtmäßig, wenn diese zur Erfüllung eines Vertrags, dessen Partei der Betroffene ist, erforderlich ist. Wann genau das Merkmal der Erforderlichkeit erfüllt ist, ist bis dato nicht eindeutig geklärt und hängt letzten Endes auch von der jeweiligen Konstellation im Einzelfall ab.408 Im Allgemeinen gilt die Erforderlichkeit als erfüllt, wenn ein enger Sachzusammenhang zum Vertrag bejaht werden kann und die Vertragserfüllung daran gebunden ist.409 Diese Formulierung lässt allerdings wiederum einen gewissen Interpretationsspielraum. Wenn die Parteien (ggf. konkludent) vereinbaren, dass die Verarbeitung der personenbezogenen Daten Gegenleistung bzw. wenigstens Bedingung hinsichtlich der Leistungserbringung des Anbieters sein soll, wird die Bereitstellung der Daten Teil der essentialia negottii und mithin unverzichtbar für die Vertragserfüllung. Mit dieser Argumentation könnte also an Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO gedacht werden: Dies ließe allerdings die Umgehung zahlreicher Schutzmechanismen als Folge der Anwendung befürchten: Das Kopplungsverbot könnte unterlaufen werden, die Widerrufs- und Löschungsrechte des Betroffenen würden leerlaufen.410 Diese Befürchtung wird auch in den Leitlinien des European Data Protection Board (EDPD) zur Anwendung von Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO formuliert.411 Beim EDPD handelt es sich um eine unabhängige europäische Einrichtung. Sie besteht aus dem Europäischen Datenschutzbeauftragten und den Leitern der jeweiligen Aufsichtsbehörde der Mitgliedsstaaten. Dementsprechend genießen solche Leitlinien des EDPD zwar keine Bindungswirkung, aber stellen doch eine wichtige Auslegungshilfe für die DS-GVO dar.412 Nach den Leitlinien des EDPD kann die bloße Aufnahme der Datenverarbeitung in den Vertrag nicht für eine Erforderlichkeit nach Art. 6 Abs. 1 UAbs. 1 407
Vgl. Auer-Reinsdorff/Conrad/Conrad/Hausen, Handbuch IT, § 23 Rn. 11 f. Indenhuck/Britz, BB 2019, 1091; vgl. BeckOK DatenschutzR/Albers/Veit, 39. Ed. 01.11.2021, DS-GVO Art. 6 Rn. 44 f. 409 Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 6 Rn. 6; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, Datenschutzrecht, DS-GVO Art. 6 Abs. 1 Rn. 24. 410 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747; Auer-Reinsdorff/Conrad/ Conrad/Hausen, Handbuch IT, § 23 Rn. 12; Hennemann, ZUM 2017, 544, 546 bezeichnet Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO in diesem Zusammenhang als „trojanisches Pferd“, siehe im Folgenden. 411 Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects Version 2.0, vom 08.10.2019, abrufbar unter: https://edpb.europa.eu/sites/edpb/files/files/file1/ edpb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf (Stand 01.05. 2022); Indenhuck/Britz, BB 2019, 1091 haben zum Entwurf dieser Leitlinie eine kritische Zusammenfassung und Stellungnahme verfasst. 412 Indenhuck/Britz, BB 2019, 1091, 1092. 408
106
Kap. 2: Personenbezogene Daten als Entgelt
lit. b DS-GVO genügen: Denn der Maßstab der Erforderlichkeit sei „objektiv“ zu ermitteln („objective necessity“):413 So heißt es in Rn. 27 der Leitlinien zur Anwendung von Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO: „,Necessary for performance‘ clearly requires something more than a contractual condition.“ Ohne objektive Gründe, mit welchen der Verantwortliche darlegen kann, warum die Datenerhebung gerade zur Durchführung dieses individuellen Vertrages unverzichtbar ist, muss die Erforderlichkeit damit ausscheiden.414 Dies entspricht im Ergebnis dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 lit. c DS-GVO, worauf auch der EDPD hinweist.415 In den hier betrachteten Konstellationen, in denen die Daten faktisch als Entgelt fungieren, liegt dementsprechend grundsätzlich keine solche objektive Erforderlichkeit vor. Daher wird eine restriktive Auslegung, wenn nicht gar eine teleologische Reduktion des Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO gefordert.416 Dagegen wird vereinzelt angeführt, dass dem Betroffenen die Möglichkeit, sein Recht auf informationelle Selbstbestimmung vollumfänglich auszuüben, hierdurch genommen werde:417 Denn auch die Möglichkeit, sich selbstbestimmt zur Leistung personenbezogener Daten zu verpflichten, sei davon geschützt.418 413 Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects Version 2.0, vom 08.10.2019, abrufbar unter: https://edpb.europa.eu/sites/edpb/files/files/file1/ed pb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf (Stand 01.05.2022), Rn. 22, 27. 414 Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects Version 2.0, vom 08.10.2019, abrufbar unter: https://edpb.europa.eu/sites/edpb/files/files/file1/ed pb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf (Stand 01.05.2022), Rn. 30: „The controller should be able to demonstrate how the main subject-matter of the specific contract with the data subject cannot, as a matter of fact, be performed if the specific processing of the personal data in question does not occur.“ 415 Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects Version 2.0, vom 08.10.2019, abrufbar unter: https://edpb.europa.eu/sites/edpb/files/files/file1/ed pb_guidelines-art_6-1-b-adopted_after_public_consultation_en.pdf (Stand 01.05.2022), Rn. 11, 15, 16. 416 Hennemann, ZUM 2017, 544, 546; Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747; vgl. Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 6 Rn. 6; im Ergebnis ähnlich Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 13. Ähnlich verhält es auch hinsichtlich Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO, der ebenso restriktiv anzuwenden ist, siehe Kap. 3, A. VI. 5. 417 Indenhuck/Britz, BB 2019, 1091, 1095. 418 Indenhuck/Britz, BB 2019, 1091, 1095 mit Verweis auf OLG Frankfurt, 30.06.2005 – 6 U 168/04 = MMR 2005, 696, 698, zum BDSG-a. F.: „Die in § 28 Abs. 1 BDSG getroffene Regelung findet ihre Rechtfertigung darin, dass der Betroffene eine autonome Entscheidung für einen Vertragsabschluß (oder die Begründung eines Vertrauensverhältnisses) getroffen hat, womit er zugleich auch sein informationelles Selbstbestimmungsrecht ausgeübt hat.“
B. Personenbezogene Daten als Gegenleistung im BGB
107
Daher sollten Fälle, in denen die Einräumung des Datenzugangs Entgeltcharakter hat, von Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO erfasst werden, damit der Betroffene sich rechtlich verpflichten darf.419 Dieses Argument verfängt aber nicht, weil die Möglichkeit, den Zugang zu den eigenen Daten faktisch als Entgelt zu gewähren, gar nicht genommen wird. Durch das Erfordernis einer datenschutzrechtlichen Einwilligung werden dem Betroffenen bloß mehr Rechte zugesprochen. Auch die Ausübung dieser Rechte (Widerruf, Löschung usw.) kann ein späterer Ausdruck der informationellen Selbstbestimmung sein. Der Betroffene bleibt also flexibel in der Gestaltung seiner informationellen Selbstbestimmung. Insofern schützt ein Einwilligungserfordernis mit den zugehörigen Schutzmechanismen die informationelle Selbstbestimmung umfassender als die Einräumung der Option, sich ohne diese Schutzinstrumente schuldrechtlich dauerhaft verpflichten zu können. Des Weiteren kann hier auch mit dem Wortlaut des Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO gegen dessen Anwendung argumentiert werden: Denn die Formulierung zielt gerade nicht auf den Charakter von Hauptleistungspflichten ab, bzw. darauf, dass die Bereitstellung der Daten eine zentrale Rolle im Vertrag einnehmen müsse, also im Sinne von „Gegenleistung“ oder subjektiv bestimmter „Bedingung“ auftrete. Vielmehr wird die Formulierung eher dahin zu verstehen zu sein, dass es sich bei den Datenverarbeitungen um „beiläufige“420 erforderliche Maßnahmen zur Verwirklichung einer anderen Gegenleistung handeln müsse. Dafür spricht auch die Gleichsetzung mit der vorvertraglichen Situation, die ebenfalls in Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO genannt wird. Es geht also gerade nicht um etwaige Leistungspflichten an sich, es geht um den Rahmen derselben. Die Frage lautet also: Können die vertraglichen Pflichten auch ohne diese Datenerhebung erfüllt werden? Beispielhaft kann die Teilnahme an einem Gewinnspiel gesehen werden, bei dem der Gewinner im Falle seiner Ziehung benachrichtigt werden muss. Sofern die dafür erhobenen personenbezogenen Daten nicht über diesen Zweck hinausgehend verarbeitet werden, muss auch keine Einwilligung i. S. v. Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO eingeholt werden, da lit. b hier greift. Wie weit eine solche „beiläufige“421 erforderliche Maßnahme zur Verwirklichung einer anderen Gegenleistung reichen darf, muss dabei nach allgemeinen Grundsätzen der Rechtsklarheit begrenzt werden: Es kann nicht sein, dass einem Anbieter freigestellt wird, zu erwirken, dass eine Maßnahme nur deshalb erforderlich ist, weil er durch sie die Finanzierung des Angebots sicherstellt.422 Denn 419
Indenhuck/Britz, BB 2019, 1091, 1095. Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 13. 421 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 13. 422 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747; Hennemann, ZUM 2017, 544, 546; vgl. auch Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 6 Abs. 1 Rn. 31. 420
108
Kap. 2: Personenbezogene Daten als Entgelt
auf welche Weise bestimmte digitale Angebote tatsächlich finanziert werden sollen, kann der Anbieter grundsätzlich selbst festlegen. Würde man also die Refinanzierung als ausreichende Begründung für den gesetzlichen Erlaubnistatbestand aus Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO genügen lassen, könnte der Anwendungsbereich durch den Anbieter wiederum ausgehöhlt werden.423 Dies ist im Sinne des Transparenzgebots nicht haltbar.424 Mit diesen Gefahren im Blick wurde Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO bereits als „trojanische[s] Pferd“ bezeichnet.425 Die teleologische Reduktion ist der datenschutzrechtlich richtige Weg.426 g) Zwischenergebnis Im Ergebnis stellen Einwilligung und Datenbereitstellung nur gemeinsam die synallagmatisch verknüpfte Gegenleistung dar,427 denn weder die Einwilligung ohne Daten noch die Daten ohne Einwilligung haben für sich genommen einen Wert für den Vertragspartner.428 Der Schwerpunkt sollte indes in der Bereitstellung, i. e. dem eingeräumten Datenzugang selbst, gesehen werden, sodass die Einwilligung vor allem eine unverzichtbare Voraussetzung der Mängelfreiheit der übermittelten Daten darstellt (vorausgesetzt, dass keine anderen Erlaubnistatbestände der DS-GVO greifen).429 Die Leistung des Nutzers ist insgesamt als eine den Vertragstypus „nicht prägende Gegenleistung“430 einzuordnen, in diesem Sinne vergleichbar mit einer Geldleistung. Eine klare vertragliche Zuordnung zu einem der BGB-Vertragstypen ist nicht fruchtbar. Die am nächsten liegende Einordnung im Sinne eines Lizenzvertrags als Vertrag sui generis mit atypischer Gegenleistung ist dadurch wenig fruchtbar, dass unter Annahme eines Lizenzvertrags regelmäßig miet- und pachtvertragliche Vorschriften entsprechend angewendet werden, deren Anwendbarkeit im Einzelfall wieder fraglich wird. Eine dogmatische Kategorisierung (in die bestehenden Vertragstypen des BGB) der Leistungspflichten eines Verbrauchers, der ausschließlich aufgrund sei423 Pertot/Riehm, Rechte an Daten, S. 175, 185; vgl. auch Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747. 424 Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 6 Rn. 6. 425 Hennemann, ZUM 2017, 544, 546. 426 Hennemann, ZUM 2017, 544, 546; Westphalen, NJW 2016, 3745, 3747. 427 Specht, JZ 2017, 763, 764. 428 Specht, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, DGRI-Jahrbuch 2017, II. 429 Specht, JZ 2017, 763, 764. 430 Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://www.jus tiz.nrw/JM/schwerpunkte/digitaler_neustart/zt_bericht_arbeitsgruppe/bericht_ag_dig_ neustart.pdf (Stand 01.05.2022), S. 213.
B. Personenbezogene Daten als Gegenleistung im BGB
109
ner Einwilligung und Datenbereitstellung Zugang zu digitalen Produkten erhält, ist daher zu diesem Zeitpunkt unter Vermeidung schwer vertretbarer Kompromisse und Widersprüche kaum möglich. Aufgrund der Vertragsfreiheit steht die unfruchtbare dogmatische Zuordnung der grundsätzlichen Vereinbarung einer solchen Gegenleistungspflicht jedoch nicht im Wege. Zu beachten bleibt aber die stetige Widerruflichkeit, von der es keine Ausnahmen geben darf. 4. Pflichten des Verantwortlichen In der Regel lassen sich die Pflichten des Anbieters digitaler Inhalte oder Dienste standardisierten Nutzungsbedingungen entnehmen.431 Die Hauptleistungspflicht des Anbieters kann je nach Art des angebotenen Dienstes variieren. Je nachdem, ob der Vertrag nur einen punktuellen Austauschmoment erfordert oder eine fortlaufende Bereitstellung digitaler Dienste mit andauernder Datenerhebung, sind die Anforderungen verschieden zu beurteilen432 und die Abgrenzung kann dabei im Einzelnen schwierig sein.433 Die im Zuge der Umsetzung der Digitale-Inhalte-Richtlinie neu eingeführten §§ 327 ff. BGB behandeln jedoch grundsätzlich beide Vertragstypen, punktueller Austausch und Dauerschuldverhältnis, gleich.434 Es gibt beispielsweise keine Differenzierung zwischen Kündigung und Rücktritt vom Vertrag, § 327c Abs. 1 BGB; die Rede ist nur von Beendigung des Vertrags. a) Allgemeine Voraussetzungen nach § 327 ff. BGB Die neuen §§ 327 ff. BGB stellen einige Anforderungen an die Leistung des Unternehmers bei Verträgen über digitale Produkte. Digitale Produkte werden in § 327 Abs. 1 und 2 BGB definiert: Erfasst werden sowohl fortlaufende digitale Dienstleistungen als auch punktuell zur Verfügung gestellte Inhalte. Beide müssen vom Anbieter ohne Produktmängel435 bereitgestellt werden. Die Leistungspflicht des Unternehmers wird in § 327b Abs. 1 BGB eingeführt. Sie umfasst die Pflicht zur Bereitstellung des digitalen Produkts. Die konkrete Leistungspflicht wird hier indes nicht begründet, sondern in der Formulierung als bereits vorhanden unterstellt: „Ist der Unternehmer [. . .] verpflichtet“. Das Entstehen der Leistungspflicht ergibt sich aus dem jeweiligen Vertrag, den Unter-
431 432 433 434 435
Metzger, JZ 2019, 577, 579 f. Riehm/Abold, ZUM 2018, 82, 83. Vgl. Metzger, JZ 2019, 577. BeckOK BGB/Wendland, 63. Ed. 01.08.2022, § 327c Rn. 4. Siehe hierzu ab Kap. 2, B. VII. 1.
110
Kap. 2: Personenbezogene Daten als Entgelt
nehmer und Verbraucher geschlossen haben.436 Dieser kann durchaus einem Vertragstyp des 8. Abschnitts des BGB entsprechen, aber auch nach § 311 Abs. 1 BGB ein Vertrag sui generis sein.437 aa) Digitale Produkte zweierlei Art Digitale Inhalte sind Daten, die in digitaler Form erstellt und bereitgestellt werden. Die Definition digitaler Dienstleistungen umfasst gem. § 327 Abs. 2 Nr. 1, 2 BGB die Erstellung, Verarbeitung oder Speicherung von Daten in digitaler Form oder die Ermöglichung des Zugangs zu solchen Daten oder auch die gemeinsame Nutzung der vom Verbraucher oder von anderen Nutzern der entsprechenden Dienstleistung in digitaler Form hochgeladenen oder erstellten Daten oder sonstige Interaktionen mit diesen Daten. bb) Bereitstellung Bereitgestellt ist ein digitaler Inhalt nach § 327b Abs. 3 BGB, „sobald der digitale Inhalt oder die geeigneten Mittel für den Zugang oder das Herunterladen des digitalen Inhalts dem Verbraucher unmittelbar oder mittels einer von ihm hierzu bestimmten Einrichtung zur Verfügung gestellt oder zugänglich gemacht worden ist“. In der Praxis kann beispielsweise die funktionale Darstellung eines Download-Buttons gemeint sein, dessen Anklicken den Download- und Installationsvorgang startet oder beispielsweise bei Streamingdiensten die gewählte Datei öffnet und abspielt.438 Eine digitale Dienstleistung ist nach § 327b Abs. 4 BGB ebenso bereitgestellt, „sobald die digitale Dienstleistung dem Verbraucher unmittelbar oder mittels einer von ihm hierzu bestimmten Einrichtung zugänglich gemacht worden ist“. Es zeigt sich, dass der Ablauf bei punktuellen und bei fortlaufenden Produkten hier im Wesentlichen den gleichen Kriterien zu folgen hat. Das verdeutlicht die Sinnhaftigkeit der Einfügung in das allgemeine Schuldrecht anstelle der Schaffung eines oder mehrerer neuer spezifischer Datenverträge für das besondere Schuldrecht. Nach § 327b Abs. 2 BGB kann der Verbraucher unverzüglich, d. h. ohne schuldhaftes Zögern (§ 121 BGB),439 nach Vertragsschluss die Bereitstellung des digitalen Produktes verlangen. 436 BT-Drs. 19/27653, S. 47 f.; BeckOK BGB/Wendland, 63. Ed. 01.08.2022, § 327b Rn. 3. 437 BT-Drs. 19/27653, S. 47. 438 Vgl. Schulze HK-BGB/Schulze, 11. Aufl. 2021, § 327b Rn. 8; BeckOK BGB/ Wendland, 63. Ed. 01.08.2022, § 327b Rn. 14. 439 Schulze HK-BGB/Schulze, 11. Aufl. 2021, § 327b Rn. 6; BeckOK BGB/Wendtland, 61. Ed. 01.02.2022, § 121 Rn. 6 ff.
B. Personenbezogene Daten als Gegenleistung im BGB
111
Nicht deutlich wird, wie eine Situation zu beurteilen wäre, in der der Verbraucher mit der Bereitstellung seiner personenbezogenen Daten im Sinne von § 327 Abs. 3 BGB zwar das digitale Produkt bezahlen sollte, aber seine Daten zurückhält, mit einem Anti-Tracking-System abschirmt oder sogar die im Zuge des Vertragsschlusses erteilte datenschutzrechtliche Einwilligung unmittelbar nach Zugang zu dem digitalen Produkt widerruft. In diesen Fällen dürfte der Anspruch zwar zunächst noch auf unverzügliche Leistung bestehen, allerdings naheliegender Weise zeitnah durch ein ausgeübtes Kündigungsrecht des Unternehmers wieder entfallen.440 Abgesehen von der mangelfreien441 und unverzüglichen Bereitstellung darf der Verbraucher auch erwarten, dass gewisse Updates des digitalen Produkts erfolgen. Dabei trifft ihn auch eine Mitwirkungspflicht hinsichtlich der Installation dieser Updates. Diese neuen Regelungen hat der Gesetzgeber ausdrücklich in § 327f BGB festgehalten.442 b) Vertragstypologie bei Verträgen mit punktuellem Leistungsaustausch: Kauf- bzw. Tauschvertrag? Im Rahmen der Umsetzung der DIRL wird die Frage nach dem Gegenseitigkeitsverhältnis im Falle von Daten als Gegenleistung ausgeklammert; dies beruht nicht zuletzt auch auf den Beiträgen des EDSB (Europäischer Datenschutzbeauftragter), der eine Kategorisierung von personenbezogenen Daten als Gegenleistung abgelehnt hat.443 Diese Entscheidung gegen den Begriff der Gegenleistung hat aber eher sprachliche Konsequenzen als faktische Auswirkungen auf die entstehenden Rechtsverhältnisse.444 Eine genauere Betrachtung möglicher Unterschiede von punktuellem Leistungsaustausch im Verhältnis zu einem Dauerschuldverhältnis wird dadurch aber nicht zwangsläufig obsolet. Denn die jeweiligen Vorschriften zu den spezifischen Vertragstypen aus dem 8. Abschnitt des BGB können grundsätzlich weiterhin Anwendung finden oder es könnte ein Vertrag sui generis zugrunde liegen.445 Um einen genaueren Überblick über im Einzelnen verschiedene Rechtsfolgen zu erhalten, ist eine genauere Untersuchung sinnvoll – auch aus datenschutzrechtlicher Perspektive: Denn eine erteilte Einwilligung kann sich entweder nur auf die Datenerhebung und Verarbeitung im Zeitpunkt des Vertragsschlusses beziehen oder aber auch zukünftige Datenverwertungen nach dem einmaligen Bereitstellen des digitalen Dienstes umfassen. 440
Siehe dazu Kap. 2, B. IV. 3. c) cc) und VII. 2. d). Dazu ab Kap. 2, B. VII. 1. 442 Dazu im Detail Piltz/Kühner, CR 2021, 1, 4 ff. 443 Einleitung der Stellungnahme des EDSB, 23.06.2017 (ABl. EU 2017/C 200/07); BT-Drs. 19/27653, S. 40. 444 Siehe dazu Kap. 2, A. I. 445 BT-Drs. 19/27653, S. 37 f., 47. 441
112
Kap. 2: Personenbezogene Daten als Entgelt
Bei manchen Konstellationen findet auf beiden Seiten nur ein einmaliger Leistungsaustausch statt. Beispielhaft könnte der Download/das Streamen eines Musiktitels oder Videos sein (sog. On-Demand-Dienste). Der einmalige Austausch der Leistungen führt hier im Regelfall zur Erfüllung der Ansprüche. Daher wäre an einen Tauschvertrag nach § 480 BGB i.V. m. §§ 433 Abs. 1, 453 Abs. 1 BGB zu denken: Ein digitales Produkt ist als sonstiger Gegenstand i. S. v. § 453 Abs. 1 BGB qualifizierbar, ebenso die personenbezogenen Daten.446 Indes kann hinsichtlich der Pflichten des Verantwortlichen hier tatsächlich schlicht auf die §§ 327 ff. BGB verwiesen werden: Denn mit der Änderung des § 453 Abs. 1 BGB, der die Anwendbarkeit kaufrechtlicher Vorschriften im Falle eines Erwerbs digitaler Produkte einschränkt, um auf die neu geschaffenen §§ 327 ff. BGB zu verweisen, sind sinngemäß auch Tauschgeschäfte erfasst. Schließlich sollen die §§ 327 ff. BGB gemäß § 327 Abs. 3 BGB gerade auch für Geschäfte gelten, bei denen anstelle einer Geldleistung personenbezogene Daten bereitgestellt werden. c) Vertragstypologie bei Verträgen mit Dauerschuldcharakter Verträge mit unzweifelhaftem Dauerschuldcharakter können zum Beispiel vorliegen, wenn (befristet) Lizenzen zur Verfügung gestellt werden, z. B. Anti-VirusSoftware, e-Books u. Ä. Ebenso könnten Dienste, die jederzeit aktualisiert zur Verfügung stehen, in diese Kategorie fallen, z. B. Google Maps (mit Staumeldungen usw.) und soziale Netzwerke. aa) Tauschvertrag, § 480 BGB Gleich, ob man schwerpunktmäßig auf das digitale Angebot oder den Vorgang der Datenübertragung abstellen würde, kann ein einzelner Tauschvertrag wohl kaum die regelmäßige Nutzung und dauerhafte Verfügbarkeit der Online-Dienste erfassen; er müsste bereits für die Zukunft geschlossen werden oder es müsste sich mit jedem Aufruf des digitalen Dienstes und jeder neuen Datenerhebung um einen weiteren Vertragsschluss handeln.447 Die Kategorisierung als Kauf- oder Tauschvertrag scheitert am Dauerschuldcharakter.448 Denkt man indes an Dienste, die nach dem einmaligen Download mit regelmäßigen Updates zur Verfügung stehen, ließe sich zumindest einwenden, dass vergleichbare Geschäftsmodelle existieren, in denen sich an einen punktuellen Leistungsaustausch auf Grundlage eines Kaufvertrags Modifikationen desselben 446 Specht, JZ 2017, 763, 764; Faust, NJW-Beil 2016, 29, 30; Walker, Die Kosten kostenloser Dienste, S. 168; siehe auch zur Leistung des Verbrauchers Kap. 2, B. IV. 3. d) aa). 447 Die Abgrenzung zwischen Update und neuem Produkt kann indes manchmal schwierig sein, Spindler/Sein, MMR 2019, 488, 489. 448 Vgl. Langhanke, Daten als Leistung, S. 229; Walker, Die Kosten kostenloser Dienste, S. 169; Specht, JZ 2017, 763, 764.
B. Personenbezogene Daten als Gegenleistung im BGB
113
anschließen, so z. B. bei Kaufverträgen, die mit Wartungsverträgen unmittelbar verknüpft sind.449 Ähnlich gestaltet sich auch § 327f BGB, nach dem der Unternehmer verpflichtet ist, das digitale Produkt durch die nötigen Aktualisierungen auf dem neuesten Stand zu halten.450 Der Austausch der Hauptleistungen kann jedoch auch weiterhin nur punktuell sein.451 Handelt es sich also abgesehen von erwartbaren zukünftigen Aktualisierungen nur um einen einmaligen Austausch, ist auf Seiten des Anbieters digitaler Produkte eine einmalige Tauschsituation durchaus naheliegend. Betrachtet man indes die Gesamtsituation, i. e. auch die etwaigen Pflichten des Verbrauchers, käme man zu einem anderen Ergebnis: Entsprechend der unter den vorangehenden Punkten erläuterten Argumente, nach denen die Zahlung mit den personenbezogenen Daten regelmäßig gerade nicht auf den Moment des Leistungsaustauschs begrenzt ist, sondern aufgrund einer umfassenden Einwilligung darüber hinaus in die Zukunft reicht,452 ist ein Dauerschuldcharakter auch hier passend. Mit jeder Nutzung werden Daten als Gegenleistung generiert, es erfolgt somit eine Art laufende Bezahlung mit Daten. Der Vergleich mit Kaufverträgen, die mit Wartungsverträgen verknüpft werden, kann daher auch für solche Konstellationen nicht überzeugen. bb) Miet-/Pachtvertrag Vielmehr könnte die Hauptleistungspflicht des Anbieters darin gesehen werden, den Dienst weiterhin (funktionsfähig) zur Verfügung zu stellen, Updates wären dann lediglich ein logischer Teil dieser Hauptleistungspflicht – ähnlich wie die Instandhaltung der Mietsache beim Mietvertrag. Man könnte daher auf die Idee kommen, dass das Produkt gemietet wird.453 So wird jedenfalls hinsichtlich ähnlicher Verträge mit Software als Vertragsgegenstand festgehalten, dass „jede zeitlich begrenzte Überlassung von Nutzungsrechten an Software als Mietvertrag oder Rechtspacht angesehen“454 werden müsse. Unüberwindlich erscheint hier auf den ersten Blick das Erfordernis einer Sache, also eines körperlichen Gegenstands im Sinne des § 90 BGB, als Vertragsobjekt der Miete.455 Eine „Rechts“449
Zu punktuellem Austausch mit Updates: Spindler/Sein, MMR 2019, 488, 489. Dazu im Detail MüKoBGB/Metzger, 9. Aufl. 2022, § 327f Rn. 1 ff.; Piltz/Kühner, CR 2021, 1, 4 ff. 451 Spindler/Sein, MMR 2019, 488, 489. 452 Walker, Die Kosten kostenloser Dienste, S. 169; Specht, JZ 2017, 763, 764. 453 Wehleit, MMR 2018, 279, 281. 454 Thüsing/v. Westphalen/Hoeren, Vertragsrecht, IT Verträge Rn. 160. 455 Denn digitale Daten seien letztlich „hybride Rechtsobjekte zwischen körperlichen Sachen im Sinne des § 90 BGB und immateriellen Gütern, an denen Immaterialgüterrechte wie Urheber-, Patent- oder Markenrechte bestehen können“, so Auer, ZfPW 2019, 130, 137; a. A. Wehleit, MMR 2018, 279, 281, der die fehlende Sachqualität für überwindbar befindet. 450
114
Kap. 2: Personenbezogene Daten als Entgelt
Miete war bis zur Umsetzung der DIRL im BGB nicht vorgesehen;456 eine planwidrige Reglungslücke erschien ausgeschlossen, da die Pacht eine solche Einschränkung gerade nicht enthielt.457 Der neu eingefügte § 548a BGB mit dem Titel „Miete digitaler Produkte“ setzt den Überlegungen im Wesentlichen ein Ende und hält fest, dass die Vorschriften über die Miete von Sachen auf die Miete digitaler Produkte entsprechend anzuwenden sind. Das Gesetz schreibt insofern die lange umstrittene entsprechende Anwendung von nun an selbst vor. Bis zur Veröffentlichung des Referentenentwurfs erschien aufgrund des schwer überwindbaren Erfordernisses eines körperlichen Gegenstands nur eine Pacht denkbar,458 da in § 581 BGB alle Gegenstände Vertragsobjekt sein können, Sachen und Rechte gleichermaßen.459 Der Abgrenzungspunkt zwischen Miete und Pacht liegt neben dem Vertragsgegenstand aber auch im Verhältnis des Empfängers zu diesem: Bei der Pacht darf der Empfänger aus dem Vertragsgegenstand Früchte ziehen, Erträge erwirtschaften, bei der Miete hingegen nicht.460 Tatsächlich zieht der Endnutzer von Google, Facebook und Co. regelmäßig keine Früchte oder Nutzungen, sondern genießt lediglich die Benutzung der Dienste als solcher.461 Insofern ist die Rechtspacht eigentlich nicht einschlägig – würde man diesen Aspekt der Fruchtziehung gänzlich außen vor lassen, entspräche im Ergebnis die Pacht einer Miete ohne das Erfordernis eines körperlichen Gegenstands; der bis zur Umsetzung der DIRL ausschließlich auf körperliche Gegenstände beschränkte Wortlaut der Miete würde leer laufen. Dennoch wurde dieses Tatbestandsmerkmal „körperlicher Gegenstand“ bei Verträgen mit Software als Vertragsgegenstand bereits vor der Umsetzung der DIRL großzügig ausgelegt, sodass Software bereits als tauglicher Vertragsgegenstand eines Mietvertrags verstanden wurde.462 Insbesondere sog. ASP-Verträge wurden von Rechtsprechung und Literatur regelmäßig so eingeordnet.463 ASP steht für „Application Service Provider“, dabei handelt es 456
MüKoBGB/Häublein, 8. Aufl. 2020, § 535 Rn. 73, Vor § 535 Rn. 8. Dazu Walker, Die Kosten kostenloser Dienste, S. 171 ff. 458 Specht, JZ 2017, 763, 765. 459 Redeker/Gerlach, Handbuch IT-Verträge, Software-Miete Rn. 13. 460 Thüsing/v. Westphalen/Hoeren, Vertragsrecht, IT Verträge Rn. 161; ausführlich Walker, Die Kosten kostenloser Dienste, S. 171 ff. 461 Vgl. hinsichtlich Software allgemein Thüsing/v. Westphalen/Hoeren, Vertragsrecht, IT Verträge Rn. 161. 462 BeckOK BGB/Zehelein, 61. Ed. 01.02.2022, § 535 Rn. 207 m.w. N.; Köhler, CR 1987, 827, 828. 463 Definition des ASP-Vertrags bei Spindler/Schuster/Schuster, Das Recht der elektronischen Medien, 4. Aufl. 2019, BGB § 307 Rn. 48: „Hauptleistung bei diesen Verträgen ist die Onlinenutzung fremder (Standard-)Software, die in aller Regel nicht nur einem, sondern einer Vielzahl von Kunden zur Verfügung gestellt wird“; zur Einordnung als Mietvertrag BGH, NJW 2007, 2394 Rn. 13: „Als typische Leistung steht beim ASP-Vertrag danach die Gewährung der Online-Nutzung von Software für eine begrenzte Zeit im Mittelpunkt der vertraglichen Pflichten. Es liegt deshalb nahe [. . .] als 457
B. Personenbezogene Daten als Gegenleistung im BGB
115
sich um einen Anwendungsdienstleister, der eine Anwendung („Application“) zum Informationsaustausch über ein Netzwerk anbietet und dabei die gesamte Administration und digitale Infrastruktur (Datensicherung, Updates u. Ä.) zu deren Funktionalität herstellt („Service Provider“).464 Hierfür wurde jedoch als (im Grunde stets erfüllte) Voraussetzung angesehen, dass die Software auf irgendeiner Hardware gespeichert ist, d. h., dass das inzwischen digital vervielfältigte Urprodukt noch einem körperlichen Gegenstand zugeordnet werden kann.465 Dadurch könnte auch dem Einwand, dass es sich lediglich um eine virtuelle Sache handelt, begegnet werden. Selbstverständlich sind auch die Algorithmen und Systeme, die beispielsweise Facebook und Google funktional halten, an irgendeinem Ort analog gespeichert. Aus diesem Grunde einen Mietvertrag anzunehmen, erschiene nichtsdestotrotz fernliegend. Denn letztlich wird die Software im Moment ihrer Installation (bzw. Verwendung) wiederum auf der Hardware des jeweiligen Rechners implementiert und erfährt somit eine neuerliche Verkörperung.466 Unter der Voraussetzung, dass der Datenträger, auf dem die Software gespeichert ist, grundsätzlich inhaltlich änderbar ist, konnte also eigentlich keine Sachqualität angenommen werden. Der BGH überdehnte den Sachbegriff insofern mit der Annahme, dass die bloße irgendwo stattfindende Verkörperung als solche (wenngleich diese eben nicht an einen bestimmten Gegenstand = Datenträger gebunden ist) ausreichte, eine Sachqualität zu begründen.467 Die Sachqualität haftet nämlich gerade nicht an der Software, sondern an dem Datenträger, auf dem sie zufällig gespeichert ist. Eine Übertragung von dessen Eigenschaften auf die Software als solche bliebe mithin reine Fiktion.468 Eine direkte Anwendung von mietvertraglichen Vorschriften konnte daher nicht einschlägig sein. Eher war bis zum Inkrafttreten der DIRL-Umsetzung entweder eine entsprechende Anwendung der Rechtspacht trotz mangelnder FruchtRechtsgrundlage für diese vertraglichen Ansprüche, einen Mietvertrag, der die entgeltliche Gebrauchsüberlassung einer beweglichen oder unbeweglichen Sache zum Gegenstand hat, anzunehmen.“ Siehe auch BeckOK BGB/Zehelein, 61. Ed. 01.02.2022, § 535 Rn. 333; MüKoBGB/Häublein, 8. Aufl. 2020, § 535 Rn. 74. 464 BGH, NJW 2007, 2394. 465 BGH, NJW 2007, 2394. 466 Redeker, IT-Recht, Rn. 282. 467 Redeker, IT-Recht, Rn. 282. In Rn. 283 spitzt Redeker zu: „Das Herunterladen von Software auf einen Rechner, die gezielte Übertragung auf einen Rechner von einem anderen Rechner aus, all dies sind eindeutig Vorgänge, in denen nicht eine vorhandene Sache auf eine dritte Sache übertragen wird, sondern mit Hilfe elektrischer Signale die Magnetisierung von Festplatten u. ä. Dingen geändert werden. Dies macht deutlich, dass Software nicht getrennt vom Träger eine Sache sein kann. Hätte der BGH Recht, wäre der Traum vieler ,Trekkies‘ Wirklichkeit. Wird die ,Sache‘ Software per Funkwellen übertragen, wird eine Sache gebeamt.“ 468 Redeker, IT-Recht, Rn. 282 ff., 1231.
116
Kap. 2: Personenbezogene Daten als Entgelt
ziehung oder eine entsprechende Anwendung der Vorschriften über die Miete trotz mangelnder Sacheigenschaft des Vertragsobjekts anzudenken. Hinsichtlich der erforderlichen Regelungslücke als Analogievoraussetzung lag hier jedoch bereits ein Problem: Zwar hat der Gesetzgeber bei Genese der Normen § 535 und § 580 BGB wohl nicht an Anbieter digitaler Dienste gedacht, sodass man eine planwidrige Regelungslücke erkennen könnte – schließlich hätte der Gesetzgeber diesen Fall womöglich geregelt, wäre er vorhersehbar gewesen (so wie inzwischen mit § 548a BGB für die Miete geschehen). Die vergleichbare Interessenlage erschien indes problematisch. Denn es ließ sich deutlich festhalten, dass die jeweiligen Abgrenzungskriterien zwischen Pacht und Miete beide dazu führen müssten, dass für den Fall einer Gebrauchsüberlassung ohne Fruchtziehung eben die Pacht gerade nicht naheliegend oder vergleichbar ist,469 und ebenso, aufgrund des deutlichen inneren Bezugs des § 535 BGB auf Sachen i. S. d. BGB, dass die Miete sich nur auf körperliche Gegenstände beziehen sollte. Aufgrund des Fehlens einer dieser zwei Eigenschaften, die den Vertragstyp gerade charakterisieren, konnte bis zum Inkrafttreten der neuen Regelungen insofern schwerlich eine solche Analogie begründet werden. Die Einführung des § 548a BGB beendet diese Diskussion und ermöglicht trotz aller Bedenken die entsprechende Anwendung der mietvertraglichen Vorschriften auf digitale, nicht-verkörperte Produkte. Das Dogma des körperlichen Gegenstandes als einzig wahres Mietobjekt wird insofern final gebrochen – sogar der Untertitel 3 (Buch 2 Abschnitt 8 Titel 5 des BGB) wird umbenannt in „Mietverhältnisse über andere Sachen und digitale Produkte“. Eine Einschränkung zugunsten der Verbraucher findet sich im ebenfalls neu geschaffenen § 578b BGB, der vor allem die Anwendung mietrechtlicher Gewährleistungsvorschriften bei Verträgen über digitale Produkte zwischen Verbraucher und Unternehmer weitgehend ausschließt und auf den neuen Abschnitt 3 Titel 2a (i. e. §§ 327 ff. BGB) verweist. In den hier betrachteten B2C-Konstellationen bleiben mietrechtliche Vorschriften nach § 578b BGB daher unberücksichtigt. cc) Lizenzvertrag Regelmäßig liegen Lizenzverträge vor beim dauerhaften Überlassen einer Software, wobei umstritten ist, ob hier begrifflich nur die Überlassung auf Zeit oder die endgültige Überlassung der Nutzungsmöglichkeit einer Software gemeint ist.470 Im Einzelnen ist dies nach individueller Auslegung i. S. v. §§ 133, 469
Vgl. Thüsing/v. Westphalen/Hoeren, Vertragsrecht, IT Verträge Rn. 161. Letzteres wurde von der Rechtsprechung regelmäßig als (Rechts-)Kauf behandelt (zumindest in entsprechender Anwendung): BGH, NJW 1988, 406; BGH, NJW 1990, 320; BGH, NJW 1990, 3011; EuGH, NJW 2012, 2565 (UsedSoft GmbH/Oracle International Corp.) Rn. 42 ff. spricht von „Eigentumsübertragung“, was jedenfalls im deutschen Kontext aufgrund des Erfordernisses der Verkörperung bei Software schwieriger 470
B. Personenbezogene Daten als Gegenleistung im BGB
117
157 BGB zu ermitteln. Denn als Vertrag sui generis kann der Lizenzvertrag Elemente und Vorschriften verschiedener Vertragstypen (z. B. Kauf, Miete, Pacht) vereinen oder sich auch nur auf spezifische Aspekte derselben beziehen:471 Ist die dauerhafte Überlassung eines urheberrechtlich geschützten Werkes gegen Entgelt (z. B. Audio- und Videoinhalte, Software) die Hauptpflicht des Unternehmers, so liegt ein Lizenzvertrag nahe, der sich eher an das Kaufrecht anlehnt.472 Handelt es sich um eine Überlassung auf Zeit, spricht mehr für einen Vertrag mit Dauerschuldcharakter.473 Einschlägig sind hier (für entgeltliche Verträge) die Vorschriften über die Rechtspacht,474 denn der Unternehmer wird zur Einräumung der entsprechenden Nutzungslizenz auf Zeit verpflichtet. Allerdings ist zu beachten, dass sich die neuen Vorschriften zur Umsetzung der DIRL auch auf die Anwendungsfälle des Lizenzvertrags als Vertrag sui generis auswirken. Soweit die neuen Vorschriften die kodierten Vertragstypen verdrängen (vgl. § 578b BGB) ist dementsprechend auch keine entsprechende Anwendung dieser Vertragstypen unter Annahme eines Lizenzvertrages möglich. Dann muss wiederum auf die allgemeinen Vorschriften der §§ 327 ff. BGB zurückgegriffen werden. Diese können im Falle eines Lizenzvertrags zur Anwendung kommen, gerade mangels dogmatischer Festlegung hinsichtlich des zugrundeliegenden Vertragstypus. Insofern wird hier, wie bereits erläutert475, darauf hingewiesen, dass ein Lizenzvertrag mit atypischer Gegenleistung (Datenleistung anstelle von Geldleistung seitens des Nutzers) auch aus Sicht der Leistung des Anbieters digitaler Produkte jedenfalls am ehesten passend ist.476 dd) Dienst-/Werkvertrag Je nachdem, ob eher auf den Aspekt der Dienstleistung oder auch der Plattformnutzung abgestellt wird, kann an einen Dienstvertrag zu denken sein.477 Schließlich verlangt beispielsweise die Nutzung sozialer Netzwerke ein stetiges zu begründen ist. Welche speziellen vertraglichen Regelungen zur (entsprechenden) Anwendung kommen, bleibt im Ergebnis stets von der individuellen Vertragsgestaltung abhängig. 471 BGH, GRUR 1970, 547, 549; MüKoBGB/Harke, 8. Aufl. 2020, § 581 Rn. 27; Specht, ZfPW 2017, 763, 764. 472 Taeger/Pohle/Czychowski/Siesmayer, Computerrrechts-Handbuch 36. EL 2021, 1. Abschn. Teil 2, 20.4 Urheberrecht Rn. 121. 473 Loewenheim/Lehmann/Spindler, Urheberrecht, 2. Aufl. 2021, § 82 Verträge über Computerprogramme Rn. 32. 474 Staudinger/Schaub, (2018) Vor § 581 Rn. 83; Taeger/Pohle/Czychowski/Siesmayer, Computerrrechts-Handbuch 36. EL 2021, 1. Abschn. Teil 2, 20.4 Urheberrecht Rn. 121; siehe auch ausführlich Walker, Die Kosten kostenloser Dienste, S. 176. 475 Siehe Kap. 2, B. IV. 3. e) cc). 476 Siehe Kap. 2, B. IV. 3. e) cc). 477 Jandt/Roßnagel, MMR 2011, 637, 639.
118
Kap. 2: Personenbezogene Daten als Entgelt
Arbeiten der Algorithmen, welche die Strukturen des Netzwerks abbilden.478 Auch etwaige Verträge im Bereich des Cloud-Computing479 könnten darunter fallen, so z. B. die Nutzung verschiedener Google-Angebote wie GoogleMail oder GoogleDocs. Das rein ordnungsgemäße Tätigwerden und Bemühen, wie es für den Dienstvertrag genügend ist,480 wird dem Nutzer hier allerdings nicht reichen; vielmehr erwartet der Nutzer, dass die Netzwerke und Server funktionieren, also ein bestimmter Erfolg abrufbar ist.481 Problematisch ist hier daher nicht nur, dass, anders als beim Dienstvertrag grundsätzlich vorgesehen, kein monetäres Entgelt gezahlt wird482 – denn eine Vergütung in Form des Zugangs zu den personenbezogenen Daten ist im Dienstvertragsrecht grundsätzlich möglich.483 Jedoch wird der Nutzer erwarten, dass die Leistung über ein Tätigwerden hinausgeht und er auf das Produkt zugreifen kann. Aufgrund des erwarteten Erfolgs könnte daher an einen Werkvertrag zu denken sein. Aber auch ein Werkvertrag muss ausscheiden, da das Angebot keiner individuellen Werkleistung entspricht: Es erfordert gerade keinen werkspezifischen Bezug auf den Wunsch des einzelnen Nutzers, sondern jeder Nutzer kann das Angebot abrufen und nutzen, soweit er möchte und soweit er seine Einwilligung erteilt.484 Zwar spricht dies nicht gegen eine Art „standardisierten“ Werkvertrag. Indes ist auch bei einem solchen das Werk in seinem Umfang nicht per se durch die Nutzungsintensität des Bestellers beschränkt. Die Besonderheit liegt hier gerade darin, dass der Nutzer bei Nutzung des Angebots seine durch die Nutzung generierten Daten zur Verfügung stellt – dieses Modell entzieht sich der Kategorisierung als Werkvertrag. Auch ein Auftrag nach § 661 BGB wäre demnach unpassend, weil eine Gegenleistung (in Form der Datenbereitstellung) erbracht wird. Letztlich kann hier auf § 327 Abs. 4 BGB verwiesen werden: Das neue Verbrauchervertragsrecht soll sich auch auf Verträge beziehen, die digitale Produkte zum Gegenstand haben, welche nach den Spezifikationen des Verbrauchers entwickelt werden.485 Dienstvertragliche Vorschriften können dabei indes nur dann ergänzend hinzutreten, wenn tatsächlich eine reine Dienstleistung angeboten wird. In der Regel ist mit der digitalen Dienstleistung jedoch auch ein weiteres digitales Produkt unmittelbar verbunden. Häufig werden digitale Services auch erst in Verbindung mit digitalen Inhalten relevant. In Verbindung mit der Bereitstellung eines digita478
Vgl. Jandt/Roßnagel, MMR 2011, 637, 639. Def. Cloud-Computing: IT-Leistungen, die „nach Bedarf über ein Netzwerk zur Verfügung gestellt werden“, siehe Boehm, ZeuP 2016, 358, 359. 480 Statt vieler BeckOK BGB/Baumgärtner, 61. Ed. 01.02.2022, BGB § 611 Rn. 10. 481 Boehm, ZeuP 2016, 358, 359; Wicker, MMR 2012, 783, 784. 482 Bräutigam, MMR 2012, 635, 636. 483 Staudinger/Latzel, (2020) BGB § 611 Rn. 329; zustimmend Walker, Die Kosten kostenloser Dienste, S. 174. 484 Wicker, MMR 2012, 783, 784. 485 Dazu Schulze HK-BGB/Schulze, 11. Aufl. 2022, § 327 Rn. 20. 479
B. Personenbezogene Daten als Gegenleistung im BGB
119
len Inhalts kann aber nicht vorrangig Dienstleistungsrecht anwendbar sein; der Anwendungsbereich für diese Normen ist daher in der Regel nicht eröffnet.486 d) Zwischenergebnis Die allgemeinen Grundsätze zu Pflichten des Anbieters digitaler Produkte finden sich seit der Umsetzung der DIRL in §§ 327 ff. BGB. Eine vertragstypologische Einordnung findet in diesen Vorschriften indes nicht statt; die individuellen Vorschriften und Grundsätze der klassischen BGB-Verträge können – soweit nicht ausgeschlossen (z. B. in § 578b BGB) – also weiterhin für Detailfragen von Bedeutung sein. Verträge mit einmaligem, beidseitig ausschließlich punktuellem Leistungsaustausch weisen indes wenige Besonderheiten und Probleme auf, da die punktuelle Abwicklung weniger Angriffsfläche bildet. Sobald auf Seiten des Nutzers jedoch eine Einwilligung in zukünftige Datenverarbeitungen seitens des Unternehmers erfolgt, gestaltet sich die Situation schwieriger. Obwohl auf den ersten Blick ein punktueller Austausch (durch die Einwilligung rechtlich zulässiger Datenzugang gegen digitales Produkt) vorzuliegen scheint, ist im Ergebnis hier bereits ein Dauerschuldverhältnis zu bejahen. Denn die Datenverarbeitungen gehen hier (in vorab kalkulierter Weise) über den punktuellen Austauschmoment hinaus. Für Verträge mit unzweifelhaftem Dauerschuldcharakter, bei denen die Leistungspflicht des Anbieters in der dauerhaften Bereitstellung digitaler Inhalte oder Dienste besteht, sind je nach individueller Ausformung die Vorschriften über Rechtspacht oder Miete in entsprechender Anwendung bei Zugrundelegung eines Lizenzvertrages anwendbar.487 Die Pflichten des Anbieters digitaler Dienste umfassen demnach je nach individueller Vertragsprägung folgende Teilbereiche: im Falle der Anwendbarkeit einer Rechtspacht oder Miete, das funktionale Bereitstellen der genutzten Dienste, im veralteten Terminus: deren Gebrauchsüberlassung. Besteht ein bereitgestelltes Produkt tatsächlich nur im Tätigwerden ohne zusätzliche (und eigentlich vorrangig für den Verbraucher interessante) Gebrauchsüberlassung, kommt auch ein Dienstvertrag als Vertragsgrundlage in Frage. 5. Vertrag sui generis oder neuer Vertragstyp „Datenvertrag“? Die Schwierigkeit der jeweiligen vertraglichen Einordnung der Leistungspflichten lässt an die Möglichkeit denken, schlicht eine Qualifizierung als Ver486 487
Walker, Die Kosten kostenloser Dienste, S. 174 f. Specht, JZ 2017, 763, 765; Metzger, AcP 2016, 817, 837 f.
120
Kap. 2: Personenbezogene Daten als Entgelt
trag sui generis vorzunehmen, § 311 Abs. 1 BGB,488 ähnlich wie auch bei Lizenzverträgen. Doch bietet die Auslegung als Vertrag sui generis eine ausreichende Schutzwirkung für den Verbraucher? Letztlich dienen die neuen §§ 327 ff. BGB auch dazu, hier etwaige Lücken zu füllen. Die Regelungen sagen indes nichts über die individuelle Vertragstypologie aus.489 Es wird auch vertreten, dass die Probleme des „Datenvertrags“ zu spezifisch sind, um sie mit allgemeinen Regeln lösen zu können, und es daher einen neuen rechtlichen Rahmen braucht: Die notwendige Schaffung eines Datenschuldrechts, das den privatrechtlichen Umgang mit verhaltensgenerierten Daten ordnet.490 Denn gerade dieser Umgang wird von den neuen §§ 327 ff. BGB nicht genauer geregelt. Argumentiert wird dafür auch damit, dass die zu erfüllenden Anforderungen der DIRL (und im Ergebnis auch deren Umsetzung) „quer zu den hergebrachten BGB-Vertragstypen“491 liegen. Die Umsetzung der DIRL berücksichtigt zwar den Umgang mit digitalen Produkten, sodass ein Rückgriff auf § 311 Abs. 1 BGB zunächst unangebracht erscheinen könnte. Vor einer genauen Ansprache und Kartierung der Bedeutung und Rolle von personenbezogenen Daten als Gegenleistung hütet sie sich jedoch. So steht im entsprechenden Gesetzentwurf gar sinngemäß, dass die Frage, ob die Daten eine Gegenleistung darstellen könnten, irrelevant sei.492 Für eine spezifischere Umsetzung im Sinne eines neuen Datenvertrags im besonderen Teil spricht insofern vor allem das Bedürfnis nach Klarheit. Außerdem ist die Besonderheit zu beachten, dass die Verträge teils mittels Algorithmen vollzogen werden, deren Verständnis dem Verbraucher entzogen ist.493 Andererseits ist zu erwarten, dass die aktuellen Entwicklungen nicht stagnieren werden, sondern weiterhin neue, bis dato nicht umfassend vorhersehbare Modelle entstehen werden, die einen neu geschaffenen Vertragstyp wiederum überholen könn488
Hoeren, MMR 2013, 486, 489; Stender-Vorwachs/Steege, NJOZ 2018, 1361,
1363. 489
So ist es auch von der DIRL vorgesehen, siehe Erwägungsgrund 12 DIRL. Metzger, JZ 2019, 577; zumindest in diese Richtung fragend Specht, JZ 2017, 763, 764 und 770; ebenso in diese Richtung Schmidt-Kessel, Wandlungen des Privatrechts – Erwartungen an ein Privatrecht 2050, in: Beyer/Erler/Hartmann et al. (Hrsg.), Jahrbuch Junge Zivilrechtswissenschaft. Privatrecht 2050 – Blick in die digitale Zukunft, S. 9, 30, erwartet zumindest eine „Ausdifferenzierung der Privatrechtsordnung“, weil die „Regulierung von Werbung, Reputation und Datenverwertung den Leistungscharakter dieser Vorgänge bisher nicht hinreichend abbildet“. 491 Metzger, JZ 2019, 577. 492 BT-Drs. 19/27653, S. 35, 40. 493 Vgl. Spindler, Der Betrieb 2018, 41, 45 f.; zum Vertragsschluss autonomer Softwareagenten siehe Effer-Uhe, RDi 2021, 169; Weingart, CR 2020, 701. 490
B. Personenbezogene Daten als Gegenleistung im BGB
121
ten.494 Es wird daher auch empfohlen, sich, soweit ohne große Brüche möglich, im Rahmen der bekannten Vertragstypen zu verständigen.495 Ob eine Lösung auf typologischer Ebene ein Allheilmittel für die zugrundeliegenden, sich mitten in der Entwicklung befindlichen Probleme sein kann, darf durchaus hinterfragt werden.496 Ganz ohne intendierte privatrechtliche Flankierung im nationalen Recht bleibt hinsichtlich der alltäglich erbrachten Daten-Gegenleistung der Verbraucher jedoch eine Lücke, die kaum tragbar erscheint. 6. Ergebnis Insgesamt muss für die in Frage stehenden Verträge wenigstens eine konditionale Verknüpfung497, häufiger aber ein Synallagma498 angenommen werden; entscheidend bleibt dafür die Auslegung der Willenserklärungen und des Vertrags, §§ 133, 157 BGB.499 Berechtigt mag jedoch der Eindruck entstehen, dass die gewohnten Kategorien von synallagmatischen oder konditionalen Verknüpfungen beide bei weitem nicht maßgeschneidert sind, sondern eher eine Form darstellen, in die sich die untersuchte Konstellation je nach Argumentation und Einzelfall stets nur unter Abstrichen und Wertungswidersprüchen zwängen lässt.500 Zu beachten ist in der konkreten Vollziehung des Vertrags, dass nicht die aktive Bereitstellung der Daten durch den Betroffenen erforderlich ist; die (mangels anderer Erlaubnistatbestände) aufgrund einer entsprechenden Einwilligung rechtlich erlaubte Erhebung der Daten durch den Verantwortlichen ist der wesentliche Bestandteil der Gegenleistung.501 Das Augenmerk des Datenschutzes liegt gerade auf diesen Übertragungen, die nicht aktiv vorgenommen werden und dem Nutzer 494 Faust, NJW-Beil 2016, 29, 32; in diese Richtung auch Auer, ZfPW 2019, 130, 136; Körber weist daneben zurecht auch auf die Gefahr von „gesetzgeberischen Aktionismus“ hin, NZKart 2018, 105. 495 Faust, NJW-Beil 2016, 29, 32; Auer, ZfPW 2019, 130, 146 f. 496 Auer, ZfPW 2019, 130, 146 f. 497 Dafür Hacker, ZfPW 2019, 148. 498 Dafür Langhanke, Daten als Leistung, S. 145; Metzger, AcP 2016, 817, 835; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 223; Walker, Die Kosten kostenloser Dienste, S. 166 f.; Bräutigam, MMR 2012, 635; Specht, JZ 2017, 763, 770; Jöns, Daten als Handelsware, 2019, S. 120. 499 Walker, Die Kosten kostenloser Dienste, S. 166 f. 500 Ähnlich wohl Schmidt-Kessel, Wandlungen des Privatrechts – Erwartungen an ein Privatrecht 2050, in: Beyer/Erler/Hartmann et al. (Hrsg.), Jahrbuch Junge Zivilrechtswissenschaft. Privatrecht 2050 – Blick in die digitale Zukunft, S. 9, 21. 501 Andernfalls fände eine nicht zu rechtfertigende Begünstigung solcher Datentransfers statt, die nicht aktiv durch den Betroffenen erfolgen. Denn gerade fortlaufende Trackingmethoden, die dem Nutzer keine aktive Eingabe seiner personenbezogenen Daten abverlangen, können invasiv sein und sollten dann auch nicht anders behandelt werden als Fälle aktiver Bereitstellung Hacker, ZfPW 2019, 148, 166 m.w. N.
122
Kap. 2: Personenbezogene Daten als Entgelt
demnach auch weniger bewusst sind oder plakativ vor Augen geführt werden wie aktive Bereitstellungen.502 Jedenfalls erscheint eines – trotz anderer Etikettierung seitens der DIRL – unausweichlich: Die korrekte Bezeichnung der personenbezogenen Daten als in der Regel synallagmatische Gegenleistung für digitale Produkte.
V. Exkurs: Andere Konstellationen 1. Verträge mit zusätzlichem monetärem Entgelt: Telematik- und Freemium-Modelle Ein häufig auftretendes Modell auf dem digitalen Marktplatz ist neben den rein daten- und/oder werbefinanzierten Angeboten dasjenige, bei dem ein verkleinertes Angebot ohne Gegenleistung in Geld wahrgenommen werden kann, für eine umfassende Version des Produkts mit mehr Nutzungsmöglichkeiten aber ein monetäres Entgelt gezahlt werden muss. Solche Modelle werden auch als „Freemium“-Modelle bezeichnet.503 Im ersteren Falle ohne zusätzliche Geldzahlung liegt die Gegenleistung wieder allein in der Bereitstellung der durch die Nutzung generierten personenbezogenen Daten. Die Datengegenleistung ist somit nicht der alleinige Refinanzierungsfaktor, spielt aber auch bei der PremiumVersion mit monetärer Zahlung eine Rolle bei der Gegenleistung bzw. muss hinsichtlich des Wertes der Gegenleistung stets mitberücksichtigt werden – in welchem Verhältnis beide Teile der Gegenleistung stehen, ist dabei nicht immer eindeutig.504 Solche Modelle erscheinen vergleichbar mit den Telematik-Tarifen bei Automobilversicherungen.505 Der Unterschied besteht allerdings darin, dass die Telematik-Tarife bestimmte Anforderungen an die Versicherungsnehmer stellen: Denn die Motivation für den Versicherungsnehmer soll darin bestehen, dass die
502 Siehe dazu Wendehorst/Graf v. Westphalen, BB 2016, 2179, 2180 f.; Hacker, ZfPW 2019, 148, 166 f. 503 Taeger/Pohle/Ammann, Computerrrechts-Handbuch 36. EL 2021, 1. Abschn. Teil 3, 32.2 Überlassung von Standardsoftware Rn. 170. Solche Angebote bieten beispielsweise Dropbox, verschiedene Angebote von Google, LinkedIn usw.; siehe auch Elvy, Columbia Law Review 117 (2017), Vol. 117 No. 6, 1369, 1387, abrufbar unter: https://www.jstor.org/stable/44392955 (Stand 01.05.2022); Kumar, Harvard Business Review Mai 2014, abrufbar unter: https://hbr.org/2014/05/making-freemium-work (Stand 01.05.2022). 504 Hacker, ZfPW 2019, 148, 153 f., 163; Schulze/Staudenmayer/Lohsse/Zoll, Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, S. 179, 186 f. 505 Dazu MAH IT-Recht/Eul, 4. Aufl 2021, Teil 10.2 Connected Cars Rn. 41 ff.; Klimke, r+s 2015, 217, zu datenschutzrechtlichen Bedenken insbesondere ab S. 221; dazu auch Hoeren/Sieber/Holznagel/Brockmeyer, Handbuch Multimedia-Recht, Teil 15.5 Big Data im vernetzten Verkehr Rn. 44 ff.
B. Personenbezogene Daten als Gegenleistung im BGB
123
Analyse seiner Daten eine weniger riskante Fahrweise erkennen lässt, wodurch der günstigere Versicherungstarif gerechtfertigt werden kann.506 Datenschutzrechtlich problematisch ist hier vor allem, wie mit Dritten umgegangen werden soll, die das Fahrzeug nutzen,507 und dass die erhobenen Daten nicht über die Analyse zur Prämien-Festlegung hinaus genutzt und mit anderen Daten des Versicherungsnehmers verknüpft werden sollten, die Möglichkeit dieser Verknüpfung aber nur schwer ausgeschlossen oder kontrolliert werden kann.508 Bei Freemium-Modellen im Internet kommt es nicht auf die Qualität der gelieferten Daten an (lediglich deren Korrektheit509), das Produkt kann mit Einschränkungen ohne monetäres Entgelt genutzt werden. Hier ergibt sich die Verschränkung von Leistung und Gegenleistung wie auch bei komplett datenfinanzierten Geschäftsmodellen aus der Intensität der Nutzung: Wenn mit jeder Nutzung des Freemium-Produkts Daten generiert und zur Weiterverarbeitung bereitgestellt werden, geht die Nutzung stets auch mit der „Datenbezahlung“ einher.510 Wenn der Nutzer die Premium-Version des Produkts mit zusätzlicher monetärer Gegenleistung erwirbt, wird die Datenleistung indes nicht verringert, sondern es besteht eine Kombination aus beiden Gegenleistungen. 2. Vertragsschluss in App-Stores In manchen Konstellationen sind auch drei Parteien beteiligt. Im bisher untersuchten Falle der direkten Nutzung von Plattformen wie Google oder Facebook über den Internetbrowser stehen auf der einen Seite die besagten Anbieter des Dienstes und auf der anderen Seite der Nutzer.511 Wird jedoch beispielsweise eine App von einer Plattform wie einem App-Store heruntergeladen, kommt der Plattformbetreiber als dritte Partei zu Nutzer und App-Anbieter dazu.512 Besonders dieses Dreiecksverhältnis wirft Probleme auf.513
506 Vgl. ähnlich zu Belohnungen für gesundheitsbewusstes Verhalten in der Lebensund Berufsunfähigkeitsversicherung, Brömmelmeyer, r + s 2017, 225; siehe allgemein zu Wirksamkeitsvoraussetzungen für Prämienanpassungsklauseln Armbrüster, r + s 2012, 365. 507 Hoeren/Sieber/Holznagel/Brockmeyer, Handbuch Multimedia-Recht, Teil 15.5 Big Data im vernetzten Verkehr Rn. 49 f.; MAH IT-Recht/Eul, 4. Aufl 2021, Teil 10.2 Connected Cars Rn. 43. 508 Hoeren/Sieber/Holznagel/Brockmeyer, Handbuch Multimedia-Recht, Teil 15.5 Big Data im vernetzten Verkehr Rn. 45; MAH IT-Recht/Eul, 4. Aufl 2021, Teil 10.2 Connected Cars Rn. 42; Kinast/Kühnl, NJW 2014, 3057, 3058. 509 Siehe dazu ab Kap. 2, B. IV. 3. c) dd). 510 Hacker, ZfPW 2019, 148, 153 f. 511 Klein/Datta, CR 2016, 587, 587 f. 512 Klein/Datta, CR 2016, 587, 587 f.; Raitz v. Frentz/Masch, ZUM 2020, 939. 513 Klein/Datta, CR 2016, 587, 588; Raitz v. Frentz/Masch, ZUM 2020, 939.
124
Kap. 2: Personenbezogene Daten als Entgelt
Bei erstmaligem Registrieren auf der Plattform ist regelmäßig eine datenschutzrechtliche Einwilligung einzuholen, wenn – was wohl häufig anzunehmen sein wird – das Nutzerverhalten auf der Plattform analysiert wird.514 Ein individueller Vertrag wird dann geschlossen, wenn der Nutzer innerhalb der Plattform eine App ausgewählt hat und auf das Button Installieren oder Herunterladen klickt. Im Anschluss ist häufig noch eine datenschutzrechtliche Einwilligung erforderlich, wenn die jeweilige App ebenfalls zusätzlich Daten erheben und verarbeiten möchte. Der Installationsvorgang wird gestartet und das Produkt steht dem Nutzer kurze Zeit später zur Verfügung. Da es also keines Zwischenschritts seitens des Plattformbetreibers oder des App-Anbieters bedarf, ist mit der durch den Klick ausgedrückten Willenserklärung des Nutzers der Vertrag zustande gekommen, bzw. die Leistung wird zur Verfügung gestellt.515 Legt man die Willenserklärung des Nutzers nach §§ 133, 157 BGB aus, kommt die Frage auf, an wen sie gerichtet ist und wer als Vertragspartner anzusehen ist.516 Entscheidend ist der objektive Empfängerhorizont.517 Aus dieser Sicht tritt der Plattformbetreiber als virtueller Raum auf, der dem Nutzer das Erwerben von Apps ermöglicht. Ob dies tatsächlich nur ein Raum im Sinne eines Marktplatzes ist,518 auf dem jeder Kunde einen Vertrag individuell mit dem Standanbieter schließt, oder eher ein Ladengeschäft, bei dem unabhängig von Produkt und Regal der Ladeninhaber der Vertragspartner ist (man denke an den Begriff „App-Store“), ist nicht eindeutig. Aus Nutzerperspektive könnte wohl der Betreiber eher als Vermittler als als Vertragspartner angesehen werden, während der App-Anbieter der Vertragspartner ist.519 Allerdings wird bei genauerer Betrachtung deutlich, dass dies durchaus hinterfragbar ist: So gibt beispielsweise der Plattformbetreiber in der Regel die allgemeinen Geschäftsbedingungen für die Nutzung der Plattform, i. e. letztlich auch die Rahmenbedingungen oder Zahlungsmodalitäten (beispielsweise PayPal, Last-
514
Raitz v. Frentz/Masch, ZUM 2020, 939, 947. Hoeren/Sieber/Holznagel/Kitz, Handbuch Multimedia-Recht, Teil 13.1 Rn. 149; a. A. BeckOK-BGB/Eckert, § 145 Rn. 41, der darauf abstellt, dass im Interesse des Anbieters das Liquiditäts- und Haftungsrisiko beachtet werden müsse, sowie auch die Möglichkeit technischer Übertragungsfehler als Auslöser für Schadensersatzansprüche berücksichtigt werden solle. Für den hiesigen Fall, in dem der Nutzer keine Geldleistung erbringt, dürfte diese Argumentation jedoch in der Regel keine allzu große Rolle spielen. 516 Raitz v. Frentz/Masch, ZUM 2020, 939, 944 f.; ausführlich Kannowski/Till, NJOZ 2017, 522, 524. 517 Taeger/Pohle/Ewald, Computerrrechts-Handbuch 36. EL 2021, 1. Abschn. Teil 3, 32.7 Erstellung und Vertrieb von Mobile Apps, Rn. 46 f. 518 Taeger/Pohle/Ewald, Computerrrechts-Handbuch 36. EL 2021, 1. Abschn. Teil 3, 32.7 Erstellung und Vertrieb von Mobile Apps, Rn. 47. 519 Raitz v. Frentz/Masch, ZUM 2020, 939, 945 m.w. N. 515
B. Personenbezogene Daten als Gegenleistung im BGB
125
schrift usw.) des Kaufs vor.520 Ebenso sei in manchen Fällen der Plattformbetreiber aus Nutzerperspektive eigentlich derjenige, der ihm die Leistung zu verschaffen habe, für den fehlerfreien Download verantwortlich sei und auch als einziger potenzieller Vertragspartner „in Erscheinung trete“.521 Gegen diese Einschätzung spricht jedoch, wie sich die Vereinbarungen zwischen App-Anbieter und Plattformbetreiber regelmäßig ausgestalten:522 Die Vereinbarung für den Entwicklervertrieb von Google lässt beispielsweise erkennen, dass der Google Play Store sich als Marktplatz523 versteht, der nur einen Verkaufsrahmen bietet, jedoch selbst nicht als Verkäufer beteiligt ist.524 Dies spiegelt sich auch in der Kaufbestätigung und den Rechnungsdaten wider, die der Nutzer nach dem Kauf erhält. Denn darin verweist Google auf den App-Anbieter für weitere Fragen zum Produkt und tritt selbst nicht als Verkäufer auf.525 Auch aus Nutzersicht liegt die Einschätzung näher, dass es sich um einen Marktplatz handelt, der vermittelt, und nicht selbst verkauft, sodass der App-Anbieter der Vertragspartner wird.526 Regelmäßig ist der Hersteller/App-Anbieter der jeweiligen App deutlich sichtbar hervorgehoben. Insofern kann nicht angenommen werden, dass der App-Store regelmäßig Vertragspartner des Nutzers würde, wenn dieser eine App aus dem Store erwirbt; der Nutzer schließt jedoch im Falle vorangehender Registrierung einen Nutzungsvertrag für den App-Store mit dem Store-Betreiber.527 Zwar erhebt der Store-Betreiber meist auch dauerhaft Daten bei Nutzung des App-Stores, allerdings ist dies eher als Gegenleistung für die Nutzung des Marktplatzes zu qualifizieren als als Gegenleistung für den Download einer „kostenlosen“ Drittanbieter-App, die schließlich bei Gebrauch selbst Nutzerdaten auf520
Kremer, CR 2011, 769, 770 f.; Raitz v. Frentz/Masch, ZUM 2020, 939, 645. Kremer, CR 2011, 769, 771; kritisch Taeger/Pohle/Ewald, ComputerrrechtsHandbuch 36. EL 2021, 1. Abschn. Teil 3, 32.7 Erstellung und Vertrieb von Mobile Apps, Rn. 48. 522 Lachemann, ITRB 2015, 99, 100. 523 Lachemann, ITRB 2015, 99, 100. 524 Siehe beispielhaft die Unterpunkte 3.2, sowie 4.1–4.10 dieser Vereinbarung: Hier ist u. a. geregelt, dass der App-Anbieter ein Konto für die eingehenden Zahlungen des Kunden vorhalten muss, sowie dass Google keine Verantwortung oder Gewährleistung für die Produkte übernehmen möchte; abrufbar unter: https://play.google.com/intl/ ALL_de/about/developer-distribution-agreement.html (Stand 01.05.2022). Zum Ablauf bei Kauf einer App im Google Play Store ausführlich Taeger/Pohle/ Ewald, Computerrechts-Handbuch 36. EL 2021, 1. Abschn. Teil 3, 32.7 Erstellung und Vertrieb von Mobile Apps, Rn. 52 ff., mit dem eindeutigen Ergebnis, dass ein Vertrag zwischen App-Anbieter und Nutzer entsteht. 525 Taeger/Pohle/Ewald, Computerrechts-Handbuch 36. EL 2021, 1. Abschn. Teil 3, 32.7 Erstellung und Vertrieb von Mobile Apps, Rn. 53 f. 526 So im Ergebnis auch Kannowski/Till, NJOZ 2017, 522, 525. 527 Vgl. Walker, Die Kosten kostenloser Dienste, S. 140 zu Diensten mit Registrierungserfordernis. 521
126
Kap. 2: Personenbezogene Daten als Entgelt
grund einer Einwilligung erheben wird und/oder Werbung anzeigt, um sich zu finanzieren. Diese Ergebnisse gelten gleichermaßen für den Download kostenpflichtiger Apps wie auch für Apps, die nicht monetär bezahlt werden, sondern vor allem datenfinanziert sind.
VI. Vertragshindernisse Die klassischen Hindernisse eines Vertrags können auch hier in Erscheinung treten. Dazu gehört die (regelmäßig verdeckte) Minderjährigkeit oder beschränkte Geschäftsfähigkeit des Nutzers, aber auch eine mögliche Betroffenheit von § 138 Abs. 1 und Abs. 2 BGB. Das Kopplungsverbot als konkrete Ausformung einer sittenwidrigen Situation erübrigt nicht die weitere Prüfung dieser Normen.528 1. Minderjährigkeit und Geschäftsunfähigkeit Hinsichtlich des Minderjährigenschutzes ist u. a. maßgebend, ob es sich bei dem in Frage stehenden Geschäft um ein Verpflichtungs- oder Verfügungsgeschäft handelt.529 Hier ist zu differenzieren, worauf sich die Untersuchung bezieht: Die Erteilung der Einwilligung wird teilweise mit einem Verfügungsgeschäft verglichen.530 Die datenschutzrechtliche Einwilligung führt letztlich zu der Preisgabe persönlicher Daten; darin kann grundsätzlich kein rechtlicher Vorteil gesehen werden.531 Darüber hinaus ist diskutabel, ob hinsichtlich des Verpflichtungsgeschäfts aus der scheinbaren Kostenfreiheit auf ein lediglich rechtlich vorteilhaftes Geschäft geschlossen werden darf.532 Betrachtet man als Verpflichtungsgeschäft die eingegangene Verpflichtung zur Angabe korrekter personenbezogener Daten, (z. B. in einem sozialen Netzwerk) kann auch hierin nur ein rechtlich nachteilhaftes Geschäft gesehen werden. Zwar könnte argumentiert werden, dass die freie Ausübung der informationellen Selbstbestimmung eines zumindest einsichtsfähigen Minderjährigen keinen eigentlichen Nachteil für ihn darstellen sollte. Andererseits führt diese Argumentation zu einer Aufweichung der Grundprinzipien des Minderjährigenschutzes: Wenn das allgemeine Persönlichkeitsrecht, i. e. in der Folge nicht nur in Form der informationellen Selbstbestimmung, sondern auch in Form der allgemeinen Handlungsfreiheit, grundsätzlich gegen etwaige rechtliche Nachteile des Minderjährigen abzuwägen
528
Vgl. Hacker, ZfPW 2019, 148, 194 f. Metzger, AcP 2016, 817, 839. 530 Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 4; siehe auch MAH IT-Recht/Heller, 4. Aufl. 2021, Teil 6.4 Daten als Zahlungsmittel Rn. 13 ff. 531 Siehe dazu Kap. 3, A. II. 7. c). 532 Metzger, AcP 2016, 817, 839; Jandt/Roßnagel, MMR 2011, 637, 639 f. 529
B. Personenbezogene Daten als Gegenleistung im BGB
127
wäre, könnte der Minderjährigenschutz in seiner jetzigen Form gar nicht aufrechterhalten werden. Solche Erwägungen haben deshalb außen vor zu bleiben: Ein etwaiger rechtlicher Nachteil wird ohne Verrechnung mit etwaigen Vorteilen ermittelt – er ist gesondert zu betrachten.533 Sowohl die Verarbeitung der personenbezogenen Daten des Minderjährigen und die Verpflichtung zu deren Bereitstellung sind deshalb in den hier betrachteten Konstellationen als rechtlich nachteilhaft zu werten.534 Der zugrundeliegende Vertrag müsste daher eigentlich unwirksam sein.535 Problematisch ist dabei, dass die Einwilligung gemäß Art. 8 Abs. 1 S. 1 DS-GVO von Kindern ab dem Alter von 16 Jahren wirksam möglich ist.536 Dies betrifft jedoch nur Einwilligungen gegenüber Informationsgesellschaften, wie z. B. sozialen Netzwerken.537 Wenn also eine Einwilligung wirksam erteilt werden könnte, aber der in Zusammenhang mit der Einwilligung geschlossene Vertrag unwirksam wäre, ergäben sich massive Wertungswidersprüche. Die DS-GVO-Vorschriften zur Minderjährigkeit würden von den nationalen Vorschriften mehr oder minder ausgehebelt. Deswegen zielgerichtet eine abweichende Wertung des etwaigen rechtlichen Vorteils vorzunehmen, ist bedenklich – könnten doch Grundlagen des nationalrechtlichen Minderjährigenschutzes unterlaufen werden. Bis dato ist dieses Dilemma ungeklärt.538 2. Sittenwidrigkeit: Persönlichkeitsprofile und behavioral microtargeting Angesichts der angesprochenen fehlenden Autonomie mangels Ausweichoptionen und mangels Transparenz für den Verbraucher erscheint eine Sittenwidrigkeit nach § 138 Abs. 1 oder Abs. 2 BGB im Einzelnen durchaus diskussionswürdig, beispielsweise wenn tatsächlich eine Zwangslage des Nutzers vorliegt.539 In der Regel wird Bedenken in diese Richtung freilich eher im Wege des Kopplungsver533 Statt vieler Grüneberg/Ellenberger, 81. Aufl. 2022, § 107 Rn. 2; Wintermeier, ZD 2012, 210, 212. 534 Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 6. 535 Dazu und zur Frage nach der Anwendung von § 110 BGB ab Kap. 3, A. II. 7. a) aa). 536 Dazu ausführlich Kap. 3, A. II. 7. 537 Zum Begriff Schantz/Wolff, Das neue Datenschutzrecht, D. Grundprinzipien und Zulässigkeit der Datenverarbeitung, Rn. 479; Schulz/Gola, ZD 2013, 475, 477; siehe ausführlich ab Kap. 3, A. II. 7. c). 538 Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 6; vgl. Taeger, ZD 2021, 505, 509; vgl. auch Kühling/Buchner/Buchner/ Kühling, 3. Aufl. 2020, DS-GVO Art. 8 Rn. 29a und Art. 7 Rn. 1a zur Frage, inwieweit „spezifisch datenschutzrechtliche Wertungen durch vertragliche ergänzt oder überlagert werden“. 539 Specht, JZ 2017, 763, 770.
128
Kap. 2: Personenbezogene Daten als Entgelt
bots zu begegnen sein; letztlich ist dieses ein konkretisierter Ausdruck von Sittenwidrigkeit. Doch auch ohne das Kopplungsverbot zu bemühen, kann bei Annahme grundsätzlicher Sittengemäßheit ein „Datenvertrag“ im Einzelnen fragwürdig sein. Problematisch ist die Anwendung von § 138 Abs. 2 BGB, da dieser sich gerade auf die Situationen bezieht, in denen ein auffälliges Missverhältnis zwischen Leistung und Gegenleistung besteht (und dieses vorsätzlich ausgenutzt wird).540 Die Preisintransparenz im Rahmen von datenfinanzierten Onlinediensten wird hier regelmäßig eine Subsumtion erschweren (da auch für den Rechtsanwender eine Preisintransparenz besteht). Zudem sind hohe Anforderungen an § 138 Abs. 2 BGB zu stellen, nicht zuletzt, weil dadurch auch strafrechtliche Konsequenzen ausgelöst werden können (§ 291 StGB).541 Eher könnte in vergleichbaren wucherähnlichen Fällen daher eine Nichtigkeit gem. § 138 Abs. 1 BGB im Einzelfall erwogen werden.542 Für alle weiteren Fallgruppen ist entscheidend, inwieweit der Vertrag inhaltlich sittenwidrig ist.543 Nach der ständigen Rechtsprechung ist ein Geschäft sittenwidrig, wenn es nach seinem aus der Gesamtwürdigung von Inhalt, Beweggrund und Zweck zu entnehmenden Charakter mit den grundlegenden Wertungen der Rechts- und Sittenordnung nicht zu vereinbaren ist.544 Dies ist hier konkret denkbar, wenn ein Vertrag zur Folge hat, dass umfassende Persönlichkeitsprofile erstellt werden oder auch wenn gewisse Datenmengen zur unbegrenzten Weiterveräußerung und Nutzung durch Dritte geöffnet sind.545 Insbesondere wenn diese beiden Faktoren zusammenkommen, besteht die Gefahr, dass gleich mehrere Marktakteure umfassende Persönlichkeitsabbildungen vornehmen könnten. Zu unterscheiden ist die bloße Ansammlung von Daten über einen Konsumenten von der Interpretation dieser Daten, die durch die Verknüpfung zahlreicher Datenkomponenten eine detaillierte individuelle Konsumentenpersönlichkeit bis 540 Statt vieler Grüneberg/Ellenberger, 81. Aufl. 2022, § 138 Rn. 66 ff.; Ebers, MMR 2018, 423, 426. 541 Jauernig/Mansel, 18. Aufl. 2021, BGB § 138 Rn. 19; siehe auch BGH, NJW 2003, 1860, 1861. 542 Statt vieler MüKoBGB/Armbrüster, 9. Aufl. 2021, § 138 Rn. 205. 543 Allgemeiner Überblick bei MüKoBGB/Armbrüster, 9. Aufl. 2021, § 138 Rn. 51 ff. 544 Siehe z. B. BGH, NJW 2008, 2026, 2027 Rn. 21; 2015, 2248, 2250 Rn. 69; 2016, 2662, 2663 Rn. 37; 2019, 3635, 3637 Rn. 24. 545 Specht, GRUR Int. 2017, 1040, 1044; Metzger, AcP 2016, 817, 843; ähnlich Bull, NJW 2006, 1617, 1621; Schwintowski, NJOZ 2018, 841, 846; siehe dazu auch die Urteile des BVerfG, NJW 1984, 419, 424 (Volkszählungsurteil) und NJW 1969, 1707 (Repräsentativstatistik), nach denen eine solche Bildung von Persönlichkeitsprofilen jedenfalls für den Staat undenkbar bleiben muss – eine mittelbare Drittwirkung zwischen Privaten erscheint mindestens naheliegend.
B. Personenbezogene Daten als Gegenleistung im BGB
129
hin zu intimen persönlichen Präferenzen nachzeichnet; während ersteres als ein „Nebeneinander“ von Daten einen weniger intensiven Eingriff in das Persönlichkeitsrecht des Betroffenen darstellt, ist letzteres nicht mit einem einzigen Eingriff zu beschreiben, sondern vielmehr als die Summe mehrerer isoliert betrachtet noch nicht zu invasiver Verknüpfungen.546 Wann genau die Grenze zwischen Datenansammlung und Persönlichkeitsabbildung überschritten ist, bleibt dabei vom Einzelfall abhängig. Im Einzelfall könnte nämlich auch eine bloße Ansammlung von Daten in ihrer Extension bestimmte Interpretationen über die Persönlichkeit aufdrängen und somit wiederum einem Persönlichkeitsprofil nahezu entsprechen.547 Das Unglückliche an dieser Situation ist, dass eine schwer zu überblickende und technisch komplexe Materie mit dem offenen Begriff der Sittenwidrigkeit zusammenkommt: Beide Enden sind offen und eine Subsumtion erfordert demnach besonderen Begründungsaufwand und auch besonderes Verständnis hinsichtlich der Verarbeitungsvorgänge und deren Ergebnissen. Um dem Aspekt der Sittenwidrigkeit näher zu kommen, sollte daher für einen leichteren Überblick auch auf die jeweilige Zweckbindung der etwaigen Erstellung von Persönlichkeitsprofilen abgestellt werden. Teilweise werden personenbezogene Daten dazu erhoben, um sogenanntes „behavioral microtargeting“ zu betreiben.548 Das behavioral microtargeting hat über den Cambridge Analytica Skandal eine weit über die Belange des Privatrechts hinausreichende politische Brisanz erhalten.549 Unter dem Begriff behavioral microtargeting versteht man „die personalisierte Ansprache des Einzelnen auf der Grundlage verhaltens- und persönlichkeitsbasierter Nutzerprofile, die durch algorithmische Auswertung personenbezogener Daten erstellt werden“.550 Aufgrund einer solchen (durchaus manipulativen) Vorgehensweise könnte jenseits des § 138 Abs. 1 BGB kaum auf eine unmittelbare Nichtigkeit geschlossen
546
Specht, GRUR Int. 2017, 1040, 1044; Moos, MMR 2006, 718, 721. Vgl. Moos, MMR 2006, 718, 721. 548 Dazu Ebers, MMR 2018, 423; allgemein zum behavioral marketing Wilson, The Ethics of Automated Behavioral Microtargeting, AI MATTERS 3 (2017), 54. 549 Dazu genauer Prietzel, in: Appel (Hrsg.), Die Psychologie des Postfaktischen: Big Data is watching you: Persönlichkeitsanalyse und Microtargeting auf Social Media, S. 81, 84 f.; Übersicht zu sämtlichen relevanten Pressemitteilungen der britischen Zeitung „The Guardian“, abrufbar unter: https://www.theguardian.com/news/series/cam bridge-analytica-files (Stand 01.05.2022), siehe ebenso Confessore, Cambridge Analytica and Facebook: The Scandal and the Fallout So Far, 04.04.2018, abrufbar unter: https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout. html (Stand 01.05.2022); siehe auch Wilson, The Ethics of Automated Behavioral Microtargeting, AI MATTERS 3 (2017), 54, 58 m.w. N. 550 Ebers, MMR 2018, 423, siehe auch Calo, 82 George Washington Law Review 2014, 995, 1015 ff. 547
130
Kap. 2: Personenbezogene Daten als Entgelt
werden: Verlangt doch selbst die arglistige Täuschung oder Drohung einen Akt der Anfechtung seitens des Betroffenen, um die entsprechende Willenserklärung, in Folge also den entsprechenden Vertrag, beseitigen zu können.551 Die andere Möglichkeit, an dem Rechtsgeschäft festzuhalten, bleibt dem Getäuschten/Bedrohten. Eine dem Vertragsschluss vorangehende Manipulation der anderen Partei ist wohl dem Unrechtsgehalt nach kaum gleichermaßen zu bewerten wie eine bewusste Täuschung oder Drohung und kann daher nicht strengere Rechtsfolgen nach sich ziehen.552 Auch die Willensbildung ist bei einer solchen Manipulation nicht genauso gesichert beeinträchtigt wie bei einer Täuschung oder Drohung – es handelt sich um ein „Weniger“ im Verhältnis zu Täuschung oder Drohung. Gleichermaßen muss unter Berücksichtigung der Anfechtungsmöglichkeiten nach § 119 Abs. 1, Abs. 2 BGB argumentiert werden. Eine bloße „Verführung zum Vertragsschluss“ ist ohne weitere Indizien für sich genommen noch nicht einmal unter einen Erklärungs-, Inhalts- oder Eigenschaftsirrtum zu subsumieren.553 Eine lediglich vorvertragliche Manipulation kann, so Ebers, nicht nach § 138 BGB zur Nichtigkeit eines später geschlossenen Vertrags führen.554 Ein schaler Beigeschmack bleibt indes. Primäre Einschränkungen solcher Vorgehensweisen haben an dieser Stelle jedoch nicht allein von privatrechtlicher Seite, sondern vor allem durch das Datenschutzrecht zu erfolgen.
VII. Pflichtverletzungen und Leistungsstörungen Das behavioral microtargeting könnte jedoch eine (ggf. vorvertragliche) Pflichtverletzung darstellen. Auch andere Pflichtverletzungen und Leistungsstörungen kommen in Betracht, die im Folgenden kurz erörtert werden. 1. Leistungsstörungen auf Seiten des Anbieters a) Behavioral microtargeting Möglicherweise gibt es andere Methoden, einen mit und unter behavioral microtargeting geschlossenen Vertrag zu eliminieren. In Frage kämen im B2C-Verhältnis (schuldrechtliche) Widerrufsrechte. Diese sind, so Ebers, jedoch nicht geeignet, unerwünschte durch Manipulation erzeugte Vertragsschlüsse rückgängig zu machen.555 Zwar steht dem Verbraucher bei Verträgen über verkörperte digitale Dienste und Inhalte ein Widerrufsrecht nach 551 552 553 554 555
Ebers, MMR 2018, 423, 425 f. Vgl. Ebers, MMR 2018, 423, 425 f. Ebers, MMR 2018, 423, 426. Ebers, MMR 2018, 423, 426. Ebers, MMR 2018, 423, 426.
B. Personenbezogene Daten als Gegenleistung im BGB
131
§ 312g Abs. 1 BGB zu.556 Anders als bei § 312g Abs. 2 Nr. 6 BGB gefordert,557 ist bei nicht verkörperten Inhalten oder Diensten kein Siegelbruch möglich, der den Zeitpunkt der letztmöglichen Widerrufsmöglichkeit markiert. Daher stellt § 356 Abs. 5 BGB in solchen Fällen auf die Einwilligung in den Verzicht auf das Widerrufsrecht des Verbrauchers ab, regelmäßig beginnend mit erstmaliger Nutzung des Dienstes, Beginn des jeweiligen Downloads o. Ä.558 Der Widerruf wird damit ausgeschlossen, sofern der Verbraucher den jeweiligen Prozess selbst gestartet hat und mit der Einwilligung zur Kenntnis genommen hat, dass sein Widerrufsrecht dadurch erlischt.559 Regelmäßig ist dieser Zeitpunkt bei Verträgen über digitale Inhalte aber so nah am Vertragsschluss selbst, dass der Schutz, den §§ 312 ff. BGB mit der 14-Tage-Frist bezwecken soll, gerade leer läuft und dem Verbraucher hier faktisch kein Widerrufsrecht mehr zusteht. Die standardisierten Verbraucherschutzvorschriften zum Widerruf erscheinen außerdem für die auf Individualisierung beruhende Methode des microtargetings gerade nicht geeignet; schließlich ist der Schutzzweck der §§ 312 ff. BGB gerade auch darin zu erkennen, dass der durchschnittliche Verbraucher auf gewisse Sicherheiten und Rechte zurückgreifen kann; die spezifische Frage nach den Folgen einer individualisierten aus microtargeting basierenden Vertragsanbahnung steht hier nicht im Zentrum.560 Der Widerruf stellt daher keinen geeigneten Schutz vor aufgrund von spezifischem microtargeting abgeschlossenen Verträgen dar. Gleiches gilt für den Widerruf der datenschutzrechtlichen Einwilligung, der die Wirksamkeit des Vertrages gem. § 327q Abs. 1 BGB nicht berührt,561 sondern lediglich dem Unternehmer bei Unzumutbarkeit des Festhaltens am Vertrag ein außerordentliches Kündigungsrecht nach Abs. 2 BGB zugesteht. Ebers schlägt daher vor, dem Problem des behavioral microtargeting mittels der culpa in contrahendo zu begegnen: So könnte sich ein Anspruch auf Vertragsaufhebung ergeben, wenn sowohl eine Informationspflichtverletzung als auch spezifisch die „Ausnutzung von Rationalitätsasymmetrien“ bejaht werden könne.562 Dies würde im Einzelnen freilich voraussetzen, dass eine solche Asymmetrie gerade durch das behavioral microtargeting begründet bzw. bestärkt und
556
Ebers, MMR 2018, 423, 426; Peintinger, MMR 2016, 3, 8. Jauernig/Stadler, 18. Aufl. 2021, BGB § 312g Rn. 8. 558 Peintinger, MMR 2016, 3, 8. 559 Peintinger, MMR 2016, 3, 8; Rudkowski/Werner, MMR 2012, 711, 712. 560 Ebers, MMR 2018, 423, 426; insgesamt wird teilweise Verbesserungsbedarf seitens des Gesetzgebers beim Verbraucherwiderruf im Rahmen von Verträgen über digitale Inhalte gesehen, siehe Peintinger, MMR 2016, 3, 8; Rudkowski/Werner, MMR 2012, 711, 712. 561 BeckOK BGB/Wendland, 63. Ed. 01.08.2022, § 327q Rn. 9; MüKoBGB/Metzger, 9. Aufl. 2022, § 327q Rn. 6. 562 Ebers, MMR 2018, 423, 428. 557
132
Kap. 2: Personenbezogene Daten als Entgelt
auch entsprechend ausgenutzt worden sei.563 Der Anspruch auf Vertragsaufhebung sei ein Anspruch auf Naturalrestitution nach § 249 Abs. 1 BGB und ergebe sich aus §§ 280 Abs. 1, 311 Abs. 2, 241 Abs. 2 BGB.564 Zwar erscheint diese Herangehensweise sowohl dogmatisch als auch teleologisch sinnfällig. In der Praxis dürften sich jedoch Beweisschwierigkeiten auf Seiten des Kunden zeigen – wenn doch gerade dessen Rationalitätsdefizit zum Vertragsschluss führt, wird es im Einzelfalle unwahrscheinlich sein, dass er dieses später erkennt und dementsprechend handelt, um den Vertrag rückgängig zu machen. Schließlich ist gerade die psychologische Raffinesse und die Unauffälligkeit des Vorgangs das Prekäre am behavioral microtargeting. Um wenigstens den Aufwand im Falle eines bereits laufenden datenschutzrechtlichen Verfahrens nach der DS-GVO zu begrenzen, schlägt Ebers entsprechende zivilrechtliche „Follow-on-Klagen im Anschluss“ vor.565 Auch dies setzt indes das Bewusstsein des Verbrauchers über seine Situation voraus. Des Weiteren bleibt diffus, an welcher Stelle die Grenze zwischen erlaubter Einflussnahme und unerlaubter Manipulation liegen soll566 – letztlich ist jede Werbeanzeige ein Versuch von Einflussnahme mit dem Ziel, den Kunden zum Erwerb des Produkts zu bewegen. Auch deswegen ist eine mögliche „Erosion der Privatautonomie“567 zu befürchten: Wenn nicht mehr klar ist, zu welchen Entscheidungen der Verbraucher durch massive, unbemerkte Manipulationen geleitet wird und welche Entscheidungen er tatsächlich ohne gezielte Einflussnahme marktmächtiger Akteure vornimmt, kann darin nur eine Schwächung seiner Unabhängigkeit gesehen werden, die aufgrund ihrer Unbemerktheit besonders bedenklich ist.568 Im Ergebnis fehlen hier öffentlich-rechtliche Kontrollmechanismen, die dafür Sorge tragen, dass vergleichbaren Manipulationen vorgebeugt wird.569 Eine konkrete Handhabe gegen schwer nachweisbare und regelmäßig eben unbemerkt stattfindende behavioral microtargeting-Mechanismen hat der Verbraucher aktuell nicht.
563
Ebers, MMR 2018, 423, 428. Ebers, MMR 2018, 423, 426. 565 Ebers, MMR 2018, 423, 427. 566 Ebers, MMR 2018, 423, 426. 567 Mik, Law, Innovation and Technology, 2016, 8:1, abrufbar unter: https://ink.lib rary.smu.edu.sg/sol_research/1736 (Stand 01.05.2022), S. 1. 568 Mik, Law, Innovation and Technology, 2016, 8:1, abrufbar unter: https://ink.lib rary.smu.edu.sg/sol_research/1736 (Stand 01.05.2022), S. 1, 4, 37. 569 Ebers, MMR 2018, 423, 428. 564
B. Personenbezogene Daten als Gegenleistung im BGB
133
b) Weitere Pflichtverletzungen des Anbieters Pflichtverletzungen des Anbieters können im allgemeinen vertragsrechtlichen Bereich auftreten oder auch spezifisch datenschutzrechtliche Vorschriften verletzen. In letzterem Falle sind insbesondere die Vorschriften aus der DS-GVO zum jeweiligen Verletzungsakt zu beachten, die zu hohen Bußgeldern führen können, Art. 83, 84 DS-GVO. Hinsichtlich der vertraglichen Pflichten sind die §§ 327b ff. BGB zu beachten. aa) Unterbleiben der Bereitstellung und Rechte des Verbrauchers Das Unterbleiben der Bereitstellung ist eine Pflichtverletzung, wenn der Unternehmer trotz Möglichkeit und Fälligkeit nach Aufforderung des Verbrauchers nicht unverzüglich leistet.570 Der Verbraucher wird in diesem Falle nach § 327c Abs. 1 BGB zur Vertragsbeendigung berechtigt.571 Daneben kann dies nach § 327c Abs. 2 BGB zu einem Anspruch auf Schadensersatz nach den §§ 280 und 281 Abs. 1 S. 1 BGB oder Ersatz vergeblicher Aufwendungen nach § 284 BGB berechtigen, wenn die Voraussetzungen dieser Vorschriften vorliegen (Rechtsgrundverweisung)572. Anstelle einer etwaigen Fristsetzung im Sinne von § 280 Abs. 1 S. 1 BGB oder auch einer Mahnung nach § 286 BGB ist die Aufforderung seitens des Verbrauchers grundsätzlich ausreichend, vgl. § 327c Abs. 1, Abs. 3 BGB. Die Aufforderung hat separat von der Vertragsbeendigung zu erfolgen und löst laut der Begründung des Gesetzesentwurfs eine neue unverzügliche Bereitstellungspflicht aus.573 bb) Mangelhafte digitale Dienste und Rechte des Verbrauchers Hinsichtlich der Mangelfreiheit befinden sich die neuen Vorschriften aus den §§ 327 ff. BGB größtenteils in der Nähe bekannter Maßstäbe.574 Einige Anforderungen wurden jedoch erneuert: So wird Mangelfreiheit bejaht, wenn das digitale Produkt „den subjektiven Anforderungen, den objektiven Anforderungen und den Anforderungen an die Integration entspricht“ (§ 327e BGB). Produkte mit lediglich digitalen Elementen sind frei von Produktmängeln, wenn sie den „subjektiven Anforderungen, den objektiven Anforderungen, den Montageanforderungen und den Installationsanforderungen“ entsprechen (§ 475b BGB).
570
Siehe dazu auch Kramme, RDi 2021, 20; Kirchhefer-Lauber, JuS 2021, 1125, 1128. Siehe dazu auch Kramme, RDi 2021, 20; Kirchhefer-Lauber, JuS 2021, 1125, 1128. 572 BT-Drs. 19/27653, S. 50 f. 573 BT-Drs. 19/27653, S. 50. 574 BT-Drs. 19/27653, S. 52; Kramme, RDi 2021, 20, 24; Kirchhefer-Lauber, JuS 2021, 1125, 1127. 571
134
Kap. 2: Personenbezogene Daten als Entgelt
Im Falle einer Abweichung hiervon genügt nicht eine vertragliche Beschaffenheitsvereinbarung, sondern der Verbraucher ist separat über die abweichenden Regelungen zu informieren, (§ 327h BGB). Gleiches gilt für Abweichungen von der Update-Pflicht. Um dieses Erfordernis umzusetzen, muss der Unternehmer also einen vom eigentlichen Text des Vertrags getrennten Bereich markieren, der dem Verbraucher eine Zustimmung abverlangt.575 Des Weiteren treffen den Anbieter Informationspflichten hinsichtlich der Installation des Produkts und auch neuer Updates (§ 327f BGB). Wird das Produkt aufgrund eines Verstoßes dagegen mangelhaft, stehen dem Verbraucher Gewährleistungsansprüche nach § 327i BGB zu.576 In § 327i BGB sind die Rechte des Verbrauchers im Falle eines mangelhaften digitalen Produkts aufgelistet. § 327i BGB läuft hier parallel zu § 437 BGB und enthält Rechtsgrundverweisungen für Nacherfüllung (§ 327l BGB), Vertragsbeendigung (§ 327m Abs. 1, 2, 4, 5 BGB) oder Minderung (§ 327n BGB) sowie Schadensersatz oder Ersatz vergeblicher Aufwendungen (§ 327m Abs. 3 BGB). Die Wahl der Art der Nacherfüllung liegt hier beim Unternehmer, § 327l BGB.577 § 327m Abs. 3 BGB gewährt dem Verbraucher auch Schadensersatz statt der Leistung gem. §§ 280 Abs. 1, 283 S. 1 und 311a Abs. 2 S. 1 BGB; ebenso Ersatz vergeblicher Aufwendungen gem. § 284 BGB.578 Die Anwendung von § 281 BGB sowie §§ 283 S. 2 und 311a Abs. 2 S. 2, 3 BGB wurde damit jedoch ausgeschlossen, sodass Schadensersatz wegen Unmöglichkeit der Nacherfüllung in dieser Form wegfällt.579 Problematisch ist dabei die hier untersuchte Konstellation, in der der Verbraucher die digitalen Produkte nur mit seinen personenbezogenen Daten „bezahlt“.580 Wie hier ein etwaiger Schadensersatzanspruch bemessen werden kann, ist noch nicht geklärt.581 cc) Unzureichende Datenschutzerklärung Im Falle einer etwaigen Verletzung von Informationspflichten gem. Art. 13 DS-GVO steht es dem Betroffenen frei, sich bei dem Verantwortlichen selbst oder direkt bei der zuständigen Aufsichtsbehörde nach Art. 77 DS-GVO zu be575
Zum Beispiel mit einer weiteren „Klickbox“, so Schreiber, MMR 2021, 601. Piltz/Kühner, CR 2021, 1, 4; hierzu und zum Folgenden ausführlich Spindler, MMR 2021, 528. 577 BT-Drs. 19/27653, S. 66; Spindler, MMR 2021, 528. 578 Begr. RegE, BT-Drs. 19/27653, S. 69. 579 Begr. RegE, BT-Drs. 19/27653, S. 69; dazu Spindler, MMR 2021, 528, 529; BeckOK BGB/Wendland, 63. Ed. 01.08.2022, § 327m Rn. 33 ff. 580 Piltz/Kühner, CR 2021, 1, 3; vgl. auch Spindler, MMR 2021, 528, 531. 581 Siehe zum Wert der personenbezogenen Daten Kap. 1, C. 576
B. Personenbezogene Daten als Gegenleistung im BGB
135
schweren oder auch direkt einen Rechtsbehelf nach Art. 79 DS-GVO einzulegen, mit dem eine gerichtliche Überprüfung des fraglichen Verhaltens des Verantwortlichen erwirkt werden kann.582 Bei einer systematischen oder wiederholten Verletzung von Informationspflichten oder Betroffenenrechten kommt auch eine Verbandsklage gem. Art. 80 Abs. 1 i.V. m. Art. 79 Abs. 1 DS-GVO in Frage.583 Der Verstoß kann mit einer Geldbuße nach Art. 83 Abs. 5 lit. b DS-GVO sanktioniert werden. All diese Maßnahmen sind öffentlich-rechtlicher Natur; eine etwaige zivilrechtliche Anschlussklage im Falle eines möglichen Schadensersatzanspruchs sollte dem Betroffenen indes offen stehen. dd) Sicherheitslücken Zu denken ist beispielsweise an Lücken in der IT-Sicherheit. Gerade bei Produkten, die personenbezogene Daten weitreichend vernetzen, können die Folgen eines Hacking-Angriffs z. B. einen schwerwiegenden Computerbetrug nach § 263a StGB ermöglichen.584 Das Bundeskriminalamt hat für solche Angriffe im Jahr 2018 einen Schaden von ca. 60,7 Mio. Euro (vergleichend 2017: 71,4 Mio. Euro) ermittelt; knapp 0,7 Mio. Euro (vergleichend 2017: 0,4 Mio. Euro) wurden für die missbräuchliche Nutzung von Kommunikationsdiensten ermittelt.585 Dies zeigt, wie wichtig auch für den Endnutzer ein ausreichender Schutz seiner Daten ist. Verletzt der Anbieter seine Sorgfaltspflichten beim Umgang mit den personenbezogenen Daten, indem er auf ein unzureichendes Sicherheitsnetz zugreift, ist er für fahrlässig entstandene Sicherheitslücken auch verantwortlich. Es ist seine Pflicht, die möglichen Sicherheitslücken so gut wie möglich vorherzusehen, mögliche Risiken zu analysieren und zu minimieren.586 Keine Pflichtverletzung würde sich ergeben, wenn trotz ausreichendender IT-Sicherheitssysteme ein Hacker es schafft, Zugriff zu den Inhalten zu erlangen. Hier wäre über das Einführen einer Gefährdungshaftung nachzudenken, was am Ende aber nicht überzeugt: Das Risiko, dem sich der Anbieter des digitalen Produkts hier aussetzen würde, wenn mit einem einzigen Hackerangriff unzählige Nutzer beeinträchtigt sein können, erscheint schwerlich zumutbar. Da es auch keine spezialgesetzlichen Regelungen zu diesen Situationen gibt, kommt nur bei Vorliegen
582 Simitis/Hornung/Spiecker gen. Döhmann/Dix, 1. Aufl. 2019, DS-GVO Art. 13 Rn. 25. 583 Simitis/Hornung/Spiecker gen. Döhmann/Dix, 1. Aufl. 2019, DS-GVO Art. 13 Rn. 25. 584 Böck/Theurer, BB 2021, 520, 521. 585 Bundeskriminalamt, Bundeslagebild 2018 Cybercrime, Stand: Oktober 2019, abrufbar unter: https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/ Lagebilder/Cybercrime/cybercrime_node.html (Stand 01.05.2022), S. 2, 52. 586 Böck/Theurer, BB 2021, 520, 522.
136
Kap. 2: Personenbezogene Daten als Entgelt
der entsprechenden Voraussetzungen das Deliktsrecht und ggf. auch das Produkthaftungsgesetz zur Anwendung.587 2. Pflichtverletzungen des Nutzers Da die genauen Pflichten des Nutzers im Falle der reinen Daten-Gegenleistung nicht normiert sind, ergeben sich auch gewisse Unklarheiten hinsichtlich der möglichen Pflichtverletzungen.588 Einige Möglichkeiten werden im Folgenden untersucht. a) Fehlerhafte Einwilligung als Mangel Bei fehlerhafter Einwilligung könnte an den Daten ein Rechtsmangel haften.589 Der Rechtsmangel ist zwar dem Wortlaut nach auf Sachen als körperliche Gegenstände bezogen, aus § 453 Abs. 1 BGB ergibt sich jedoch, dass die Vorschriften über den Rechtsmangel auch auf Rechte und sonstige Gegenstände anwendbar sein müssen.590 Gegen den Begriff des Rechtsmangels bleibt indes anzuführen, dass nach § 435 S. 1 BGB ein Rechtsmangel vorliegt, wenn der Gegenstand nicht frei von Rechten oder Ansprüchen Dritter ist. Das Recht, das hier jedoch am Vertragsgegenstand haftet, ist das Recht des Vertragspartners und nicht ein Recht eines Dritten. Insoweit erscheint die Annahme eines Rechtsmangels nicht statthaft. Es könnte eher noch von einem gemeinen Sachmangel ausgegangen werden, sofern denn für den individuell betrachteten Vertrag die Anwendung kaufrechtlicher Normen angezeigt erscheint.591 Ein solcher Mangel in Form einer fehlerhaften Einwilligung müsste datenschutzrechtlich denklogisch für etwaige Ansprüche des Anbieters irrelevant sein, wenn die Fehlerhaftigkeit der Einwilligung auf einer unzureichenden Datenschutzerklärung/Informationsvermittlung o. Ä. seitens des Anbieters beruht.592 Jedenfalls wäre in einem solchen Falle von Seiten des Nutzers keine Pflichtverletzung, geschweige denn Verschulden anzunehmen, da der Nutzer von der Ordnungsgemäßheit der Datenschutzbestimmungen, in die er einwilligt, ausgehen wird.
587
Vertiefend Böck/Theurer, BB 2021, 520, 521 ff. Vgl. Spindler, MMR 2021, 528, 531, 533. 589 Specht, JZ 2017, 763, 764. 590 MüKoBGB/Westermann, 8. Aufl. 2019, § 435 Rn. 3; Jauernig/Berger, 18. Aufl. 2021, BGB § 435 Rn. 1; vgl. dazu Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 193 ff. 591 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 193 ff. 592 Specht, JZ 2017, 763, 767. 588
B. Personenbezogene Daten als Gegenleistung im BGB
137
b) Angabe falscher Daten Die Angabe korrekter Daten ist substantiell für die Datenverwertung. Die naheliegende Pflichtverletzung des Nutzers ist daher die Angabe falscher Daten; nicht ohne Grund wird regelmäßig ausdrücklich die „Angabe richtiger Daten“593 verlangt. Sind die fraglichen Daten veraltet, falsch, zu wenig oder liefern den falschen Informationsgehalt, so könnte hierin auch in Anlehnung an § 434 BGB ein Sachmangel gefunden werden.594 In der Vergangenheit wurde Nutzern ein Recht zur pseudonymisierten oder anonymisieren Nutzung von Facebook und Google zugesprochen; als Grundlage diente §13 Abs. 6 TMG a. F.595 Doch dies kann im Falle einer Qualifizierung der Daten als Gegenleistung nicht mehr haltbar sein. Wer sich also entschließt, eine Registrierung, beispielsweise bei Facebook, vorzunehmen, bei der auf die Datenverarbeitung und das Erfordernis der Korrektheit der Daten hingewiesen wird, müsste sich folglich auch daran halten.596 So hat das OLG München597 die Klarnamenpflicht bei Facebook noch für rechtmäßig befunden, der BGH hat dies in der entsprechenden Revision indes verneint598 – im Hinblick auf Altfälle, für die § 13 Abs. 6 TMG a. F. noch galt. Denn nach § 13 Abs. 6 TMG a. F. war die Einräumung einer pseudonymisierten Nutzung noch ausdrücklich verlangt, soweit dies dem Verantwortlichen möglich war. Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO indes erlauben dem Verantwortlichen die Pseudonymisierung nur, aber eben ohne dem Betroffenen ein Recht auf pseudonymisierte Nutzung zuzusprechen. Bezüglich eines etwaigen Betroffenenrechts auf Pseudonymisierung hatte das OLG München (in dem durch den BGH aufgehobenen Urteil) ein beredtes Schweigen der DS-GVO angenommen, mit der Konsequenz, dass die genannten Vorschriften der DS-GVO eine abweichende nationale Regelung verbieten.599 Da der BGH noch nicht über neuere Fälle nach Aufhebung des § 13 Abs. 6 TMG a. F. zu entscheiden hatte, bleibt es jedoch offen, wie er damit umgehen würde.600
593 Siehe in den Nutzungsbedingungen von Facebook: Die personenbezogenen Daten, die der Nutzer in seinem Profil erzeugt, müssen „genau und korrekt“ sein: Facebook-Nutzungsbedingungen, abrufbar unter: https://de-de.facebook.com/terms (Stand 01.05.2022), Punkt 3.1.; siehe dazu auch Kap. 2, B. IV. 3. c) dd). 594 Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 193 ff. 595 Stadler, ZD 2011, 57, 59. 596 Langhanke, Daten als Leistung, S. 143. 597 OLG München, MMR 2021, 245, aufgehoben mit BGH Urteil vom 27.01.2022 – III ZR 3/21. 598 OLG München, MMR 2021, 245, aufgehoben mit BGH Urteil vom 27.01.2022 – III ZR 3/21. 599 Vgl. OLG München, MMR 2021, 245, 247, aufgehoben mit BGH Urteil vom 27.01.2022 – III ZR 3/21. 600 Zur Klarnamenpflicht und den genannten Urteilen siehe Kap. 2, B. IV. 3. c) dd) (3).
138
Kap. 2: Personenbezogene Daten als Entgelt
Werden falsche Daten dennoch bewusst angegeben, müsste dies nach aktueller Rechtslage eine Pflichtverletzung darstellen und dem Anbieter grundsätzlich ein Kündigungsrecht, ggf. auch Schadensersatz, zustehen.601 Inwieweit die Schadensberechnung allerdings von den Parteien erbracht werden könnte, erscheint dabei aufgrund der besagten Datenpreisintransparenz faktisch schwierig;602 in der Praxis wäre auf § 287 ZPO zu verweisen, was die fehlenden Grundlagen für eine etwaige Schadensberechnung indes nicht erübrigt. Das Risiko der unzureichenden Verwertung der Daten kann, sofern der Nutzer nicht bewusst falsche Daten angibt, nur beim Anbieter digitaler Dienste liegen;603 denn dieser allein vermag die Vorgänge der Datenerhebung und -verarbeitung zu überblicken – daher kann dieser Teil der Gläubigerbefriedigung dem Schuldner nicht zugerechnet werden.604 Dabei ist vertragstreues Verhalten im Sinne von Treu und Glauben seitens des Verbrauchers Voraussetzung; andernfalls sind Sekundäransprüche denkbar oder jedenfalls ein neuerliches Einholen der datenschutzrechtlichen Einwilligung möglich.605 Sofern die unzureichende Datenverwertbarkeit darauf beruht, dass der entsprechende Dienst nicht genutzt und mithin auch keine aktuellen Daten mehr generiert werden, ist jedenfalls ein etwaiges Äquivalenzproblem zu vernachlässigen. Denn sowohl Nutzer als auch Anbieter profitieren eben nur von der jeweiligen Leistung des Gegenübers, wenn das Angebot ausgeschöpft wird, kurz: Wer beispielsweise Facebook und dessen Vorteile nicht mehr nutzt, zahlt auch keinen weiteren Datenpreis in Form neuer verhaltensgenerierter Daten dafür. c) Widerruf als Pflichtverletzung Des Weiteren ist nicht abwegig, auch den Widerruf als Pflichtverletzung zumindest zu diskutieren.606 Ob die Ausübung eines datenschutzrechtlich garantierten Gestaltungsmittels die gleichen Rechtsfolgen nach sich ziehen kann wie eine Pflichtverletzung, bleibt dabei allerdings höchst fraglich. Schließlich soll der Widerruf grundsätzlich nicht mit Nachteilen für den Betroffenen verbunden sein.607 Angesichts der Kategorisierung von Einwilligung und Datenübertragung als Bestandteile der Hauptleistungspflicht, könnte dennoch diskutiert werden, inwie601
Langhanke, Daten als Leistung, S. 142 f., 146. Langhanke, Daten als Leistung, S. 143 m.w. N.; siehe zum Wert der Daten Kap. 1, C. VII. 603 Langhanke, Daten als Leistung. S. 125. 604 Ggf. könnte bei grober Unbilligkeit in besagten Fällen über ein Kündigungsrecht nachgedacht werden. 605 Langhanke, Daten als Leistung. S. 125. 606 Pertot/Riehm, Rechte an Daten, S. 175, 191. 607 Vgl. Erwägungsgrund 42 der DS-GVO; Pertot/Riehm, Rechte an Daten, S. 175, 191. 602
B. Personenbezogene Daten als Gegenleistung im BGB
139
weit der Widerruf als Schnittstelle zur Nicht(mehr)leistung rein dogmatisch eine Pflichtverletzung darstellt.608 Dieser Pflichtverletzung würde selbstredend aufgrund des nach Art. 7 Abs. 3 DS-GVO jederzeit möglichen Widerrufs die Rechtswidrigkeit fehlen. In diesem Sinne wird auch von einem „durch das Widerrufsrecht gerechtfertigten [Fall der] Nichterfüllung“ gesprochen.609 Insofern drängt sich ein Oxymoron auf: Eine nicht rechtswidrige, also rechtmäßige Pflichtverletzung festzustellen, ergibt bereits terminologisch wenig Sinn. Im Übrigen ist die Möglichkeit des Widerrufs dem Vertragspartner bekannt und eine Schutzwürdigkeit könnte daher diesbezüglich nur unter besonderen Umständen anzunehmen sein.610 Insofern kann der Widerruf grundsätzlich jedenfalls nicht als Pflichtverletzung qualifiziert werden.611 Denkbar wäre noch die Kategorisierung als Unterfall eines Mangels, der jedoch nachträglich auftritt und den die Parteien aufgrund der datenschutzrechtlichen Besonderheit hinzunehmen haben.612 Insbesondere ist zu beachten, dass jedenfalls im Rahmen der Wertung von § 453 i.V. m. § 434 Abs. 1 BGB ein nach Gefahrübergang hinzukommender Mangel grundsätzlich nicht erfasst ist. Ein solcher „Mangel“ begründet insofern weder einen Anspruch auf Nacherfüllung noch auf Schadensersatz.613 Der paradoxe Zustand, dass eine Leistung zwar grundsätzlich verlangt werden darf, aber faktisch nicht durchsetzbar bzw. vollstreckbar ist, ist dem deutschen Zivilrecht indes nicht völlig fremd. Specht verweist in diesem Zusammenhang zutreffend auf § 120 Abs. 3 FamFG, der ebenso für „persönlichkeitsrechtlich relevante Handlungen“ im ehelichen Bereich die Vollstreckung ausschließt.614 Die Parallele beruht nicht zuletzt auf den ebenfalls persönlichkeitsrechtlich relevanten Datenpreisgaben, die hier in Frage stehen. d) Verwendung von Anti-Tracking-Apps und Adblockern Wenn der Nutzer mit zusätzlicher Software verhindert, dass der Anbieter personenbezogene Daten erheben kann, kann die Gegenleistung vereitelt werden. In Frage kommen hier Programme wie Tracking-Blocker oder auch Adblocker. Tracking-Blocker verhindern, dass personenbezogene Daten gesammelt und ver-
608
Langhanke, Daten als Leistung, S. 137 f. Schmidt-Kessel/Grimm, ZfPW 2017, 84, 103. 610 Langhanke, Daten als Leistung, S. 141. 611 Schulze/Staudenmayer/Lohsse/Zoll, Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, S. 179, 187; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 221. 612 Specht, JZ 2017, 763, 767. 613 Specht, JZ 2017, 763, 767. 614 Specht, JZ 2017, 763, 767. 609
140
Kap. 2: Personenbezogene Daten als Entgelt
netzt werden können,615 Adblocker verhindern, dass (ggf. personalisierte, aufgrund von Tracking-Ergebnissen generierte) Werbeanzeigen sichtbar sind.616 Vorweg sei gesagt, dass dabei weder eine unlautere zielgerichtete Behinderung im Sinne des § 4 Nr. 4 UWG noch eine aggressive geschäftliche Handlung im Sinne des § 4a Abs. 1 UWG vorliegt.617 Erforderlich wäre für eine zielgerichtete Behinderung jedenfalls eine „geschäftliche Handlung“ i. S. d. § 2 Abs. 1 Nr. 2 UWG618, die gezielt den Zweck verfolgt, in die Geschäftstätigkeit eines Mitbewerbers behindernd einzugreifen.619 Der Nutzer, der einen AdBlocker verwendet, will in der Regel nicht das Unternehmen, dessen Websites er besucht, gezielt schädigen und tut dies auch nicht in erheblichem Maße, wenn er als Einzelner für sich die Entscheidung trifft, auf die Werbeanzeigen zu verzichten. Im Gegenteil möchte er wahrscheinlich das Angebot der Website weiter nutzen können – nur eben ohne zahlreiche Werbeeinblendungen. Auch an eine aggressive geschäftliche Handlung nach § 4 Nr. 4 UWG sind höhere Anforderungen zu stellen. Bittet der Websitebetreiber den Nutzer ausdrücklich, auf die Verwendung von Werbeblockern zu verzichten, obwohl er den Zugang auch unter deren Verwendung ermöglicht, stellt dies aus Sicht des Nutzers eine Einwilligung des Anbieters in eine durch den Adblocker erfolgte Umarbeitung von Programmcodes zum Verstecken von Werbeelementen nach § 69c Nr. 2 UrhG dar.620 Das bedeutet, dass auch eine Urheberrechtsverletzung durch den Nutzer hier nicht angenommen werden könnte, da in der bloßen Bitte des Websitebetreibers die nach § 69c UrhG erforderliche Zustimmung zu sehen ist.621 Denn eine Bitte impliziert rechtlich kein Verbot, sondern eher dessen Gegenteil. Lauterkeits- und urheberrechtlich hat der Anbieter in diesen Fällen also wenig Handhabe, sofern er nicht ausdrücklich die Website-Nutzung unter Einsatz von 615
Specht, JZ 2017, 763, 767. Dazu ausführlich Hain/Benz, MMR-Beil 2020, 3; Kiersch/Kassel, CR 2017, 242; Hoeren/Sieber/Holznagel/Uphues, Handbuch Multimedia-Recht, Teil 15.3 Big Data in Online-Medien und auf Plattformen Rn. 59 ff.; siehe auch zur etwaigen Verfassungsgemäßheit eines Verbots Hain/Benz, MMR-Beil 2020, 3, 25 f. 617 MüKoUWG/Jänich, 3. Aufl. 2020, § 4 Nr. 4 Rn. 75; BGH, NJW 2018, 3640; OLG München, GRUR 2017, 1147; zur lauterkeitsrechtlichen Problematik bei Adblockern und Unternehmen mit marktbeherrschender Stellung BGH, NJW 2020, 64 m. Anm. Raue; siehe auch Gumille, GRUR 2017, 241, 248. 618 Originaltext der Norm: „,geschäftliche Handlung‘ je es Verhalten einer Person zugunsten des eigenen oder eines fremden Unternehmens vor, bei oder nach einem Geschäftsabschluss, das mit der Förderung des Absatzes oder des Bezugs von Waren oder Dienstleistungen oder mit dem Abschluss oder der Durchführung eines Vertrags über Waren oder Dienstleistungen unmittelbar und objektiv zusammenhängt“. 619 Fezer/Büscher/Obergfell/Götting/Hetmank, UWG Kommentar, § 4 Nr. 4 Rn. 17; Ohly/Sosnitza, UWG Kommentar, B. Gezielte Behinderung Rn. 4/10/10. 620 OLG München, GRUR 2017, 1147, 1150. 621 OLG München, GRUR 2017, 1147. 616
B. Personenbezogene Daten als Gegenleistung im BGB
141
Adblockern untersagt oder eine entsprechende Vereinbarung mit dem Nutzer getroffen hat, was eher selten ist;622 letztlich ist das Interesse, im Internet „Klicks zu sammeln“ häufig zu groß, um durch abschreckende Verbote zu riskieren, darauf vermehrt zu verzichten.623 Im Übrigen wird wohl auch kein Vertragsbruch des Nutzers anzunehmen sein, wenn er eine Website unter Einsatz von Adblockern besucht.624 Der BGH wies betroffene Websitebetreiber auf technische Maßnahmen hin, wie Ausschlussmöglichkeiten hinsichtlich Nutzern, die Adblocker nutzen, nicht jedoch verwies der BGH hier auf vertragliche Leistungsansprüche.625 Es ist insofern ein „Rüstungswettstreit“ 626 mit den Anbietern bzw. auch unter den Anbietern selbst denkbar. Denn der Anbieter wird versuchen, die Algorithmen der eingesetzten Blocker so zu analysieren und zu durchschauen, dass er sie mit noch raffinierteren technischen Methoden umgehen kann.627 Gelingt dies nicht, so kann der Anbieter der Website immerhin mit sogenannten Tracking Walls bzw. Cookie Walls reagieren: Diese Blockieren das Aufrufen der Seite, solange ein Tracking- oder Werbeblocker aktiv ist;628 der Nutzer wird zu einer Entscheidung gezwungen: Kein Tracking bedeutet keine Website, mit der Einwilligung ins Tracking wird die Website wieder abrufbar. Inwieweit dies zulässig ist, ist aktuell nicht abschließend geklärt: Während die e-Privacy-Verordnung den Weg hier jedenfalls aktuell offen lässt,629 hält der 622 Ebenfalls problematisch können Fälle des sog. „Whitelisting“ sein, bei denen der Anbieters des Werbeblockers Kriterien für „akzeptable Werbung“ vorgibt und diese nicht blockiert, BGH, MMR 2018, 817, siehe dazu auch Gloy/Loschelder/Danckwerts/ Altmann, UWG-Handbuch, 5. Aufl. 2019, § 62 Internet Rn. 47. 623 Vgl. Becker, CR 2021, 87, 92. 624 MüKoUWG/Jänich, 3. Aufl. 2020, § 4 Nr. 4 Rn. 75; Hacker, ZfPW 2019, 148, 174. 625 Dies bemerkt Hacker, ZfPW 2019, 148, 174 mit Verweis auf das Werbeblocker II-Urteil BGH, NJW 2018, 3640 Rn. 39. Indes waren Anspruchsgrundlagen aus einem Vertrag zwischen Nutzer und Websitebetreiber nicht Gegenstand dieses Urteils. 626 Hacker, ZfPW 2019, 148, 174 mit Bezug auf Kerkmann, Wer hat die Macht über den Werbeblock?, Handelsblatt, 12.08.2016, abrufbar unter: https://www.handels blatt.com/unternehmen/it-medien/facebook-vs-adblock-plus-wer-hat-die-macht-ueberden-werbeblock/14005570-all.html?ticket=ST-1838771-gtwpf2XEAfht5XdrzmRv-ap2 (Stand 01.05.2022); ebenfalls von einem „Arms Race“ zwischen Ad-Blockern und Anti-Ad-Blockern ausgehend Mughees et al., A First Look at Ad-block Detection: A New Arms Race on the Web, 2016, arXiv:1605.05841, abrufbar unter: https://arxiv.org/ abs/1605.05841 (Stand 01.05.2022); Storey et al., The Future of Ad Blocking: An Analytical Framework and New Techniques, 2017, arXiv:1705.08568, abrufbar unter: https://arxiv.org/abs/1705.08568 (Stand 01.05.2022). 627 Hacker, ZfPW 2019, 148, 174 f. 628 Dazu Kiersch/Kassel, CR 2017, 242. 629 Während der Entwurf des Europäischen Parlaments vom 26. Oktober 2017 in Art. 8 Abs. 1 Nr. 1 lit. b und Erwägungsgrund 22 Cookie Walls verbieten wollte (abrufbar unter: https://www.europarl.europa.eu/doceo/document/LIBE-PR-606011_EN.
142
Kap. 2: Personenbezogene Daten als Entgelt
EDSA eine solche Vorgehensweise für unzulässig, weil der Zugang zu digitalen Angeboten nicht von der Einwilligung des Nutzers in die Datenerhebung abhängig gemacht werden soll (fehlende Freiwilligkeit630).631 In Conclusio ist das Einsetzen solcher Anti-Tracking- und Adblocking-Software also grundsätzlich nicht als Pflichtverletzung zu qualifizieren.632 Etwas anderes könnte sich nur dann ergeben, wenn der Nutzer eine ausdrückliche Vereinbarung mit dem Websitebetreiber mit Zustimmung zu der spezifischen Werbeexposition getroffen hat. Diese Einschätzung ergibt sich hinsichtlich der Verwendung von Adblockern auch deutlich aus der beispielhaften Reaktion Facebooks, in der Facebook zwar bei der Börsenaufsicht Bedenken bezüglich solcher Programme gemeldet hat, allerdings ohne rechtlich dagegen vorzugehen.633 Auch die Tatsache, dass Adblocker in Appstores von Anbietern, die eben selbst auch werbe- und datenfinanzierte Produkte anbieten, zum Download zur Verfügung stehen, spricht gegen die Annahme eines Vertragsbruchs.634
C. Fazit zu personenbezogenen Daten als Gegenleistung Wenngleich weder die DIRL noch der deutsche Gesetzgeber es benennen oder genauer untersuchen wollen,635 so ist die Bereitstellung personenbezogener Daten eine in der Praxis regelmäßig geforderte Gegenleistung für digitale Produkte: Denn die vom Nutzer erworbenen Produkte werden zu einem großen Anteil durch Verarbeitung dieser Daten refinanziert. pdf?redirect (Stand 01.05.2022)), hat der Ratsentwurf vom 10.02.2021 diesen Vorschlag nicht übernommen (abrufbar unter: https://data.consilium.europa.eu/doc/document/ST6087-2021-INIT/en/pdf (Stand 01.05.2022)). Wie es endgültig aussehen wird, bleibt also abzuwarten. 630 Siehe zur Freiwilligkeit der Einwilligung Kap. 3, A. II. 2. 631 Europäischer Datenschutzausschuss (EDSA), Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1) v. 04.05.2020, abrufbar unter: https://edpb. europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf (Stand 01.05.2022), Ziff. 39; siehe dazu auch Zuiderveen Borgesius et al., Tracking Walls, Take-It-or-Leave-It Choices, the GDPR, and the ePrivacy Regulation, EDPL 3/2017, 353. 632 Hacker, ZfPW 2019, 148, 174 f. 633 Hacker, ZfPW 2019, 148, 175 mit Verweis auf D’Onfro, Facebook admits that it’s worried about ad blockers, Business Insider (29.01.2016), abrufbar unter: https://www. businessinsider.com/facebook-admits-that-its-worried-about-adblockers-2016-1 (Stand 01.05.2022). 634 Vgl. Hern, iOS 9 adblocker apps shoot to top of charts on day one, The Guardian (17. September 2015), abrufbar unter: https://www.theguardian.com/technology/2015/ sep/17/adblockers-ios-9-app-charts-peace (Stand 01.05.2022). 635 BT-Drs. 19/27653, S. 35, 40.
C. Fazit zu personenbezogenen Daten als Gegenleistung
143
Zur Legitimierung dieser kommerzialisierenden Verarbeitung ist regelmäßig eine datenschutzrechtliche Einwilligung des Nutzers nach Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO erforderlich. Diese ist daher als Rahmenbestandteil der Leistungspflicht, ähnlich wie eine zwingend einzuhaltende Formvorschrift, unumgänglich, wenn kein anderer Erlaubnistatbestand greift. Das Austauschgeschäft „Daten gegen Leistung“ ist pauschal kaum in die bekannten BGB-Vertragstypen kategorisierbar. Es lässt sich in vielen Fällen, denen ein Dauerschuldverhältnis zugrunde liegt, am naheliegendsten als eine Form des Lizenzvertrags oder der Rechtspacht, die auch beim Lizenzvertrag entsprechende Anwendung finden kann, verstehen. Problematisch bleibt vor allem, dass die Datenleistung nicht an die Stelle eines Vertragsgegenstands (wie beispielsweise eines Pachtobjekts) rückt, sondern vielmehr die Rolle des Zahlungsentgelts einnimmt.
Kapitel 3
Die datenschutzrechtliche Einwilligung Einwilligungen gibt es verschiedener Art:1 Beispielsweise medizinrechtlich, strafrechtlich-rechtfertigend, urheberrechtlich oder bezüglich des Persönlichkeitsrechts.2 Allen gemeinsam ist, dass es sich um eine „Erlaubnis zur rechtmäßigen Eingriffshandlung in ein geschütztes Rechtsgut“ handelt; das Rechtsgut muss für den Willen des Betroffenen im konkreten Fall disponibel sein.3
A. Die datenschutzrechtliche Einwilligung Die datenschutzrechtliche Einwilligung ist die Rechtsgrundlage für Verarbeitungsvorgänge personenbezogener Daten, wenn andere Erlaubnistatbestände nicht greifen. Welche Anforderungen die DS-GVO an die Einwilligung stellt und welche Besonderheiten insbesondere zwischen Unternehmern und Verbrauchern im alltäglichen Bereich problematisch sein können, wird im Folgenden genauer dargestellt und überprüft. Dabei wird eine Kategorisierung des Vorganges „Einwilligung“ vorgenommen. Handelt es sich um eine Willenserklärung? Oder einen Realakt? Je nachdem, wie die Einwilligung kategorisiert wird, ist sie isoliert vom Vertrag zu betrachten oder als dessen Voraussetzung.4 Bei den folgenden Darstellungen wird der Fokus weiterhin auf privatrechtlichen Konstellationen liegen.
I. Überblick: Systematik und Rechtsgrundlage 1. DS-GVO Die Einwilligung, wie sie die DS-GVO vorsieht, baut auf dem Gehalt von Art. 8 Abs. 2 S. 1 GRCh und auch Art. 7 lit. a DSRL auf.5 Die erste Erwähnung findet die Einwilligung in der DS-GVO in Art. 4 Nr. 11 DS-GVO, der die grundlegenden Voraussetzungen der datenschutzrechtlichen Einwilligung festlegt: Sie soll freiwillig, für den bestimmten Fall, informiert und willentlich, d.h. bewusst 1
MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 81. MAH IT-Recht/Heller, 4. Aufl. 2021, Teil 6.4 Daten als Zahlungsmittel Rn. 13. 3 MAH IT-Recht/Heller, 4. Aufl. 2021, Teil 6.4 Daten als Zahlungsmittel Rn. 13. 4 Langhanke, Daten als Leistung, S. 230. 5 BeckOK DatenschutzR/Albers/Veit, 39. Ed. 01.11.2021, DS-GVO Art. 6 Rn. 30; Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 8. 2
A. Die datenschutzrechtliche Einwilligung
145
abgegeben werden. Damit ist aber nur der innerste Kern der Wirksamkeitsanforderungen hinsichtlich der Verarbeitung personenbezogener Daten erfasst. Erst in Verbindung mit Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO und Art. 7 DS-GVO, der für die Einwilligung weitere Wirksamkeitsvoraussetzungen festsetzt, ergeben sich die Rahmenbedingungen der Rechtmäßigkeit der hier behandelten einseitigen Einwilligung in die Verarbeitung personenbezogener Daten.6 Art. 6 DS-GVO hält neben der einseitigen datenschutzrechtlichen Einwilligung auch die anderen Erlaubnistatbestände für die Verarbeitung personenbezogener Daten fest. Nicht nur daher wird Art. 6 DS-GVO als „zentrale materielle Norm des Datenschutzrechts“7 bezeichnet. Denn grundsätzlich schreibt Art. 6 DS-GVO vor, dass die Verarbeitung personenbezogener Daten nur dann zulässig ist, wenn einer der in Abs. 1 gelisteten Erlaubnistatbestände erfüllt ist – und zwar unabhängig davon, ob eine neue Datenerhebung oder lediglich eine Weiterverarbeitung von bereits erhobenen Daten stattfinden soll.8 Bereits bei der Auslegung dieser Auflistung ergeben sich allerdings reichlich Meinungsverschiedenheiten: Einerseits wird die Auflistung als „abschließend“9 bezeichnet. Dies wird von anderer Seite kritisiert, da die Öffnungsklauseln in Art. 6 Abs. 2–4 DS-GVO den Mitgliedstaaten eine Präzisierungsbefugnis zusprechen, die einer abschließenden Katalogisierung von Erlaubnistatbeständen entgegenstehen könnte.10 Dem folgend würde es sich auch nicht um ein Verbot mit Erlaubnisvorbehalt handeln – denn es werden nur die Grenzen für die Zulässigkeit der Verarbeitung personenbezogener Daten kartiert.11 Die Betitelung des Art. 6 DS-GVO mit „Rechtmäßigkeit der Datenverarbeitung“ könnte insofern irreführend sein – wird doch vielmehr nur die generelle Zulässigkeit der Datenverarbeitung umrandet (also das „Ob“ und nicht das „Wie“).12 Weiterhin wird kritisch gegen die Kategorisierung als Verbot mit Erlaubnisvorbehalt angeführt, dass die Realität eine solche Einschätzung überholt habe: Die ständige Datenerhebung im Internet könne kaum einem Verbotsprinzip entsprechen, wenn ein solches Vorgehen eher als Relikt aus vorherigen Zeiten anzusehen ist, in denen Datenerhebungen im großen Stil die Ausnahme darstell-
6
Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 4 Nr. 11 Rn. 1. Simitis/Hornung/Spiecker gen. Döhmann/Albrecht, 1. Aufl 2019, DS-GVO Einf. Art. 6 Rn. 1; ähnlich Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 1; BeckOK DatenschutzR/Albers/Veit, 39. Ed. 01.11.2021, DS-GVO Art. 6 Rn. 1. 8 Simitis/Hornung/Spiecker gen. Döhmann/Albrecht, 1. Aufl 2019, DS-GVO Einf. Art. 6 Rn. 1; siehe auch Erwägungsgrund 40. 9 Simitis/Hornung/Spiecker gen. Döhmann/Albrecht, 1. Aufl 2019, DS-GVO Einf. Art. 6 Rn. 1; vgl. auch Kühling/Buchner/Buchner/Petri, 3. Aufl. 2020, DS-GVO Art. 6 Rn. 13. 10 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 1. 11 BeckOK DatenschutzR/Albers/Veit, 39. Ed. 01.11.2021, DS-GVO Art. 6 Rn. 2; a. A. vgl. Gola/Schulz, 2. Aufl. 2018, DS-GVO Einleitung Rn. 25. 12 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 1; BeckOK DatenschutzR/ Albers/Veit, 39. Ed. 01.11.2021, DS-GVO Art. 6 Rn. 1. 7
146
Kap. 3: Die datenschutzrechtliche Einwilligung
ten.13 Bei diesem Ansatz handelt es sich indes um einen naturalistischen Fehlschluss: Es wird von einem Ist-Zustand eine unmittelbare Ableitung auf einen Soll-Zustand vorgenommen. Aufgrund gesellschaftlicher Fakten die Kategorisierung anzupassen, kann nicht im Sinne eines weiterhin reglementierenden Datenschutzrechts sein. Der Umgang mit Daten soll schließlich sensibel sein; ein Verbot mit Erlaubnisvorbehalt erfasst dies eher und wird daher auch vermehrt angenommen.14 Die ergänzende Präzisierungsbefugnis der Mitgliedstaaten ist letztlich auch durch die von der DS-GVO aufgestellten Prinzipien und Bedingungen begrenzt, sodass jedenfalls unterstellt werden darf, dass der durch Art. 6 DS-GVO vorgeschriebene Grundrahmen eingehalten wird und es sich nur – wie der Begriff schon verrät – um Präzisierungen desselben handeln sollte. 2. Bedeutung und Anwendbarkeit von Erwägungsgründen Art. 296 Abs. 2 AEUV statuiert die Begründungspflicht (i. e. Erstellung und Veröffentlichung der Erwägungsgründe) für Gemeinschaftsrechtsakte. Die DSGVO mit ihren 99 Artikeln wird flankiert von 173 Erwägungsgründen. Inwieweit sind diese jedoch zusätzlich zur DS-GVO im Problemfall konkret heranzuziehen – insbesondere angesichts deren größeren Umfangs? Der EuGH hat sich mit der grundsätzlichen Frage nach dem rechtlichen Charakter sowie der konkreten Anwendbarkeit von Erwägungsgründen bereits beschäftigt.15 Dabei hat der EuGH klargestellt, dass Erwägungsgründe eines Gemeinschaftsrechtsakts (z. B. einer Verordnung wie der DS-GVO) „rechtlich nicht verbindlich sind“.16 Erwägungsgründe sind nach den Ausführungen des EuGH nur so zu lesen, wie es der Wortlaut des betroffenen Gemeinschaftsaktes erlaubt: Ergeben sich aus einer Auslegung des Erwägungsgrund im Vergleich zum eigentlichen Gesetzestext Widersprüche, überwiegt die Bedeutung des Gesetzestextes – eine Abweichung davon mit Verweis auf Erwägungsgründe ist nicht haltbar.17 Erwägungsgründe können weder konkrete Tatbestandmerkmale postulieren noch Rechtsfolgen auslösen, beides kann nur der verfügende Rechtsakt selbst.18
13
Schneider/Härting, ZD 2011, 63, 64 Gola/Schulz, 2. Aufl. 2018, DS-GVO Einleitung Rn. 25; Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 8; Kühling/Buchner/Buchner/Petri, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 11 f.; vgl. Karg, DuD 2013, 75; vgl. Hornung, ZD 2012, 99, 101; a. A. Schneider/Härting, ZD 2011, 63; Schneider, AnwBl 2011, 233. 15 EuGH, Urteil vom 19.06.2014, Rs. C-345/13, Rn. 31; EuGH, Urteil vom 24.11. 2005, C-136/04, Rn. 32; zuletzt: EuGH, Urteil vom 13.09.2018, Rs. C-287/17, Rn. 33. 16 EuGH, Urteil vom 13.09.2018, Rs. C-287/17, Rn. 33. 17 EuGH, Urteil vom 13.09.2018, Rs. C-287/17, Rn. 33. 18 Franck, ZD 2017, 509, 510. 14
A. Die datenschutzrechtliche Einwilligung
147
Erwägungsgründe sollen also unverbindlich sein – dies wird auch vom Leitfaden der Europäischen Union für Personen, die an der Abfassung von Rechtstexten für die Europäische Union mitwirken, vorgegeben: Die Unverbindlichkeit soll sich sogar in der Formulierung zeigen.19 Erwägungsgründe sollen – neben der Begründung als solcher – höchstens solche Ergänzungen enthalten, die zur Kontrolle der Rechtmäßigkeit (z. B. durch Auslegung) hilfreich sein könnten.20 Im Ergebnis kann dieses Postulat aber nicht immer eingehalten werden, und die Berücksichtigung von Erwägungsgründen geht faktisch oft über eine starre Unverbindlichkeit hinaus.21 Erwägungsgründe können insofern zur Konkretisierung unbestimmter Rechtsbegriffe dienlich sein und helfen, einen skizzenhaften Wortlaut auszumalen – sofern dies eben sinnhaft mit dem Telos der Norm übereinstimmt.22 Hier ist Vorsicht geboten, da gerade der Telos einer Norm auch unter Berücksichtigung von Erwägungsgründen ermittelt werden kann; Zirkelschlüsse sollten insofern vermieden werden. Junker kritisiert, dass der oben postulierte Umgang mit Erwägungsgründen längst nicht mehr die Regel, sondern eher die Ausnahme darstelle: Vielmehr sei die Masse an Erwägungsgründen heutzutage eine „gesetzgeberische Geschwätzigkeit“, trete auf in einer „elefantösen Gestalt“ und sei „mehr Unkraut als Nutzpflanze auf dem Feld der europäischen Normsetzung“.23 Diese harsche Kritik bezieht sich vor allem auf „banale“ Wiederholungen des Verordnungstextes24 und darf insofern auch hinsichtlich einzelner Erwägungsgründe der DSGVO wahrgenommen werden: So unterscheidet sich der Wortlaut von Erwägungsgrund 32 S. 1 der DS-GVO, der die Bedingungen für eine wirksam erteilte Einwilligung zusammenfasst, nur geringfügig von Art. 4 Nr. 11 DS-GVO.25 19 Europäische Union, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken, 2. Aufl. 2015, Ziff. 2.3.1., 10.1. 20 Vgl. Europäische Union, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken, 2. Aufl. 2015, Ziff. 9.14, 10.2. 21 Vgl. Junker, EuZA 2020, 141, 142. 22 Junker, EuZA 2020, 141, 142; siehe auch VGH Baden-Württemberg, Beschluss vom 11.06.2013 – A 11 S 1158/13, m.w. N.: „[Erwägungsgründe] haben vielmehr die Funktion einer (gewissermaßen amtlichen) Auslegungshilfe, allerdings nur sofern überhaupt Auslegungsbedarf besteht.“ 23 Junker, EuZA 2020, 141, 142. 24 Junker, EuZA 2020, 141, 142. 25 Dies ist im Sinne der empfohlenen Vorgehensweise für Erwägungsgründe mehr als grenzwertig, vgl. Europäische Union, Gemeinsamer Leitfaden des Europäischen Parlaments, des Rates und der Kommission für Personen, die an der Abfassung von Rechtstexten der Europäischen Union mitwirken, 2. Aufl. 2015, Ziff. 10.5.1: „Erwägungsgründe sind nutzlos oder verfehlen ihren Zweck, wenn sie nur den Gegenstand des Textes ankündigen oder nur dessen Bestimmungen im Wortlaut wiedergeben oder paraphrasieren, ohne die eigentlichen Gründe anzugeben.“
148
Kap. 3: Die datenschutzrechtliche Einwilligung
In den Erwägungsgründen der DS-GVO finden sich jedoch auch einige Beispiele, die über allgemeine Rahmenbedingungen und Zielsetzungen hinausgehen und sogar konkrete Inhalte vorgeben. Auch diese dürfen nur insoweit zu Problemlösungen herangezogen werden, wie es die betroffene Bestimmung nahelegt. Sofern die Erwägungsgründe also einer unmissverständlichen und zweckmäßigen Spezifizierung des Verordnungsinhaltes dienlich erscheinen, werden sie auch in dieser Arbeit als Stützen zur Interpretation herangezogen.
II. Anforderungen an die datenschutzrechtliche Einwilligung Bisweilen kann der Betroffene die Intensität der Datenerhebung bei der Einwilligung mitbestimmen, teilweise können digitale Angebote aber auch nur genutzt werden, wenn der Betroffene in die angefragte Datenverarbeitung komplett einwilligt – eine gestaffelte Einwilligung ist dann nicht vorgesehen.26 Vielmehr ist das Prinzip „Take it or leave it“ vorherrschend.27 Erwägungsgrund 32 S. 1 der DS-GVO fasst anschaulich die Anforderungen an die Einwilligung zusammen, die kumulativ28 vorliegen müssen. Die dort genannten Bedingungen decken sich mit den Anforderungen aus Art. 4, 6 und 7 DS-GVO. Die geführte Diskussion über die direkte Anwendbarkeit von Erwägungsgründen bleibt daher hier unberührt. Die Einwilligung sollte demnach durch „eine – eindeutige bestätigende Handlung erfolgen, mit der – freiwillig, – für den konkreten Fall, – in informierter Weise – und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in – Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung“.29 Verstöße werden nach Art. 83 Abs. 5 lit. a DS-GVO sanktioniert und führen selbstredend zur Unwirksamkeit der Einwilligung.
26
Krüger, ZRP 2016, 190, 191; Jöns, Daten als Handelsware, 2016, S. 50. Buchner/Kühling, DuD 2017, 544, 546; Golland, MMR 2018, 130, 131; vgl. Bräutigam, MMR 2012, 635, 640 und kritisch Buchner, DuD 2016, 154, 158; siehe dazu auch Zuiderveen Borgesius et al., Tracking Walls, Take-It-or-Leave-It Choices, the GDPR, and the ePrivacy Regulation, EDPL 3/2017, 353. 28 Ernst, ZD 2017, 110, 111. 29 Erwägungsgrund 32 S. 1 DS-GVO, Anordnung mit Spiegelstrichen durch Verf. 27
A. Die datenschutzrechtliche Einwilligung
149
1. Eindeutige bestätigende Handlung und Unmissverständlichkeit Während § 4a BDSG a. F. noch Schriftform forderte, genügt für eine Einwilligung i. S. v. Art. 4 Nr. 11 DS-GVO auch die elektronische oder mündliche Form. Erwägungsgrund 32 S. 2 DS-GVO erläutert dazu explizit, dass es ausreichend ist, wenn der Betroffene mit einem Mausklick auf „Einverstanden“ oder dem virtuellen Ankreuzen eines entsprechenden Kästchens seine Einwilligung zeigt (OptIn-Verfahren); bereits vorangekreuzte Kästchen (Opt-Out-Verfahren) sind nicht ausreichend und entsprechen einem Stillschweigen, dem kein eindeutiger Erklärungsinhalt zugesprochen werden kann – eine mutmaßliche Einwilligung ist somit nicht vorgesehen (vgl. Erwägungsgrund 32).30 Der Formulierung „eindeutige bestätigende Handlung“ ist zu entnehmen, dass auch eine konkludente Einwilligung möglich ist, solange die Eindeutigkeit der Bestätigung „unmissverständlich“ ist.31 Da die Einwilligung im Internet regelmäßig im Opt-In-Verfahren erfolgt und dies als explizit zustimmende Handlung gesehen werden kann, spielt ein konkludentes Erteilen in der Praxis eine untergeordnete Rolle. Entscheidend bleibt, dass die Erteilung der Einwilligung immer auf einem Handeln (und keinem bloßen Geschehenlassen) seitens des Betroffenen beruht, also mit einem aktiven Handlungselement verknüpft ist.32 Das Unterstellen einer (fingierten) Einwilligung mit dem Hinweis auf die Möglichkeit des Widerspruchs oder Widerrufs kann daher den Anforderungen an die datenschutzrechtliche Einwilligung richtigerweise nicht gerecht werden (sog. Widerspruchslösungen).33 Mit den zuspitzenden Worten Ernsts: „Wer einen Fotografen anlächelt, stimmt deshalb nicht einer wie auch immer gearteten Nutzung seines Bildes zu.“34 Zur Frage, wann das Erfordernis der Eindeutigkeit hinreichend erfüllt ist, kann die Auslegung nach dem Empfängerhorizont i. S. d. §§ 133, 157 BGB als Stütze dienen.35 Der Wortlaut „unmissverständlich“ aus Art. 4 Nr. 11 DS-GVO verdeutlicht, worauf bei dieser Auslegung zu achten ist: Nämlich darauf, dass nur eine eindeutig zurechenbare Bestätigungshandlung als Einwilligung tauglich ist – bestehen Zweifel an einem dieser besagten Aspekte, soll keine Einwilligung angenommen werden können.36 Aus diesen Gründen wird die datenverarbeitende 30
Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 90; Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 35; BeckOK DatenschutzR/ Schild, 39. Ed. 01.11.2021, DS-GVO Art. 4 Rn. 124. 31 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 89; Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 35 f. 32 Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Aufl. 2017, Teil 3 Rn. 39. 33 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 90. 34 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 90. 35 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 36 m.w. N. 36 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 36.
150
Kap. 3: Die datenschutzrechtliche Einwilligung
Stelle regelmäßig eine Einwilligung in Textform bzw. eine jedenfalls beweisbare, nachvollziehbare Einwilligung verlangen, vgl. Art. 7 Abs. 1 DS-GVO.37 Nach Erwägungsgrund 42 der DS-GVO liegt schließlich auch die Beweislast für die Einwilligung auf Seiten des Datenverarbeiters. Das hierdurch geweckte Interesse an der Klarheit der Einwilligung gibt dem Betroffenen letztlich auch Kontrolle und wirkt stärkend für ihn, nicht zuletzt, indem es den Vorgang der Einwilligung fühlbarer und bewusster macht.38 Problematisch erscheint die Eindeutigkeit jedenfalls, wenn schon die Werkseinstellungen eines Browsers gesetzte Cookies enthalten.39 Cookies sind Datenpakete, die zwischen Computern ausgetauscht werden; dazu gehören auch Nutzerdaten, die den Nutzer identifizierbar machen.40 Cookies haben für den Nutzer den Vorteil, dass die Daten, die er beim Besuch einer Website erzeugt (Eingaben in Formulare, Warenkorb-Inhalte) zwischengespeichert werden und beim erneuten Aufruf der Website sogleich wieder zur Verfügung stehen.41 Für Werbetreibende beispielsweise lassen sich durch diese sessionübergreifenden Erkenntnisse über das Nutzerverhalten gezieltere personalisierte Werbepakete vermarkten.42 Die Weitergabe der Cookies in den Werkseinstellungen kann indes nur legitim sein, wenn die Einstellungen des Browsers (sofern nicht von einem anderen Rechtfertigungsgrund zur Datenerhebung profitierend) den Anforderungen der Einwilligung genügen, was angesichts mangelnder Eindeutigkeit und ggf. auch Bewusstheit bei einer solchen Vorgehensweise fraglich erscheint.43 Denn möglicherweise entspräche dieses Vorgehen einem unzulässigen versteckten Opt-OutVerfahren.44 Bei der Installation eines Browsers sollte daher zur Sicherheit regelmäßig bereits eine explizite und von anderen Hinweisen isolierte Einwilligung gefordert werden.45
37 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 2. 38 Ehmann/Selmayr/Heberlein, 2. Aufl. 2018, DS-GVO Art. 6 Rn. 11. 39 Schantz, NJW 2016, 1841, 1844; BeckOK DatenschutzR/Stemmer, 39. Ed. 01.11. 2021, DS-GVO Art. 7 Rn. 84.1; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 37. 40 Zitiert nach Lackes/Siepermann/Kollmann, in: Online-Wirtschaftslexikon Gabler, abrufbar unter: https://wirtschaftslexikon.gabler.de/definition/cookie-27577/version251226 (Stand 01.05.2022); Hanloser, ZD 2018, 213, 214; siehe auch Walker, Die Kosten kostenloser Dienste, S. 48. 41 Schwartmann/Benedikt/Reif, MMR 2021, 99; zur Funktionsweise auch Hanloser, ZD 2018, 213, 214; Walker, Die Kosten kostenloser Dienste, S. 164. 42 Siehe zu personalisierter Werbung ab Kap. 1, C. III. 43 Schantz, NJW 2016, 1841, 1844; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 37. 44 Vgl. Erwägungsgrund 32. 45 Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 44.
A. Die datenschutzrechtliche Einwilligung
151
Dies wird durch die Einführung des TTDSG bestärkt: Zuvor wurde die Notwendigkeit einer Einwilligung für die rechtmäßige Verarbeitung von Cookies aus § 15 Abs. 3 TMG a. F. abgeleitet, obwohl dieses Erfordernis nicht im Wortlaut enthalten war. Eine DS-GVO-konforme Auslegung erlaubte auch kein anderes Ergebnis. Der neue § 25 Abs. 1 TTDSG sorgt nun auch für Buchstabenklarheit und verweist auf die Notwendigkeit einer Einwilligung nach Maßstab der DSGVO. Ausnahmen gelten nach Abs. 2 Nr. 1, wenn es sich um eine Nachricht über ein öffentliches Telekommunikationsnetz handelt oder, parallel zu Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO, wenn die Verarbeitung unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Zu klären bleibt, ob die Einwilligung der Eindeutigkeit halber stets separat von anderen Erklärungen zu erfolgen hat. Dann wäre es nicht denkbar, die Einwilligungserklärung mit einer auf einen Vertragsschluss gerichteten Willenserklärung in einer einzigen Willensäußerung zu verbinden.46 Zwar fordert Art. 7 Abs. 2 S. 1 DS-GVO bei Abgabe der Erklärung eine klare Differenzierung zu „anderen Sachverhalten“, also solchen, die keinen eigenen Bezug zu einwilligungsbedürftigen Datenverarbeitungen haben. Eine in einer Masse von AGB-Klauseln versteckte Einwilligung kann dieser Anforderung nicht gerecht werden.47 Die Formulierung „eine48 schriftliche Erklärung, die noch andere Sachverhalte betrifft“, impliziert aber jedenfalls die Möglichkeit, die Einwilligung mit einer weiterführenden Willensbekundung zu verbinden.49 Es kann daher genügen, wenn der Betroffene „das Gesamtpaket positiv akzeptiert“.50 Der von Art. 7 Abs. 2 S. 1 DS-GVO postulierte Trennungsgrundsatz soll insofern vielmehr einer beiläufig erteilten Einwilligungserklärung vorbeugen, deren Bedeutungsgehalt schneller verkannt werden kann.51 Die Gefahr für eine solch beiläufige Erklärung geht vor allem von Verträgen mit „Kleingedrucktem“ aus,52 die eine Dienst- oder Sachleistung als Hauptgegenstand haben und somit der scheinbar nebensächlichen Datenerhebung nicht hinreichend Raum zur Wahrnehmung durch den Verbraucher lassen.53 In diese Richtung lässt sich auch Erwägungsgrund 42 der DS-GVO ver46 Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 36. 47 Wendehorst/Graf v. Westphalen, NJW 2016, 3745. 48 Anm.: Hervorhebungen durch Verf. 49 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 36. 50 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 36. 51 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 10. 52 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 3. 53 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 3.
152
Kap. 3: Die datenschutzrechtliche Einwilligung
stehen, der die Anforderungen an die Rezeption des Verbrauchers genauer ausformuliert.54 So sinnig diese Differenzierung theoretisch ist, so wenig sachdienlich die Versuche ihrer faktischen Durchführung: Denn im Ergebnis wird der Verbraucher tatsächlich in der Regel weder die AGB noch die Einwilligungserklärung genau lesen und am Ende nur einmal mehr ein Häkchen setzen bzw. auf „Einverstanden“ klicken.55 Repräsentative verhaltenswissenschaftliche Umfragen56 stützen schließlich die naheliegende Vermutung, dass die regelmäßige Aufforderung an den Verbraucher zur datenschutzrechtlichen Einwilligung bei Aufrufen einer Website oder Registrieren auf einer Website nicht dazu führt, dass der Nutzer seinen Rechtsbindungswillen und die inhaltlichen Anforderungen der Datenschutzerklärung erforscht, sondern diese im Gegenteil sogar eher als unwichtig wahrnimmt.57 Theorie und Praxis haben hier nur wenige Berührungspunkte; das tatsächlich geforderte Wahrnehmen und Verstehen seitens des Verbrauchers wird in der Praxis durch die reine Möglichkeit dessen ersetzt.58 2. Freiwilligkeit Die Erklärung der Einwilligung soll freiwillig (im Englischen „freely given“) erfolgen. Eine Legaldefinition der Freiwilligkeit enthält die DS-GVO nicht. Die Formulierung „ohne Zwang“ aus Art. 2 lit. h DSRL wurde in der DS-GVO nicht übernommen, bleibt aber Teil der Definition.59 Die Auslegung des Begriffs der Freiwilligkeit muss anhand des Einzelfalles erfolgen.60 Denn gemeint ist eben
54 Z. B. in S. 3 und S. 5: „Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollten Garantien sicherstellen, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt [. . .] Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen.“ 55 Becker, CR 2021, 230, 231. 56 Obar/Oeldorf-Hirsch, Clickwrap Impact: Quick-Join Options and Ignoring Privacy and Terms of Service Policies of Social Networking Services, #SMSociety17: Proceedings of the 8th International Conference on Social Media & Society, 2017, Article No.: 50, abrufbar unter: https://doi.org/10.1145/3097286.3097336 (Stand 01.05.2022), S. 1–5; siehe auch zu verhaltenswissenschaftlichen Ergebnissen dazu Kettner/Thorun/ Vetter, Verhaltenswissenschaftliche Ergebnisse zur Wirksamkeit des OnePager-Ansatzes und weiterer Lösungsansätze im Datenschutz, 2018, abrufbar unter: https://www.con policy.de/data/user_upload/Studien/Bericht_ConPolicy_2018_02_Wege_zur_besseren_ Informiertheit.pdf (Stand 01.05.2022). 57 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747. 58 Zu Verbesserungsvorschlägen für mehr Transparenz siehe Kap. 4. 59 BeckOK DatenschutzR/Schild, 39. Ed. 01.11.2021, DS-GVO Art. 4 Rn. 127. 60 Vgl. Ernst, ZD 2017, 110, 111.
A. Die datenschutzrechtliche Einwilligung
153
nicht nur die Freiheit von Zwang oder Drohung,61 sondern tatsächlich eine „echte Wahl [. . .] hinsichtlich des Ob, Wieviel und Wem er [der Betroffene] die Nutzung seiner Daten gestattet“.62 Schließlich kann eine solche freie Wahl nur unter der Voraussetzung der Informiertheit über die Tragweite der Entscheidung gefällt werden.63 Dies geht auch aus Erwägungsgrund 32 der DS-GVO hervor, der die Einwilligung „in informierter Weise“ anordnet. So kann beispielsweise ein Cookie-Banner, das sich beim Aufrufen einer Website öffnet, und lediglich die Option, ein „OK-Button“ anzuklicken, eigentlich nicht ausreichen. Denn hier fehlt die Option, das Setzen der Cookies (und mithin die Erhebung von personenbezogenen Daten) abzulehnen, zu modifizieren oder inhaltlich überhaupt hinreichend zu überblicken.64 Insofern ist das Erfordernis der Freiwilligkeit strenger zu verstehen als die Anforderungen an eine (geschäftsähnliche) Erklärung im Sinne des BGB; deren denkbare Einschränkungen durch Anfechtbarkeit (vgl. § 123 BGB) sowie Sittenwidrigkeit (vgl. § 138 BGB) sind geringer.65 Der Betroffene muss bei Erteilung einer Einwilligung i. S. d. Erwägungsgrundes 42 der DS-GVO eine „echte und freie Wahl“ haben. Wesentlich ist auch die Gefahr, dass erhebliche Datenverarbeitungen für die Augen des Betroffenen verschleiert werden können, da sie angesichts eines besonders verlockenden Angebots in den Randbereich der Wahrnehmung rücken;66 denn die Freiwilligkeit könnte auch durch starke Anreize (Gewinnspiele, besondere Angebote etc.) getrübt werden.67 Anhand dieser etwas diffusen Einschränkungen lässt sich bereits erahnen, dass die Freiwilligkeit eines der schwierigsten und umstrittensten Wirksamkeitserfordernisse der Einwilligung darstellt.68 Dies
61 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 42; BeckOK DatenschutzR/Schild, 39. Ed. 01.11.2021, DS-GVO Art. 4 Rn. 127; Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 26 ff. 62 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 69; BeckOK DatenschutzR/ Schild, 39. Ed. 01.11.2021, DS-GVO Art. 4 Rn. 127. 63 Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 29; Franzen/Gallner/Oetker/ Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 8. 64 Siehe dazu auch die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, herausgegeben von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Stand: März 2019, abrufbar unter: https:// www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf (Stand 01.05. 2022), S. 10. 65 Pertot/Riehm, Rechte an Daten, S. 175, 181. 66 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 9; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, S. 43; Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 54; Ernst, ZD 2017, 110, 112. 67 Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, 2016, S. 14 f. 68 Veil, NJW 2018, 3337, 3340.
154
Kap. 3: Die datenschutzrechtliche Einwilligung
nicht zuletzt, da das – nicht immer mit Eindeutigkeit festzustellende – Fehlen der Freiwilligkeit die bewusst abgegebene Einwilligung zunichtemacht.69 a) Klares Ungleichgewicht Als unzweifelhafter Ausschluss der Freiwilligkeit wird in Erwägungsgrund 43 S. 1 der DS-GVO die Situation beschrieben, in der ein klares Ungleichgewicht zwischen den Vertragsparteien herrscht. Der BGH hat bereits 2008 einen ähnlichen Maßstab an die Freiwilligkeit einer Einwilligung nach dem BDSG gelegt: Diese sei zu verneinen „wenn die Einwilligung in einer Situation wirtschaftlicher oder sozialer Schwäche oder Unterordnung erteilt wird oder wenn der Betroffene durch übermäßige Anreize finanzieller oder sonstiger Natur zur Preisgabe seiner Daten verleitet wird“.70 Wann genau dies zu bejahen ist, ist allerdings nicht immer einfach zu beurteilen.71 Außerdem bleibt die Frage, warum man bei einer zu hohen Gegenleistung die Freiwilligkeit verneinen sollte – in anderen Konstellationen käme man wohl eher nicht auf die Idee, zugunsten eines scheinbar übervorteilten Vertragspartner ein negatives Ungleichgewicht anzunehmen. Die Annahme, dass ein solches Ungleichgewicht dennoch vorliegt, muss also anders begründet werden. Diese Begründung kann darin gefunden werden, dass durch besondere Anreize eine Ablenkung von der entscheidenden Datenpreisgabe seitens des Verbrauchers stattfindet. Ist der Blick fest auf einen solchen Anreiz gerichtet, wird die Intensität der Datenpreisgabe eher falsch eingeschätzt. Es ist denkbar, dass dies ausgenutzt werden könnte, um möglichst viele Daten sammeln zu können, und der Betroffene kann sein Recht auf informationelle Selbstbestimmung nicht so ausüben, wie es das Erfordernis der Freiwilligkeit in der DS-GVO vorsieht. Wo genau diese Grenze jedoch überschritten sein soll, sodass tatsächlich ein Ungleichgewicht bejaht werden muss, bleibt allerdings ungenau und muss einzelfallbezogen entschieden werden.72 Der Passus über das Ungleichgewicht wurde aufgrund dieser Ungenauigkeit schon als „Damoklesschwert, das einen rechtskonformen Datenverkehr mit Verbrauchern erheblich erschwert“73, bezeichnet. Grundsätzlich kann ein faktisches oder wirtschaftliches Ungleichgewicht zwischen Großkonzernen und Verbrauchern wohl regelmäßig beobachtet werden, ohne dass direkt die Freiwilligkeit ausgeschlossen werden muss.74 Nur aufgrund 69
Veil, NJW 2018, 3337, 3340. BGH, NJW 2008, 3055, 3056; 2010, 864, 865; siehe auch Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 20: „Dieses [klare Ungleichgewicht] lässt sich kaum monokausal bestimmen.“ 71 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 18 f. 72 Vgl. Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 28; Kühling/Buchner/ Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 44. 73 Härting, ITRB 2016, 36, 40. 74 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 44. 70
A. Die datenschutzrechtliche Einwilligung
155
generell unterschiedlicher wirtschaftlicher Machtverhältnisse ist schließlich kein Ungleichgewicht anzunehmen, sondern weiterhin auf die konkrete Situation im Einzelfall abzustellen,75 wie auch der Wortlaut von Erwägungsgrund 43 der DSGVO verdeutlicht: „in Anbetracht aller Umstände in dem speziellen Fall“. Da Erwägungsgrund 43 sich explizit auf das Verhältnis zu einer Behörde bezieht, wird angenommen, dass insbesondere ein rechtliches Über-Unterordnungsverhältnis gemeint ist, welches auch eher identifizierbar sein dürfte als ein rein faktisches Ungleichgewicht.76 Denkbar ist in diesem Sinne ein faktisches Ungleichgewicht im nichtöffentlichen Bereich nur dann, wenn die Marktrolle des Unternehmers, der die Datenverarbeitung vornimmt, von einem „Alleinstellungsmerkmal“ 77, einer Monopolstellung, geprägt ist und der Betroffene auf die Dienste angewiesen ist.78 Dies hat das Bundeskartellamt in seiner Untersagung gegenüber Facebook angenommen.79 Da der Vernetzungseffekt bei keinem Anbieter auch nur entfernt vergleichbar groß ist wie bei Facebook, kann der Nutzer nicht auf andere Anbieter ausweichen. Die Monopolstellung verhindert insofern die „freie Wahl“ und führt zu einem klaren Ungleichgewicht.80 Die datenschutzrechtlichen Anforderungen an marktbeherrschende Dienste wie Facebook sind daher besonders hoch.81 An dieser Stelle wird die Grenze zum Kopplungsverbot verwischt: Wenn der Vertragsschluss und die Erteilung der Einwilligung aneinander geknüpft sind und der Betroffene auf die Dienste des Verantwortlichen angewiesen ist, könnte auch das Kopplungsverbot einschlägig sein. b) Kopplungsverbot, Art. 7 Abs. 4 DS-GVO Datenschutzrechtliche Kopplungsverbote sollen verhindern, dass eine Leistung von der Erteilung einer datenschutzrechtlichen Einwilligung abhängig gemacht wird.82 Wenn der Datenfluss nicht erforderlich für die Erfüllung des Vertrags ist, 75
Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 44. Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 23. 77 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 22. 78 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 44; Gola/ Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 27; Gierschmann, ZD 2016, 51, 54. 79 Beschluss des BKartA: B6-22/16, Entscheidung vom 06.02.2019, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Miss brauchsaufsicht/2019/B6-22-16.pdf (Stand 01.05.2022); dazu Kap. 4, G. II. 80 Beschluss des BKartA: B6-22/16, Entscheidung vom 06.02.2019, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Miss brauchsaufsicht/2019/B6-22-16.pdf (Stand 01.05.2022), S. 208 f. Rn. 646; siehe auch Ernst, ZD 2017, 110, 112. 81 Mehr zu besagtem Beschluss des BKartA und dem bestätigenden Urteil des BGH, siehe Kap. 4, G. II. 82 Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 30; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, S. 81; Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, 2016, S. 100 f. 76
156
Kap. 3: Die datenschutzrechtliche Einwilligung
darf der Vertragsschluss nicht an die Einwilligung gekoppelt werden; ist ein Vertrag dennoch in dieser Weise geschlossen worden, gilt die Einwilligung als nicht freiwillig erteilt und somit als unwirksam.83 Entscheidend ist, welcher Maßstab an den Begriff der Erforderlichkeit gestellt wird.84 Wann die Kopplung von Einwilligung bzw. Datenverarbeitung und Vertragsschluss erforderlich ist, hängt letztlich vom jeweiligen Vertrag ab. Es muss insofern klar unterschieden werden zwischen Daten, die (nur) zur Durchführung des Vertrags erhoben werden und hierfür unumgänglich, also notwendig sind, und Daten, die darüberhinausgehend genutzt und verarbeitet werden. Diese Grenze erschließt sich dem Verbraucher nicht immer auf den ersten Blick. Dass die Daten selbst Teil der essentialia negotii sind, zeigt dabei nicht, ob der Vertrag grundsätzlich auch ohne das gewählte Maß an Datenverarbeitung durchgeführt werden könnte. Problematisch wird hier, dass im Falle einer vertraglich vereinbarten Datenverarbeitung ggf. aus dem Vertrag selbst eine (nicht vollstreckbare) Rechtspflicht des Nutzers zur Erteilung der Einwilligung bestehen könnte.85 Bei enger Auslegung des Kopplungsverbots könnte in diesem Falle einer bestehenden Rechtspflicht schon eine verbotene Kopplung bejaht werden.86 Dies hätte allerdings die Unwirksamkeit solcher – regelmäßig vertretenen – datenfinanzierten Geschäfte zufolge.87 Wenn man hingegen argumentiert, dass durch eine vertragliche Vereinbarung zur Datenüberlassung die Datenpreisgabe erforderlich wird, um den Vertrag zu erfüllen, so wäre das Kopplungsverbot aufgrund dieser Erforderlichkeit nicht betroffen – und würde stark an Bedeutung verlieren.88 Wo genau die Grenze zu ziehen ist, die eine erlaubte Einbeziehung von Einwilligungen zu Refinanzierung von einer unerlaubten Kopplung trennt, erscheint dabei nicht deutlich genug.89 Grundsätzlich kann die Einwilligung allerdings ggf. auch durch den Erlaubnistatbestand des Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO hinsichtlich des zur Vertragsdurchführung erforderlichen Teils der Datenverarbeitung ersetzt werden;90 das Kopplungsverbot greift dann möglicherweise erst in Verbindung mit darüberhinausgehender Datennutzung, wenn die Gesamtverarbeitung der Daten auf einer 83 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 9; Ehmann/Selmayr/Klabunde, 2. Aufl. 2018, DSGVO Art. 4 Rn. 51; siehe auch Erwägungsgrund 43 S. 2. 84 BeckOK/Stemmer, 37. Ed. 01.05.2021, DS-GVO Art. 7 Rn. 41. 85 Pertot/Riehm, Rechte an Daten, S. 175, 182; Pertot/De Cristofaro, Rechte an Daten, S. 152, 165. 86 Pertot/Riehm, Rechte an Daten, S. 175, 182. 87 Schantz, NJW 2016, 1841, 1845; Pertot/Riehm, Rechte an Daten, S. 175, 182. 88 BeckOK/Stemmer, 37. Ed. 01.05.2021, DS-GVO Art. 7 Rn. 41.1. 89 Pertot/Riehm, Rechte an Daten, S. 175, 184. 90 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 9.
A. Die datenschutzrechtliche Einwilligung
157
Kombination der Erlaubnistatbestände aus Art. 6 Abs. 1 UAbs. 1 lit. a und b DSGVO beruht. Dabei ist diese Handhabung durchaus zu hinterfragen, da die einzelne Überprüfung, wie bereits angedeutet, Abgrenzungsschwierigkeiten bereiten kann. Problematisch erscheint dabei vor allem, dass gerade bei der Nutzung digitaler Netzwerke häufig, zumindest dem Grundsatz nach, die Erforderlichkeit i. S. v. Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO zu bejahen sein wird. So werden Facebook und Google erst effektiv durch die reichliche Verarbeitung und Bereitstellung von (u. a. personenbezogenen) Daten; erst die Vernetzung großer Datenmassen ermöglicht das digitale Angebot.91 Durch diesen Erlaubnistatbestand könnten jedoch in wenigen Schritten die zahlreichen Schutzmechanismen, die die Einwilligung charakterisieren, umgangen werden.92 Diskutabel erscheint insofern nicht allein das Bereitstellen der Daten an sich, sondern insbesondere die Intensität der Verarbeitung, die über die Nutzbarmachung des Dienstes (die reine Vernetzung von Informationen zur Bereitstellung für den Nutzer) hinausgeht.93 Denn die über die Nutzbarmachung hinausgehende Verarbeitung entspricht ihrem Zweck nach häufig einem Entgelt.94 Man könnte sogar vorschlagen, auch hier eine Erforderlichkeit anzunehmen; denn die Finanzierung des Angebots – beispielsweise durch personalisierte Werbeanzeigen – ist letztlich für dessen Aufrechterhaltung notwendig. In einem solchen Falle, in dem kommerzielle Interessen des Verantwortlichen auf eine über das Erforderliche hinausgehende, gewinnbringende Datenverarbeitung zielen, ist indes eine teleologische Reduktion von Art. 6 Abs. 1 UAbs. 1 lit. b und lit. f DS-GVO angezeigt, und für die Verarbeitung eine Einwilligung einzuholen.95 Wünschenswert wäre hier, dass eine solche Lösung ebenfalls vom EuGH vorgetragen würde, um transnationale Verbindlichkeit zu genießen.96 Bis dahin allerdings wäre es jedenfalls im Sinne des Transparenzgebots sinnfällig, wenn die faktische Gegenleistung der Daten auch als solche offen deklariert würde.97 Denn die werbewirksame Behauptung, die Dienste von Facebook, 91
Pertot/Riehm, Rechte an Daten, S. 175, 177, 183. Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3749. 93 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 50. 94 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3750; Buchner, DuD 2016, 154, 159; siehe dazu Kap. 2, B. II. 2. ff. 95 Hennemann, ZUM 2017, 544, 546; Westphalen, NJW 2016, 3745, 3747; siehe dazu Kap. 2, B. IV. 3. f). 96 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3750; siehe auch BeckOK DatenschutzR/Albers/Veit, 39. Ed. 01.11.2021, DS-GVO Art. 6 Rn. 44: „Durch die Verzahnung mit dem jeweiligen nationalen Zivilrecht wirkt das Verständnis der Erforderlichkeit im Rahmen von Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO in hohem Maße auf dieses zurück und es ergeben sich Abstimmungserfordernisse.“ 97 Buchner, DuD 2016, 154, 159; Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 30; siehe dazu Kap. 2. 92
158
Kap. 3: Die datenschutzrechtliche Einwilligung
Google und Co stünden „kostenlos“ zur Verfügung, muss dadurch korrigiert werden, dass die Datenverarbeitungen dieser Dienste eben nicht nur der Nutzbarmachung dienen, sondern sich auch aus der weitergehenden Datenverarbeitung (targeted marketing usw.) finanzieren und Gewinne schöpfen – sie fungieren faktisch als Gegenleistung.98 Diese Situation hat Veil zugespitzt kritisiert: „Wer mit Daten Geld verdient, wird genauso behandelt wie derjenige, der nur ein Adressbuch führt.“99 Eine entsprechende Offenlegung dieser Situation bei Vertragsschluss würde eine neue Gesamtbewertung der Vertragsschlusssituation ermöglichen und auch dem Transparenzgebot Genüge tun.100 Würde diese Bedingung strikt eingehalten, so bedürfte es in den entsprechenden Fällen keiner Einschränkung über das Kopplungsverbot101 – die Offenlegung führt schließlich eher dazu, dass der Nutzer in tatsächlich bewusster Weise über seine personenbezogenen Daten disponiert, mit dem Wissen, dass aus seinen Daten Gewinne geschöpft werden; dies wäre damit aufgrund besserer Informiertheit eher ein Ausdruck der informationellen Selbstbestimmung und könnte den Blick für den Wert der eigenen Daten schärfen.102 Zwar ist anzunehmen, dass anhand der Marktpräsenz von Google, Facebook und Co. dem Nutzer bekannt sein dürfte, dass er mit seiner Einwilligung eine Art Beitrag zu dieser Marktmacht leistet. Ein solches generelles Bewusstsein reicht jedoch nicht aus. Vielmehr wäre in der konkreten Situation der Einwilligung eine Art Erklärungsbewusstsein darüber erforderlich, dass über einen Wert im Sinne eines Entgelts verfügt wird. Mangels der geforderten Klarheit kann ein solches Wissen gerade auch im Hinblick auf den Verbraucherschutz nicht einfach unterstellt werden. Dagegen kann argumentiert werden, dass die in Frage stehende Gegenleistung nicht unbedingt in der Einwilligung und Datengenerierung an sich liegen muss, sondern möglicherweise vielmehr in der resultierenden Werbeexposition – werden nach der Einwilligung in die Datenerhebung Adblocker genutzt, wird die etwaige Gegenleistung somit teilweise vereitelt.103 Andererseits ist gerade im regelmäßig anzutreffenden Fall der personalisierten Werbung die vorangegangene Datenerhebung der Faktor, der die Werbung so wertvoll macht und der aus dem Gesamtgefüge nicht wegzudenken ist.104 Insofern ist diese Differenzierung etwas kurz gegriffen. 98 Buchner, DuD 2016, 154, 159; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 21; siehe dazu Kap. 2., B. IV. 6. 99 Veil, NVwZ 2018, 686, 693. 100 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 51. 101 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 51. 102 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 51; Gola/ Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 27; Buchner, DuD 2016, 154, 158 f. 103 D’Onfro, Facebook admits that it’s worried about ad blockers, Business Insider (29.01.2016), abrufbar unter: https://www.businessinsider.com/facebook-admits-thatits-worried-about-adblockers-2016-1 (Stand 01.05.2022). 104 Siehe zu personalisierten Werbeanzeigen Kap. 1, C. III.
A. Die datenschutzrechtliche Einwilligung
159
Des Weiteren wird eine Einschränkung des Kopplungsverbots mithilfe der Verhältnismäßigkeit vorgeschlagen.105 Dies ist nicht zuletzt ein Ausfluss des vor Inkrafttreten der DS-GVO nach deutschem Recht anwendbaren Kopplungsverbots i. S. d. § 28 Abs. 3 lit. b BDSG a. F. sowie § 95 Abs. 5 TKG a. F.106 Danach war für die Bejahung einer solchen Kopplungssituation erforderlich, dass der Betroffene auf die Nutzung des Dienstes angewiesen war und keine alternative Nutzungsmöglichkeit (beispielsweise ein anderer Anbieter) vorhanden war.107 Setzt man diese Bedingung auch weiterhin voraus, bleibt beispielsweise bei Facebook die Frage, inwieweit der Nutzer auf die sozialen Netzwerke angewiesen sein kann, sodass das Kopplungsverbot einer Einwilligung entgegenstünde. Tatsächlich steht es dem Betroffenen frei, das Angebot der sozialen Netzwerke nicht zu nutzen. Anders als bei in Aussicht stehenden Arbeits- oder Mietverträgen kann bei einem durchschnittlichem Verbraucher wohl nicht von einer persönlichen oder wirtschaftlichen Angewiesenheit des Betroffenen ausgegangen werden.108 Gegen eine solche eher schmale Auslegung der Angewiesenheit des Betroffenen kann allerdings auf die soziale Relevanz der besagten Dienste verwiesen werden.109 Denn bei marktbeherrschenden Anbietern wie Google oder Facebook kann nicht pauschal davon ausgegangen werden, dass die Nutzer bei Erteilung der Einwilligung eine echte Wahl haben, also wirklich frei entschieden einen Anbieter wählen, dem sie ihre Daten zur Verfügung stellen.110 Vielmehr wird die vermeintliche (Aus-)Wahl dieser Dienste regelmäßig als notwendiges Übel betrachtet, da man nicht sozial abgehängt werden möchte, indem man besagte Dienste verweigert.111 105 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 27; ähnlich Kühling/Buchner/ Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 51, 51a; Buchner, DuD 2016, 154, 158 f. 106 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 52. Golland bezieht sich daher auf das Kopplungsverbot als ein „scheinbare[s] Novum“ der DS-GVO, das in Form eines „Schattendaseins“ schon länger vom BDSG bedacht sei: Golland, MMR 2018, 130. 107 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 52; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, S. 84 ff. 108 Buchner, DuD 2010, 39, 41; Kipker/Voskamp, DuD 2012, 737, 739. Anders mag es freilich in Fällen liegen, in denen der betroffene Dienst auch beruflich genutzt wird, z. B. bei einem Influencer, der sich über YouTube finanziert – hier könnte eine Angewiesenheit auch zu bejahen sein. 109 Golland, MMR 2018, 130, 131. 110 Vgl. Golland, MMR 2018, 130, 131. Dies entspricht auch dem Beschluss des BKartA gegenüber Facebook: B6-22/16, Entscheidung vom 06.02.2019, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Miss brauchsaufsicht/2019/B6-22-16.pdf (Stand 01.05.2022); siehe Kap. 4, G. II. 111 Ernst, ZD 2017, 110, 112; Koops, The Trouble with European Data Protection Law (August 29, 2014). International Data Privacy Law, Tilburg Law School Research Paper No. 04/2015, abrufbar unter: https://goo.gl/sVy7HM (Stand 01.05.2022), S. 3; gerade bzgl. Diensten mit Netzwerkeffekt: Schantz/Wolff, Das neue Datenschutzrecht, D. Grundprinzipien und Zulässigkeit der Datenverarbeitung, Rn. 508; Schantz, NJW
160
Kap. 3: Die datenschutzrechtliche Einwilligung
Kritisiert werden kann am Kopplungsverbot andererseits, dass es faktisch eine Einschränkung der Privatautonomie als des „Prinzip[s] der Selbstgestaltung der Rechtsverhältnisse durch den einzelnen nach seinem Willen“112 bedeutet.113 Dagegen kann jedoch angeführt werden, dass in gewisser Hinsicht gerade die Privatautonomie durch das Kopplungsverbot berücksichtigt wird: Denn auch die negative Freiheit, einen Vertrag nicht in einer von Seiten des Unternehmers aufoktroyierten Weise abzuschließen, also eine Einwilligung zur Datenverarbeitung nicht abzugeben, ist schutzwürdig. Das Kopplungsverbot soll einer Situation vorbeugen, in der die schwächere Partei, die auf die Leistung angewiesen ist, aufgrund dieser Angewiesenheit Daten von sich preisgibt, die nicht in Zusammenhang mit der Leistung stehen – es handelt sich um eine Zwickmühle für die schwächere Partei. Argumente für eine Zwangssituation ließen sich daraus herleiten (z. B. regelmäßig sozialer und beruflicher Druck, keine Alternativzahlung mit Geld möglich). Inwieweit kann es sich dabei noch um einen Ausdruck von Privatautonomie handeln?114 Ausnahmen von der privatautonomen Gestaltung können sich aufgrund nachweislich gestörter Vertragsparität zwischen den Vertragspartnern ergeben; denn im Sinne von Art. 2 Abs. 1 GG ist die Privatautonomie so zu deuten, dass eine Umkehrung von Selbst- in Fremdbestimmung aufgrund eines vertraglichen Ungleichgewichts verhindert werden soll.115 Diese Pflicht beinhaltet die Schaffung einer entsprechenden Privatrechtsordnung, die ein grundrechtlich garantiertes Mindestmaß an privatrechtlicher Selbstbestimmung sichern soll.116 Problematisch erscheint, dass die fraglichen Leistungen, um die es hier geht, in der Regel nicht zur Grundversorgung gehören oder anderweitig lebensnotwendig sind (z. B. im Bereich des Arbeitsrechts oder Gesundheitsschutzes). Die privatautonome Entscheidung, sich in eine vertragliche Disparität zu begeben, ist nicht per se unwirksam.117 Grundsätzlich sind schließlich die getroffenen Vereinbarungen inhaltlich wirksam, solange sie nicht gegen gesetzliche Vorschriften oder gegen Treu und Glauben verstoßen; eine interpretierende, über das
2016, 1841, 1845; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 53a; siehe auch: Beschluss des BKartA: B6-22/16, Entscheidung vom 06.02.2019, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entschei dungen/Missbrauchsaufsicht/2019/B6-22-16.pdf (Stand 01.05.2022), S. 208 f. Rn. 646. 112 Flume, Allgemeiner Teil des bürgerlichen Rechts, § 1, S. 1. 113 Engeler, ZD 2018, 55, 56; Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 27 ff. 114 Specht, DGRI-Jahrbuch 2017 Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, I. ff. 115 Dürig/Herzog/Scholz/Di Fabio, GG, 95. EL Juli 2021, Art. 2 Abs. 1 Rn. 107 f.; BVerfGE 89, 214, 232; 103, 89, 100; 81, 242, 255: „Hat einer der Vertragsteile ein so starkes Übergewicht, daß er vertragliche Regelungen faktisch einseitig setzen kann, bewirkt dies für den anderen Vertragsteil Fremdbestimmung.“ 116 Dürig/Herzog/Scholz/Di Fabio, GG, 95. EL Juli 2021, Art. 2 Abs. 1, Rn. 107. 117 Tamm/Tonner/Brönneke/Tamm, Verbraucherrecht, § 1 Rn. 49 f.; siehe auch zu dieser Problematik Canaris, AcP 2000, 273, 278 ff.
A. Die datenschutzrechtliche Einwilligung
161
Vereinbarte hinausgehende Auslegung ist nicht angezeigt.118 Wenn das Vorgehen also dem Willen beider Parteien entspricht, ist es hinsichtlich der Privatautonomie zunächst nicht zu beanstanden. Da hier jedoch nicht nur die Privatautonomie, sondern auch Datenschutz und mithin informationelle Selbstbestimmung ins Kalkül gebracht werden müssen, ist die Diskussion mit diesem Verweis nicht beendet. Das ewig wiederkehrende Problem bleibt in diesem datenschutzrechtlichen Zusammenhang der Wille des Verbrauchers: Er nimmt die Datenerhebung zwar in Kauf, nicht selten mit dem Argument „nichts zu verbergen zu haben“.119 Doch ist diese Denkweise des geringsten Übels tatsächlich Ausdruck dessen, was der Verbraucher mit seiner Einwilligungserklärung erreichen will oder ist es vielmehr die einzig sozialverträgliche Reaktion auf ein System, das in vielen Lebensbereichen die tägliche Auseinandersetzung mit datenfinanzierten Diensten kaum noch vermeidbar macht, ohne den Verlust des Zugangs zu wichtigen Informationsquellen und sozialer Integration zu riskieren? Kann die Hingabe personenbezogener Daten genauso lapidar als freiwillige Gegenleistung im Sinne der Privatautonomie beurteilt werden wie die Hingabe von Geld, die schließlich auch aus einer Notwendigkeit und nicht aus einer eigenen Präferenz heraus getätigt wird? Der Vergleich der Daten mit einer Währung kann hier müßig werden: Denn wenngleich sich die Genealogie der Analogie erschließt, so bleiben (anonyme) staatlich anerkannte Zahlungsmittel am Ende doch klar zu unterscheiden von (regelmäßig sensiblen) persönlichen Daten.120 Soll dennoch faktisch ähnlich frei darüber verfügt werden dürfen? An dieser Stelle wäre wohl eine Diskussion über die grundsätzlichen Grenzen der Privatautonomie, insbesondere der Datenautonomie angezeigt, die hier leider zu weit führt.121 3. Für den konkreten Fall und in informierter Weise a) Keine Blanko-Einwilligung Pauschale Einwilligungen (auch sog. „Blanko-Einwilligung“122) können nach der DS-GVO nicht ausreichen – es gibt keine „carte blanche“ für eine umfassende abstrakte Datenweitergabe.123 Der Einwilligende soll stets den Umfang der 118
BeckOK BGB/Wendtland, 61. Ed. 01.02.2022, § 157 Rn. 26, 10. Siehe dazu Strauß, Nieder mit dem „Nichts zu verbergen-Argument“, abrufbar unter: https://www.datenschutzexperte.de/blog/datenschutz-im-internet/nichts-zu-verber gen-argument/ (Stand 01.05.2022). 120 Zu „Daten als Währung“ siehe Kap. 2, B. II. 1. 121 Es wird verwiesen auf die Dissertationsschrift von Leonid Guggenberger zu diesem Themenkomplex, die gerade im Entstehen ist. 122 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 78. 123 Koreng/Lachemann/Bergt, Formularhandbuch Datenschutzrecht, I. II. Rn. 1; Gola/ Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 34; Nouwens/Liccardi/Veale/Karger/Kagal, Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their 119
162
Kap. 3: Die datenschutzrechtliche Einwilligung
Datenweitergabe und verarbeitung des konkreten Falles in zumutbarer Weise erkennen können.124 Für die Zumutbarkeit der Kenntnisnahme kann ein ähnlicher Maßstab angelegt werden wie hinsichtlich allgemeiner Geschäftsbedingungen i. S. v. §§ 305 ff. BGB: So sind versteckte, überlange, besonders unübersichtliche, mehrstufige oder technisch zu spezifische Datenschutzerklärungen für die Einwilligung unzureichend, da sie keine zumutbare Kenntnis zu Grunde legen.125 Erwägungsgrund 43 S. 2 der DS-GVO verlangt auch eine Loslösung von schwer durchschaubaren Pauschaleinwilligungen, die gleich mehrere nicht korrespondierende Verarbeitungsvorgänge begünstigen, ganz im Sinne des Granularitätsgedankens (dazu im Folgenden).126 Für (beispielsweise) weiterführende Verarbeitungsvorgänge sollten neue Einwilligungen gegeben werden. Auch lediglich zu allgemein gefasste und nicht eindeutig erkennbar über das erforderliche Maß an Datenverarbeitung hinausgehende Einwilligungserklärungen sind demnach im Einzelfall unwirksam.127 Hinsichtlich der Frage, ob die Einwilligung eher am Vertrag zwischen den Parteien oder der einzelnen Verarbeitung eines Datums haftet, lässt eine wortlautnahe Auslegung des Erwägungsgrundes 43 S. 2 der DSGVO auf letzteres schließen. Dies entspricht auch dem Prinzip der Datensparsamkeit. b) Granularität der Einwilligung anstelle von „Take it or leave it“ Regelmäßig problematisch erscheint die Verwendung stark simplifizierter Cookie-Banner oder Einwilligungs-Pop-Ups, die keine Optionalität der Einwilligung hinsichtlich verschiedenartiger Datenerhebungsprozesse ermöglichen. Solche sog. Cookie Consent Banner können regelmäßig von Consent Management Platforms (CMP) verwaltet werden, da teilweise nicht nur in Cookies, sondern auch in darüber hinausreichende spezifische Tracking-Methoden128 eingewilligt werden muss; der weitere Begriff CMP erscheint daher passend: Denn bei CMP handelt es sich um Drittanbieter, die zur Einhaltung der Datenschutz-Compliance sämtliche erforderlichen Einwilligungen für den Website-/App-Betreiber mittels eines unkomplizierten Pop-Ups o. Ä. einholt.129 Influence, 2020, arXiv:2001.02479, abrufbar unter: https://arxiv.org/abs/2001.02479 (Stand 01.05.2022), S. 2. 124 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 80; siehe dazu auch die Planet 49-Entscheidung des EuGH, Urteil vom 01.10.2019 – C-673/17 = GRUR 2019, 1198 Rn. 74; bestätigend BGH, NJW 2020, 2540 (Cookie-Einwilligung II). 125 Dazu Ernst, ZD 2017, 110, 112. 126 Schantz, NJW 2016, 1841, 1845. 127 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 45. 128 Siehe dazu Kap. 3, A. VI. 129 Becker, CR 2021, 87, 88 zitiert „aus der Branche selbst“ die CMP-Definition von Shuptrine, abrufbar unter: https://www.kevel.co/blog/consent-management-platforms (Stand 01.05.2022): „a tool that enables a website or app to be GDPR-compliant. It
A. Die datenschutzrechtliche Einwilligung
163
Für datenschutzrechtliche Konformität ist eine Granularität der Einwilligung wünschenswert, also ihre übersichtliche Aufteilung in mehrere Einwilligungen für die jeweilig geforderten Eingriffe.130 Teilweise wird dies auch ermöglicht. Häufig finden sich klare Antwortmöglichkeiten wie „Alle annehmen“ oder „Alle ablehnen“, wobei die letztere Auswahl unter Umständen zur Verweigerung des Angebots seitens des Website-/App-Betreibers führt. Der Nutzer sieht sich insofern kurzfristig in eine „Take it or leave it“-Situation131 versetzt.132 Anstatt für verschieden gravierende und verschiedene Bereiche betreffende Datenerhebungen jeweils eine Einwilligung einzuholen (beispielsweise durch die Option, mehrere Häkchen setzen zu können anstelle nur eines Häkchens bzw. eines Klicks auf einen OK-Button), wird indes häufig nur eine Einwilligung eingeholt. Dies geschieht, obwohl sich der Verantwortliche datenschutzrechtlich viel besser absichern könnte, wenn er eine Vielzahl von Einwilligungen einholt. Die Intransparenz wird dennoch regelmäßig in Kauf genommen; denn die aus einer granularen (und verständlicheren) Einwilligung resultierende Gefahr, dass der Betroffene seine Rechte tatsächlich ausübt oder in einen Teil der Verarbeitungsprozesse nicht einwilligt, wiegt wohl schwerer für den Verantwortlichen – und der Nutzen aus der umfassenden Einwilligung ist größer als die Risiken.133 Eine anders geformte granulare Einwilligung könnte insofern den Datenschutzinteressen dienlich sein.134 Immerhin wird heute schon regelmäßig in den
does this by prompting users for consent, collecting and managing that information, and passing the data to downstream ad partners“. Siehe auch Nouwens/Liccardi/Veale/Karger/Kagal, Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, 2020, arXiv:2001.02479, abrufbar unter: https://arxiv.org/abs/2001.02479 (Stand 01.05.2022). 130 Baumann/Alexiou, ZD 2021, 349, 351 f.; Wilfling, DSRITB 2019, 301, 309; Europäischer Datenschutzausschuss (EDSA), Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1) v. 04.05.2020, abrufbar unter: https://edpb.europa. eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf (Stand 01.05. 2022), Ziff. 39, 42 ff. 131 Becker, CR 2021, 87, 88; siehe dazu auch Zuiderveen Borgesius et al., Tracking Walls, Take-It-or-Leave-It Choices, the GDPR, and the ePrivacy Regulation, EDPL 3/ 2017, 353. 132 Man beachte für Verbrauchergeschäfte gedachte (allgemeine) Maßstäbe von vor 20 Jahren, Paulus/Zenker, JuS 2001, 1, 6: „Soll der Verbraucher mit Hilfe des ihn schützenden Rechts die Gelegenheit zur Entwicklung einer wohlüberlegten, vernünftigen Entscheidung erhalten, so müssen ihm alle Entscheidungsgrundlagen offen gelegt werden, und er muss eine Bedenkzeit erhalten.“ Diese Anforderungen erscheinen im Hinblick auf alltägliche datenschutzrechtliche Einwilligungen jedenfalls überholt. 133 Becker, CR 2021, 230, 231. 134 Zur Granularität der Einwilligung siehe Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679 angenommen am 28. November 2017, zuletzt überarbeitet und angenommen am 10. April 2018, abrufbar unter: https://www.datenschutzstelle.li/application/files/3615/3674/7263/wp259rev01_de.pdf (Stand 01.05.2022), S. 11 f.
164
Kap. 3: Die datenschutzrechtliche Einwilligung
vielgesehenen Bannern die Wahl gestellt, nur „notwendige“ oder auch „sämtliche“ Cookies zu akzeptieren.135 Im Grunde entspricht dies genau der Forderung von Erwägungsgrund 32 der DS-GVO, der in Satz 4 und 5 postuliert: „Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden.“ Nur so könnte die Freiwilligkeit der Einwilligung hinsichtlich aller verfolgten Zwecke gesichert werden. Alternativ sollte wenigstens eine Bezahlalternative angeboten werden.136 Dagegen wird angeführt, dass ein Vorgehen, das diese Granularität nicht beachtet, sondern datenschutzrechtliche Eingriffe in einer Einwilligung zusammenfasst, nicht pauschal als unfreiwillig qualifiziert werden dürfe.137 Denn grundsätzlich sei eine Einzelfallbetrachtung erforderlich – vor allem vor dem Hintergrund etwaiger Ungleichgewichte zwischen den Beteiligten.138 Dieser Vorschlag entbehrt indessen einer notwendigen Praktikabilität: Angesichts der Quantität täglicher datenschutzrechtlicher Einwilligungen ist der Verweis auf eine Einzelfallbetrachtung für die Interessen sowohl der Betroffenen als auch der Verantwortlichen nicht im Sinne einer gewünschten Vorhersehbarkeit; eine klare Regelung erschiene insofern vorzugswürdig; die Ausnahme sollte nicht auf Seiten der Erforderlichkeit einer feingranularen Einwilligung liegen, sondern vielmehr in deren Nichtvorliegen. 4. Widerrufbarkeit a) Form und Wirkung des Widerrufs Nach Art. 7 Abs. 3 DS-GVO ist die Einwilligung jederzeit widerrufbar. Der Widerruf muss so einfach sein wie die Erteilung der Einwilligung, darf also nie höheren Anforderungen unterliegen als die Einwilligungserklärung.139 Es handelt sich um ein „reziprokes Widerrufsrecht“ (Art. 7 Abs. 3 S. DS-GVO).140 Vom Widerspruch nach Art. 21 DS-GVO ist er zu unterscheiden;141 der Widerruf gilt 135
Dazu siehe auch die Verbesserungsvorschläge ab Kap. 4. Pressemitteilung des BfDI v. 07.05.2020, abrufbar unter: https://www.bfdi.bund. de/SharedDocs/Pressemitteilungen/DE/2020/10_Leitlinien-Einwilligung-Internet-aktua lisiert.html (Stand 01.05.2022), bezugnehmend auf Europäischer Datenschutzausschuss (EDSA), Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1) v. 04.05.2020, abrufbar unter: https://edpb.europa.eu/sites/default/files/files/file1/ edpb_guidelines_202005_consent_de.pdf (Stand 01.05.2022), Ziff. 40 ff. 137 Baumann/Alexiou, ZD 2021, 349, 353. 138 Baumann/Alexiou, ZD 2021, 349, 353. 139 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 17; Ehmann/Selmayr/ Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 91. 140 Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 91. 141 Auernhammer/Kramer, DS-GVO, 7. Aufl. 2020, Art. 7 Rn. 32. 136
A. Die datenschutzrechtliche Einwilligung
165
entsprechend dem Wortlaut des Art. 7 Abs. 3 S. 2 DS-GVO ex nunc.142 Eine gewisse faktische ex-tunc-Wirkung ist jedoch zu beachten, da der Widerruf einen Anspruch auf Löschung der gesammelten Daten seitens des Betroffenen auslöst, Art. 17 Abs. 1 lit. b DS-GVO, sofern keine anderen Tatbestände (siehe Art. 6 DSGVO) zur Rechtfertigung der Datenerhebung greifen.143 Letzteres bleibt indes mit Vorsicht zu genießen, da der Verantwortliche die Einwilligung eigentlich nur dann als Erlaubnistatbestand einsetzen sollte, wenn andere Tatbestände des Art. 6 DS-GVO (z. B. lit. b oder f) nicht einschlägig sind: Denn der Betroffene soll keiner Kontrollillusion hinsichtlich seiner Daten unterliegen – eine widerrufene Einwilligung soll den vom Betroffenen erwarteten Effekt eigentlich bewirken und nicht durch Ausweichtatbestände zur Datenverarbeitung beeinträchtigt werden.144 Daher wäre seitens der Verantwortlichen zumindest wünschenswert, dass möglichst genau darauf geachtet wird, inwieweit eine Einwilligung überhaupt erforderlich ist – wenngleich dies rechtlich nicht einzufordern sein wird.145 Der Widerruf kann auch nur teilweise auf bestimmte Aspekte der Einwilligung erfolgen.146 Ein Ausschluss des Widerrufs ist datenschutzrechtlich nicht vertretbar, da die DS-GVO dies nicht vorsieht und sonst das Recht auf informationelle Selbstbestimmung eingeschränkt würde.147 Bei Erteilung der Einwilligung hat ein eindeutiger Hinweis auf die Widerruflichkeit zu erfolgen.148
142 Auernhammer/Kramer, 7. Aufl. 2020, DS-GVO Art. 7 Rn. 35; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 7 Rn. 16 f.; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 87. 143 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 37. 144 BeckOK/Stemmer, 37. Ed. 01.05.2021, DS-GVO Art. 7 Rn. 91.1. 145 BeckOK/Stemmer, 37. Ed. 01.05.2021, DS-GVO Art. 7 Rn. 91.1; a. A. Veil, NJW 2018, 3337, 3342; Taeger/Gabel/Taeger, 3. Aufl. 2019, DS-GVO Art. 7 Rn. 72; Simitis/ Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 34. 146 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 35; BeckOK/Stemmer, 37. Ed. 01.05.2021, DS-GVO Art. 7 Rn. 90. 147 BeckOK/Stemmer, 37. Ed. 01.05.2021, DS-GVO Art. 7 Rn. 90; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 35; a. A. hinsichtlich vertraglicher Vereinbarungen Auernhammer/Kramer, 7. Aufl. 2020, DS-GVO Art. 7 Rn. 34; a. A. auch Taeger/Gabel/Taeger, 3. Aufl. 2019, DS-GVO Art. 7 Rn. 73 f.: Hier wird jedenfalls hinsichtlich der auf den Widerruf folgenden Löschung eine Einschränkung im Falle „zwingende[r] schutzwürdige[r] Gründe für die Verarbeitung“ postuliert; beispielhaft wird eine Filmproduktion genannt, die der Öffentlichkeit weiterhin zur Verfügung gestellt werden soll, wenn nicht dringende persönlichkeitsrechtliche Bedenken bestehen; vgl. BAG, ZD 2015, 380. Dieses Urteil berücksichtigt indes noch nicht die strengeren Vorgaben der DS-GVO, dazu: Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 6. 148 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 94 f.; Auernhammer/Kramer, 7. Aufl. 2020, DS-GVO Art. 7 Rn. 37.
166
Kap. 3: Die datenschutzrechtliche Einwilligung
b) Verletzung der Hinweispflicht Umstritten ist, ob eine Verletzung dieser Hinweispflicht bereits zur Unwirksamkeit der Einwilligung führt.149 Dagegen kann argumentiert werden, dass Art. 7 Abs. 3 DS-GVO die Unwirksamkeit nicht vorsieht, wohingegen ein Verstoß gegen Art. 7 Abs. 2 DS-GVO nach Satz 2 explizit zur Unwirksamkeit führt.150 Als argumentum e contrario könnte man also annehmen, dass ein Verstoß gegen die Hinweispflicht aus Absatz 3 nicht zur Unwirksamkeit führen soll.151 Die zwingenden Voraussetzungen für die Wirksamkeit der Einwilligung seien grundsätzlich nämlich nur Art. 4 Nr. 11 DS-GVO zu entnehmen.152 Nicht zuletzt wird hinsichtlich der Hinweispflicht hier auch von einer „redaktionellen Ungenauigkeit“153 gesprochen. Nähme man aber an, dass eine Verletzung der Hinweispflicht zur Unwirksamkeit der Einwilligung führte, würden konkludente Einwilligungen schwerer denkbar: So führt Ernst in diesem Zusammenhang das anschauliche Beispiel eines Veranstaltungsfotografen an:154 Dieser müsste mit sich ein Schild herumtragen, das die Hinweispflichten erfüllt. Andernfalls könnten fotografierte Gäste keine wirksame konkludente Einwilligung in die Fotografien ihrer Person erteilen.155 Für die Unwirksamkeit der Einwilligung bei Verletzung der Hinweispflicht wird angeführt, dass die Überschrift des Art. 7 DS-GVO „Bedingungen für die Einwilligung“156 eher im Sinne einer zwingenden Hinweispflicht anmutet, die erfüllt sein muss.157 Zwar enthält Abs. 3 nicht den expliziten Passus über die Unwirksamkeit, er sei jedoch mit Abs. 2 S. 2 gemeinsam zu lesen, sodass die Unwirksamkeit für beides gelte.158 149 Gegen die Unwirksamkeit: Plath/Plath, 3. Aufl. 2018, DS-GVO Art. 7 Rn. 16; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 89; Ernst, ZD 2017, 110, 112; ders., ZD 2020, 383; Auer-Reinsdorff/Conrad/Eckhardt, Handbuch IT, § 25 Rn. 125; für die Unwirksamkeit Taeger/Gabel/Taeger, 3. Aufl. 2019, DS-GVO Art. 7 Rn. 76; Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DSGVO Art. 7 Rn. 95; Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 5. 150 Ernst, ZD 2017, 110, 112; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 89. 151 Plath/Plath, 3. Aufl. 2018, DS-GVO Art. 7 Rn. 16; Ernst, ZD 2017, 110, 112; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 89; Auer-Reinsdorff/Conrad/Eckhardt, Handbuch IT, § 25 Rn. 125. 152 Auer-Reinsdorff/Conrad/Eckhardt, Handbuch IT, § 25 Rn. 125. 153 Ernst, ZD 2017, 110, 112; ders., ZD 2020, 383. 154 Ernst, ZD 2020, 383. 155 Ernst, ZD 2020, 383. 156 Englisch: „Conditions for consent“. 157 Ernst, ZD 2017, 110, 112; vgl. auch Plath/Plath, 3. Aufl. 2018, DS-GVO Art. 7 Rn. 16, der jedoch im Ergebnis mit dem argumentum e contrario Vorlieb nimmt. 158 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 5.
A. Die datenschutzrechtliche Einwilligung
167
Jedoch soll eine Heilung möglich bleiben, sofern vor Beginn der Datenverarbeitung die fehlende (oder unzureichende) Informierung des Betroffenen seitens des Datenverarbeiters nachgeholt wird.159 Zwar verlangt der Wortlaut von Art. 7 Abs. 3 S. 3 DS-GVO eine Informierung „vor Abgabe der Einwilligung“, aber dem Sinn und Zweck der Vorschrift wird nicht weniger Rechnung getragen, wenn die Informierung nach Abgabe der Einwilligung, aber vor Beginn der Datenverarbeitung erfolgt.160 Eine erneute Erteilung der Einwilligung ist zusätzlich zur nachträglichen Informierung dabei nicht erforderlich, da die Kenntnis der Widerrufsmöglichkeit möglicherweise auch nur einen begünstigenden und bestärkenden Effekt hinsichtlich der Einwilligungserteilung hat – denn wer weiß, dass er widerrufen kann, willigt ggf. sogar leichteren Herzens ein. Unklar bleibt jedoch die Beurteilung der Fälle, in denen die Information über die Widerruflichkeit so kurz vor Beginn der Datenverarbeitung erfolgt, dass die vorherige Geltendmachung des Widerrufs unrealistisch erscheint. Denn entscheidend für die vorangehende Hinweispflicht ist letztlich, den Fall auszuschließen, dass der Betroffene bei Kenntnis seiner Widerrufsmöglichkeit von dieser bereits Gebrauch gemacht hätte und die Datenverarbeitung somit rechtswidrig gewesen wäre – wenn der zeitliche Rahmen hierfür aber nicht ausreicht, kann die Hinweispflicht im Ergebnis auch nicht als erfüllt angesehen werden.161 5. Vor Inkrafttreten der DS-GVO erteilte Einwilligungen Aufgrund der aufgezeigten von der DS-GVO statuierten Wirksamkeitsanforderungen an die Einwilligung muss geklärt werden, ob vor dem Inkrafttreten der DS-GVO (25.05.2018) erteilte Einwilligungserklärungen ihre Wirksamkeit weiterhin bewahren können. Die DS-GVO selbst enthält keine Vorschrift, die den Umgang mit Alteinwilligungen bzgl. laufender Verarbeitungsprozesse regelt. Weder eine „ex nunc“-Unwirksamkeit der Einwilligung noch Bestandsschutz erteilter Einwilligungen kann aufgrund der DS-GVO unzweifelhaft vermutet werden.162 Erwägungsgrund 171 S. 3 der DS-GVO stellt hierzu klar, dass jedenfalls keine neue Einwilligung erforderlich sein soll, wenn die Einwilligung gemäß der Richtlinie 95/46/EG erteilt wurde und die Art der vormals abgegebenen Einwilligung den Anforderungen der DS-GVO genügt. Undefiniert ist, wie weit der Begriff 159 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 95. 160 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 95. 161 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 95. Zur Problematik der jederzeitigen Widerrufbarkeit im (vertraglichen) Verhältnis zwischen den Parteien, Kap. 2, B. IV. 3. c) cc). 162 Vgl. Franck, ZD 2017, 509, 510.
168
Kap. 3: Die datenschutzrechtliche Einwilligung
„Art der Einwilligung“ ausgelegt werden darf.163 Bedeutet dies, dass alle Anforderungen der DS-GVO an die Einwilligung erfüllt sein müssen, oder muss die Einwilligung nur ihrem Wesen nach den Kernanforderungen genügen? Versteht man unter „Art“ und „Bedingungen“ der Einwilligung sämtliche in der DS-GVO aufgestellten Wirksamkeitserfordernisse, so bliebe die Frage, warum überhaupt eine Einwilligung, die ohnehin den DS-GVO-Anforderungen entspricht, Bestandsschutz genießen muss – schließlich wäre sie sowieso wirksam.164 Gleichzeitig ist es wohl eher unwahrscheinlich, dass unter dieser Bedingung eine Fortgeltung der Einwilligung die Regel darstellen würde, da viele Alteinwilligungen den strengen DS-GVO-Regeln eher nicht gerecht würden:165 Zum Beispiel wäre eine Einwilligung, vor deren Abgabe der Betroffene nicht wie von Art. 7 Abs. 3 S. 3 DS-GVO gefordert auf seine Widerrufsmöglichkeit hingewiesen wurde, seit dem 25.05.2018 unwirksam (siehe dazu der vorherige Absatz) und müsste nach Erwägungsgrund 171 S. 1 der DS-GVO binnen zwei Jahren an die Anforderungen der DS-GVO angepasst werden.166 Der Düsseldorfer Kreis167 hat den Erwägungsgrund 171 so interpretiert, dass die Wirksamkeit bisher (i. e. nach dem BDSG) erteilter Einwilligungen fortdauert, vorausgesetzt, das Kopplungsverbot aus Art. 7 Abs. 4 DS-GVO ist eingehalten und der Minderjährigenschutz gem. Art. 8 Abs. 1 DS-GVO ist berücksichtigt; Informationspflichten nach Art. 13 DSGVO wurden von den Voraussetzungen allerdings ausgenommen.168 Gegen diese Lesart wird angeführt, dass Erwägungsgründe eben nicht unmittelbar normative Wirkung entfalten, insbesondere keine Rechte und Pflichten auslösen – sie führen nicht zu unmittelbaren Rechtsfolgen.169 In der Folge ist der Rahmen, den Erwägungsgrund 171 beschreiben soll, eher mit restriktiver Herangehensweise zu ermitteln170 und die Annahme, dass Alteinwilligungen auch im Hinblick auf Art. 7 und 8 DS-GVO sämtliche Voraussetzungen erfüllen müssen,
163
Selk, DANA 2016, 59, 62. Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 7 Rn. 19. 165 Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 7 Rn. 18. 166 Selk, DANA 2016, 59, 62. 167 Der Düsseldorfer Kreis dient seit 2013 als Gremium in der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und arbeitet an Fragen der Kommunikation, Kooperation und Koordinierung der Aufsichtsbehörden im nicht-öffentlichen Bereich. 168 Düsseldorfer Kreis, „Fortgeltung bisher erteilter Einwilligungen unter der DSGVO“, Beschluss v. 13./14.09.2016, abrufbar unter: https://www.bfdi.bund.de/Shared Docs/Downloads/DE/DSK/Archiv/DuesseldorferKreis/FortgeltungBisherErteilterEinwil ligungen.pdf?__blob=publicationFile&v=1 (Stand 01.05.2022). 169 Franck, ZD 2017, 509, 510; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 101; dazu Kap. 3, A. I. 2. 170 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 59. 164
A. Die datenschutzrechtliche Einwilligung
169
ist zu weit gegriffen.171 Denn nur mangels einer entsprechenden Norm einen Erwägungsgrund zur Norm „umzufunktionieren“, sprengt dessen Natur;172 es genügt eine freiwillige, informierte und unmissverständliche Einwilligung i. S. v. Art. 4 Nr. 11, 6 Abs. 1 UAbs. 1 lit. a DS-GVO, d. h. das Vorliegen der Kernelemente der Einwilligung,173 ohne dass auch die spezielleren Voraussetzungen der Art. 7, 8 DS-GVO erfüllt sein müssen.174 Nur entsprechende Einwilligungen, die dem Kernkonzept der DS-GVO widersprechen, mussten demnach innerhalb von zwei Jahren erneut eingeholt werden.175 Andernfalls bestünde seitens der Betroffenen und der Verantwortlichen eine zu große Unsicherheit.176 Um der dieser Situation dennoch innewohnenden Unsicherheit zu entgehen, empfiehlt sich eine prophylaktische Nachfrage des Verantwortlichen an den Betroffenen, in der diesem die Möglichkeit gegeben wird, laufende Datenverarbeitungsprozesse erneut im Sinne der DS-GVO mit seiner Einwilligung zu bestätigen oder den Widerruf – über den er spätestens jetzt informiert ist – zu erklären.177 6. Einwilligung als Teil von AGB Bereits 2008 hat der BGH178 für eine vorformulierte Einwilligungserklärung angenommen, dass es sich hierbei um eine AGB-Klausel handele und somit die §§ 305 ff. BGB Anwendung finden.179 Die DS-GVO (vgl. Art. 6, 12 DS-GVO) kommt dieser Auslegung insofern nach, als sie verlangt, dass an vorformulierte Einwilligungserklärungen im Wesentlichen die gleichen Anforderungen zu stellen sind wie an AGB: Neben den besagten strengen Anforderungen an die Einwilligung gilt auch das Transparenzgebot – siehe Art. 12 DS-GVO, zur Erläuterung dient Erwägungsgrund 58 der DS-GVO. Das Transparenzgebot könnte beispielsweise im Hinblick auf § 1 Abs. 1 PAngV verletzt sein, da eine wesentliche Preisintransparenz besteht, wenn der Wert der personenbezogenen Daten und auch der Wert des digitalen Dienstes nicht evident ist.180 Es wird sogar in diesem 171
Franck, ZD 2017, 509, 510. Franck, ZD 2017, 509, 510; siehe Kap. 3, A. I. 2. 173 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 59; vgl. auch eine ältere, aber den Anforderungen der DS-GVO nahekommende Definition der Einwilligung bei Artikel-29-Datenschutzgruppe, Stellungnahme 15/2011 zur Definition der Einwilligung, WP 187, 13.07.2011, 24. 174 Franck, ZD 2017, 509, 510; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 101. 175 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 59. 176 Franck, ZD 2017, 509, 510. 177 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 30; ähnlich i. E. Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 59. 178 BGH, NJW 2008, 3055. 179 Siehe auch Schantz, NJW 2016, 1841, 1844. 180 Mischau, ZEuP 2020, 335, 363. 172
170
Kap. 3: Die datenschutzrechtliche Einwilligung
Zusammenhang gefragt, ob nicht diese Art von struktureller Preisintransparenz den Grundprinzipien aus den Art. 119, 120 AEUV hinsichtlich des freien, unverfälschten und effektiven Wettbewerbs widersprechen könnte.181 Dagegen könnte angeführt werden, dass sich die Transparenz vor allem an das „Was“ anstelle des „Wie viels“ knüpfen könnte: So wird der Wert einer Sache im deutschen Zivilrecht in einigen Konstellationen als unbeachtliches Motiv behandelt, während der Transparenz hinsichtlich des Hauptinhalts des Vertrags größere Bedeutung beigemessen wird.182 Da gerade bei personenbezogenen Daten auch der Umfang der Erhebung und Verarbeitung die Intensität eines Eingriffs bestimmen, greift diese Vorgehensweise hier allerdings zu kurz; das Preisproblem kann damit nicht abgespeist werden. Eine Inhaltskontrolle nach Maßgabe des § 307 BGB wurde vom BGH in Zeiten vor der DS-GVO abgelehnt – denn die Einwilligung sei keine Regelung oder Vereinbarung, die von Rechtsvorschriften abweicht oder diese ergänzt,183 sondern es handele sich um eigenständige Vorschriften (damals aus dem BDSG), die klare Grenzen vorschreiben – sofern diese erfüllt seien und keine anderweitigen Vorschriften (beispielsweise lauterkeitsrechtlich, verbraucherrechtlich) verletzt seien, erübrige sich demnach eine Inhaltskontrolle.184 In neueren Urteilen stellte der BGH indes klar, dass jedenfalls vorformulierte Einwilligungserklärungen (die im Internet die Regel darstellen) einer Kontrolle im Sinne der §§ 305 ff. BGB zugänglich seien.185 Erwägungsgrund 42 der DS-GVO verweist passend dazu auf die Richtlinie 93/13/EWG186 über missbräuchliche Klauseln in Verbraucherverträgen; berücksichtigt man die Richtlinie, ist bei jeder vorformulierten Einwilligungserklärung zu beachten, ob etwaig missbräuchliche Klauseln vorliegen könnten.187 Eine Inhaltskontrolle ist daher für Teile der Datenschutzerklärung oder der vorformulierten Einwilligungserklärung, die von der DS-GVO abweichen oder missbräuchliche Klauseln im Sinne der Richtlinie 93/13/EWG enthalten, eröffnet:188 Dies trifft zu, wenn Klauseln in der Datenschutzerklärung (die der Einwil181
Schwintowski, NJOZ, 2018, 841, 848, Mischau, ZEuP 2020, 335, 363. MüKoBGB/Armbrüster, 9. Aufl. 2021, § 119 Rn. 143. 183 So der BGH bereits zur Einwilligung nach BDSG: BGH, NJW 2008, 3055; 2010, 864; Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 4. 184 Die zugrundeliegende Problematik erkennt auch Pfeiffer, NJW 2017, 913, 918 an. 185 BGH, NJW 2017, 2119; 2013, 2683. 186 Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21.04.1993, S. 29). 187 Hennemann, ZUM 2017, 544, 548; Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748. 188 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3749; vgl. Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 45; a. A. Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 82; Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 4 m.w. N. 182
A. Die datenschutzrechtliche Einwilligung
171
ligung notwendig vorausgeht) den Verbraucher unangemessen benachteiligen, weil sie mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird (z. B. Art. 6, 7, 17 DS-GVO), nicht vereinbar sind.189 Eine genaue Differenzierung zwischen „missbräuchlichen Klauseln“ und Verletzungen der DS-GVO-Anforderungen dürfte nicht erforderlich werden, da – angesichts der strengen Anforderungen der DS-GVO – bei Annahme einer missbräuchlichen Klausel eine Verletzung von DS-GVO-Normen bereits zu erwarten ist.190 Voraussetzung für eine Inhaltskontrolle der Datenschutzerklärung ist, dass die Datenschutzerklärung im Rahmen von AGB erteilt wird. Das Verschränken von AGB und Datenschutzerklärung ist indes nur dann denkbar, wenn die datenschutzrelevanten Klauseln für die Einwilligung deutlich getrennt von übrigen AGB gehalten sind und nicht aufgrund überschattender Verknüpfungen mit umfassenden AGB in einen beiläufigen Randbereich der Aufmerksamkeit des Verbrauchers driften.191 Dieses „Hervorhebungsgebot“ ergibt sich aus den Anforderungen an die Einwilligung, nach denen die Einwilligung getrennt von anderen Erklärungen zu erfolgen hat.192 Die Einwilligung und deren vertragliche Ausgestaltung kann insoweit auch bei der Beurteilung von AGB relevant werden – bzw. im umgekehrten Sinne kann eine AGB-Prüfung im Rahmen der Prüfung der Einwilligung zusätzlich statthaft sein.193 7. Die Einwilligung Minderjähriger Wie mit Minderjährigen hinsichtlich der Preisgabe personenbezogener Daten umzugehen ist, beinhaltet eine gewisse Brisanz. Dies liegt daran, dass deren Daten faktisch nicht weniger verwertet werden als die Daten von Erwachsenen – Minderjährige stellen sogar eine wertvolle Zielgruppe dar,194 sodass ein ausreichender Minderjährigenschutz unbedingt durchgesetzt werden muss. Denn Minderjährige sind mangels geschäftlicher Erfahrung und entsprechender Reife nicht nur weniger geübt in der Erfassung komplexer Einverständniserklärungen, sondern auch leichter zu beeinflussen und somit noch eher zur Preisgabe ihrer per189
Siehe dazu KG Berlin, Urteil v. 21.03.2019, 23 U 268/13 Rn. 99 ff. Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3749, denkt hier beispielsweise an die Aspekte der Freiwilligket und der Informiertheit. 191 Franzen/Gallner/Oetker/Franzen, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. 7 Rn. 3; Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 42; Hennemann, ZUM 2017, 544. 192 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 42; Hennemann, ZUM 2017, 544. 193 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3748 ff.; Hennemann, ZUM 2017, 544, 548 ff. 194 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 8 Rn. 1. 190
172
Kap. 3: Die datenschutzrechtliche Einwilligung
sönlichen Daten bereit.195 Dabei nutzen Minderjährige das Internet nicht weniger als Erwachsene.196 Es stellt sogar einen wichtigen (wenn nicht heutzutage geradezu zentralen) sozialen Raum für die Minderjährigen dar.197 Gleichzeitig kann das Alter bei Geschäften im Internet nur schwerlich verifiziert werden und dem Verantwortlichen kann regelmäßig nicht im gleichen Maße wie bei Bargeschäften des täglichen Lebens vorgehalten werden, er hätte die Minderjährigkeit des Betroffenen erkennen können.198 Vor Inkrafttreten der DS-GVO war allein die Einsichtsfähigkeit des Minderjährigen der entscheidende Faktor in der Frage, ob der Minderjährige eine Einwilligung zur Erhebung und Verarbeitung seiner personenbezogenen Daten abgeben darf.199 Durch die DS-GVO wurden nun für bestimmte Fälle klare Altersgrenzen konkretisiert – allerdings teilweise kritikabel, wie sich zeigen wird. Verstößt der Verantwortliche gegen die Einhaltung der Altersgrenze, hat er dafür verschuldensunabhängig und bußgeldbewehrt einzustehen; nicht einmal eine böse Absicht des Minderjährigen vermag dies zu verhindern.200 195 Gola/Schulz, ZD 2013, 475; BeckOK DatenschutzR/Karg, 39. Ed. 01.11.2021, DS-GVO Art. 8 Rn. 7; Schantz/Wolff, Das neue Datenschutzrecht, D. Grundprinzipien und Zulässigkeit der Datenverarbeitung, Rn. 476. 196 Eine repräsentative Umfrage aus dem Jahre 2011 kam schließlich zu dem Ergebnis, dass 98 % der Jugendlichen das Internet regelmäßig nutzt, selbst 96 % der 10- bis 12-Jährigen; insgesamt bestätigten 65 % eine tägliche Nutzung. Es ist wohl unwahrscheinlich, dass diese Zahlen zurückgegangen sind. Siehe dazu: BITKOM, Jugend 2.0, Eine repräsentative Untersuchung zum Internetverhalten von 10- bis 18-Jährigen, 2011, abrufbar unter: https://www.bitkom.org/sites/ default/files/file/import/BITKOM-Studie-Jugend-20.pdf (Stand 01.05.2022); JIM Studie 2019, Basisuntersuchung zum Medienumgang 12- bis 19-Jähriger, abrufbar unter: https://www.mpfs.de/fileadmin/files/Studien/JIM/2019/JIM_2019.pdf (Stand 01.05. 2022); BITKOM, Kinder und Jugendliche in der digitalen Welt, 2019, abrufbar unter: https://www.schau-hin.info/fileadmin/content/Downloads/Sonstiges/Bitkom_Studie_ Kinder_und_Jugendliche_2019.pdf (Stand 01.05.2022); vgl. für die USA bereits 2009 The Nielsen Company, report 2009, How Teens use Media, June 2009, abrufbar unter: https://www.nielsen.com/wp-content/uploads/sites/3/2019/04/How-Teens-Use-Media. pdf (Stand 01.05.2022); für die gesamte adoleszente Gruppe bis 25 Jahre DIVSI-Studie U25, 2018, abrufbar unter: https://www.divsi.de/wp-content/uploads/2018/11/DIVSIU25-Studie-euphorie.pdf (Stand 01.05.2022). Siehe auch als Randnotiz für die Gefahr der Internetsucht junger Erwachsener, insbesondere vor dem Hintergrund der Coronapandemie: Schaaf, Zahl der internetsüchtigen Studenten hat sich 2020 verdoppelt, FAZ vom 10.10.2021, abrufbar unter: https:// www.faz.net/aktuell/gesellschaft/gesundheit/studenten-brauchen-hilfe-inter netsucht-unddepressionen-17576273.html (Stand 01.05.2022). 197 Bartsch/Häußler/Lührmann, Haushalt in Bildung & Forschung 6 (2017), 2, 52, 53 f. 198 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 8 Rn. 5; Tinnefeld/Conrad, ZD 2018, 391, 393. 199 OLG Frankfurt 30.06.2005 – 6 U 168/04 = MMR 2005, 696, 698 (Skoda-Autokids-Club); Rauda, MMR 2017, 15, 16; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 68. 200 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 8 Rn. 19 f.; Kress/Nagel, CRi 2017, 6, 8.
A. Die datenschutzrechtliche Einwilligung
173
a) Voraussetzungen in der DS-GVO, Art. 8 DS-GVO Entscheidend für die Einwilligung Minderjähriger nach der DS-GVO ist Art. 8 DS-GVO. Ergänzend helfen die Erwägungsgründe 38, 58 und 65 der DS-GVO beim näheren Verständnis. aa) Dienste von Informationsgesellschaften Art. 8 Abs. 1 DS-GVO hat ein „abgestuftes Alterskonzept“201 geschaffen. Aus der Norm geht hervor, dass mit dem Begriff „Kinder“ im Sinne der DS-GVO Personen unter dem Lebensalter von 18 Jahren gemeint sind;202 eine Differenzierung zwischen Kindern und Jugendlichen findet nicht statt.203 Gemäß Art. 8 Abs. 1 S. 1 DS-GVO können Kinder ab dem Alter von 16 Jahren eine wirksame datenschutzrechtliche Einwilligung erteilen. Dies betrifft jedoch nur Einwilligungen gegenüber Informationsgesellschaften.204 Wann eine Dienstleistung einer Informationsgesellschaft vorliegt, wird durch den Verweis in Art. 4 Nr. 25 DS-GVO auf Art. 1 Nr. 1b RL (EU) 2015/1535205 festgehalten. Erfasst ist „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“. Davon sind auch elektronische Kommunikationsdienste erfasst, wobei Sprachtelefondienste nicht als elektronisch kategorisiert werden.206 Daneben enthält die Definition allerdings wenig Beschränkungen. Allein die beispielhafte Auflistung in Erwägungsgrund 18 der Richtlinie über den elektronischen Geschäftsverkehr (ECRL207) zeigt recht deutlich, dass nur solche Dienste erfasst sind, deren Zugang und Umsetzung mit dem Internet verbunden sind.208 Online-Käufe, OnlineDatensuche etc. sind daher erfasst, nicht jedoch die Auslieferung von online bestellten Waren als solche. Als wichtigstes Beispiel sind die sozialen Netzwerke 201
Buchner/Kühling, DuD 2017, 544, 546. Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 67; Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 8 Rn. 11; Koreng/Lachemann/Bergt, Formularhandbuch Datenschutzrecht, I. II. Rn. 6. 203 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 67. 204 Zum Begriff Schantz/Wolff, Das neue Datenschutzrecht, D. Grundprinzipien und Zulässigkeit der Datenverarbeitung, Rn. 479; Gola/Schulz, ZD 2013, 475, 477. 205 Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.09.2015, S. 1). 206 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 8 Rn. 14; Paal/ Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 8 Rn. 8. 207 RL 2000/31/EG des Europäischen Parlaments und des Rates v. 08.06.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (RL über den elektronischen Geschäftsverkehr – ECRL). 208 Gola/Schulz, ZD 2013, 475, 477. 202
174
Kap. 3: Die datenschutzrechtliche Einwilligung
(Facebook, Instagram etc.) zu nennen, da diese eine große Anziehungskraft auf Minderjährige ausüben.209 Problematisch erscheint bereits an dieser Stelle das Erfordernis der Entgeltlichkeit. Schon 1999 wurde die nahezu gleichlautende Fassung der Definition von „Dienstleistung einer Informationsgesellschaft“ aus der Richtlinie 98/34/EG210 wegen ihrer „Unschärfe“ kritisiert.211 Der EuGH und dem folgend auch der BGH haben inzwischen die Kriterien sogar noch weiter gerahmt, als dies anhand der Definition bereits deutlich würde: So soll es genügen, wenn als „Entgelt“ nicht der Nutzer des Informationsdienstes selbst eine Gegenleistung erbringt, sondern wenn von einem oder mehreren Dritten eine Art von Gegenleistung zur Refinanzierung des Angebots erbracht wird.212 Dies erfüllt sich vor allem bei der häufigen Konstellation, dass ein Websitebetreiber ein für den Nutzer anscheinend unentgeltliches Angebot darbietet, das allerdings mittels Werbeanzeigen auf der Website refinanziert wird.213 Das Verständnis von „Entgelt/Gegenleistung“ entspricht hier freilich nicht dem deutschen Modell einer wechselseitigen Rechtsbeziehung, sondern ist im Sinne einer „allgemeinen Wirtschaftlichkeit“ zu verstehen: Soll mit dem (scheinbar unentgeltlichen) Angebot ein Mehrerlös erwirtschaftet werden (oder sogar nur die Kosten gedeckt werden), so ist die Entgeltlichkeit nach diesem europäischen Verständnis zu bejahen.214 Dies lässt sich auch in Erwägungsgrund 18 der ECRL215 lesen: „Die Dienste der Informationsgesellschaft beschränken sich nicht nur auf Dienste, bei denen online Verträge geschlossen werden können, sondern erstrecken sich, soweit es sich überhaupt um eine wirtschaftliche Tätigkeit handelt, auch auf Dienste, die nicht von denjenigen vergütet werden, die sie empfangen, wie etwa Online-Informationsdienste, kommerzielle Kommunikation oder Dienste, die Instrumente zur Datensuche, zum Zugang zu Daten und zur Datenabfrage bereitstellen.“ 216 209 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 8 Rn. 6; vgl. Auernhammer/ Kramer, DS-GVO, 7. Aufl. 2020, Art. 8 Rn. 2; Jandt/Roßnagel, MMR 2011, 637, 637 f. 210 Richtlinie 98/48/EG des Europäischen Parlaments und des Rates vom 20. Juli 1998 über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 204 vom 21.07.1998, S. 37). 211 So Hoeren, MMR 1999, 192, 193. 212 EuGH Urteil v. 11.09.2014 – C-291/13, Rn. 28 f. (= MMR 2016, 63, 64); Urteil v. 15.09.2016 – C-484/14, Rn. 41 (= MMR 2016, 760, 761 m. Anm. Hoeren/Klein); BGH, GRUR 2017, 1273, 1275. 213 Zu diesem Modell Kap. 1, C. III. 214 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 35; siehe zum Begriff auf europäischer Ebene auch Grabitz/Hilf/Nettesheim/Randelzhofer/Forsthoff, 74. EL September 2021, AEUV Art. 56, Art. 57 Rn. 44 ff. 215 RL 2000/31/EG des Europäischen Parlaments und des Rates v. 08.06.2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt (RL über den elektronischen Geschäftsverkehr – ECRL). 216 Hervorh. durch Verf.
A. Die datenschutzrechtliche Einwilligung
175
Diese ohnehin weite Lesart wird noch verstärkt durch die Formulierung „in der Regel“ in Art. 1 Nr. 1 lit. b RL (EU) 2015/1535. Denn von Regeln sind schließlich Ausnahmen denkbar.217 Grundsätzlich erscheint die weite Auslegung zumindest für die Anwendung des Art. 8 DS-GVO dem Minderjährigenschutz gegenüber freundlich, wenngleich etwas mehr Klarheit wünschenswert wäre. Schließlich stellt sich die Frage, warum überhaupt eine solche Beschränkung auf Dienste einer Informationsgesellschaft für nötig befunden wurde und nicht die Regelungen für datenschutzrechtliche Einwilligungen Minderjähriger insgesamt einheitlich gestaltet sind.218 Ebenso wird kritisiert, dass für die Definition des Anwendungsbereichs „Dienste einer Informationsgesellschaft“ nur auf eine nicht unmittelbare geltende Richtlinie verwiesen wird; es ist daher sogar von einer „unvollständigen Kodifikationsleistung“ die Rede.219 bb) Weitere Voraussetzungen Art. 8 DS-GVO ist systematisch mit Art. 7 DS-GVO zu lesen, die Wirksamkeitsvoraussetzungen sind also kumulativ zu prüfen.220 Die Einsichtsfähigkeit allerdings wird durch die speziellen Voraussetzungen des Art. 8 Abs. 1 DS-GVO „substituiert“.221 (1) (Starre) Altersgrenze Aus der Öffnungsklausel in Art. 8 Abs. 1 S. 3 DS-GVO ergibt sich die Möglichkeit für die Mitgliedstaaten, das Alter für eine wirksame Einwilligung auf 13 Jahre herabzusenken; es wird also eine Untergrenze festgelegt (was hinsichtlich der Vollharmonisierung durchaus kritisch zu hinterfragen ist).222 Freilich führte 217
Vgl. bzgl. der Auslegung der Formulierung „in der Regel“ bei der Dienstleistungsfreiheit nach Art. 57 AEUV: Grabitz/Hilf/Nettesheim/Randelzhofer/Forsthoff, 74. EL September 2021, AEUV Art. 56, Art. 57 Rn. 47. Diese Wortwahl solle nur „klarstellen, dass selbst dann, wenn für eine Leistung ein Entgelt gewährt wird, dies noch nicht notwendig heißen muss, dass es sich dabei um eine Dienstleistung handelt. Eine ,Dienstleistung‘ ist diese Leistung nur dann, wenn über den Einzelfall hinaus eine entsprechende Leistung generell vergütet wird. Damit nimmt dieses Merkmal Rekurs darauf, dass die Leistung Teil des durch die Dienstleistungsfreiheit geschützten Wirtschaftslebens sein muss“. 218 Vgl. BeckOK DatenschutzR/Karg, 39. Ed. 01.11.2021, DS-GVO Art. 8 Rn. 46; Auer-Reinsdorff/Conrad/Eckhardt/Conrad, Handbuch IT, § 36 Rn. 205. 219 So Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 8 Rn. 6; a. A. Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 8 Rn. 12. 220 Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 8 Rn. 2; Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 8 Rn. 3. 221 Buchner/Kühling, DuD 2017, 544, 547; Paal/Pauly/Frenzel, 3. Aufl. 2021, DSGVO Art. 8 Rn. 9; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 8 Rn. 19. 222 Joachim, ZD 2017, 414, 415. Diese Untergrenze entspricht dem Vorbild des USamerikanischen Children’s Online Privacy Protection Act (COPPA) von 1998, nach dem
176
Kap. 3: Die datenschutzrechtliche Einwilligung
dies aufgrund der schwierigen Verifizierbarkeit des Alters des Nutzers zunächst beispielsweise nur dazu, dass Facebook seine Dienste nur für Nutzer ab dem 13. Lebensjahr zugänglich erklärte. Diese dekorativ postulierte Altersgrenze (die realiter wohl kaum eingehalten oder kontrolliert wird) führt leider vielmehr zu einer faktischen Umgehung von gelebtem Minderjährigenschutz.223 In Deutschland wurde die Öffnungsklausel bislang auch nicht genutzt. Angesichts des in Deutschland strengen Minderjährigenschutzes erscheint dies erfreulicherweise momentan auch nicht diskussionswürdig. Vereinzelt wird auch befürchtet, dass ein potenzielles Auseinanderfallen der von der DS-GVO vorgegebenen Altersgrenze mit nationalen Altersgrenzen zur Unwirksamkeit des zugrundeliegenden Vertrages nach nationalem Recht führen kann, während die datenschutzrechtliche Einwilligung EU-rechtlich wirksam bleibt – denn das nationale Recht zu Minderjährigen bleibt grundsätzlich unberührt.224 In einer solchen Situation erscheint eine Parallele zum Abstraktionsprinzip naheliegend, insbesondere sofern man denn die Einwilligung als Verfügungsgeschäft qualifizieren möchte.225 Bereicherungsrechtliche Folgeansprüche des Minderjährigen würden sich dann auf die Herausgabe der bezogenen Daten (bzw. auf die Auflösung eines diesbezüglichen Nutzungsrechts) und auch auf die aufgrund der Datenverarbeitung erlangte Wertschöpfung beziehen. Diese zu bemessen, dürfte sich indes als schwierig erweisen.226 (2) Direktes Angebot Die Formulierung „Angebot, das einem Kind direkt gemacht wird“ muss weit ausgelegt werden. Der Anwendungsbereich würde ohne Begründung verkürzt, wenn nur solche Angebote umfasst wären, die sich direkt und zielgerichtet an Minderjährige richten.227 Schließlich sind Angebote, die sich sowohl an Erwach-
bei Kindern unter 13 Jahren eine Einwilligung der Eltern stets erforderlich ist, 15 U.S. Code § 6501 (1), § 6052 (b)(1)(A)(ii)., siehe dazu Rauda, MMR 2017, 15, 17–19. 223 Rauda, MMR 2017, 15, 19. 224 Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 6; vgl. Taeger, ZD 2021, 505, 509; vgl. auch Kühling/Buchner/Buchner/ Kühling, 3. Aufl. 2020, DS-GVO Art. 8 Rn. 29a und Art. 7 Rn. 1a zur Frage, inwieweit „spezifisch datenschutzrechtliche Wertungen durch vertragliche ergänzt oder überlagert werden“. 225 Dazu Metzger, AcP 2016, 817, 839; ders., A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 4; siehe auch MAH IT-Recht/Heller, 4. Aufl. 2021, Teil 6.4 Daten als Zahlungsmittel Rn. 13 ff. m.w. N. 226 Vgl. Kap. 1, C. VII. 227 BeckOK DatenschutzR/Karg, 39. Ed. 01.11.2021, DS-GVO Art. 8 Rn. 50 f.; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 8 Rn. 21; Taeger, ZD 2021, 505, 506.
A. Die datenschutzrechtliche Einwilligung
177
sene als auch Kinder richten, datenschutzrechtlich für den Minderjährigen nicht weniger brisant.228 Es gibt daher keinen Grund für eine teleologische Reduktion, sondern eher allen Grund dafür, auch „dual use“-Angebote, die sich gleichermaßen an Erwachsene und Kinder richten, im Anwendungsbereich des Art. 8 DS-GVO zu verorten.229 Der telos der Norm liegt nicht zuletzt im Schutze des Minderjährigen230 und kann nur mit dieser Lesart verwirklicht werden.231 (3) Rolle der Eltern Art. 8 Abs. 1 S. 2 DS-GVO eröffnet den Sorgeberechtigten (in der Regel die Eltern, § 1629 Abs. 1 S. 1 BGB) die Möglichkeit, entweder für den unter 16-jährigen Minderjährigen einzuwilligen oder dessen Einwilligung zuzustimmen. Allerdings bleibt zu beachten, dass es sich denklogisch um eine vorherige Zustimmung (= Einwilligung im Sinne des § 183 BGB) und nicht um eine nachträgliche Zustimmung (= Genehmigung im Sinne des § 184 BGB) handeln muss;232 wäre letzteres möglich, so bestünde in der Zwischenzeit ggf. ein Zustand schwebender Unwirksamkeit der Erklärung des Minderjährigen, in dem möglicherweise bereits Daten erhoben würden.233 Dies ist zu vermeiden.234 Die Einwilligung des gesetzlichen Vertreters muss, ebenso wie die Einwilligung eines voll Geschäftsfähigen, vor jeglicher Datenerfassung erteilt worden sein.235 Sie muss dem Kindeswohl entsprechen, da die personenbezogenen Daten des Kindes als Ausdruck des Höchstpersönlichen für den Sorgeberechtigten nicht frei disponibel sind.236 Eine Einwilligung des gesetzlichen Vertreters kann im Sinne des Erwägungsgrundes 38 228 BeckOK DatenschutzR/Karg, 39. Ed. 01.11.2021, DS-GVO Art. 8 Rn. 50; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 8 Rn. 16. 229 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 8 Rn. 7; Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 8 Rn. 21; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 8 Rn. 16. 230 Taeger, ZD 2021, 505, 506. 231 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 8 Rn. 16; Kress/Nagel, CRi 2017, 6, 8. 232 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 8 Rn. 26. 233 Gola/Schulz, ZD 2013, 475, 478. 234 Gola/Schulz, ZD 2013, 475, 478 bezeichnen eine solche Anlehnung an die im deutschen System übliche schwebende Unwirksamkeit trefflich als „unangemessen formaljuristisch“. 235 Gola/Schulz, ZD 2013, 475, 478; Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 8 Rn. 8. 236 Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 8 Rn. 9; Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, Art. 8 Rn. 27. Vgl. Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DSGVO Art. 8 Rn. 28; Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 8 Rn. 18.
178
Kap. 3: Die datenschutzrechtliche Einwilligung
S. 3 der DS-GVO entbehrlich sein, sofern es sich um Präventions- oder Beratungsdienste handelt, die direkt an das Kind gerichtet sind; dies entspricht jedenfalls auch einer teleologischen Auslegung, da der Minderjährigenschutz gerade durch Präventions- und Beratungsdienste an Minderjährige umgesetzt wird.237 cc) Kritik an der Regelung Kritiker bezeichnen Art. 8 DS-GVO als doppelgesichtig.238 Denn die Regelung dient nicht nur dem Minderjährigenschutz, sondern auch und vor allem dem Verkehrsschutz: Die Einhaltung der Altersgrenze ermöglicht einen Verzicht auf die individuelle Prüfung der Einsichtsfähigkeit.239 Auch Interessen des Anbieters werden damit berücksichtigt. Denn die individuelle Einsichtsfähigkeit virtuell festzustellen, wird sich regelmäßig als schwierig erweisen. Die Altersgrenze substituiert dieses Erfordernis zum Teil – aber wie das Alter festgestellt werden soll, ist noch nicht ausgereift. Kontrollinstrumente hinsichtlich des Alters sind in der virtuellen Welt bisher nicht ausreichend vorhanden,240 werden aber verlangt und vorausgesetzt.241 Es wird kritisiert, dass keine europarechtliche Rechtsicherheit hergestellt werden kann, da letztlich zu viele Ungenauigkeiten zu füllen sind.242 Eine Stellungnahme mit weiteren Leitlinien des EDSA wäre wünschenswert.243 Immerhin kann der Blick positiv darauf gerichtet werden, dass Minderjährigen eine besondere Aufmerksamkeit hinsichtlich ihrer datenschutzrechtlichen Sicherheit zukommt. Allein dies wird teilweise bereits als Fortschritt gesehen.244 b) Übrige Konstellationen Für alle anderen Konstellationen, in denen keine Nutzung eines Dienstes einer Informationsgesellschaft vorliegt, gibt es für die datenschutzrechtliche Einwilligung Minderjähriger keine eindeutigen Altersgrenzen. Diskutabel ist hier zum Beispiel eine Situation, in der ein Dienst zwar im Internet angeboten wird, aber die Ausführung damit nicht mehr korreliert oder um237 Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 8 Rn. 25; Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 8 Rn. 18. 238 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 8 Rn. 5 m.w. N. 239 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 8 Rn. 5. 240 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 8 Rn. 19. 241 Mit Vorschlägen zur Umsetzung Taeger, ZD 2021, 505, 507. 242 Auer-Reinsdorff/Conrad/Eckhardt/Conrad, Handbuch IT, § 36 Rn. 205; Taeger, ZD 2021, 505, 508. 243 Taeger, ZD 2021, 505, 508. 244 Kress/Nagel, CRi 2017, 6, 9.
A. Die datenschutzrechtliche Einwilligung
179
gekehrt, dass im Anschluss an eine analoge Datenpreisgabe der E-Mail-Adresse im Nachhinein digitale Werbung an die preisgegebene E-Mail-Adresse des Minderjährigen geschickt wird.245 Auch Sprachtelefondienste fallen aus dem Anwendungsbereich von Art. 8 DS-GVO. Aus Erwägungsgrund 65 S. 3 der DS-GVO geht indes hervor, dass allgemein ein besonderer Schutz für Einwilligungen gilt, die der Betroffene „noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte“.246 Eine unter diesen Umständen erteilte Einwilligung kann der (ggf. inzwischen Erwachsene) rückgängig machen. Der Unterschied zur ohnehin möglichen Ausübung des Widerrufsrechts nach Art. 7 Abs. 3 DS-GVO scheint hier nur auf Wertungsebene zu bestehen. Man könnte insofern argumentieren, dass eine solche Einwilligung nicht von Anfang an unwirksam sein kann, da es dann keiner speziellen Rechte bedürfte, sie rückgängig zu machen.247 Insofern könnte Erwägungsgrund 65 so interpretiert werden, dass die Einsichtsfähigkeit eben keine Voraussetzung der Wirksamkeit zu sein scheint.248 Erwägungsgrund 38 hält indes fest, dass Kinder hinsichtlich ihrer personenbezogenen Daten mangels eigener Einsichtsfähigkeit einen besonderen Schutz verdienen; daher müssten im Sinne eines zielgruppenspezifischen Transparenzgrundsatzes249 die an Kinder gerichteten Erklärungen kindgerecht ausgestaltet sein.250 Hierbei handelt es sich freilich nur um eine Sollvorschrift aus einem Erwägungsgrund, die dementsprechend nicht erfolgsbezogen und nicht bußgeldbewehrt ist.251 Sind die direkt an Kinder gerichteten Angebote entsprechend verständlich gestaltet, könnte man hierin eine Zusage an die mögliche Prüfung einer Einsichtsfähigkeit sehen; sofern das Kind die Erklärung verstehen und entsprechend handeln konnte, wäre eine Einwilligung dann als wirksam denkbar. Andererseits ist bei den Datenschutzerklärungen regelmäßig gerade nicht zu erwarten, dass die für die Einwilligung entscheidenden Informationen und Implikationen tatsächlich in einer wie von Erwägungsgrund 58 S. 4 der DS-GVO geforderten, für einen Minderjährigen verständlichen Weise dargelegt werden;252 245
Vgl. Gola/Schulz, ZD 2013, 475, 477. Originaltext Englisch: „[. . .] has given his or her consent as a child and is not fully aware of the risks involved by the processing [. . .]“. 247 Koreng/Lachemann/Bergt, Formularhandbuch Datenschutzrecht, I. II. Rn. 6. 248 Koreng/Lachemann/Bergt, Formularhandbuch Datenschutzrecht, I. II. Rn. 6. 249 Joachim, ZD 2017, 414, 418. 250 Ernst, ZD 2017, 110, 111. In diese Richtung bereits vor der DS-GVO: Jandt/Roßnagel, MMR 2011, 637, 640 f.; Wintermeier, ZD 2012, 210, 212. 251 Joachim, ZD 2017, 414, 416; vgl. für Art. 12 ff. DS-GVO Paal/Pauly/Paal/Hennemann, 3. Aufl. 2021, DS-GVO Art. 12 Rn. 19; Gola/Franck, 2. Aufl. 2018, DS-GVO Art. 12 Rn. 9. Bußgeldbewehrt ist allerdings die Prüfpflicht des Verantwortlichen hinsichtlich der Altersgrenze, Art. 84 Abs. 4 Nr. 1 lit. a DS-GVO, siehe dazu Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 8 Rn. 29. 252 Ernst, ZD 2017, 110, 111. 246
180
Kap. 3: Die datenschutzrechtliche Einwilligung
schließlich sehen sich diese Einverständniserklärungen regelmäßig der Kritik ausgesetzt (entsprechend der altbekannten Problematik solcher Opt-In-Einwilligungen in AGB) selbst für den erwachsenen Verbraucher nicht mehr verständlich/übersichtlich genug zu sein253 – für den Minderjährigen demnach erst recht nicht (dies gilt ebenso für analoge Angebote).254 Ebenso ist nicht zu erwarten, dass der Minderjährige den Datenpreis, den er zahlt, überhaupt realisiert und überblickt. Soll vor diesem Hintergrund regelmäßig fehlender Einsichtsfähigkeit eine Einwilligung also trotzdem möglich sein? Als Lösung für diese rechtsunsichere Situation wird teils angeraten, dass bis zur Volljährigkeit sowohl der mindestens 14 Jahre alte Minderjährige als auch dessen Sorgeberechtigte einwilligen müssen.255 Andererseits könnte die Wertung des Art. 8 Abs. 1 DS-GVO, d. h. die Altersgrenze von 16 Jahren für Beginn der Einwilligungsfähigkeit, grundsätzlich auch auf andere Fälle anwendbar sein. Dagegen spricht wiederum, dass die Bestimmung aus Art. 8 DS-GVO sich womöglich bewusst nur auf Informationsgesellschaften bezieht, eine Analogie für so eine Spezialregelung also einer Begründung bedürfte. Ob eine Ausnahmevorschrift grundsätzlich der analogen Anwendung entzogen sein soll, ist indes umstritten.256 Im Ergebnis sollte aber maßgebend sein, ob im fraglichen Falle eine planwidrige Regelungslücke bei vergleichbarer Interessenlage zu bejahen ist – auch wenn es sich um eine Ausnahmevorschrift handelt.257 Im Fall des Art. 8 Abs. 1 DS-GVO erscheint es jedenfalls schwierig, dies zu begründen: Denn warum trotz des klaren Wortlauts eine höhere Grenze anzusetzen sein soll, erklärt sich nicht; etwas anderes könnte nur gelten, wenn es sich um speziell geschützte Bereiche der Persönlichkeit handelt.258 Insofern erscheint es hilfreich, unter Festhaltung an den allgemeinen Voraussetzungen einer Einwilligung und einer Einhaltung der Untergrenze von 13 Jahren, die folgenden Bedingungen aufzustellen bzw. vielmehr beizubehalten. Der Minderjährige muss die Möglichkeit haben, folgende Erkenntnisse zu gewinnen: – Wer erhebt und verarbeitet – welche personenbezogenen Daten – mit welchem Zweck – über welchen Zeitraum.259 253
Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 66. Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 66; vgl. Jandt/Roßnagel, MMR 2011, 637, 640 f. 255 Koreng/Lachemann/Bergt, Formularhandbuch Datenschutzrecht, I. II. Rn. 6. 256 Siehe dazu Effer-Uhe, Singularia non sunt extendenda, in: FS Prütting, S. 15. 257 Effer-Uhe, Singularia non sunt extendenda, in: FS Prütting, S. 15, 25. 258 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 8 Rn. 12. 254
A. Die datenschutzrechtliche Einwilligung
181
Wenn dieser Überblick vom Betroffenen (auch individuell subjektiv) verstanden werden konnte, kann die Einsichts- und mithin Einwilligungsfähigkeit bejaht werden.260 Leider fehlt bis dato ein solcher Ansatz, der unionsrechtlich einheitlich die Wirksamkeitsanforderungen an die Einwilligung Minderjähriger regelt bzw. einen Prüfungsmaßstab aufzeigt.261 Unbenommen bleibt bei den hier postulierten Anforderungen nach wie vor das Problem der mangelnden virtuellen Überprüfbarkeit derselben. c) Geschäftsfähigkeit Minderjähriger nach dem BGB Nach deutschem Recht unterliegt die geschäftliche Autonomie Minderjähriger im Alter zwischen 7 und 18 Jahren dem Vorbehalt, dass das Geschäft lediglich einen rechtlichen Vorteil für den Minderjährigen begründet, § 107 BGB.262 Ist dies nicht der Fall, wird das entsprechende Geschäft erst mit Zustimmung des gesetzlichen Vertreters wirksam. aa) § 110 BGB: Taschengeldparagraph als Lösung? Eine Ausnahme kann nach § 110 BGB („Taschengeldparagraph“) bestehen, wenn der Minderjährige seine vertragsgemäße Verpflichtung (entspricht dem rechtlichen Nachteil) mit Mitteln bewirkt, die ihm zur freien Verfügung von Seiten des gesetzlichen Vertreters überlassen wurden.263 Dass diese Art der konkludenten Einwilligung des gesetzlichen Vertreters auch gelten soll, wenn der Minderjährige seine personenbezogenen Daten als „Zahlungsmittel“ verwendet, ist jedoch abzulehnen.264 Denn zum einen werden die Daten nicht vom gesetzlichen Vertreter überlassen, sondern haften dem Minderjährigen letztlich selbst unmittelbar an bzw. werden durch sein Online-Verhalten generiert;265 zum anderen wäre eine solche Lesart angesichts der gravierenden Bedeutung der informatio259 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 68; Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 8 Rn. 10; Zscherpe, MMR 2004, 723, 724 orientiert sich hierfür lange vor der DS-GVO sinnhaft an § 828 Abs. 1 BGB und § 10 StGB i.V. m. § 1 Abs. 1, II JGG. 260 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 68. 261 Schantz/Wolff, Das neue Datenschutzrecht, D. Grundprinzipien und Zulässigkeit der Datenverarbeitung, Rn. 488. 262 Zum Begriff statt vieler MüKoBGB/Spickhoff, 9. Aufl. 2021, § 107 Rn. 37 ff. und Staudinger/Klumpp, (2021) BGB § 107 Rn. 4 ff. 263 Statt vieler Staudinger/Klumpp, (2021) BGB § 110 Rn. 1. 264 MüKoBGB/Spickhoff, 9. Aufl. 2021, § 110 Rn. 24; Staudinger/Klumpp, (2021) BGB § 110 Rn. 23; zur Einschätzung vor der DS-GVO ebenso Bräutigam, MMR 2012, 635, 638; Jandt/Roßnagel, MMR 2011, 637, 640; a. A. Wintermeier, ZD 2012, 210, 212 f. 265 BeckOK BGB/Wendtland, 61. Ed. 01.02.2022, § 110 Rn. 11; Piras/Stieglmeier, JA 2014, 893, 896; Jandt/Roßnagel, MMR 2011, 637, 640.
182
Kap. 3: Die datenschutzrechtliche Einwilligung
nellen Selbstbestimmung, die der Minderjährige wohl weniger als die Bedeutung von Geldmitteln einzuschätzen vermag, nicht vertretbar.266 bb) Rechtlicher Vorteil Der Begriff des „rechtlichen Vorteils“ ist nicht eindeutig definiert, sondern fallbezogen zu beurteilen.267 Es ist daher zu klären, ob aus der scheinbaren Kostenfreiheit auf ein lediglich rechtlich vorteilhaftes Geschäft geschlossen werden darf.268 Nach dem BGH ist ein lediglich rechtlich vorteilhaftes Geschäft jedenfalls anzunehmen „für solche den Minderjährigen kraft Gesetzes treffenden persönlichen Verpflichtungen, die ihrem Umfang nach begrenzt und wirtschaftlich derart unbedeutend sind, dass sie unabhängig von den Umständen des Einzelfalls eine Verweigerung der Genehmigung durch den gesetzlichen Vertreter oder durch einen Ergänzungspfleger nicht rechtfertigen könnten“.269 Bei einem Geschäft, das die Preisgabe personenbezogener Daten erfordert (und somit die aktive Ausübung der informationellen Selbstbestimmung) kann dies nicht angenommen werden.270 Das Prinzip des lediglich rechtlichen Vorteils ist jedoch keine Ausformung von Datenschutz, sondern von Minderjährigenschutz, bzw. auch dem besonderen Schutz des Eltern-Kind-Verhältnisses.271 Es findet neben dem Datenschutzrecht Anwendung, wenn der Minderjährige sich verpflichtet.272 Inwieweit jedoch sind die §§ 104 ff. BGB auf die datenschutzrechtliche Einwilligung selbst (unabhängig vom ggf. zugrundeliegenden Geschäft) überhaupt anwendbar? Schließlich beschränkt sich die Anwendbarkeit auf Rechtsgeschäfte und geschäftsähnliche Handlungen.273 Bei Realakten ist die Anwendung nicht statthaft und es käme tatsächlich nur auf die faktische Einsichtsfähigkeit des Minderjährigen an.274 Die Rechtsnatur der Einwilligung wird im folgenden Abschnitt genauer betrachtet.
266 MüKoBGB/Spickhoff, 9. Aufl. 2021, § 110 Rn. 24; BeckOK BGB/Wendtland, 61. Ed. 01.02.2022, § 110 Rn. 11; Piras/Stieglmeier, JA 2014, 893, 896. 267 Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, Gutachten A zum 71. Deutschen Juristentag, 2016, S. 8, A 89. 268 Metzger, AcP 2016, 817, 839; Bräutigam, MMR 2012, 635, 637; Jandt/Roßnagel, MMR 2011, 637, 639 f. 269 BGH, NJW 2005, 415, 418. 270 Bräutigam, MMR 2012, 635, 637; Wintermeier, ZD 2012, 2110, 212. 271 So Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 8 Rn. 1, 2, mit Verweis auf Art. 7, 14 III, 33 Abs. 1 GRCh. 272 Schrader, JA 2021, 177, 180. 273 Schantz/Wolff, Das neue Datenschutzrecht, D. Grundprinzipien und Zulässigkeit der Datenverarbeitung, Rn. 487. 274 Schantz/Wolff, Das neue Datenschutzrecht, D. Grundprinzipien und Zulässigkeit der Datenverarbeitung, Rn. 487.
A. Die datenschutzrechtliche Einwilligung
183
III. Rechtsnatur der datenschutzrechtlichen Einwilligung Prüft man die Einwilligung anhand der Rechtsbegriffe des BGB, handelt es sich, wie eben dargelegt, um eine vorherige Zustimmung, vgl. § 183 BGB. Eine nachträgliche Genehmigung i. S. v. § 184 BGB hat die DS-GVO nicht vorgesehen.275 Doch ist die Einwilligung eine „faktische“ oder eine „rechtsgeschäftliche“? Bereits 1980 wurde die Rechtsnatur der datenschutzrechtlichen (einseitigen) Einwilligung zum Anlass einer parlamentarischen Anfrage – allerdings ohne eindeutiges Ergebnis.276 Thema war die Unklarheit darüber, ob die Vorschriften über AGB auch auf eine im Rahmen von AGB erteilte Einwilligung angewendet werden können – die zusammenhängende Frage nach der Qualität der Einwilligung als rechtsgeschäftliche Willenserklärung wurde in der offiziellen Reaktion auf die parlamentarischen Anfrage nicht eindeutig beantwortet, sondern mit Verweis auf die eher entscheidende einzelfallabhängige Nähe zu den entsprechenden AGB offen gelassen.277 Daran zeigt sich wohl, dass die Qualifizierung durchaus als schwierig empfunden wurde. Diese Frage weiterhin offen zu lassen und damit der Rechtsprechung die weitere Qualifizierung zu überlassen,278 führt jedoch zu unbefriedigenden Ergebnissen279 bzw. zu keinen Fortschritten im Diskurs über Zweckmäßigkeiten im Umgang mit der Einwilligung. 1. Ist die Einordnung nach deutschem Zivilrecht heute obsolet280? Durch die DS-GVO wird die Diskussion um die Rechtsnatur der Einwilligung nach mancher Ansicht hinfällig.281 Sämtliche Folgefragen hinsichtlich der Einwilligung sind nach dieser Ansicht unionsrechtlich zu beurteilen (und schließlich auch unionsrechtlich abschließend geregelt); eine zivilrechtliche Einordnung sei demnach nicht länger erforderlich.282 Darüber hinaus berge übermäßige zivilrechtliche Einordnung die Gefahr eines auseinanderdriftenden Verständnisses der DS-GVO in den einzelnen Mitgliedstaaten und sei daher mit dem Harmonisierungsgedanken schwer vereinbar.283 Die Feststellung, dass es sich um eine 275 276 277
Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 64. BT-Drs. 8/4487, S. 14 (Frage gestellt von Abgeordneter Dr. Wendig). BT-Drs. 8/4487, S. 14 (Antwort des Parlamentarischen Staatssekretärs von Schoe-
ler). 278
BT-Drs. 8/4487, S. 14. Vgl. Rogosch, Die Einwilligung im Datenschutzrecht, 2013, S. 38. 280 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 7 Rn. 93. 281 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 7 Rn. 83 f. 282 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 1a. 283 Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 29. 279
184
Kap. 3: Die datenschutzrechtliche Einwilligung
„rechtserhebliche Handlung sui generis“ handele, hätte danach auszureichen.284 Für konkrete offene Probleme sei auf Lösungen des EuGH zu warten.285 2. Dogmatische Folgeprobleme Die dogmatischen Folgeprobleme je nach zivilrechtlicher Einordnung sind durch die DS-GVO in der Tat dezimiert. Ausschnitte aus der Diskussion über Folgeprobleme zeigen aber, warum diese dennoch (noch) nicht als vollkommen redundant abzutun ist. a) Beispiel Anfechtung So kann beispielsweise festgehalten werden, dass die Anwendbarkeit der §§ 119 ff. BGB für erteilte Einwilligungen jedenfalls fragwürdig scheint und die zugrundeliegende Frage, ob die Einwilligung eine Willenserklärung ist, für diese Frage dahinstehen könnte.286 Denn die Voraussetzungen der Einwilligung wären in den meisten denkbaren Konstellationen eines Irrtums oder einer Täuschung bzw. Drohung hinsichtlich der Informiertheit bzw. Freiwilligkeit gar nicht erfüllt, sodass die Einwilligung eo ipso unwirksam wäre.287 Bei einer wirksamen Einwilligung wiederum (ggf. trotz Irrtums) ist der Betroffene durch das zeitlich unbeschränkte Widerrufsrecht im Gegensatz zur Anfechtung sogar bedingungslos geschützt.288 Daher wird die Möglichkeit einer Anfechtung vermehrt ausgeschlossen, mit Hinweis auf die abschließende Wirkung des Art. 7 DS-GVO.289 Dem steht die Ansicht entgegen, dass die DS-GVO selbst kein Anfechtungsrecht vorsieht und innerhalb des Rechtsrahmens der DS-GVO eine Wahrnehmung der jeweiligen nationalen Rechte möglich sein müsse.290 Der Widerruf könne demnach auch kein „Ersatz“ für die Anfechtung nach §§ 119 ff. BGB sein, da die Anfechtung ex tunc wirkt, während der Widerruf die Datenverarbeitung nur ex nunc verbietet, die bisher erfolgte Verarbeitung also gem. Art. 7 Abs. 3 S. 2 DS284
Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 1a. Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 1a. 286 Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 7 Rn. 93. 287 Wenngleich der Verantwortliche im Falle eines Irrtums des Betroffenen nicht verschuldensunabhängig haftet, Art. 82 DS-GVO. Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 1a, 33; Simitis/Hornung/Spiecker gen. Döhmann/ Klement, 1. Aufl 2019, DS-GVO Art. 7 Rn. 93; Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 49. 288 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 7 Rn. 93. 289 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 33; Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 49; vgl. Ehmann/Selmayr/Heckmann/ Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 60. 290 BeckOK DatenschutzR/Stemmer, 39. Ed. 01.11.2021, DS-GVO Art. 7 Rn. 31. 285
A. Die datenschutzrechtliche Einwilligung
185
GVO unangetastet lässt und auch keine Schadensersatzansprüche wie § 122 BGB begründet.291 Einem solchen Anspruch auf Ersatz des Vertrauensschadens widerspricht indes die stetige Widerrufsmöglichkeit und die Löschungsoption des Betroffenen; ebenso der Grundsatz, dass der Widerruf nicht mit Nachteilen für den Betroffenen verbunden werden soll. Im Ergebnis wäre die Einwilligung wohl bei einem Irrtum (wie oben erörtert) ohnehin nicht frei von Willensmängeln und somit unwirksam; eine Schadensersatzpflicht des Betroffenen ergibt sich aus der DS-GVO nicht. Insofern bietet die Anfechtung keinen besseren Schutz des Betroffenen im Falle eines Irrtums als die DS-GVO ohnehin vorsieht. Ließe man die Anfechtung dennoch unter Ausschluss der datenschutzrechtlich schwer zu vertretenden Pflicht, einen etwaigen Vertrauensschaden des Verantwortlichen zu ersetzen, zu, so fragt sich nach relevanten Unterschieden zwischen anfänglicher Unwirksamkeit (bzw. Widerruf mit Löschung) und Anfechtung. Im Ergebnis ist die Ansicht, nach der eine Anfechtung in diesem Kontext obsolet bleibt, daher vorzugswürdig.292 Dafür spricht auch der Grundsatz aus Erwägungsgrund 42 a. E. der DS-GVO, nach dem auch das „Zurückziehen“ der Einwilligung nicht mit Nachteilen für den Betroffenen verbunden sein darf.293 b) Weiterer Anwendungsbereich In einem umfassenden Blick erschließt sich anhand der beispielhaften vorangegangenen Diskussion, warum die zivilrechtliche Einordnung jedenfalls nicht sofort als Redundanz abgetan werden sollte. Es erscheint sinnvoll, das Nebeneinander von zivilrechtlichen Regelungen und DS-GVO-Vorgaben in einer Parallelbetrachtung in maximalen Einklang zu bringen; so können die datenschutzrechtlichen EU-Vorgaben das nationalstaatliche Zivilrecht beschränken, unterstützen und zu deuten (ggf. auch umzudeuten) helfen, aber sie können es nicht vollständig ablösen.294 Strebt man ein einheitliches Verständnis dessen an, wie Daten als Gegenleistung im Sinne eines Entgelts fungieren können, bleibt die Diskussion um die Rechtsnatur der Einwilligung beispielsweise kaum umgänglich. Denn der Inhalt einer etwaigen Leistung muss klar definiert sein: Kann es sich dabei um die Einwilligung als solche handeln, oder eben nur um die Bereitstellung der Daten?295 Und wie sinnvoll oder notwendig sind präzise Differenzierungen in diesem dogmatischen Zusammenhang, wenn man den Bezug zum Faktischen im 291
BeckOK DatenschutzR/Stemmer, 39. Ed. 01.11.2021, DS-GVO Art. 7 Rn. 31. Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl 2019, DS-GVO Art. 7 Rn. 93; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 33; Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 49; vgl. Ehmann/Selmayr/Heckmann/ Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 60. 293 Siehe auch Erwägungsgrund 18 der ePrivacy-VO. 294 Ehmann/Selmayr/Heckmann/Paschke, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 30. 295 Siehe dazu Kap. 2, B. IV. 3. c). 292
186
Kap. 3: Die datenschutzrechtliche Einwilligung
Fokus behalten möchte? Kann man die Einwilligung mit einer bestimmten Rechtsnatur etikettieren und daraus Schlüsse auf die Leistungspflichten ziehen (oder umgekehrt)? Des Weiteren liegt es nicht nahe, die Einwilligung separiert von solchen etwaigen Willenserklärungen zu betrachten, mit denen sie doch in notwendigem Zusammenhang steht. So wird die Einwilligung eines Minderjährigen zwar nach Maßgabe des Art. 8 DS-GVO beurteilt werden; Art. 8 DS-GVO regelt jedoch nur die Wirksamkeit der Einwilligung, nicht die Wirksamkeit einer zusammenhängenden, die Wirksamkeit eines Vertrages bedingenden Willenserklärung eines Minderjährigen.296 Wird die Einwilligung als schuldvertragliche Gestattung kategorisiert, so kann die mit ihr einhergehende auf Vertragsschluss gerichtete Erklärung nach den §§ 104 ff. BGB beurteilt werden, ohne dass sich im Gesamtbild denkbare Wertungswidersprüche ergeben.297 Wird die Einwilligung als Realakt verstanden, sind die §§ 104 ff. BGB nicht anwendbar, da sich ihr Inhalt nur auf Willenserklärungen und je nach den Umständen des Einzelfalles auf geschäftsähnliche Handlungen bezieht.298 Eine wirksame Einwilligung könnte bei Annahme eines Realaktes trotz unwirksamem, da rechtlich nachteilhaftem Vertragsschluss nach §§ 104 ff. BGB vorliegen.299 Der rechtliche Nachteil könnte hier dann aber gerade in der Einwilligung liegen. Beispiel: Ein 16-Jähriger, der eine DS-GVO-konforme Einwilligung erteilt und im Zuge dessen mit dem Verantwortlichen einen Austausch seiner Daten gegen die Nutzung eines sozialen Netzwerks vereinbart; die Einwilligung erfolgt in Werbe-E-Mails oder personalisierte Werbeanzeigen, die Datenverarbeitung dient erweiterten Marketing-Zwecken. Hier könnte – trotz wirksamer Einwilligung – die vertraglich eingegangene Verpflichtung unwirksam sein, da die kommerzielle Verwendung der personenbezogenen Daten jedenfalls nicht lediglich rechtlich vorteilhaft ist.300 Gerade aus der Auseinandersetzung mit diesen scheinbar obsoleten Fragen können sich schließlich hilfreiche Erkenntnisse herausbilden. Eine Kategorisierung der Rechtsnatur ist daher nützlich.
296 Specht, DGRI-Jahrbuch 2017 Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, IV. 2. d.; Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 6.; vgl. Taeger, ZD 2021, 505, 509; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DSGVO Art. 8 Rn. 29a. 297 Vgl. Specht, DGRI-Jahrbuch 2017 Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, IV. 2. d. 298 Statt vieler MüKoBGB/Spickhoff, 9. Aufl. 2021, § 105 Rn. 8–11. 299 Vgl. Specht, DGRI-Jahrbuch 2017 Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, IV. 2. d. 300 Vgl. Metzger, A Market Model for Personal Data, in: Lohsse/Schulze/Staudenmayer (Hrsg.), II. 6.; Taeger, ZD 2021, 505, 509; vgl. auch Kühling/Buchner/Buchner/ Kühling, 3. Aufl. 2020, DS-GVO Art. 8 Rn. 29a.
A. Die datenschutzrechtliche Einwilligung
187
3. Ansätze In Literatur und Rechtsprechung lassen sich die Ideen zur Rechtsnatur der einseitigen Einwilligung in drei Kategorien gliedern: Sie wird teils als Rechtsgeschäft bzw. Willenserklärung,301 teils als geschäftsähnliche Handlung,302 und teils als Realakt303 oder sogar als rechtserhebliche Handlung sui generis304 verstanden, wobei zu beachten ist, dass ein Teil der Argumentationen ursprünglich von Zeiten vor Inkrafttreten der DS-GVO stammen. Jedoch lässt sich bei einer umfänglichen Betrachtung ein besseres Bild kartieren. Jede Kategorisierung zieht (bzw. zog insbesondere vor Inkrafttreten der DS-GVO) letztlich verschiedene dogmatische Folgen nach sich, so beispielsweise im Hinblick auf den Umgang mit beschränkt Geschäftsfähigen, die Folgen von Willensmängeln, oder die Anwendbarkeit von Vorschriften über AGB usw.305 Angesichts der von der DSGVO begründeten zeitlich unbeschränkten Widerrufsmöglichkeit dürfte die Bedeutung von Irrtümern allerdings für eine ergebnisorientierte Betrachtungsweise in den Hintergrund rücken. a) Realakt oder geschäftsähnliche Handlung? Der BGH hat in den 50er und 60er Jahren – also lange Zeit, bevor die DatenDebatte durch Internet und omnipräsente „Daten-Kraken“306 entfacht wurde – in zwei Urteilen die Einwilligung eher als Realakt klassifiziert.307 Diese Urteile befassten sich jedoch nicht mit Daten, sondern mit Medizinrecht (Einwilligung eines Minderjährigen in eine Operation) und mit einer durch einen Irrtum beeinflussten Einwilligung in eine Freiheitsentziehung. Zugrunde lag hier vor allem das Argument der Spiegelbildlichkeit: Denn die Einwilligung sei spiegelbildlich zu der Handlung, die durch sie gerechtfertigt wird, (in diesen Fällen) ein tatsäch301 Walker, Die Kosten kostenloser Dienste, 2021, S. 186 m.w. N.; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 10; neutral BeckOK DatenschutzR/Albers/Veit, 39. Ed. 01.11.2021, DS-GVO Art. 6 Rn. 29, aber in der 37. Ed. 01.05.2020 noch von „Willenserklärung“ ausgehend (Rn. 19). 302 Schantz/Wolff, Das neue Datenschutzrecht, D. Grundprinzipien und Zulässigkeit der Datenverarbeitung, Rn. 487. 303 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 9. 304 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 1a; vgl. ähnlich Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 83 f. 305 Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, 2016, S. 121; Rogosch, Die Einwilligung im Datenschutzrecht, 2013, S. 38. 306 Vgl. Paal/Hennemann, NJW 2017, 1697, 1698. 307 BGH, NJW 1959, 811; bestätigend, aber mit Hinweis auf Anwendbarkeit der Vorschriften über Rechtsgeschäfte, BGH, NJW 1980, 1903, 1904. BGH, NJW 1964, 1177: „Sie [die Einwilligung] ist kein Rechtsgeschäft und keine Willenserklärung im technischen Sinne, sondern die Gestattung zur Vornahme von Handlungen, die in rechtlich geschützte Güter des Gestattenden eingreifen.“
188
Kap. 3: Die datenschutzrechtliche Einwilligung
liches Verhalten: Handelt es sich also lediglich um die Gestattung eines tatsächlichen Verhaltens ohne immanente Rechtserheblichkeit, sei auch die Einwilligung nur ein tatsächliches Verhalten.308 Im Kern wird hinsichtlich der medizinrechtlichen Einwilligung daran auch heute festgehalten; zwar wird nicht mehr streng auf einen Realakt geschlossen, jedoch wird eine solche geschäftsähnliche Handlung angenommen, die einem Realakt näher als einer Willenserklärung ist, da weder Willensmängel (bei korrekter Aufklärung) noch Minderjährigkeit (bei vorhandener Einsichtsfähigkeit) für die Wirksamkeit der Einwilligung schädlich sind.309 Die betroffene Handlung, in die eingewilligt wird, als Grundlage für die Rechtsnatur der Einwilligung selbst heranzuziehen, entbehrt jedoch eines triftigen Grundes.310 Bloß weil in eine faktische Handlung eingewilligt wird, muss schließlich nicht die Einwilligung selbst eine faktische Handlung sein.311 Aber selbst wenn man diese Argumentation zugrunde legen wollte: Ist auch der Vorgang der Datenverarbeitung ein solcher „tatsächlicher Vorgang“, sodass spiegelbildlich auch die Einwilligung als ein solcher verstanden werden könnte?312 Dies erscheint bereits diskutabel, da der Betroffene mit der Einwilligung nicht nur ein einzelnes faktisches Verhalten (wie im vorigen Beispiel den medizinischen Eingriff) ermöglichen will, sondern vielmehr den weiteren, ggf. komplexen Umgang mit seinen Daten zu „steuern“ versucht.313 Daher ist eine direkte Übertragung dieser Argumentation auf die datenschutzrechtliche Einwilligung (vor allem vor dem Hintergrund der damals nicht absehbaren heutigen Komplexität derselben) durchaus fernliegend. Von anderer Seite wird auch heute noch argumentiert, dass es sich bei der datenschutzrechtlichen Einwilligung am ehesten um einen Realakt handeln müsse.314 Grund dafür sei, dass die Einwilligung sich eben nicht auf ein Rechtsgeschäft bzw. eine konkrete Rechtsfolge beziehe, sodass auch kein rechtsge-
308 Diesen Umkehrschluss zieht der BGH, BGH, NJW 1959, 81, indem er argumentiert: „Bei der Einwilligung zu einem Eingriff in die körperliche Integrität handelt es sich [. . .] nicht um die Zustimmung zu einem Rechtsgeschäft, also nicht um eine rechtsgeschäftliche Willenserklärung, sondern um eine Gestattung oder Ermächtigung zur Vornahme tatsächlicher Handlungen, die in den Rechtskreis des Gestattenden eingreifen.“ [Hervorhebung übernommen von Zimmermann, Die Einwilligung im Internet, 2014, S. 14]. 309 BeckOK BGB/Katzenmeier, 59. Ed. 01.08.2021, BGB § 630d Rn. 7; MüKoBGB/ Wagner, 8. Aufl. 2020, § 630d Rn. 9. 310 Zimmermann, Die Einwilligung im Internet, 2014, S. 14; Kothe, AcP 1985, 104, 116. 311 Zimmermann, Die Einwilligung im Internet, 2014, S. 14; Kothe, AcP 1985, 104, 117. 312 Vgl. Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, 2016, S. 121. 313 Rogosch, Die Einwilligung im Datenschutzrecht, 2013, S. 39. 314 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 9.
A. Die datenschutzrechtliche Einwilligung
189
schäftlicher oder geschäftsähnlicher Charakter angenommen werden könne.315 Die Einwilligung führe lediglich zu einem „gestattete[n] Eindringen in die eigene Rechtssphäre durch Dritte“316, dem im Ergebnis eher faktische als normative Bedeutung zukomme. Grundlage der resultierenden Datenverarbeitung sei freilich nicht die Einwilligung als solche, sondern das zugrunde liegende vertragliche Austauschverhältnis.317 Dafür wird auch argumentiert, dass bei einer rechtsgeschäftlichen Erklärung (und entsprechend bei einer geschäftsähnlichen Handlung) eine Stellvertretung denkbar sein müsste, während die datenschutzrechtliche Einwilligung als höchstpersönliche Handlung lediglich von einem Boten überbracht werden könne, nicht jedoch von einem Stellvertreter i. S. d. §§ 164 ff. BGB.318 Gegner dieses Verständnisses führen an, dass auch die Übertragung einer Vollmacht ein Ausdruck der informationellen Selbstbestimmung und der Ausübung der eigenen Persönlichkeitsrechte sein könne.319 Schwierig wird dabei jedoch die Höchstpersönlichkeit der Einwilligung; denn grundsätzlich ist eine Vertretung (abgesehen von gesetzlicher Anordnung wie bei Art. 8 DS-GVO) ausgeschlossen, höchstens Botenschaft möglich.320 Nach der Gegenansicht sei zwar eine Generalvollmacht undenkbar, da das Recht auf informationelle Selbstbestimmung dadurch unzulässigerweise faktisch übertragen würde; bei hinreichender (Zweck-)Bestimmtheit der erteilten Vollmacht sei die Stellvertretung jedoch möglich.321 Diese Ansicht führt wohl sinngemäß zu dem Ergebnis, dass eine Einwilligung – da jedenfalls mit einer Willensbekundung322 verbunden – zumindest mehr als ein bloß tatsächlicher Realakt ist und eher einer geschäftsähnlichen Handlung entspricht. Teils wird ihr der Charakter einer „schuldvertraglichen Gestattung“ attestiert,323 und teils wird sie als eine Willenserklärung im Sinne des BGB kategorisiert,324 wobei dessen Anwendung durch die Spezialnormen der DS-GVO beschränkt bleibt.
315
Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 9. Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 9. 317 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 9. 318 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 8 f.; Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 65; Ernst, ZD 2017, 110, 111. 319 Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. Rn 19. 320 Taeger/Gabel/Taeger, 3. Aufl. 2019, DS-GVO Art. 7 Rn. 10; Simitis/Hornung/ Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 37. 321 Gola/Gola, 2. Aufl. 2018, DS-GVO Art. 4 Rn. 86; Kühling/Buchner/Buchner/ Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 31; Hoffmann, NZS 2017, 807, 808. 322 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 62. 323 Specht, DGRI-Jahrbuch 2017, Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit. Eckpfeiler eines neuen Datenschuldrechts, IV. 2. d). 324 Walker, Die Kosten kostenloser Dienste, 2021, S. 186 m.w. N.; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 10; BeckOK DatenschutzR/Albers/Veit, 37. Ed. 01.05.2020, DS-GVO Art. 6 Rn. 19, indes in der 39. Ed. 01.11.2021, Art. 6 Rn. 29 ohne diese Festlegung. 316
190
Kap. 3: Die datenschutzrechtliche Einwilligung
b) Ergebnis Im Ergebnis ist die Natur der einseitigen datenschutzrechtlichen Einwilligung somit zumindest die einer geschäftsähnlichen Handlung; die Vorschriften über Rechtsgeschäfte sind somit dem Grundsatz nach anwendbar.325 Das bedeutet gerade nicht, dass sämtliche (von der DS-GVO nicht eindeutig vorgegebene) Rechtsfolgen sich anhand der Vorschriften über Rechtsgeschäfte bestimmen bzw. deren Rechtsfolgen bindend und ausschließlich sind.326 Vielmehr ist abhängig von der jeweiligen Stufe der Einwilligung und dem Kontext des individuellen Falles zu erörtern, wie die in Frage stehende Norm ausgelegt werden kann und wie weit sie auf den jeweiligen Anwendungsfall passt;327 ebenso inwieweit die DS-GVO den Fall hinreichend berücksichtigt und damit etwaiges nationales Recht verdrängt.328 Für die Einwilligung Minderjähriger muss das bedeuten, dass im Falle von datenschutzrechtlichen Spezialregelungen diese grundsätzlich Vorrang haben, im Einzelfall aber auch die §§ 104 ff. BGB herangezogen werden können.329
IV. Die Einwilligung und das zugrundeliegende Rechtsgeschäft – Verfügung und Verpflichtung? Aufgrund des Abstraktionsprinzips erscheint es im deutschen Recht naheliegend, die Einwilligung und den zugrundeliegenden Vertrag (der ggf. zur Einwilligung jedenfalls verpflichten will) als getrennte Rechtsgeschäfte zu verstehen – die Einwilligung als Verfügungs- bzw. Erfüllungsgeschäft und den zugrundeliegenden Vertrag als Verpflichtungsgeschäft.330 Die Einwilligung genügt indes nicht der Definition einer Verfügung als Rechtsgeschäft, das unmittelbar auf ein bestehendes Recht durch dessen Aufhebung, Übertragung, Belastung oder Inhaltsänderung einwirkt.331 Höchstens eine Belastung könnte durch die Einräumung der Nutzungs- bzw. Datenverarbeitungsbefugnis erwogen werden. Dagegen spricht jedoch, dass eine direkte dingliche Wirkung etwas weit hergeholt wirkt für den amorphen Gegenstand Daten, dem bis dato kein Ausschließlichkeitsrecht 325 Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, S. 86. 326 Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, S. 86. 327 Funke, Dogmatik und Voraussetzungen der datenschutzrechtlichen Einwilligung im Zivilrecht, 2017, S. 86. 328 Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 49. 329 Vgl. Auer-Reinsdorff/Conrad/Conrad/Hausen, Handbuch IT, § 36 Rn. 209. 330 Pertot/Riehm, Rechte an Daten, S. 175, 186 f. 331 Langhanke, Daten als Leistung, S. 151, 169; a. A. Metzger, AcP 2016, 817, 832; differenzierend Specht, JZ 2017, 763, 765.
A. Die datenschutzrechtliche Einwilligung
191
attestiert wurde.332 Auch eine Übertragung passt nicht, da die Hoheit über die Daten mit der stetigen Widerrufsmöglichkeit beim Betroffenen bleiben muss. Insofern ist im Zusammenhang mit einer Trennung der beiden Rechtsgeschäfte auf die Rolle als Erfüllungsakt, die einer Verfügung regelmäßig anhaftet, abzustellen.333 Die Einwilligung stellt also die Erfüllung einer vertraglichen (nicht vollstreckbaren) Verpflichtung dar. Diese Einschätzung entspricht nicht nur dem deutschen vom Abstraktionsprinzip geprägten Blickwinkel, sondern auch der Systematik der DS-GVO. Würde die Einwilligung als immanenter Bestandteil des Verpflichtungsaktes, also eines Vertrags, betrachtet, wäre ihre Wirksamkeit von diesem Vertrage abhängig.334 Diesen Anschein erweckt die DS-GVO nicht, wenn die Erteilung der Einwilligung doch gerade nicht grundsätzlich an einen Vertragsschluss geknüpft wird. Auch wären bei anderer Beurteilung Einwilligungen innerhalb und außerhalb von Verträgen unterschiedlich zu beurteilen; denn schließlich gibt es datenschutzrechtliche Einwilligungen außerhalb jeglichen Vertragsgeschehens (beispielsweise gegenüber Behörden).335
V. Kritik an der Einwilligung Die Regelungen hinsichtlich der Einwilligung haben viel Kritik erfahren. Bereits der Aufbau der Rechtmäßigkeitsanforderungen in der DS-GVO folge „keiner stringenten Logik“336 und ergebe nur durch eine Gesamtschau mit den Erwägungsgründen 32, 33, 42, 43, 155 und 171 der DS-GVO ein umfassendes Bild über die Einwilligung.337 In diesem Zusammenhang wird die „Lückenhaftigkeit“ der DS-GVO bei „gleichzeitiger Präskriptivität“ moniert.338 Daran zeigt sich, dass bereits formal viel Angriffsfläche vorhanden zu sein scheint, auch neben der inhaltlichen Kritik.
332 Walker, Die Kosten kostenloser Dienste, S. 186; Langhanke, Daten als Leistung, S. 168. Denkbar ist indes ein Immaterialgüterrecht, wobei auch hier die datenschutzrechtlichen Einschränkungen eine genaue Evaluierung der Sachdienlichkeit eines daran anknüpfenden Ausschließlichkeitsrechts fordern: Denn inwieweit ein übertragbares Ausschließlichkeitsrecht an personenbezogenen Daten wünschenswert sein kann, ist fraglich; siehe dazu bei Kap. 4, F. 333 MüKoBGB/Metzger, 9. Aufl. 2022, § 327 Rn. 18, § 327q Rn. 3. 334 Pertot/Riehm, Rechte an Daten, S. 175, 187; MüKoBGB/Metzger, 9. Aufl. 2022, § 327 Rn. 18. 335 Pertot/Riehm, Rechte an Daten, S. 175, 187; mit Verweis auf Metzger, AcP 2016, 817, 831 ff.; vgl. auch Specht, JZ 2017, 763, 765 f. 336 Gola/Schulz, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 11; zustimmend Veil, NJW 2018, 3337. 337 Veil, NJW 2018, 3337. 338 Veil, NVwZ 2018, 686, 687.
192
Kap. 3: Die datenschutzrechtliche Einwilligung
1. Einwilligung als „Fetisch“339 oder „Fiktion“340 So gut der Vorbehalt der datenschutzrechtlichen Einwilligung aus Art. 6 Abs. 1 UAbs. 1 lit. a DS-GVO klingt, so eröffnet er in der Praxis viele Probleme. Denn zwar ergeben sich jedenfalls aus den Erwägungsgründen der DS-GVO strenge Anforderungen an die Einwilligung (z. B. Erwägungsgrund 39).341 Wie diesen in der Praxis beizukommen ist, scheint im ersten Moment allerdings diffus – oder weiß das Gros der Verbraucher, welche Verarbeitungen ihrer personenbezogenen Daten zu welchen Zwecken gerade erfolgen oder wie dies herauszufinden wäre?342 Denn genau dies fordert Erwägungsgrund 39 mit der Formulierung, dass „Transparenz dahingehend bestehen [sollte], [. . .] in welchem Umfang die personenbezogenen Daten verarbeitet werden“. Was auf dem Papier gut klingt, scheint faktisch illusorisch. So halten Heckmann/Paschke fest: „Es ist nämlich davon auszugehen, dass der Betroffene vielfach keine bewusste, freie und informierte Entscheidung trifft, sondern die gegebenen Bedingungen blind akzeptiert, um einen (kurzfristigen) Vorteil in Anspruch zu nehmen, während die (Langzeit-) Risiken ausgeblendet werden.“343 Schantz fürchtet daher die Gefahr, dass die Einwilligung eine bloße „Legitimationsfiktion“ werden könne.344 Wenn die Komplexität der Datenverarbeitung nicht mehr nachvollziehbar ist, die technischen Vorgänge für den Verbraucher nicht verständlich und die Folgen der Datenweitergabe sich im Dickicht unzähliger Einverständniserklärungen und Verarbeitungsalgorithmen dem Verständnis entziehen, von welcher Informiertheit des Verbrauchers kann man dann noch sprechen? Welche Legitimation kann eine Einwilligung geben, deren Gegenstand der Betroffene gar nicht durchdringt? Wenn doch der eigentliche Kern einer jedweden Einwilligung ist, dass durch Wissen und Wollen des Einwilligenden in dessen Rechtsgüter eingegriffen werden darf, erscheint die Befürchtung hier naheliegend, dass der Begriff in der Praxis ausgehöhlt wird.345 Faktisch handelt es sich dann nur noch um eine „Take-it-or-leave-it“-Situation, um einen „Formalis-
339
Schantz, NJW 2016, 1841, 1844. Härting, AnwBl 2012, 716, 720; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 10 f.; auch Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 1. Aufl. 2019, DS-GVO Art. 6 Abs. 1 Rn. 4 m.w. N., Art. 7 Rn. 2. 341 Zum Umgang mit Erwägungsgründen, Kap. 3, A. I. 2. 342 Ähnlich Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 10 f. 343 Gola/Heckmann/Heckmann/Paschke, 13. Aufl. 2019, BDSG § 51 Rn. 5. 344 Schantz, NJW 2016, 1841, 1844; siehe auch Härting, AnwBl 2012, 716, 720; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 1. Aufl. 2019, DS-GVO Art. 6 Abs. 1 Rn. 4 m.w. N., Art. 7 Rn. 2. 345 Vgl. Schantz, NJW 2016, 1841, 1844. 340
A. Die datenschutzrechtliche Einwilligung
193
mus“.346 Die Freiwilligkeit wird in diesem Zusammenhang als „illusionär“347 bezeichnet (zugespitzt: „Wer einen Kredit haben will, unterzieht sich der Kreditwürdigkeitsprüfung nicht freiwillig“348). So wird von der „Mythologie“ der Einwilligung gesprochen.349 Weitergehend kann gefragt werden, ob überhaupt den Kriterien der Freiwilligkeit und Informiertheit allein im Wege von Verfahrensvorgaben Genüge getan sein kann.350 In diesem Zusammenhang wurde bereits vor Vorlage der DS-GVO von einem „Einwilligungsfetisch“ gesprochen, der mehr Selbstzweck als Mittel der Wahl zu sein scheine und zur Durchsetzung selbstbestimmten Handelns kaum dienen könne.351 Letzteres sei nur durch Datentransparenz (bzw. auch: Verarbeitungstransparenz) zu erreichen, durch eine strenge Informationspflicht seitens des Datenverarbeiters – denn nur, wer über alle Informationen verfügt, kann tatsächlich selbstbestimmt und ohne Bevormundung handeln.352 Das Grundrecht auf informationelle Selbstbestimmung muss vom Staat garantiert werden – im öffentlichen wie auch im nichtöffentlichen Bereich.353 An dieser Stelle besteht jedoch die Gefahr, sich in Regelungsutopien zu verlieren: Wie genau soll die Regelung aussehen, die einerseits den Unternehmer zwingt, konkrete und detaillierte Informationen über die Datennutzung bereitzustellen und andererseits aber auch vom Verbraucher verlangt, sich diese Informationen einzuverleiben, um etwaiger Bevormundung zuvorzukommen? Und wie soll eine solche Regelung in der Praxis umzusetzen sein? Denn nicht nur, wer sich hinreichend informiert für die Datenweitergabe entscheidet, sondern auch, wer sich bewusst dagegen entscheidet, sich hinreichend zu informieren, übt im Grunde genommen ein schützenswertes Freiheitsrecht aus, das auch ggf. als „unvernünftig“ zu qualifizierendes Handeln umfasst und schützt.354 Denn es geht nicht um den Schutz vor jeglichen Datenzugriffen, sondern um den Schutz der ausgeübten informationellen Selbstbestimmung.355 Das „Dilemma“ bei der infor346 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 10; siehe dazu auch Jarovsky, Improving Consent in Information Privacy through Autonomy-Preserving Protective Measures (APPMs), EDPL 4/2018, 447. 347 Veil, NVwZ 2018, 686, 687. 348 Veil, NVwZ 2018, 686, 687. 349 Koops, The Trouble with European Data Protection Law (29.08.2014). International Data Privacy Law, Tilburg Law School Research Paper No. 04/2015, abrufbar unter: https://goo.gl/sVy7HM (Stand 01.05.2022), S. 3. 350 Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität 2016, S. 3; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 10 f. 351 Härting, AnwBl 2012, 716, 720. 352 Härting, AnwBl 2012, 716, 720. 353 Härting, AnwBl 2012, 716, 717. 354 Härting, AnwBl 2012, 716, 719. 355 Härting, AnwBl 2012, 716, 717; Buchner/Kühling, DuD 2017, 544, 54; Buchner, DuD 2010, 39, 43.
194
Kap. 3: Die datenschutzrechtliche Einwilligung
mationellen Selbstbestimmung ist hier, dass diese zwischen Privaten einen völlig anderen Regelungsgehalt entfaltet als ursprünglich gedacht:356 Als Ausfluss eines Grundrechts stellt sie einen Schutz gegenüber Zugriffen des Staates dar – inwieweit dies auf Private übertragen werden kann, ist diskutabel;357 so wird festgehalten, dass die Übertragung auf private Verbindungen einem „Einwilligungswahn“358 gleichkomme und „kommunikations-feindlich“ 359 sei. Daher wird der regelmäßige Verweis auf die informationelle Selbstbestimmung teils als deplatziert angesehen; es entspreche schließlich dem Lebensalltag, sich unwissend und unverständig für oder gegen Produkte zu entscheiden, deren Mechanismen oder Technik aufgrund ihrer Spezialität nicht zugänglich sind (beispielsweise moderne KFZ, Haushaltsgeräte usw.).360 Dies setzt sich auch im digitalen Bereich fort. Dem kann jedoch entgegengehalten werden, dass es einen Unterschied darstellt, ob man Produkte erwirbt, deren Wirkungsweise man nicht versteht, oder ob man über eigene Rechte disponiert, ohne die Folgen dessen nachvollziehen zu können. Die Bedenken hinsichtlich der informationellen Selbstbestimmung mit besagter Argumentation abzutun, hilft das Problem daher nicht zu beseitigen, sondern zu verharmlosen. Förderlich erscheint eher, unter Berücksichtigung des regelmäßig anzutreffenden Machtgefälles zwischen Verantwortlichen und Betroffenen die Selbstbestimmung durch enge Rahmenbedingungen der Zulässigkeit von Einwilligungen zu stärken.361 Doch – und damit gelangt man zur Ausgangsfrage zurück – wie genau können solche richtungsweisenden Rahmenbedingungen aussehen? Die Kernfrage ist: Wer soll – auf welche Weise – geschützt und folglich bevorzugt werden? Derjenige, der autonom gegen die ihm objektiv nützlichen Interessen entscheidet und sogar einer Datenverarbeitung zustimmt, die ihn nur ausbeutet – und: Wird er eher geschützt durch Gewährung dieser Autonomie oder muss man diese begrenzen und ihn in bevormundender Weise vor sich selbst schützen? Oder soll doch derjenige bevorzugt werden, der in gegensätzlicher Weise frei und informiert in eine Datenverarbeitung, die zu seinen Gunsten ausfällt, nicht einwilligt – und welchen Schutz setzt man an, wiederum entweder Gewährung der unvernünftigen Autonomie oder Bevormundung, indem ich die ohne Einwilligung erfolgte Verarbeitung legitimiere, da sie ihm objektiv nützlich sein könnte? Grundsätzlich würde ein so ausgeprägter Paternalismus auch im inzwischen ausgedehnten Feld des Verbraucherschutzes zu weit gehen.362 Die Privatautonomie
356
Veil, NVwZ 2018, 686, 687. Masing, NJW 2012, 2305, 2307; Veil, NVwZ 2018, 686, 687. 358 Giesen, NVwZ 2019, 1711, 1715. 359 Veil, NVwZ 2018, 686, 687. 360 Veil, NVwZ 2018, 686, 688. 361 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts. Gutachten im Auftrag des Bundesministeriums des Innern, 2001, S. 15 f. 362 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 59. 357
A. Die datenschutzrechtliche Einwilligung
195
als wesentliches Prinzip des Zivilrechts sollte nicht durch Vorschreibungen, wie bestimmte vorvertragliche Situationen sich entwickeln dürfen, verwässert werden. Vielmehr sollten Einschränkungen greifen, bevor es zu einer etwaigen Entscheidungssituation für den Verbraucher kommt; letztlich knüpft das Kopplungsverbot genau daran an: Es sollen Situationen vermieden werden, in denen am Ende Entscheidungen nicht mehr nachweisbar dem tatsächlichen Willen des Betroffenen entsprechen, sondern einem mutmaßlichen Willen, der einer zielorientierten Beeinflussung unterlag.363 Denn die Freiwilligkeit ist im besten Falle gekennzeichnet durch die Kenntnis aller Optionalitäten und folglich auch durch die Demaskierung versteckter Abhängigkeiten. Dieser theoretischen Zusammenfassung möglicher Zielsetzungen bleiben erneut Bedenken hinsichtlich der faktischen Umsetzung hinzuzufügen. So ist die Einwilligung, insbesondere der ihr innewohnende Aspekt der Freiwilligkeit, nicht nur ein beliebiger Ausdruck der Selbstbestimmung, sondern erfordert vielmehr „die Bewertung einer [konkreten]364 Entscheidungssituation“365 – und die Entscheidungssituation kann, wie erläutert, nur als eine solche zu verstehen sein, deren objektive Faktoren tatsächlich bekannt und verstanden sind.366 Schließlich soll die Einwilligung „autonomiesichernd“ sein.367 Allerdings ist es tatsächlich nicht haltbar, zu jedem Zeitpunkt alle Schritte der Datenverarbeitung zugänglich und verständlich zu machen; wer einwilligt, lässt sich bei heute wirklichkeitsnaher Betrachtung darauf ein, nicht mehr exakt zu wissen, wer welches Datum wann genau von ihm erhält.368 Die Komplexität der Verarbeitung wäre dem durchschnittlichen Verbraucher wohl selbst bei maximaler Transparenz gar nicht verständlich. In diesem Zusammenhang kann von einem grundlegenden Strukturdefizit des Datenschutzrechts369 gesprochen werden. Dieser müde Verweis auf das Faktische kann jedoch nicht aus der normativen Verantwortung befreien. Letzterer kann man aber, wie gezeigt wurde, kaum durch Anforderungen an die Einwilligung gerecht werden – es sollte daher der Vor- und Nachspann zur Einwilligung gesetzlich flankiert werden.370 Dazu gehört beispielsweise eine verbesserte Transparenz der datenschutzrechtlich relevanten Fakten bei Erteilung der
363 Ähnlich Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DSGVO Art. 7 Rn. 59. 364 Anm. der Verf. 365 Simitis/Hornung/Spiecker gen. Döhmann/Klement, 1. Aufl. 2019, DS-GVO Art. 7 Rn. 33. 366 Vgl. zu dieser Möglichkeit Radlanski, Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, 2016, S. 216 f. 367 Sydow/Ingold, 2. Aufl. 2018, DS-GVO Art. 7 Rn. 2. 368 Masing, NJW 2012, 2305, 2307; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 11. 369 Veil, NVwZ 2018, 686, 687; ähnlich Nord/Manzel, NJW 2010, 3756, 3758. 370 Ähnlich Masing, NJW 2012, 2305, 2309.
196
Kap. 3: Die datenschutzrechtliche Einwilligung
Einwilligung.371 Der Informationszugang und das faktische Informationsverständnis seitens des Betroffenen müssten zumindest so abgesichert werden können, dass dem entscheidenden „Einwilligungs-Klick“ auch tatsächlich die Aussagekraft innewohnt, die seine rechtliche Bedeutung spiegelt.372 Zusammenfassend kann die Einwilligung kaum tatsächlich der Durchsetzung der informationellen Selbstbestimmung dienen. Vielmehr ist sie – jedenfalls im Hinblick auf die aktuelle Handhabung – ein treffliches Instrument, die Verwirtschaftung des Persönlichen voranzutreiben;373 sie ist von einem klassischen „Rechtfertigungsgrund zum Kommerzialisierungsinstrument“374 geworden. Dies jedoch nicht aufgrund gänzlich falscher dogmatischer oder rechtstheoretischer Herangehensweise, sondern eher aufgrund überholender Alltagsrealität: Der Betroffene interessiert sich nicht wirklich dafür, ob er eine Einwilligung erteilt oder nicht – er möchte die Website abrufen/die App nutzen etc. – er wird schnell einwilligen, ohne die Bedingungen verstanden zu haben.375 Doch kann diese „Gleichgültigkeit oder Bequemlichkeit“376 bei – unterstelltem – mangelndem Strukturverständnis der Datenwirtschaft als Ausübung der informationellen Selbstbestimmung bezeichnet werden?377 Die Einwilligung, wie sie die DS-GVO fordert, wurde nicht zuletzt daher als eine „deutliche Schwächung der Einwilligung als Legitimationsgrundlage der Datenverarbeitung“378 kritisiert. Das zugrundeliegende Systemdefizit kann von der Mär einer aufgeklärten Einwilligung nicht gelöst werden.379
371
Siehe zu Verbesserungsvorschlägen Kap. 4. Nord/Manzel, NJW 2010, 3756, 3758 spitzen hinsichtlich der regelmäßig geforderten Datenschutzerklärung zu: „Von Datenschutz zu sprechen, wo es um Datenverwertung geht, bewegt sich an der Grenze zur Täuschung.“; siehe hinsichtlich möglicher Verbesserungsvorschläge für mehr Transparenz Kap. 4. 373 Vgl. Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 11. 374 Buchner, DuD 2010, 39. 375 Koops, The Trouble with European Data Protection Law (August 29, 2014). International Data Privacy Law, Tilburg Law School Research Paper No. 04/2015, abrufbar unter: https://goo.gl/sVy7HM (Stand 01.05.2022), S. 3; Masing, NJW 2012, 2305, 2309. 376 OLG Düsseldorf, MMR 2019, 742, 744. 377 So im Ergebnis das OLG Düsseldorf, MMR 2019, 742 hinsichtlich der Einwilligung bei Facebook nach BKartA, Beschluss vom 06.02.2019 – B6-22/16, BeckRS 2019, 4895. 378 Härting, ITRB 2016, 36, 40. 379 Ähnlich Koops, The Trouble with European Data Protection Law (August 29, 2014). International Data Privacy Law, Tilburg Law School Research Paper No. 04/ 2015, abrufbar unter: https://goo.gl/sVy7HM (Stand 01.05.2022), S. 3; ähnlich auch Masing, NJW 2012, 2305, 2309. Siehe Kap. 4 für weitere Verbesserungsvorschläge. 372
A. Die datenschutzrechtliche Einwilligung
197
2. Kritik an der Widerruflichkeit der Einwilligung Darüber hinaus wird die zeitlich unbeschränkte Möglichkeit des Widerrufs kritisiert.380 Möchte man die Datenübertragung als Gegenleistung qualifizieren, stößt man hier nämlich auf ein massives Problem:381 Eine Erklärung, auf die sich der Vertragspartner niemals voll verlassen kann, weil jederzeit ein Widerruf droht, scheint nicht im Sinne der Vorhersehbarkeit und Sicherheit des Rechtsverkehrs.382 Zusätzlich kann ein stets drohender Widerruf auch dazu führen, dass erst recht von Anfang an so viele Daten wie möglich erhoben und verarbeitet werden, um im Falle des Widerrufs bereits die bis dato mögliche Verwirtschaftung der Daten ausgeschöpft zu haben. Ein solcher Effekt entspräche einem Negativ-Feedback der eigentlich im Sinne des Verbrauchers gedachten andauernden Widerrufsmöglichkeit. Ein zeitlich gebundenes Widerrufsrecht oder ein solches, das sich an Fristen hält wie eine Kündigung, ist indes weniger verbraucherfreundlich als ein unbegrenztes. Dieses Problem bleibt insofern der Schwierigkeit geschuldet, dass Datenschutz- und Datenschuldrecht sich in der Praxis auf eine unübersichtliche Weise vermengen.383
VI. Probleme bei der Einwilligung in Web-Tracking Websitebetreiber haben ein nachvollziehbares Interesse zu erfahren, von wem, wann, wie oft und auf welche Weise Ihre Website genutzt wird. Nur auf diese Weise lässt sich das Online-Angebot verbessern und wirtschaftlich komplett auswerten – schließlich kann nicht wie in einem Ladengeschäft die direkte Reaktivität der Kundschaft wahrgenommen werden. Um das Nutzerverhalten also umfassend nachvollziehen zu können, wird sich regelmäßig bestimmter Softwares bedient, die das Nutzerverhalten aufzeichnen und gegebenenfalls auch direkt auswerten. Bei solchen Softwares handelt es sich um sogenannte Tracking-Softwares. Tracking384 wird definiert als „Datenverarbeitungen zur – in der Regel 380 Vgl. Walker, Die Kosten kostenloser Dienste, S. 159; Schmidt-Kessel/Grimm, ZfPW 2017, 84, 92; dazu auch Kap. 2, B. IV. 3. c) cc). 381 Vgl. Kindl/Vendrell/Gsell/Vendrell/Schulze, Verträge über digitale Inhalte, S. 21, 27. 382 Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, S. 83, 91; Zech, GRUR 2015, 1151, 1155; Langhanke/Schmidt-Kessel, EuCML 2015, 218, 221; vgl. Spindler/Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 7 Rn. 12; Hofmann, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, S. 161, 173. 383 Siehe dazu Kap. 2, B. IV. 3. c) cc). 384 Siehe dazu auch die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, herausgegeben von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Stand: März 2019, abrufbar unter: https://www. datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf (Stand 01.05.2022), S. 6 f.
198
Kap. 3: Die datenschutzrechtliche Einwilligung
website-übergreifenden – Nachverfolgung des individuellen Verhaltens von Nutzern“.385 Frei übersetzbar mit „Spurenverfolgung“ bezeichnet es den Vorgang, bei dem die verhaltensgenerierten Nutzerdaten (z. B. welche Website wer/wann/ wie oft/wie lange usw. aufgerufen hat) entweder einer Statistik zugeführt werden, die mehrere Nutzer vereint, oder auch eine Statistik nur für den Einzelnutzer erstellt wird, die als dynamisches umfassendes Nutzerprofil dient, welches wiederum in eine Statistik eingespeist werden könnte.386 Einsatzzwecke sind insofern Marktforschung, Analysen über die Reichweite und den „Usertraffic“ auf Websites sowie das Ermöglichen personalisierter Werbeanzeigen.387 Übertragen auf das Ladengeschäft-Beispiel kann der virtuelle Ladeninhaber somit überprüfen, welche Verkaufsinseln besonders viele Kunden anziehen, welche Produkte angesehen, aber nicht gekauft werden, wie lange sich die Kunden im Geschäft (und an welcher Stelle im Geschäft) aufhalten, und: bei Zusammenführen verschiedener Trackinginformationen, welche Eckdaten hinsichtlich des individuellen Kunden vorliegen, sodass sich Aussagen treffen lassen über die Attraktivität des Angebots für bestimmte Zielgruppen (Alter, Geschlecht, Vermögen etc.).388 1. Einwilligung in Webtracking: Google Analytics und Co. Wohl bekanntestes Beispiel für eine Tracking-Software ist Google Analytics.389 Google vermarktet diese Software allerdings nicht nur als eigenständiges Produkt an Websitebetreiber, sondern nutzt regelmäßig gleichermaßen die für den Websitebetreiber gesammelten Daten, um selbst einen wirtschaftlichen Vorteil daraus zu ziehen.390 Dieser kann beispielsweise wiederum in personalisierten Werbeeinblendungen liegen. Es können somit von Google selbständig umfassende Nutzer385
Siehe dazu auch die Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, herausgegeben von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Stand: März 2019, abrufbar unter: https://www. datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf (Stand 01.05.2022), S. 6 f.; Wiebe/Helmschrot, Untersuchung der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) durch Online-Dienste, abrufbar unter: https://www.bmjv.de/Shared Docs/Downloads/DE/News/Artikel/112919_DSGVO_Studie.pdf;jsessionid=CA4DEDA 1C05F5158C820FD0563DB5D43.2_cid297?__blob=publicationFile&v=2 (Stand 01.05. 2022), S. 26. 386 Schleipfer, ZD 2017, 460, 461, ausführlich ders., ZD 2015, 399, 400; siehe auch Walker, Die Kosten kostenloser Dienste, S. 48 f. 387 Schleipfer, ZD 2017, 460, 461. 388 Ähnliches Beispiel und Argumentation bei Hoofnagle/Whittington, 61 UCLA L. Rev. 606 (2014), 606, 636. 389 Zur Situation vor der DS-GVO nach TMG und BDSG siehe Hoeren, ZD 2011, 3. 390 So auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Caspar, zitiert in Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar, 14.11.2019, abrufbar unter: https://datenschutz-hamburg.de/pressemitteilungen/2019/ 11/2019-11-14-google-analytics (Stand 01.05.2022); sowie auch das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), ZD-Aktuell 2019, 06868.
A. Die datenschutzrechtliche Einwilligung
199
profile erstellt werden – denn die bemerkenswert verbreitete Nutzung von Programmen wie Google-Analytics ermöglicht eine weit verzweigte Sammlung von Daten, die einer Person zugeordnet werden können.391 Insofern kann im Fall von Google Analytics schwerlich im Sinne von Art. 4 Nr. 8, 28 DS-GVO von einer Auftragsverarbeitung seitens Google gesprochen werden; der Auftragsverarbeiter darf Daten nämlich eben nicht zu eigenen Zwecken nutzen, sondern handelt im Auftrag des Verantwortlichen (des eigentlichen Diensteanbieters, mit dem der Nutzer virtuell in Kontakt tritt). Google ist somit an dieser Stelle wiederum selbst Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO und muss vom Betroffenen eigentlich eine entsprechende Einwilligung einholen.392 Diese Verpflichtung soll laut dem Bundesbeauftragen für Datenschutz und Informationssicherheit allerdings den Websitebetreiber als für die konkrete Situation Zuständigen treffen.393 Insofern solle dieser zu einer informierten Einwilligung verhelfen, die umfasst, dass die Daten auch von der dritten Partei (im Beispiel Google Analytics) verarbeitet werden.394 Schwierig erscheint freilich, dass Google damit trotz datenschutzrechtlicher Zuordnung als „Verantwortlicher“ von seiner „Verantwortung“ bezüglich seiner Informationspflichten insoweit frei würde. Mit dieser Einschätzung übereinstimmend hat das LG Rostock entschieden, dass Drittanbieter-Cookies, die die erhobenen personenbezogenen Daten auch für eigene Zwecke verarbeiten, eine gemeinsame Verantwortung des Drittanbieters gem. Art. 26 DS-GVO begründen, eine Auftragsverarbeitung nach Art. 28 DS-GVO also nicht anzunehmen ist.395 a) CMP Einwilligungen in Tracking werden regelmäßig mittels sogenannter Consent Management Platforms (CMP), also mittels eines Consent Tools,396 eingeholt. Dabei wird oft gleichzeitig in Cookies397 eingewilligt. Denn insbesondere bei Cookies und Tracking ist seit dem Planet-49-Urteil des EuGH vom 01.10.2019 für jegliche nicht technisch notwendige Cookies eine Einwilligung erforderlich.398
391
Vgl. Schröder, DatenschutzR, 4. Kap. Marketing und Werbung II. 3. a, b. Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI), ZD-Aktuell 2019, 06866. 393 Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI), ZD-Aktuell 2019, 06866. 394 Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI), ZD-Aktuell 2019, 06866. 395 LG Rostock, ZD 2021, 166. 396 Vgl. Schröder, DatenschutzR, 4. Kap. Marketing und Werbung II. 1. c, d. 397 Zur Funktionsweise von Cookies, siehe Kap. 3, A. II. 1. 398 Planet 49-Entscheidung des EuGH, Urteil vom 01.10.2019 – C-673/17 = GRUR 2019, 1198; bestätigend BGH, NJW 2020, 2540. 392
200
Kap. 3: Die datenschutzrechtliche Einwilligung
Bei dem Einwilligungs-Tool handelt es sich um ein (datenschutzkonformes) Pop-Up, das sämtliche erforderlichen Einwilligungen für den Website-/App-Betreiber kombiniert einholt.399 b) Praktisches Beispiel Ein willkürlich gewähltes Beispiel für das Ausmaß von Tracking heutzutage mag folgender Moment aus dem Alltag sein: Ein Nutzer ruft die Website ww.web.de auf, ein Anbieter für Nachrichten und E-Mail. Bei erstmaligem Aufruf der Seite erscheint ein Pop-Up, das eine differenzierte datenschutzrechtliche Einwilligung in verschiedene Tracking-Module erfordert:400 Ihre Privatsphäre ist uns wichtig! Wir und unsere Partner verarbeiten personenbezogene Daten wie beispielsweise Cookie-IDs, um den Inhalt von WEB.DE zu optimieren und an Ihre Interessen anzupassen und verwenden darüber hinaus gegebenenfalls Ihre genauen Standortdaten und fragen aktiv Ihre Geräteeigenschaften zur Identifikation ab. Dafür und für die unten aufgeführten Verarbeitungszwecke benötigen wir und unsere Partner fortan Ihre Zustimmung. Diese Verarbeitungszwecke können Sie jetzt ablehnen und unsere Partner hier einsehen und konfigurieren. Verarbeitungszwecke Informationen auf einem Gerät speichern und/oder abrufen Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen Weiterführende Informationen zum Datenschutz
Unter dem Text steht ein großes gelbes Feld mit der Aufschrift „Zustimmen und weiter“. Die meisten Nutzer werden dieses Feld schnell anklicken, um sich mit der gewünschten Website befassen zu können. Klickt der Nutzer indes auf eine (weniger auffällige)401 blaue Schrift mit dem Text „hier einsehen“ erscheint eine Liste mit sämtlichen Partnern. Diese Liste ist schätzungsweise über 500 (!) Zeilen lang. Die jeweiligen Datenverarbeitungsvorgänge können anhand dieser 399 Becker, CR 2021, 87, 88 zitiert „aus der Branche selbst“ die CMP-Definition von Shuptrine, Consent Management Platforms: The Definitive Guide for 2022, 05.05.2019, abrufbar unter: https://www.kevel.co/blog/consent-management-platforms (Stand 01.05. 2022): „a tool that enables a website or app to be GDPR-compliant. It does this by prompting users for consent, collecting and managing that information, and passing the data to downstream ad partners“. Siehe auch Nouwens/Liccardi/Veale/Karger/Kagal, Dark Patterns after the GDPR: ScrapingConsent Pop-ups and Demonstrating their Influence, 2020, arXiv:2001.02479, abrufbar unter: https://arxiv.org/abs/2001.02479 (Stand 01.05.2022). 400 Stand 01.01.2022. 401 Zum Thema „nudging“ siehe Kap. 4, B. III.
A. Die datenschutzrechtliche Einwilligung
201
Liste eingesehen und individuell abgewählt werden. Mehrheitlich dienen diese Partner dazu, personalisierte Werbeanzeigen zu vermarkten.402 Hier wird die Kritik einer „Einwilligungsfiktion“403 deutlich: Wo soll tatsächlich die Informiertheit liegen, bei über 500 verschiedenen Partnern? Es drängt sich die Frage auf, ob Privatautonomie und Datenüberlassung bzw. Verbraucherschutz und Persönlichkeitsschutz hier nicht einer neuen Konkordanz unterzogen werden müssen.404 2. Anonymisiertes Tracking Die datenschutzrechtliche Einordnung des Web-Trackings ist freilich komplex. Denn zum Teil geschieht das Webtracking sogar in vollständig anonymisierter Weise.405 Anonymisierte Datenverarbeitungen sind datenschutzrechtlich weniger erheblich und werden weitgehend als ungefährlich eingestuft.406 Schließlich ist die individuelle Verletzung von Persönlichkeitsrechten mangels Zuordenbarkeit hier kaum noch datenschutzrechtlich relevant. Gesamtgesellschaftlich ist die Konzentration von Wissen über den Verbraucher/den potenziellen Kunden, die bestimmte Großkonzerne (vgl. „GAFA“407) ansammeln, jedoch nicht irrelevant. Die in wenigen Unternehmen konzentrierte Ermöglichung umfassender, fast weltweiter Marktanalysen können schließlich auch bei anonymisierten Daten zu einem bedenklichen Zustand führen, zum Beispiel kartellrechtlich, 408 da große Datenkonzentrationen an wenigen Stellen zu einer Wettbewerbsverzerrung führen können, und sogar politisch (man denke an den Cambridge Analytica Skandal409). Zwar nicht bezugnehmend auf anonymisierte Daten, aber dennoch bestätigend hinsichtlich kartellrechtlicher Bedenken liest sich das Urteil des BGH vom 23.06.
402
Siehe dazu Kap. 1, C. III. Härting, AnwBl 2012, 716, 720; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 10 f.; auch Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 1. Aufl. 2019, DS-GVO Art. 6 Abs. 1 Rn. 4 m.w. N., Art. 7 Rn. 2; Schantz, NJW 2016, 1841, 1844; siehe dazu Kap. 3, A.V. 1. 404 Dazu gerade im Entstehen: Die Dissertation von Leonid Guggenberger. 405 Hanloser, ZD 2019, 287. 406 Hanloser, ZD 2019, 287; zu den Anforderungen an eine Anonymisierung Hofmann/Johannes, ZD 2017, 221, 223 f.; Geminn/Roßnagel, ZD 2021, 487, 489. 407 Vgl. Polley/Kaup, NZKart 2020, 113, 116; Grünwald, MMR 2020, 822, 823. 408 Vgl. zur ggf. erwünschten Vermengung von Kartellrecht und Datenschutzrecht Podszun/de Toma, NJW 2016, 2987, 2992 ff. 409 Übersicht dazu zu sämtlichen relevanten Pressemitteilungen der britischen Zeitung „The Guardian“, abrufbar unter: https://www.theguardian.com/news/series/cam bridge-analytica-files (Stand 01.05.2022), siehe ebenso Confessore, Cambridge Analytica and Facebook: The Scandal and the Fallout So Far, 04.04.2018, https://www.ny times.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html (Stand 01.05. 2022). 403
202
Kap. 3: Die datenschutzrechtliche Einwilligung
2020, in dem eine Verfügung des Bundeskartellamts410 bestätigt wurde, die Facebook gerade hinsichtlich der Tracking-Methoden, die über die eigentliche Website des Dienstes hinausgehen, in seine Schranken gewiesen hat.411 Facebook hatte hier seine marktbeherrschende Stellung missbräuchlich ausgenutzt im Sinne des Art. 102 AEUV und musste die Nutzer fortan auf diese Form des Trackings aufmerksam machen, d. h. auch erweiterte Einwilligungen für diese Form des plattformübergreifenden Datensammelns einholen, deren ausdrückliche Abbedingung seitens des Nutzers für die Benutzung des Dienstes unerheblich bleiben soll.412 Kommt man zurück auf das Ladengeschäft-Beispiel, so wüsste der Ladeninhaber in diesem Falle nämlich ansonsten auch, wie sich die jeweiligen Kunden in anderen Geschäften verhalten. Das gesammelte Wissen geht damit weit über das für gewöhnlich unmittelbar Erwartbare hinaus. 3. Pseudonymisierung als Datenschutz: Abweichungen vom TMG Die bis zur DS-GVO in Deutschland entscheidende Kernregelung aus dem Telemediengesetz war ehemals § 15 Abs. 3 S. 1 a. F.: „Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“ Da eine Pseudonymisierung allerdings den Rückschluss auf die Person grundsätzlich weiterhin ermöglicht, wurde § 15 Abs. 3 TMG a. F. bereits vor dessen Aufhebung kritisch beurteilt, da dort ein bloßes Widersprechen des Nutzers (Opt-Out) für pseudonymisierte Verarbeitungen noch ausreichend war, nach DS-GVO in diesem Falle bereits eine aktive Zustimmung (Opt-In) zur Datenverarbeitung erforderlich wäre.413 Auch abgesehen von diesem Einzelfall war die Anwendbarkeit des TMG nach Inkrafttreten der DS-GVO umstritten und wurde vermehrt abgelehnt.414 Jedenfalls abweichende 410 Beschluss des BKartA: B6-22/16, Entscheidung vom 06.02.2019, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Miss brauchsaufsicht/2019/B6-22-16.pdf (Stand 01.05.2022); siehe dazu mehr unter Kap. 4, G. II. 411 BGH, Urteil vom 23.06.2020 – KVR 69/19. Facebook hatte am OLG Düsseldorf die aufschiebende Wirkung dieser Verfügung erwirkt, § 65 Abs. 3 GWB. Dies hat der BGH in seinem Urteil wieder aufgehoben und sich der ursprünglichen Begründung des Bundeskartellamts angeschlossen; siehe dazu auch Lindenberg, WRP 2021, 302, 304. 412 BGH, Urteil vom 23.06.2020 – KVR 69/19; zudem ist aktuell ein Vorabentscheidungsverfahren beim EuGH zum Verhältnis von DS-GVO und nationalem Kartellrecht anhängig (EuGH Az. C-252/21). Siehe dazu genauer Kap. 4, G. II. 413 EuGH Urteil vom 01.10.2019 – C-673/17 = GRUR 2019, 1198. 414 Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, herausgegeben von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Stand: März 2019, abrufbar unter: https://www.datenschutzkonferenzonline.de/media/oh/20190405_oh_tmg.pdf (Stand 01.05.2022); Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 74 f.; vgl. auch Hacker, ZfPW 2019, 148, 190; siehe bereits Keppeler, MMR 2015, 779; differenzierend BeckOK Daten-
A. Die datenschutzrechtliche Einwilligung
203
Regelungen hatten mangels entsprechender Öffnungsklausel keine praktische Relevanz seit Inkrafttreten der DS-GVO.415 Zum 01.12.2021 wurden die bis dato in Deutschland datenschutzrechtlich relevanten §§ 11 ff. TMG a. F. schließlich aufgehoben. Die Relevanz des TMG erstreckt sich damit nur noch auf Altfälle. So hatte der BGH Anfang 2022 das Urteil des OLG München betreffs der Klarnamenpflicht auf Facebook mit Verweis auf § 13 Abs. 6 S. 1 TMG a. F. aufgehoben. Das OLG München hatte zuvor entschieden, dass keine pseudonymisierte Nutzung des Netzwerks ermöglicht werden muss, sondern dieses Angebot optional bleibt – damit war eine Klarnamenpflicht zunächst im Zweifel bejaht worden.416 Schließlich sei dem Verantwortlichen nach Art. 25 Abs. 1 und Art. 32 Abs. 1 DS-GVO zwar die Möglichkeit eines Pseudonymisierungsangebots an den Betroffenen ausdrücklich eröffnet, dieses liege jedoch im Ermessen des Anbieters. Es ließe sich kein Betroffenenrecht auf Pseudonymisierung daraus ableiten.417 Der BGH hatte dieses Urteil aufgehoben, da die Klarnamenpflicht als Teil der Nutzungsbedingungen gegen § 13 Abs. 6 S. 1 TMG a. F. verstieß. Die Bedeutung dieses Urteils bleibt damit – aus datenschutzrechtlicher Perspektive bedauerlich – im Wesentlichen auf Altfälle beschränkt.418 4. Die ePrivacy-Verordnung419 Der Ratsentwurf vom 10.02.2021420 für die ePrivacy-Verordnung wurde vom BfDI421 vielfältig kritisiert: Letztlich könne es unter Anderem nicht datenschutzkonform sein, wenn ein niedrigschwelliger Erlaubnistatbestand ermögliche, dass personenbezogene Daten ohne Einwilligung der Betroffenen weiterverarbeitet werden können.422 schutzR/Stemmer, 37. Ed. 01.05.2021, DS-GVO Art. 7 Rn. 20; a. A. Wilfling, DSRITB 2019, 301, 303; a. A. auch Böhm/Halim, MMR 2020, 651, 654, die eine Anwendung mit Verweis auf BGH, NJW 2020, 2540 (Cookie-Einwilligung II) grundsätzlich bejahen, da § 15 Abs. 3 S. 1 TMG a. F. als richtlinienkonforme Umsetzung des Art. 5 Abs. 3 ePrivacy-RL zu begreifen sei – dies bezieht sich aber nicht zwingend auch auf die hier im Text behandelte etwaige Pseudonymisierung, sondern vielmehr auf die generellen Einwilligungserfordernisse, die sich aus § 15 Abs. 3 S. 1 TMG a. F. ergeben, sodass die Anwendbarkeit bzgl. der Pseudonymisierung nicht unbedingt umfasst ist. 415 Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 74 f.; Keppeler, MMR 2015, 779. 416 OLG München, MMR 2021, 245. 417 OLG München, MMR 2021, 245, 247. 418 Siehe dazu Kap. 2, B. IV. 3. c) dd) (3) sowie Kap. 2, B. VII. 2. b). 419 Dazu Kap. 2, A. III. 420 Abrufbar unter https://data.consilium.europa.eu/doc/document/ST-6087-2021-IN IT/en/pdf (Stand 01.05.2022). 421 Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. 422 Stellungnahme des BfDI vom 10.02.2021, abrufbar unter: https://www.bfdi.bund. de/SharedDocs/Pressemitteilungen/DE/2021/03_Ratsposition-ePrivacy-VO.html (Stand 01.05.2022).
204
Kap. 3: Die datenschutzrechtliche Einwilligung
Der betroffene Erlaubnistatbestand zur Datenverarbeitung ergibt sich im Entwurf vom 10.02.2021 der e-Privacy-Verordnung423 aus der Auflistung in Art. 8 Nr. 1 e-Privacy-VO-E und verlangt, dass die Datenverarbeitung zur notwendigen („necessary“) Nutzung dienen muss oder dadurch die Sicherheit der Dienste oder Endgeräte des Nutzers gewährleistet oder wiederhergestellt wird oder technischen Störungen vorgebeugt werden kann. Diese aufzählende Formulierung wird als „unscharf“ kritisiert.424 Insbesondere sind wohl die noch ungeklärten Folgefragen, welche Maßnahmen genau diesen Vorgaben entsprechen, wie das Tatbestandsmerkmal „notwendig“ zu charakterisieren ist und ab welchem gewünschten Sicherheitsstandard über die formulierten Ziele hinausgegangen wird.425 Denn eine ausufernde Anwendung dieses Erlaubnistatbestands kann nicht im Sinne der von der DS-GVO konstitutierten Datenschutzregeln für den Betroffenen sein. 5. Einwilligung oder berechtigtes Interesse Doch auch die DS-GVO bietet Möglichkeiten, eine Einwilligung entbehrlich werden zu lassen. Beispielsweise kann die Einwilligung in Tracking/Cookies426 entbehrlich sein, wenn nach Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO ein berechtigtes Interesse des Verantwortlichen an der Verarbeitung zu bejahen ist.427 Diese Vorschrift gilt nicht für das Über-/Unterordnungsverhältnis zwischen Bürger und Staat, sondern lediglich unter gleichgeordneten Privaten, Art. 6 Abs. 1 UAbs. 2 DS-GVO.428 Grundsätzlich wäre aufgrund der vagen Formulierung ein solches berechtigtes Interesse des Verantwortlichen oder eines Dritten wohl häufig ohne größere Schwierigkeiten begründbar.429 Voraussetzung für das Attribut „berechtigt“ ist indes vor allem die rechtliche Zulässigkeit des Interesses; darüber hinaus
423 Abrufbar unter https://data.consilium.europa.eu/doc/document/ST-6087-2021INIT/en/pdf (Stand 01.05.2022). 424 Schumacher/Sydow/von Schönfeld, MMR 2021, 603, 607. 425 Schumacher/Sydow/von Schönfeld, MMR 2021, 603, 607. 426 Zu den Anforderungen an die Einwilligung bei Cookie-Setzungen hat das Urteil des EuGH klargestellt, dass auch hier eine aktive Handlung (entsprechend eines Opt-inVerfahrens) seitens des Nutzers erfolgen muss: EuGH Urteil vom 01.10.2019 – C-673/ 17 (Planet-49) = GRUR 2019, 1198; dies ergibt sich inzwischen auch aus § 25 TTDSG. 427 Z. B. hinsichtlich Direktwerbung denkbar, Becker, CR 2021, 87, 98, wobei auch hier eher eine Einwilligung wünschenswert bleibt. 428 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 26. 429 Vgl. Erwägungsgrund 47 DS-GVO; siehe auch Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 28; Veil, NJW 2018, 3337, 3338; Artikel-29-Datenschutzgruppe 844/14/EN WP 217 Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG Angenommen am 9. April 2014, 32, abrufbar unter: https://www.datenschutzstelle.li/appli cation/files/2915/5914/1746/WP217_Opinion62014LegitimateInterest.pdf (Stand 01.05. 2022); vgl. Schweitzer, GRUR 2019, 569, 573.
A. Die datenschutzrechtliche Einwilligung
205
muss das Interesse klar formuliert und gegenwärtig sein.430 Liegen diese Voraussetzungen vor, muss geprüft werden, ob die geforderte Abwägung mit den „Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person“ ergibt, dass das berechtigte Interesse überwiegt und der Eingriff dadurch gerechtfertigt ist.431 Wann dies zutrifft, wird einzelfallbezogen entschieden.432 Die Vorschrift wird daher auch als „zentrale Interessenabwägungsnorm“ der DS-GVO bezeichnet.433 Die in Frage kommenden Interessen des Verantwortlichen berühren dabei – ebenso wie das Interesse des Betroffenen hinsichtlich des allgemeinen Persönlichkeitsrechts bzw. des Rechts auf informationelle Selbstbestimmung – grundrechtliche Positionen wie die Meinungs- und Informationsfreiheit (Art. 11 Abs. 1 GRCh), die Medienfreiheit (Art. 11 Abs. 2 GRCh), die Freiheit von Kunst und Wissenschaft (Art. 13 GRCh) und in den hier betrachteten Fällen vor allem die unternehmerische Freiheit (Art. 16 GRCh).434 Trotz der weiten Auslegung möglicher berechtigter Interessen wird der Tatbestand des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO jedoch regelmäßig nicht erfüllt sein, sondern stellt eher eine Ausnahmevorschrift dar, die vor allem im Falle des Versagens der möglichen Erlaubnistatbestände aus lit. a bis e genau zu prüfen ist. Als Ausnahmevorschrift handelt es sich also gerade nicht um einen regelmäßig erfüllten Auffangtatbestand.435 Würde man letzteres annehmen, liefen Grundprinzipien des Datenschutzrechts und der DS-GVO wie das Prinzip der Datensparsamkeit, das Kopplungsverbot und auch die an die Einwilligung gebundenen Rechte des Betroffenen (Widerruf, Löschung) ins Leere.436 Zwar wird dem Betroffenen ein Widerspruchsrecht gewährt, Art. 21 DS-GVO. Dieses ist jedoch nur mit dem Widerrufsrecht vergleichbar, sofern die erhobenen Daten für Direktwerbung verwendet werden, Art. 21 Abs. 2, 3 DS-GVO. Hinsichtlich der Direktwerbung ist allerdings zu beachten, dass diese laut Erwägungsgrund 47 S. 7 der DS-GVO auch ausdrücklich einen Anwendungsbereich des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO darstellen soll. Dieser Anwendungsbereich wird jedoch durch Er430 Artikel-29-Datenschutzgruppe 844/14/EN WP 217 Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, angenommen am 9. April 2014, 32, abrufbar unter: https://www.datenschutzstelle.li/application/files/2915/5914/1746/WP217_Opinion620 14LegitimateInterest.pdf (Stand 01.05.2022). 431 Ebd. 432 Ebd. S. 33. 433 BeckOK DatenschutzR/Albers/Veit, 39. Ed. 01.11.2021, Art. 6 Rn. 63; Spindler/ Schuster/Spindler/Dalby, Das Recht der elektronischen Medien, 4. Aufl. 2019, DS-GVO Art. 6 Rn. 13; Albrecht, CR 2016, 88, 92. 434 Veil, NJW 2018, 3337, 3342. 435 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 26 m.w. N.; siehe allgemein zur entsprechenden Anwendung von Ausnahmevorschriften Effer-Uhe, Singularia non sunt extendenda, in: FS Prütting, S. 15. 436 Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 27 f.; Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747.
206
Kap. 3: Die datenschutzrechtliche Einwilligung
wägungsgrund 47 S. 1 selbst begrenzt: „[. . .] dabei sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen“. Insofern zählt Direktwerbung nur dann als berechtigtes Interesse, wenn der Nutzer diese erwarten durfte. Daran anknüpfend ist der Begriff der Direktwerbung konventionell als Werbung im Rahmen bestehender Kundenbeziehungen (Newsletter, Kataloge usw.) zu verstehen;437 diese Art von Werbung ist denklogisch auch weniger invasiv als Werbung im Sinne eines „targeted advertising“438, bei der erstmaliger Kundenkontakt hergestellt wird. In allen anderen Fällen, die sich nicht auf Direktwerbung beziehen, muss zum einen ein Grund für den Widerspruch nach Art. 21 DS-GVO vorliegen (Art. 21 Abs. 1 DS-GVO) und zum anderen besteht immer noch die Möglichkeit, dass schwerer wiegende Interessen des Verantwortlichen den Widerspruch blockieren, Art. 21 Abs. 4 DS-GVO.439 Datenschutzrechtlich wird der Betroffene ergo weniger geschützt als durch den jederzeit ohne Angabe von Gründen möglichen Widerruf nach Art. 7 Abs. 3 DS-GVO. Dieser Zusammenhang muss bei Anwendung von Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO berücksichtigt werden und zu einer restriktiven Anwendung führen – andernfalls würden datenschutzrechtliche Grundsätze unterlaufen.440 Die bloße Weiterverwendung von bereits erlangten Daten mit dem Zwecke, diese weiter für eigene (Werbe-)Interessen zu vermarkten, kann daher für die Abwägung zugunsten des berechtigten Interesses nicht ausreichend sein; rein wirtschaftliche Zwecke erfordern auch hier eine Einwilligung nach lit. a.441 Dies ist freilich weniger im Interesse des Verantwortlichen, für den es günstiger wäre, eine fehlende Einwilligung mit dem berechtigten Interesse ersetzen zu können.442 Die Einwilligung wird daher in den hier betrachteten Fällen weiterhin notwendig bleiben, da die Anbieter digitaler Dienste die erhobenen Daten regelmäßig nicht allein zur Durchführung des angebotenen Dienstes verwenden, sondern darüber hinaus in verschiedenartige Analyseprozesse mit dem Ziel der Wertschöpfung einspeisen.443
437 Pertot/Riehm, Rechte an Daten, S. 175, 186; vgl. auch Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3746. 438 Pertot/Riehm, Rechte an Daten, S. 175, 177; vgl. Podszun/Kersting, NJOZ 2019, 321; siehe dazu unter Kap. 1, C. III. 439 Veil, NJW 2018, 3337, 3342. 440 Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747. 441 Pertot/Riehm, Rechte an Daten, S. 175, 186; Paal/Pauly/Frenzel, 3. Aufl. 2021, DS-GVO Art. 6 Rn. 28; Wendehorst/Graf v. Westphalen, NJW 2016, 3745, 3747. 442 Veil, NJW 2018, 3337, 3343 f. 443 Vgl. Pertot/Riehm, Rechte an Daten, S. 175, 186.
B. Fazit zur datenschutzrechtlichen Einwilligung
207
B. Fazit zur datenschutzrechtlichen Einwilligung Die datenschutzrechtliche Einwilligung ist in der Theorie ein treffliches Instrument, den Einzelnen seine Dispositionsbefugnisse über seine personenbezogenen Daten ausüben zu lassen. In der Praxis stellt sich das Problem, dass der Betroffene regelmäßig nicht die eigentlich nötige Kenntnis von den Datenverarbeitungsprozessen hat, um hinreichend informiert einwilligen zu können; die Einwilligung ist für den Betroffenen vielmehr ein lästiger, aber notwendiger Schritt, um schnell den aufgerufenen Online-Dienst nutzen zu können. Ein datenschutzrechtliches Bewusstsein steht auf Seiten des Betroffenen nicht im Vordergrund. Kritiker, die von Einwilligungs- oder „Legitimitätsfiktionen“444 sprechen, treffen hier ins Schwarze: Denn eine Einwilligung, die ohne klares Bewusstsein, geschweige denn Verständnis über Inhalt und Konsequenzen der Einwilligung getätigt wird, erfüllt nicht ihren ursprünglichen Zweck der ausgeübten informationellen Selbstbestimmung. Die zivilrechtliche Faktizität von Daten als Gegenleistung steht somit im Widerspruch zu ihrer datenschutzrechtlichen Fragwürdigkeit.445
444 Härting, AnwBl 2012, 716, 720; Kühling/Buchner/Buchner/Kühling, 3. Aufl. 2020, DS-GVO Art. 7 Rn. 10 f.; auch Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 1. Aufl. 2019, DS-GVO Art. 6 Abs. 1 Rn. 4 m.w. N., Art. 7 Rn. 2; Schantz, NJW 2016, 1841, 1844; Moerel/Prins, Privacy for the homo digitalis, abrufbar unter: https:// goo.gl/cZEuZD (Stand 01.05.2022) sprechen bereits vor DS-GVO-Zeiten von einem „mechanischem Prozeduralismus“ (mechanical proceduralism); dem zustimmend Veil, NVwZ 2018, 686, 688. 445 Dix, ZEuP 2017, 1, 4.
Kapitel 4
Vorschläge für mehr Transparenz Anknüpfend an diese Ergebnisse ist es wenig verwunderlich, wenn ein „erhebliches Vollzugsdefizit“ beim Datenschutzrecht moniert wird.1 Inwieweit dieses Defizit durch zivilrechtliche Vorschriften ausgeglichen werden kann, darf hinterfragt werden.2 Zivilrechtliche Vorkehrungen für den Fall zu treffen, dass zwei Vertragsparteien nicht auf Augenhöhe stehen, mag teilweise gelingen, z. B. im Arbeitsrecht oder im Verbraucherschutzrecht.3 Hinsichtlich des Datenschutzrechts stellen sich allerdings spezifische Herausforderungen: Diese liegen vor allem im digitalen, technischen Bereich. Das Missverhältnis zwischen den Parteien in wirtschaftlicher Stellung und technischem Wissen ist hier regelmäßig besonders stark; dies fällt vor allem in Kombination mit der Brisanz, dass mit persönlichen Daten umgegangen wird, ins Gewicht.4 Verbraucher fahren mit ihren Daten auf Sichtweite. Selbst ein besonders besonnener Durchschnittsbürger, der sich die Mühe macht, die langen Datenschutzerklärungen und Nutzungsbedingungen zu lesen und zu verstehen, stößt spätestens jenseits des inneren Bereichs eines geschlossenen Vertragsverhältnisses an seine Grenzen. Was genau macht Google denn nun mit meinen Daten? Die Freiwilligkeit darf mangels Informiertheit infrage gestellt werden. Trotz dieser Verwässerung eigentlich erforderlicher Transparenzen werden die Daten faktisch als Gegenleistung gehandhabt. Im Sinne des Verbraucher- und Datenschutzes erscheint es daher notwendig, die Datenerhebungen für den Nutzer transparenter und anwenderfreundlicher auszugestalten. Sicher kann sich ein durchschnittlicher Nutzer wohl zeitaufwendig einlesen in die komplexen Datenschutzerklärungen und die verschiedenen Nutzungsmöglichkeiten, die dem Verantwortlichen mit den gewonnenen Daten bei regelmäßig entsprechend breit gefächerter Einwilligung zur Wahl stehen. Doch der Appell an die Eigenverantwortlichkeit und Privatautonomie des Nutzers kann nicht richtungsweisend für ein verbraucherfreundliches Datenschutz- und Datenschuldrecht sein. Dies beruht auch darauf, dass der Nutzer nicht alle Folgen seiner Datenbereitstellung überhaupt absehen kann:5 Dazu gehören beispielsweise auch die Ein1
Dix, ZEuP 2017, 1, 4. Dix, ZEuP 2017, 1, 4. 3 Kritisch Dix, ZEuP 2017, 1, 4. 4 Vgl. Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 1. Aufl. 2019, DS-GVO Art. 6 Abs. 1 Rn. 7. 5 Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 1. Aufl. 2019, DS-GVO Art. 6 Abs. 1 Rn. 7. 2
A. Gegen Gegenargumente
209
flüsse, die seine Dateneinspeisung mittels Big-Data-Analyse auch auf die Beurteilung Dritter haben kann, die selbst keine Daten preisgegeben haben.6 Zur Vereinfachung – oder eher zur Ermöglichung – des datenschutzrechtlich eigentlich intendierten Erkenntnisprozesses des Nutzers sind insofern verschiedene Modelle denkbar, die entweder den Nutzer selbst ins Zentrum des Handels rücken (z. B. Gamification7) oder eben dem Nutzer durch klar verständliche und unabhängige Vorgaben verdeutlichen, welche Art von „Datenvertrag“ er im Begriff ist abzuschließen.8 Interessant sind außerdem Überlegungen, inwieweit ein dem Eigentum ähnliches Ausschließlichkeitsrecht an den selbst generierten Daten wünschenswert und verbraucherfreundlich ausgestaltet sein könnte. Schließlich stellt sich unvermeidlich die Frage, ob nicht ein Teil der Verantwortung des Einzelnen abgegeben werden müsste, um öffentliche Stellen mit der datenschutzund verbraucherfreundlichen Festlegung von verbindlichen Datenpreisen zu beauftragen. Im Folgenden werden ein paar dieser Modelle vorgestellt und ihre Validität und Anwenderfreundlichkeit geprüft.
A. Gegen Gegenargumente Erwidert werden darf wohl, dass das Datenschutzrecht nicht der einzige Bereich ist, in dem eine große Informationsasymmetrie zwischen Verbraucher und Unternehmer liegt. Der Durchschnittsverbraucher könnte wohl auch die genaue Funktionsweise seines Kühlschranks, Fernsehers oder Smartphones nicht genau, möglicherweise nicht einmal basal, erklären. Warum sollte dies unproblematisch sein, aber der Umgang mit dem Datum als „undurchschauter“ Vertragsgegenstand zum Problem werden? Die Antwort darauf liegt darin, dass weder die reine Funktionsweise des Kühlschranks noch des Smartphones den Verbraucher „gläsern“ erscheinen lassen, d. h. eine Beobachtung und marktwirtschaftliche Auswertung seines privaten Verhaltens ermöglichen.9 Diese erfolgt erst mittels der personenbezogenen Daten, die beispielsweise in Verbindung mit der Anschaffung eines Smartphones gesammelt werden, über vorinstallierte Apps oder das Betriebssystem selbst, das verhaltensgenerierte Daten an den Hersteller weiterleitet. Der Skandal um „Cam6 Zu dieser Tendenz Fairfield/Engel, 65 Duke Law Journal (2015), 385 ff.; Simitis/ Hornung/Spiecker gen. Döhmann/Schantz, 1. Aufl. 2019, DS-GVO Art. 6 Abs. 1 Rn. 7. 7 Dazu Kap. 4, D. 8 Zu diesem Missstand Gerpott, CR 2020, 650. 9 Abgesehen von der rein technischen Funktionsweise der Geräte sind deren Funktionsmöglichkeiten wiederum ggf. datenschutzrechtlich brisant: Denn Smart-TVs, Smartphones etc. gewinnen ihre „Smartheit“ u. a. auch aus der Analyse personenbezogener Nutzerdaten.
210
Kap. 4: Vorschläge für mehr Transparenz
bridge Analytica“10 hat gezeigt, dass der Vergleich mit anderen Systemen, die von Verbrauchern genutzt werden, nicht haltbar sein kann.
B. Besondere Anforderungen an Datenschutzerklärungen Nicht nur die regelmäßige Vermutung, sondern auch zahlreiche empirische Untersuchungen legen nahe, dass Verbraucher die Datenschutzerklärungen im Internet meist „wegklicken“, ohne von deren Inhalt Kenntnis zu nehmen.11 Wie diesem Problem praktisch begegnet werden könnte, ist Gegenstand des folgenden Abschnittes.
I. Datenschutzerklärungen als One-Pager Man könnte vorgeschlagen, die Datenschutzerklärungen auf eine Seite (sog. One-Pager) zu verkürzen, um in leicht verständlicher Sprache die wichtigsten Kernpunkte unterzubringen. Dies mag zwar auf den ersten Blick eine verbesserte Verständlichkeit begünstigen, führt aber nach der Auswertung zahlreicher Studien nicht zu einer höheren Wahrscheinlichkeit, dass der Nutzer sich mit der Datenschutzerklärung wirklich vertraut macht.12 Zudem wird vermutet, dass kurze Datenschutzerklärungen – sofern der Nutzer sie tatsächlich öffnet – wiederum Misstrauen begünstigen könnten: Der Nutzer könnte fürchten, nicht richtig informiert zu werden und das Angebot als weniger seriös beurteilen.13 Entscheidend ist aber nicht allein die Kenntnisnahme und Einsicht hinsichtlich der Datenerhebung, sondern vor allem die Kenntnisnahme der Konsequenzen ihrer Verarbeitung. Damit, dass personenbezogene Daten erhoben und gesammelt werden, ist der Nutzer schließlich regelmäßig einverstanden, sofern ihm als Gegenleistung der gewünschte Produktzugang ermöglicht wird. Die konkrete Verwendung der Daten, d. h.: Was genau passiert mit den Daten im Rahmen der Verarbeitung, wie lange dauert die Speicherung an, wer hat darauf wie lange Zugriff, 10 Übersicht zu sämtlichen relevanten Pressemitteilungen der britischen Zeitung „The Guardian“, abrufbar unter: https://www.theguardian.com/news/series/cambridgeanalytica-files (Stand 01.05.2022), siehe ebenso Confessore, Cambridge Analytica and Facebook: The Scandal and the Fallout So Far, 04.04.2018, https://www.nytimes.com/ 2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html. (Stand 01.05.2022). 11 Dazu Gerpott, CR 2020, 650; ders., MMR 2020, 739; Geminn/Francis/Herder, ZD-Aktuell 2021, 05335; Kettner/Thorun/Vetter, Verhaltenswissenschaftliche Ergebnisse zur Wirksamkeit des OnePager-Ansatzes und weiterer Lösungsansätze im Datenschutz, 2018, abrufbar unter: https://www.conpolicy.de/data/user_upload/Studien/Be richt_ConPolicy_2018_02_Wege_zur_besseren_Informiertheit.pdf (Stand 01.05.2022); Deloitte, Global Mobile Consumer Survey, abrufbar unter: https://www2.deloitte.com/ content/dam/Deloitte/de/Documents/technology-media-telecommunications/Global_Mo bile_Consumer_Survey_0119_Deloitte_Deutschland.pdf (Stand 01.05.2022), S. 36. 12 Tabellarische Auswertung zahlreicher Studien bei Gerpott, CR 2020, 650, 654 ff. 13 Gerpott, CR 2020, 650, 653.
B. Besondere Anforderungen an Datenschutzerklärungen
211
welche Daten werden weitergegeben oder mit anderen Daten vernetzt, welche Missbrauchsmöglichkeiten und abstrakten Gefahren sind allgemein mit einer solchen Datenverarbeitung verbunden – all diese Fragen kann der Nutzer wohl nicht beantworten, auch wenn er die Datenerhebung grundsätzlich zunächst in Ordnung findet. Inwieweit daher das Verständnis darüber, dass die Daten erhoben werden dürfen, bis ins letzte Detail einer komplexen Verarbeitungskette reicht, und inwieweit dies doch eigentlich für eine wirklich informierte Einwilligung erforderlich erscheint, bleibt bis dato häufig unbeachtet – auch bei dem Vorschlag eines One-Pagers.
II. Voreingestellte Browsereinstellungen Zu überlegen wären auch grundsätzliche Browsereinstellungen, sodass der Browser in Kommunikation mit den Websites die Cookie- und Consent-Einstellungen weitergibt, ohne dass der Nutzer weiterhin bei jedem neuen Website-Aufruf eine Einwilligung geben muss.14 Der Nutzer könnte diese Browsereinstellung für sich selbst jederzeit anpassen und somit eine generelle Grenze für seine Einwilligungen geben. Dagegen spricht indes das Tatbestandsmerkmal „für den konkreten Fall“, das zur Wirksamkeit einer Einwilligung unabdingbar ist. Schließlich müsste hier eine Voreinstellung abstrakt getroffen werden, die spätere Einwilligungen automatisch begründet – nahezu eine Art „Blanko-Einwilligung“.15 Dies könnte nicht mit den Erläuterungen aus Erwägungsgrund 43 DS-GVO vereint werden – und trägt darüber hinaus nicht zu erhöhtem Situationsverständnis bei: Die Einwilligung würde durch einen solchen Vorgang aus Nutzersicht wohl noch mehr marginalisiert.
III. Für Cookie-Banner/CMP Handelt es sich „nur“ um ein Cookie-Banner/CMP, das bei Aufrufen einer Website erscheint, so sollte hier bereits auf der ersten Ebene eine Wahlmöglichkeit hinsichtlich der Erhebungs- und Verarbeitungsintensität klickbar sein.16 Damit kann innerhalb der ersten Ansicht des Pop-Up-Fensters mit nur einem Klick eine bessere Datensparsamkeit ermöglicht werden und der Nutzer sich unkompliziert für eine weniger intensive Datenweitergabe entscheiden. Beispielhaft sind die regelmäßig anzutreffenden Bezeichnungen „essentielle“ oder „notwendige“ Cookies für die datensparsamste Variante, „optionale“ Cookies für eine mittlere Variante und „alle“ Cookies für die datenintensivste Lösung. Vermieden werden sollte 14 Siehe dazu Nouwens/Liccardi/Veale/Karger/Kagal, Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, 2020, arXiv:2001.02479, abrufbar unter: https://arxiv.org/abs/2001.02479 (Stand 01.05.2022), S. 10. 15 Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 78. 16 Baumgartner/Hansch, ZD 2020, 435, 437.
212
Kap. 4: Vorschläge für mehr Transparenz
eine besondere farbliche Hervorhebung des Feldes „Alle akzeptieren“ oder ein Opt-Out bei der datenintensivsten Lösung, das nur noch durch ein zusätzliches „Zustimmen und Schließen“-Opt-in ergänzt wird. Es sollte drei optisch gleichwerte Klick-Optionen geben, die direkt zum gewünschten Ergebnis führen. Im Einzelnen: 1. Dark Patterns Studien haben gezeigt, dass farbliche Unterschiede und sog. „Dark Patterns“ den Nutzer stark beeinflussen; dies entspricht auch ihrem Zweck, den Nutzer in die gewünschte Richtung zu lotsen (sog. „Nudging“).17 Bei solch suggestiven Methoden ist die Freiwilligkeit psychologisch mehr als hinterfragbar, da möglicherweise allein ohne die optische Suggestion bereits anders entschieden worden wäre.18 Etwas polemisch könnte man anführen, dass, wenn überhaupt ein Nudging stattfindet, dieses im Einklang mit dem Prinzip der Datensparsamkeit eine Hervorhebung der Option mit der geringsten Datenintensität betonen sollte. 2. Nudging über die Klick-Ebenen Häufig besteht neben der optisch suggestiven Hinführung zum „Alle akzeptieren“-Feld das Problem, dass sich die Wahlmöglichkeiten nicht auf der ersten Ebene des Pop-Ups befinden, sondern erst sichtbar werden, wenn man von der ersten Ebene mit einem Klick auf „Einstellungen bearbeiten“ o. Ä. auf die zweite Ebene mit den Auswahlmöglichkeiten gelangt. Als absolute Mindestanforderung sollte eine „Alle Ablehnen“-Option indes auf der ersten Ebene angeboten werden; wird darauf verzichtet, ergibt sich laut einer Studie aus dem Jahr 2020 bereits eine 22 % höhere Einwilligungsquote – denn die wenigsten Nutzer klicken zusätzlich auf „Mehr Optionen“, um dann noch auf der zweiten Ebene „Ablehnen“ anklicken zu können.19 Faktisch wird dies wohl bereits bei den meisten Nutzern zu einer Ermüdung führen, sodass der Einfachheit halber das erste Banner mit der Einwilligung in die intensivste Datennutzung „weggeklickt“ wird. 17 Nouwens/Liccardi/Veale/Karger/Kagal, Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, 2020, arXiv:2001.02479, abrufbar unter: https://arxiv.org/abs/2001.02479 (Stand 01.05.2022), S. 3, siehe dazu auch die Untersuchung des norwegischen Verbraucherrats Forbrukerrådet, Deceived by Design: How tech companies use dark patterns to discourage us from exercising our rights to privacy, 2019, abrufbar unter: https://fil.forbrukerradet.no/wp-content/uploads/2018/ 06/2018-06-27-deceived-by-design-final.pdf (Stand 01.05.2022); allgemein Weinzierl, NVwZ 2020, 1087; Loy/Baumgartner, ZD 2021, 404. 18 Siehe dazu Nouwens/Liccardi/Veale/Karger/Kagal, Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, 2020, arXiv:2001.02479, abrufbar unter: https://arxiv.org/abs/2001.02479 (Stand 01.05.2022). 19 Siehe dazu Nouwens/Liccardi/Veale/Karger/Kagal, Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, 2020, arXiv:2001.02479, abrufbar unter: https://arxiv.org/abs/2001.02479 (Stand 01.05.2022), S. 8 f.
C. Zertifizierung und Datenampel – Verkehrsschilder für den Datenverkehr? 213
Eine informierte Einwilligung kann hier kaum noch angenommen werden.20 Dieses „Wegklicken“ sollte genauso schnell und unkompliziert mit der Auswahl der geringstmöglichen Datennutzung funktionieren. Hier wären strenge Vorschriften und eine enge entsprechende Kontrolle von öffentlicher Stelle mit abschreckenden Bußgeldern bei Verstößen wünschenswert.21 Eine Einwilligung, die den Umständen nach allein durch entsprechendes Nudging zustande kam, kann den grundlegenden Wirksamkeitserfordernissen des Art. 4 Nr. 11 DS-GVO nicht mehr gerecht werden und ist daher unwirksam.22 3. Lösungsvorschlag Eine Vereinheitlichung der Cookie-Banner könnte für Transparenz und Übersichtlichkeit sorgen:23 Ziel wäre, dass nicht jede Website ein eigenes Pop-Up generiert, sondern es konkrete Vorlagen gibt, die unverändert verwendet werden. Damit könnte der Nutzer einfacher agieren. Auch für den Verantwortlichen dürfte sich – nach einer Umstellungsphase – die DS-GVO-konforme Umsetzung erleichtern, wenn er auf Vorlagen des Gesetzgebers zurückgreifen kann. In Frage kämen auch Umsetzungen in Richtung Datentreuhand und Zertifizierungen, die im Folgenden erörtert werden.
C. Zertifizierung und Datenampel – Verkehrsschilder für den Datenverkehr? Die DS-GVO selbst verweist in Art. 12 Abs. 7 auf die Möglichkeit des Verantwortlichen, die für eine Einwilligung erforderlichen Informationen auch „mit standardisierten Bildsymbolen“ zu verknüpfen. Solche Visualisierungen vorzunehmen, bleibt dem Verantwortlichen freigestellt. Unter verbraucherfreundlichen Gesichtspunkten könnten einheitlich visualisierte Informationen über die Datenverarbeitung durchweg wünschenswert sein.24 Art. 42 DS-GVO bietet auch eine rechtliche Grundlage: Danach soll insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen gefördert werden. Das in Art. 42 DS-GVO genannte Ziel, dass „diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen 20
Loy/Baumgartner, ZD 2021, 404, 408. Vgl. Nouwens/Liccardi/Veale/Karger/Kagal, Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, 2020, arXiv:2001.02479, abrufbar unter: https://arxiv.org/abs/2001.02479 (Stand 01.05.2022), S. 10. 22 Loy/Baumgartner, ZD 2021, 404, 408. 23 Sesing, MMR 2021, 544, 546. 24 Pollmann/Kipker, DuD 2016, 378, 379 f.; Auer-Reinsdorff, MMR 2019, 209; dazu siehe auch Efroni et al., „Privacy Icons: A Risk-Based Approach to Visualisation of Data Processing“ [3/2019] EDPL, 352. 21
214
Kap. 4: Vorschläge für mehr Transparenz
oder Auftragsverarbeitern eingehalten wird“, könnte mit weiteren verbraucherorientierten Kriterien ergänzt werden, sodass dem Nutzer auf den ersten Blick verdeutlicht wird, worin er genau einwilligt.
I. Datenampel Daher wird angeregt, im Wege eines einheitlichen europaweiten Zertifizierungsprozesses gemäß der DS-GVO ein Symbol einzuführen, das transparente und verbraucherfreundliche digitale Dienste kennzeichnet.25 Der Verbraucher könnte beispielsweise anhand einer „Trusted-App“-Kennzeichnung erkennen, ob die Datenweitergabe für ihn bedenklich ist oder nicht.26 Solch risikobasierte Voreinschätzungen könnten jedenfalls der oft fraglichen Freiwilligkeit wegen zugrundeliegender Informationsasymmetrie etwas entgegenwirken.27 Sinnhaft erschiene hier eine abgestufte Darstellung, sodass der Verbraucher je nach eigenen Vorlieben entscheiden kann, wie weit er im jeweiligen Falle seine Daten zur Verfügung stellen möchte. Krüger schlägt hierfür beispielhaft drei Kriterien vor: So könne der Umfang der Datenweitergabe, das Maß an Anonymisierung und Pseudonymisierung der Daten und die Datensicherheit verschiedenfarbig gekennzeichnet werden und den Verbraucher über die Datennutzung mit einem Blick verständigen.28 Ein Ampelsystem bietet sich hierfür an. So könnte auf den ersten Blick erkennbar gemacht werden, wie drastisch die Erhebung und Verwertung der persönlichen Daten ist. Gegen ein Ampelsystem im herkömmlichen Sinne mit den Farben Rot-Gelb-Grün spricht freilich die verunsicherte Wirkung von Rot als typischer Farbe für einen Gefahrenhinweis; dies könnte den Verbraucher schließlich auch veranlassen, bestimmte Internetangebote für gefährlich zu halten. Eine unmittelbare Gefahr ist bei rechtmäßiger Datenverarbeitung aber nicht ersichtlich, worauf auch hingewiesen werden könnte. Doch worin liegt der Reiz für den Datenverarbeiter, solche ggf. auch abschreckenden Maßnahmen zu ergreifen, wenn Art. 42 Abs. 3 DS-GVO vorgibt, dass solche Zertifizierungen lediglich freiwillig erfolgen sollen? Der Markt soll wohl vor zwingenden Eingriffen geschützt werden; im Übrigen liegen auch noch keine hinreichenden Infrastrukturen für umfassende unionsweite Prüf- und Zertifizierungsprozesse in diesem Bereich vor. Andererseits könnte für die freiwillige Zertifizierung die Vermutung sprechen, dass dies auch werbewirksam sein könnte, um sich von „Daten-Kraken“ abzu25 Krüger, ZRP 2016, 190, 191; ähnlich auch Jöns, Daten als Handelsware, 2016, S. 59. 26 Krüger, ZRP 2016, 190, 191. 27 Efroni et al., „Privacy Icons: A Risk-Based Approach to Visualisation of Data Processing“ [3/2019] EDPL, 352, 366. 28 Krüger, ZRP 2016, 190, 191.
C. Zertifizierung und Datenampel – Verkehrsschilder für den Datenverkehr? 215
grenzen und mit verbraucherfreundlichen Alternativen neue Kunden anzulocken. Dieses Argument könnte auch für die Neueinführung einer solchen Pflicht sprechen: Eine solche wäre dann keineswegs nur als Wettbewerbsnachteil für den europäischen Markt zu werten, sondern böte vielmehr die Chance, sich durch Transparenz und Verbraucherfreundlichkeit für den Verbraucher attraktiver zu gestalten.29 In diesem Sinne hatte der Anbieter Mozilla einen vergleichbaren Versuch gestartet, allerdings ohne Erfolg: Mozilla hatte mehrere Symbole eingeführt, die die Datenverarbeitung verbraucherfreundlich kategorisieren.30 Eine etwaige Annahme, dass andere Anbieter nachziehen würden und sich ein Wettbewerb um datenschutzfreundliche Produkte ergeben könnte, ging fehl.31 Die sich durch leicht verständliche Symbole entfaltende Transparenz schien in Abwägung mit der resultierenden Nutzerfreundlichkeit nicht wünschenswert genug – zu groß ist wohl das Interesse an der regelmäßigen Datenerhebung und die Befürchtung, diese einschränken zu müssen.32 Ebenso erscheint auch das Augenmerk des Verbrauchers im Alltag noch nicht auf Datensparsamkeit und Datentransparenz gerichtet. Erst wenn diese Aspekte auch von Verbrauchern priorisiert werden, lassen sich damit auch Wettbewerbsvorteile erschließen.33 Dennoch wäre eine Ampel mit Farben oder Symbolen als erster Schritt für mehr Transparenz wünschenswert. Denkbar ist auch ein Abstufungsprinzip, das Aufschluss über den Datenpreis gibt und diesen als „angemessen, günstig oder teuer“ (beispielsweise durch Dollarzeichen) kategorisiert.34 Eine solche Kategorisierung wäre indes mit stetigem Aktualisierungsaufwand verbunden. Kosten und Nutzen müssten sich also ausgleichen, damit nachhaltig Verlass auf Zertifizierun-
29 Krüger, ZRP 2016, 190, 191; BKartA, Sektoruntersuchung Smart-TVs – Bericht Juli 2020, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Publikation/ DE/Sektoruntersuchungen/Sektoruntersuchung_SmartTVs_Bericht.pdf?__blob=publica tionFile&v=5 (Stand 01.05.2022), S. 109 f. 30 Raskin et al., Privacy Icons, abrufbar unter: https://wiki.mozilla.org/Privacy_Icons (Stand 01.05.2022, letztes Update 2011). 31 Efroni et al., „Privacy Icons: A Risk-Based Approach to Visualisation of Data Processing“ [3/2019] EDPL, 352, 366. 32 Vgl. Efroni et al., „Privacy Icons: A Risk-Based Approach to Visualisation of Data Processing“ [3/2019] EDPL, 352, 366. 33 BKartA, Sektoruntersuchung Smart-TVs – Bericht Juli 2020, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Publikation/DE/Sektoruntersuchungen/ Sektoruntersuchung_SmartTVs_Bericht.pdf?__blob=publicationFile&v=5 (Stand 01.05. 2022), S. 109. 34 Eine Zusammenfassung zahlreicher Vorschläge findet sich bei Kettner/Thorun/ Vetter, Verhaltenswissenschaftliche Ergebnisse zur Wirksamkeit des OnePager-Ansatzes und weiterer Lösungsansätze im Datenschutz, 2018, abrufbar unter: https://www.con policy.de/data/user_upload/Studien/Bericht_ConPolicy_2018_02_Wege_zur_besseren_ Informiertheit.pdf (Stand 01.05.2022), S. 63 ff.
216
Kap. 4: Vorschläge für mehr Transparenz
gen bleiben kann.35 Wie auch das Beispiel Mozilla zeigt, ist aktuell eher keine weitere Eigeninitiative der größeren datenverarbeitenden Unternehmen zu erwarten. Die Einführung und Umsetzung verpflichtender Symbolkategorien erfordert daher vielmehr einen normativen Aufwand auf europäischer Ebene36 sowie auch vorangehende Akkreditierungsprozesse für neue entsprechende Zertifizierungsstellen.37 Solche Anstrengungen lassen allerdings auf sich warten. Aktuell steht in Aussicht, dass der europäische Datenschutzausschuss über ein Europäisches Datenschutzsiegel nachdenkt, anlehnend an Art. 42 Abs. 5 S. 2 DS-GVO.38 Bis zu einer Umsetzung erscheint der Weg indes noch nicht ganz erschlossen.39 Der Verbraucher muss also, ohne die Marktmechanismen dahinter durchblicken zu können, weiterhin mit einer „Währung“ zahlen, deren aktuellen Kurs er nicht ohne Weiteres nachschlagen kann.
II. Transparente Darstellung komplexer Inhalte und algorithmenbasierter Vorgänge Art. 22 DS-GVO gebietet zwar, dass automatisierte Entscheidungen nur als Ausnahmen zulässig sein sollen, wenn einer der Ausnahmetatbestände des Absatzes 2 erfüllt ist. Indes ist damit regelmäßig zu rechnen: Nach Art. 22 Abs. 2 lit. c DS-GVO genügt hierfür eine Einwilligung des Betroffenen. Diese wird regelmäßig im Wege eines Banners/Pop-Ups leicht einzuholen sein. Transparente Darstellungen könnten beispielsweise hinsichtlich besonders komplexer Marketingmethoden wie beispielsweise Real-Time-Bidding und Predictive Analytics wenigstens zu etwas mehr abstraktem Verständnis zu den Vorgängen führen.40 So sollte eine bloße Hinweispflicht bei automatisierten Prozessen nicht genügen, sondern beispielsweise mittels eindeutiger Bildsignale oder ähnlicher leicht verständlicher Darstellungen erkennbar sein, worauf der automatisierte Prozess im Kern beruht: Denn der bloße Hinweis darauf sorgt nicht für mehr Transparenz, wenn die Parameter dessen, was die Entscheidung letztlich beinhaltet, nicht offengelegt werden.41 In diesem Sinne könnten Symbole für personalisierte Werbeanzeigen, Real-Time-Bidding, Datennutzung zur Clickstreamanalyse, u. ä. algo35
Vgl. Krasemann, DuD 2020, 645, 648. Efroni et al., „Privacy Icons: A Risk-Based Approach to Visualisation of Data Processing“ [3/2019] EDPL, 352, 366. 37 Zur Akkreditierung Krasemann, DuD 2020, 645, 646 f. 38 Krasemann, DuD 2020, 645, 648. 39 Vgl. die Übersicht der Datenschutzkonferenz zum Akkreditierungsverfahren, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/oh/20190315_oh_ak k_c.pdf (Stand 01.05.2022). 40 Martini, JZ 2017, 1017, 1020; zu den komplexen Abläufen siehe Kap. 1, C. III. 41 Martini, JZ 2017, 1017, 1020. 36
D. Gamification
217
rithmenbasierte Erhebungen, eingeführt werden, die dem Nutzer einen unkomplizierten Überblick über die Folgen erteilter Einwilligungen geben und anklickbar sind, sodass eine genauere Erklärung ebenfalls verfügbar ist.
D. Gamification Auch wird vorgeschlagen, die Wichtigkeit der datenschutzrechtlichen Bestimmungen beispielsweise bei Online-Diensten durch eine stark veränderte Darstellung zu betonen,42 deren Wahrnehmung durch interaktive Prozesse forciert wird. So könnten die Inhalte einer Datenschutzerklärung mehr in den Fokus einer Registrierung gerückt werden, anstatt nur rudimentär wahrnehmbar zu sein, beispielsweise mittels zwingender Erklär-Videos.43 Neben Videos, die der Nutzer nur passiv ansehen muss, sind auch interaktive Elemente denkbar. Scheurer führt hierzu ein Konzept der sogenannten Gamification vor.44 „Playing consent“45 mag terminologisch auf den ersten Blick die Ernsthaftigkeit der datenschutzrechtlichen Einwilligung verkennen, bei genauerem Hinsehen geht es hier jedoch gerade um die exakte Wahrnehmung der Bedeutung der Einwilligung seitens des Nutzers. Gamification kann grob definiert werden als die Verwendung von Spielelementen in nicht-spielerischem Kontext.46 Eine engere Definition bezeichnet Gamification als den Prozess, in welchem ein Dienst dadurch verbessert wird, dass ein Nutzer in spielerischer Weise die Inhalte erfahren oder erarbeiten muss und dabei mit einem Belohnungssystem motiviert wird.47 Der Anreiz kann mit Punktesystemen48, mit einem Level-System, über
42 Obar/Oeldorf-Hirsch, (2018), Clickwrap Impact: Quick-Join Options and Ignoring Privacy and Terms of Service Policies of Social Networking Services, #SMSociety17: Proceedings of the 8th International Conference on Social Media & Society 2017, Article No.: 50, abrufbar unter: https://doi.org/10.1145/3097286.3097336 (Stand 01.05. 2022), S. 1, 5. 43 Google bedient sich bereits solcher Videos, allerdings ist die Beachtung derselben selbstredend fakultativ. 44 Scheurer, PinG 2020, 13. 45 Scheurer, PinG 2020, 13. 46 Frei übersetzt nach Deterding et al., From Game Design Elements to Gamefulness: Defining Gamification, in: Proceedings of the 15th International Academic MindTrek Conference on Envisioning Future Media Environments, 2011, S. 9: „Based on our research, we propose a definition of ,gamification‘ as the use of game design elements in non-game contexts“; siehe dazu auch Hufnagel, Impact of Gamification on Individual’s Motivation and Behavior, 2019, S. 11 ff. 47 Frei übersetzt nach der Definition von Huotari/Hamari, Electronic Markets 27 (2017), Number 1, 21, 25: „Gamification refers to a process of enhancing a service with affordances for gameful experiences in order to support users’ overall value creation.“ 48 So funktionieren letztlich viele Marketing-Strategien wie z. B. das „Miles and More“, das „Paypack“-Programm und auch zahlreiche Kundenkarten.
218
Kap. 4: Vorschläge für mehr Transparenz
Ranglisten oder auch mittels Abzeichen und Errungenschaften, die der Nutzer sammelt, geschaffen werden.49 Denkbar ist auch die Einbettung von kleinen Aufträgen, die der Nutzer erfüllen muss, um das entsprechende Belohnungssystem weiter zu aktivieren.50 So könnte beispielsweise ein Video mit den entscheidenden Informationen zum Umfang der Datenverarbeitung gezeigt werden, wozu danach Verständnisfragen beantwortet werden müssten.51 Dies ist zwar zeitaufwendig für den Nutzer und könnte somit die Verwendung des Dienstes eher unattraktiv machen. Andererseits kann der Gamification-Charakter einer Anwendung diese auch wieder interessant machen und durch die besagten Anreize die Bindung des Nutzers zum Anbieter stärken. Scheurer schlägt konkret eine Ausgestaltung im Wege eines Punktesystems mit „Datenkarma“ vor:52 sein Vorschlag beinhaltet die Idee, dass Punkte gesammelt werden könnten, je mehr sich der Nutzer mit der Einverständniserklärung auseinandersetzt. So müsste das (in der Regel eben nicht stattfindende) Aufrufen der Bedingungen je nach Intensität der Befassung Punkte geben: Wird es fein granuliert durchgeklickt (und mithin hoffentlich durchgelesen) erhält der Nutzer besonders viele Punkte, die er nicht erhalten würde, wenn lediglich die Einwilligung erteilt wird, ohne die zugrundeliegenden Bedingungen aufzurufen.53 Zusätzlich könnten mit der Masse an Punkten jeweils auch stufenweise Abzeichen verbunden sein, deren Erreichen wiederum noch an die korrekte Beantwortung relevanter Kontrollfragen geknüpft sein könnte.54 Es liegt zwar zunächst nahe, dass solche Herangehensweisen zur Aufnahme von mehr Informationen und somit zu einem vermehrten Verständnis des Nutzers führen können.55 Was nicht deutlich wird, ist, was genau den Nutzer dazu bewegen wird, sich dem „Daten-Spiel“ zuzuwenden – nach wie vor ist es wahrscheinlich, dass der Nutzer auf die Schnelle doch nur auf den erforderlichen „OK“-Button klickt, sofern er eben nicht vom Anbieter zu einer gamifizierten Beschäftigung gezwungen wird. Ein solcher Zwang wäre aber wahrscheinlich nicht förderlich für die Reputation des Anbieters, da Nutzer meist ohne Zeitaufwand auf das digitale Produkt zugreifen möchten. Die Anreize innerhalb der Gamification müssten daher, um regelmäßig erfolgreich zu sein, eigentlich über den internen Spiel-BelohnungsAnreiz hinausgehen und beispielsweise wirtschaftliche Vorteile für den Nutzer mit sich bringen (ggf. Gutscheine, Gewinnspiele o. Ä.). Dagegen lässt sich hinge49 50 51 52 53 54 55
En detail Scheurer, PinG 2020, 13 f. Scheurer, PinG 2020, 13, 14. Scheurer, PinG 2020, 13, 16. Scheurer, PinG 2020, 13, 15. Scheurer, PinG 2020, 13, 15. Scheurer, PinG 2020, 13, 16. Scheurer, PinG 2020, 13, 17.
E. Datentreuhand
219
gen einwenden, dass solche extrinsischen Motivationen den gamifizierten Informationskern wieder bagatellisieren und instrumentalisieren, wenn der Nutzer das „Datenkarma“ nur als Mittel zum Zweck für seinen späteren wirtschaftlichen Vorteil sammelt. Außerdem könnte insofern wieder ein weiterer „Handel“ im Raum stehen: Auch hier würden die Daten des Nutzers letztlich in einem Austauschverhältnis zu den Belohnungen stehen – wiederum sähe man sich in der Problematik einer Kopplungssituation. Andererseits könnte man (fragwürdig) auch vertreten, dass die Motivation des Nutzers dahinstehen kann, solange er im Ergebnis möglichst optimal informiert wird. Insgesamt sind jedenfalls Elemente von Gamification als Weg, den Nutzer aktiver an den Inhalten der Einwilligung teilhaben zu lassen, eine begrüßenswerte Idee.56 Insbesondere für Minderjährige könnte die Gamifizierung zu einem höheren Informationsverständnis beitragen (wenngleich der Gamifizierungsaspekt als „Spiel-Spaß“ für Minderjährige auch wieder eine Bagatellisierung bedeuten könnte). Die Zweifel an der faktischen Umsetzung müssen jedoch bestehen bleiben. Denn letztlich führt die Idee der Gamifizierung wieder zu einer Verlagerung der Verantwortung auf den Endnutzer: Dieser muss sich – wenn auch spielerisch – eben besser informieren/besser informiert werden, und schon ist die Freiwilligkeit gewahrt. Dieser Herangehensweise muss weiterhin entgegengehalten werden, dass sie den Endnutzer in eine kaum zu bewältigende Verantwortung zwingt, der besser in regulatorischen Mustern begegnet werden sollte.
E. Datentreuhand Vorgeschlagen werden Treuhandmodelle, die den Geschäften zwischen Datenverarbeiter und Datenerzeuger eine Infrastruktur geben, indem ein Dritter als „Datenintermediär“57 hinzugezogen wird.58 Solche Modelle könnten eine Assistenz für den Verbraucher in der oft intransparenten Online-Welt darstellen. Sie escheinen dadurch attraktiv, dass nicht länger der Nutzer allein in der Verantwortung steht, sondern ein Treuhänder aus professioneller Perspektive die Interessen 56 Zander-Hayat/Reisch/Steffen, VuR 2016, 403, 409; ebenso Heckmann auf der Tagung des DGRI-Beirats 2016, zitiert nach Lachenmann, CR 2016, R68, R69. 57 Verbraucherzentrale Bundesverband e. V., Personal Information Management Systems (PIMS) – Chancen, Risiken und Anforderungen, Positionspapier v. 19.02.2020, abrufbar unter: https://www.vzbv.de/sites/default/files/downloads/2020/04/06/20-0219_vzbv-positionspapier_pims.pdf (Stand 01.05.2022), S. 3. 58 Wandtke, MMR 2017, 6, 12; Specht-Riemenschneider et al., MMR-Beil. 2021, 25; v. Ulmenstein, DuD 2020, 528; Peitz/Schweitzer, NJW 2018, 275, 278; Schweitzer, GRUR 2019, 569, 574; Furman/Seamans, AI and the Economy, abrufbar unter: https:// www.nber.org/system/files/working_papers/w24689/w24689.pdf (Stand 01.05.2022), S. 20.
220
Kap. 4: Vorschläge für mehr Transparenz
des Nutzers wahrnehmen könnte und dabei gleichzeitig die Datenverwertung durch den Verarbeiter ermöglichen würde.59
I. Ideen zur Datentreuhand Diese Vermittlerrolle des Datentreuhänders könnte vertraglich, aber auch gesetzlich geregelt werden.60 Ein dreiseitiger Vertrag zwischen Datentreuhänder, Betroffenem und Verantwortlichen ist insofern denkbar, wäre aber ggf. mit höherem Aufwand im Einzelnen verbunden – schließlich erfordert dies drei entsprechende Willenserklärungen,61 die im schnellen Onlinegeschäft jedenfalls nicht unbedingt den Effekt der Vereinfachung vermuten lassen. Sinnhaft wird daher zunächst ein gesetzlicher Rahmen für solche Verträge vorgeschlagen, mit dem Anreiz klarer staatlicher Zertifizierungen für bestimmte Treuhandmodelle auf freiwilliger Basis.62 Bedient sich ein Datenverarbeiter eines solchen Modells oder einer eigens zertifizierten Treuhandstelle, kann dies auf beiden Seiten für mehr Rechtssicherheit sorgen. Gleichzeitig besteht die Gefahr, dass der Nutzer mit nur einer Einstellungsänderung gleich mehrere datenschutzrechtliche Einwilligungen erteilt, deren Gehalt im Einzelnen wiederum nicht hinreichend durchdrungen wurden.
II. Datentreuhand durch Personal Information Management Systems Das TTDSG hat überraschend die Schaffung sogenannter Personal Information Management-Systeme63 (kurz „PIMS“) in § 26 TTDSG rechtlich gerahmt. Diese Systeme sollen ein Instrument der Nutzer sein, das eine übersichtliche Einsicht, Kontrolle und Verwaltung ihrer personenbezogenen Daten ermöglicht.64 Gemäß § 26 Abs. 1 Nr. 1–4 TTDSG muss ein solcher Dienst nutzerfreundlich und wettbewerbskonform sein und technisch die Einholung und Verwaltung der Einwilligung ermöglichen (Nr. 1), darf kein wirtschaftliches Eigeninteresse an der Einwilligung und den Daten haben und muss unabhängig von Unternehmen sein, die ein solches Interesse haben können (Nr. 2), darf die entsprechenden Daten für keine anderen Zwecke als die Einwilligungsverwaltung verarbeiten (Nr. 3) und muss ein Sicherheitskonzept gemäß der DS-GVO vorlegen (Nr. 4). 59
Specht-Riemenschneider et al., MMR-Beil. 2021, 25. Specht-Riemenschneider et al., MMR-Beil. 2021, 25. 61 Specht-Riemenschneider et al., MMR-Beil. 2021, 25, 32. 62 Specht-Riemenschneider et al., MMR-Beil. 2021, 25, 32. 63 Siehe dazu Verbraucherzentrale Bundesverband e. V., Personal Information Management Systems (PIMS) – Chancen, Risiken und Anforderungen, Positionspapier v. 19.02.2020, abrufbar unter: https://www.vzbv.de/sites/default/files/downloads/2020/ 04/06/20-02-19_vzbv-positionspapier_pims.pdf (Stand 01.05.2022), S. 8. 64 Golland, NJW 2021, 2238, 2241. 60
F. Dateneigentum
221
Diese Voraussetzungen müssen kumulativ vorliegen und sollen von einer bis dato noch nicht bestimmten Stelle (Abs. 2) überprüft und im Detail ausgestaltet werden.65 Hierzu soll eine Rechtsverordnung der Bundesregierung mit Zustimmung des Bundestages und des Bundesrates festgelegt werden.66 Die Aufnahme dieses Vorschlags, der in früheren Versionen des Gesetzesentwurfs zwischenzeitlich nicht mehr vorhanden war, ist sehr zu begrüßen.67 Die Unabhängigkeit des PIMS-Anbieters gewährt ihm eine Position ähnlich eines „Datentreuhänders“ bzw. eines „neutralen Datenverwalters“68, der vor allem anderem dem Datenschutz verpflichtet ist.69 Inwieweit PIMS sich als Instrument durchsetzen werden, wird sich zeigen. Golland äußert hier die Befürchtung, dass mangels einer „Befolgungspflicht“ den individuell unabhängig von dem Management-System erteilten Nutzereinwilligungen Vorrang einzuräumen sein müsste.70 Dies wiederum lässt annehmen, dass die Verwendung der Cookie-Banner nicht verringert wird;71 PIMS-Tools wären dann nur ein zusätzliches Hilfsmittel, welches die übliche Praxis im Internet nicht ändert oder ersetzt. Dennoch bleibt es ein Schritt in die richtige Richtung, um Datenschutz effektiv und nutzerfreundlich zu gewährleisten und der faktischen Desinformiertheit des Einzelnen ein Instrument entgegenzusetzen. Schließlich liegt nahe, dass die Einführung solcher PIM-Systeme die Tür für einen konkreter umgesetzten Datenschutz weiter öffnet.
F. Dateneigentum Immer wieder wird auch die Möglichkeit eines eigentumsähnlichen Vollrechts an personenbezogenen Daten diskutiert.72 Das Eigentumsrecht ermöglicht dem 65
Golland, NJW 2021, 2238, 2241. BT-Drs. 19/29839, S. 68. 67 Schwartmann/Benedikt/Reif, MMR 2021, 99, 101. Ein solches Instrument wurde auch 2019 ausdrücklich in einem Gutachten von der Datenethikkommission gefordert, abrufbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/the men/it-digitalpolitik/gutachten-datenethikkommission.pdf;jsessionid=59BBEEFE9924E 38279A3FC9F8F497888.2_cid373?__blob=publicationFile&v=6 (Stand 01.05.2022), S. 21 Empfehlung 21. 68 Verbraucherzentrale Bundesverband e. V., Personal Information Management Systems (PIMS) – Chancen, Risiken und Anforderungen, Positionspapier v. 19.02.2020, abrufbar unter: https:/ /www.vzbv.de/sites/default/files/downloads/2020/04/06/20-0219_vzbv-positionspapier_pims.pdf (Stand 01.05.2022), S. 5. 69 Golland, NJW 2021, 2238, 2241. 70 Golland, NJW 2021, 2238, 2241. 71 Golland, NJW 2021, 2238, 2241. 72 Hoeren, MMR 2013, 486, 489; Heymann, CR 2016, 650; Ensthaler, NJW 2016, 3473, 3475; Zech, GRUR 2015, 1151, 1153; Stender-Vorwachs/Steege, NJOZ 2018, 66
222
Kap. 4: Vorschläge für mehr Transparenz
Eigentümer umfassende Freiheiten hinsichtlich der Verwendung der Sache. Den Gedanken der Ausschließlichkeit des Eigentums, i. e. die Funktionen der Ausschließbarkeit und Nutzbarkeit, auch auf Daten zu übertragen, könnte im ersten Moment als Stärkung des Betroffenen betrachtet werden. Nach kurzer Überlegung offenbaren sich jedoch mehrere Probleme: Eigentum ist übertragbar – und ebenso seine Ausschließlichkeit. Wie sollen Daten, die durch das private Verhalten einer Person generiert wurden und deren Präferenzen etc. widerspiegeln, Gegenstand eines übertragbaren Ausschließlichkeitsrechts sein können? Wie kann die Untrennbarkeit der Information mit dem Verhalten der Person aufgelöst werden? Und: Ein Dateneigentum unterstellt, wie sollte es sich en detail ausgestalten; sollten nur bereits generierte Daten übertragbares Dateneigentum sein oder auch fortlaufend entstehende Daten unmittelbar mit ihrer Entstehung (oder ggf. nach einer juristischen Sekunde im Eigentum des Betroffenen) übertragen werden können? All diese Überlegungen erscheinen zugleich absurd und doch naheliegend. Die Frage, ob personenbezogene Daten ein dingliches Recht sein können, welche Bedeutung das für das allgemeine Persönlichkeitsrecht hat (müssten dann konsequenterweise auch Persönlichkeitsrechte als Eigentum zu qualifizieren sein?) und welche Vor- und Nachteile dies aus Sicht des Verbraucherschutzes hat, werden im nachfolgenden Teil in der möglichen Kürze erörtert.
I. Ausschließlichkeitsrecht an Daten in der DS-GVO De lege lata ist aktuell kein übertragbares Ausschließlichkeitsrecht von Daten vorgesehen.73 Art. 20 DS-GVO stattet den Betroffenen zwar ausdrücklich mit Rechten aus, die ihn über seine Daten frei und rechtssicher disponieren lassen sollen. Aus dogmatischer Sicht besteht darin jedoch keine dingliche Anknüpfung an den personenbezogenen Daten, sondern vielmehr wird eine schuldrechtliche Pflicht des Verantwortlichen geschaffen.74 Die DS-GVO gibt insofern keine Antwort zur
1361, 1364; Amstutz, AcP 2018, 438; Kühling/Sackmann, NVwZ 2018, 681, 685; Esken, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 73, 77 f.; vgl. Spindler, DB 2018, 41, 41f.; Fezer, Repräsentatives Dateneigentum, 2018, S. 31 m.w. N.; Walker, Die Kosten kostenloser Dienste, S. 81 ff. 73 Walker, Die Kosten kostenloser Dienste, S. 105; Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://jm.rlp.de/fileadmin/mjv/Jumiko/Fruehjahrskonfe renz_neu/Bericht_der_AG_Digitaler_Neustart_vom_15._Mai_2017.pdf (Stand 01.05. 2022), S. 98; Paal/Hennemann, NJW 2017, 1697, 1698; Zech, CR 2015, 137 f.; Dorner, CR 2014, 617, 626; vgl. OLD Dresden, NJW-RR, 27, 28; Specht, CR 2016, 288, 289. MüKoBGB/Stresemann, 9. Aufl. 2021, § 90 Rn. 25 m.w. N. 74 BeckOK DatenschutzR/v. Lewinski, 39. Ed. 01.11.2021, DS-GVO Art. 20 Rn. 8.
F. Dateneigentum
223
Frage nach einem Dateneigentum bzw. einem vergleichbaren übertragbaren Ausschließlichkeitsrecht.75 Durch das Datenschutzrecht kann der Berechtigte teilweise andere vom Zugriff auf seine Daten ausschließen, beispielsweise durch das Verweigern der Einwilligung. Je ausgeprägter dieses Recht ist, desto eher ähnelt es auch einem Eigentumsrecht nach § 903 BGB.76
II. Dateneigentum nach entsprechender Anwendung von § 903 BGB Eigentum nach § 903 BGB kann es indes nur an Sachen im Sinne von § 90 BGB geben – das heißt an körperlichen Gegenständen.77 Daten können zwar verkörpert sein, indem sie niedergeschrieben, auf einer Festplatte gespeichert o. Ä. sind, allerdings bleibt das Datum selbst unkörperlich.78 Eine direkte Anwendung des Eigentumsbegriffs nach § 903 BGB muss daher ausscheiden. In Frage kommt nur eine entsprechende Anwendung. 1. Planwidrige Regelungslücke Zwar kann das Vorliegen einer Regelungslücke bejaht werden, da eine genaue rechtliche Einordnung personenbezogener Daten nicht getroffen wurde. Deren Planwidrigkeit ist angesichts zahlreicher Vorschriften zum Umgang mit personenbezogenen Daten (z. B. DS-GVO, TTDSG, ehemals TMG) und auch anderer Immaterialgüterrechte (z. B. UrhG, KuG) jedoch abzulehnen.79 Angesichts der geradezu ausufernden Diskussion80 über ein etwaiges Dateneigentum und auch der rasant voranschreitenden Digitalisierung erübrigt sich damit jedoch nicht eine genauere Untersuchung der vergleichbaren Interessenlage. Schließlich kann die Planwidrigkeit bei einer sich mitten in der Entwicklung befindlichen komplexen Materie nicht endgültig festgehalten werden. 75
BeckOK DatenschutzR/v. Lewinski, 39. Ed. 01.11.2021, DS-GVO Art. 20 Rn. 3, 8. Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 85, 88. 77 MüKoBGB/Brückner, 8. Aufl. 2020, § 903 Rn. 3; Determann, ZD 2018, 503, 505. 78 Vgl. Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012, S. 77. 79 Walker, Die Kosten kostenloser Dienste, S. 86; Peschel/Rockstroh, MMR 2014, 571, 572; Ehlen/Brandt, CR 2016, 570, 571. 80 Um nur einen Bruchteil der Veröffentlichungen hierzu abzubilden: Hoeren, MMR 2013, 486, 489; Heymann, CR 2016, 650; Ensthaler, NJW 2016, 3473, 3475; Zech, GRUR 2015, 1151, 1153; Stender-Vorwachs/Steege, NJOZ 2018, 1361, 1364; Amstutz, AcP 2018, 438; Kühling/Sackmann, NVwZ 2018, 681, 685; Esken, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 73, 77 f.; vgl. Spindler, Der Betrieb 2018, 41, 41f.; Fezer, Repräsentatives Dateneigentum, 2018, S. 31 m.w. N.; Walker, Die Kosten kostenloser Dienste, S. 81 ff. 76
224
Kap. 4: Vorschläge für mehr Transparenz
2. Vergleichbare Interessenlage: Unterschiede zwischen personenbezogenen Daten und Sachen Daten sind als Schutzgegenstand von Sachen verschieden. Dies begründet sich auch, aber nicht nur darin, dass sie keine körperlichen Gegenstände sind.81 Sie können auf einer Cloud/einem Server gespeichert werden, werden diesem aber nicht rechtlich zugeordnet, da die Cloud/der Server in der Regel wiederum einem Dienstanbieter als Drittem zugeordnet ist.82 Auch umgekehrt erhält derjenige, der seine Daten in einer Cloud speichert, keine Rechte unmittelbar an der Cloud. (Vereinfacht: Lege ich mein Buch in ein fremdes Regal, erhalte ich keine Ausschließlichkeitsrechte an dem Regalboden.) So leuchtet beispielsweise ebenso ein, dass der Betreiber eines Servers, nur weil Daten vom Betroffenen auf den Server hochgeladen wurden, nicht berechtigt wird, mit den Daten in irgendeiner Weise frei zu verfahren; es kam also nicht zu einer umfassenden Übertragung der Rechte an den Daten.83 Den Zugang zum virtuellen Speicherort eines Datums und somit den Zugriff auf das Datum selbst können mehrere Nutzer gleichzeitig ausüben, ohne einander zu behindern. Auch dieser Aspekt, der volkswirtschaftlich als „Nicht-Rivalität“ bezeichnet wird, unterscheidet Daten maßgebend von körperlichen Gegenständen.84 Zu diesen offensichtlichen und viel besprochenen Unterschieden gehören auch der Aspekt der Nicht-Exklusivität (Daten sind regelmäßig ohne finanziellen Aufwand kopierbar) und der Aspekt der Nicht-Abnutzbarkeit (es können mehrere Personen beliebig lange gleichzeitig ein Datum nutzen, ohne dass dieses abgenutzt wird (nicht berücksichtigt wird hier der wirtschaftliche Wert des Datums, der durch die Verfügbarkeit gemindert werden kann)).85 Der Terminus Datenübertragung ist aufgrund des besonderen Aggregatzustands von Daten insofern eigentlich irreführend: Jede als Datenübertragung gekennzeichnete Aktion ist eigentlich nur die Anfertigung einer Kopie des Datums an neuer Stelle und keine Übertragung desselben Datums.86 Auch fehlt die Publi-
81
Heymann, CR 2016, 650 f. MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 247. 83 Hoeren, MMR 2013, 486, 489. 84 Heymann, CR 2016, 650, 653; Pertot/Zech, Rechte an Daten, S. 91, 99; Sattler, CR 2020, 145, 148 ff.; Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 85, 97. 85 Heymann, CR 2016, 650, 653; Pertot/Zech, Rechte an Daten, S. 91, 99; ders., CR 2015, 137, 139; Sattler, CR 2020, 145, 148 ff.; Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://jm.rlp.de/fileadmin/mjv/Jumiko/Fruehjahrskonferenz_ neu/Bericht_der_AG_Digitaler_Neustart_vom_15._Mai_2017.pdf (Stand 01.05.2022), S. 30 ff. 86 Hoppen, CR 2015, 802, 803. 82
F. Dateneigentum
225
zitätswirkung,87 die beim Sacheigentum von Bedeutung sein kann. Für Daten gilt bisher, dass sie keiner Eigentumsordnung oder einer damit vergleichbaren Ordnung angehören, sondern eher einer „Kommunikationsordnung“88 unterliegen, einem heterogenen System, das sich aus der kommunikativen Auseinandersetzung verschiedener Rechtsbereiche herausgebildet hat. Es gibt keinen numerus clausus für Rechte an Daten, sondern eine nach und nach evolvierte Fülle an Gesetzen (Urheberrecht, Patentrecht, Kartellrecht, Datenschutzrecht usw.).89 Insofern ist jedenfalls denkbar, dass ein Datenrecht de lege ferenda hier etwas Ordnung beitragen könnte.90 Ob dieses jedoch analog zu § 903 BGB als Dateneigentumsrecht ausgestaltet sein sollte oder eher auf schuldrechtlicher Ebene durch Schaffung eines eigenen Datenschuldrechts (bzw. eine Kombination dieser beiden) geschehen sollte, bleibt fraglich. Vorangehend müsste eigentlich erst die Frage beantwortet werden, ob diese fragliche Datenübertragung überhaupt dinglich oder schuldrechtlich einzuordnen ist.91 Denn es lässt sich argumentieren, dass es sich beim Austausch personenbezogener Daten gegen ein digitales Produkt regelmäßig gerade nicht um die Übertragung eines Ausschließlichkeitsrechts handelt, sondern nur um die Einräumung einer Nutzungs- bzw. Verarbeitungsbefugnis, die Daten bleiben deren Erzeugern (i. e. bei Daten mit Personenbezug: der Person) eigentlich weiterhin rechtlich zugeordnet.92 Die Unterscheidung zwischen Datenzuordnung und Sacheigentum ist dabei evident: Wiederum sind es die volkswirtschaftlichen Kategorien der NichtRivalität, Nicht-Exklusivität und Nicht-Abnutzbarkeit.93 Das heißt: Anders als bei Sachen wird die Nutzbarkeit virtueller Daten nicht durch Inbesitznahme einer Person für andere Personen beeinträchtigt.94 Wird der Zugang zu Daten, also die Möglichkeit der Verarbeitung, jedoch unter mehreren geteilt oder ist er gar öf87 Schmidt-Kessel, Wandlungen des Privatrechts – Erwartungen an ein Privatrecht 2050, in: Beyer/Erler/Hartmann et al. (Hrsg.), Jahrbuch Junge Zivilrechtswissenschaft. Privatrecht 2050 – Blick in die digitale Zukunft, S. 9, 20. 88 Roßnagel, NJW 2017, 10, 11. 89 Roßnagel, NJW 2017, 10, 11. 90 Wiebe, GRUR Int. 2016, 877, 881, der jedoch auf S. 882 auch darauf verweist, dass ein diese Bereiche überlappendes Daten(eigentums)recht auch zu Konflikten in der Umsetzung führen kann; vgl. auch Hoeren, MMR 2013, 486, 492. 91 Hoeren, MMR 2013, 486, 489. 92 Vgl. Walker, Die Kosten kostenloser Dienste, S. 119. 93 Taeger/Pohle/Czychowski/Siesmayer, Computerrechts-Handbuch 36. EL 2021, 20.5 Rechte an Daten, Rn. 19; Kornmeier/Baranowski, BB 2019, 1219; Pertot/Zech, Rechte an Daten, S. 91, 99; Sattler, CR 2020, 145, 148 ff.; Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder, Bericht vom 15. Mai 2017, abrufbar unter: https://jm.rlp.de/fileadmin/mjv/Jumiko/Fruehjahrs konferenz_neu/Bericht_der_AG_Digitaler_Neustart_vom_15._Mai_2017.pdf (Stand 01.05.2022), S. 30 ff. 94 Pertot/Zech, Rechte an Daten, S. 91, 99; Sattler, CR 2020, 145, 148 ff.
226
Kap. 4: Vorschläge für mehr Transparenz
fentlich, so können die Daten dennoch an Wert verlieren.95 Um andere von der Datennutzung auszuschließen, wäre daher gerade aus Sicht eines datenverarbeitenden Unternehmens ein übertragbares Ausschließlichkeitsrecht an Daten attraktiv.96 Der Betroffene geht aus dieser Situation aber anscheinend nicht gestärkt hervor, die Interessen widersprechen sich also. Den Prinzipien des Datenschutzrechtes kann ein übertragbares Ausschließlichkeitsrecht, das sich gänzlich von der datengenerierenden Person ablöst, nicht entsprechen – denn personenbezogene Daten haben nicht nur einen wirtschaftlichen, sondern meist auch einen ideellen Wert.97 Nach diesen Überlegungen ist eine vergleichbare Interessenlage hinsichtlich personenbezogener Daten nicht naheliegend. Die eigentliche Frage sollte daher nicht lauten, inwieweit personenbezogene Daten mit körperlichen, rivalen Gegenständen gleichsetzbar erscheinen, sondern welche „guten Gründe“ denn dafür sprechen, eine Gleichsetzung aktiv vorzunehmen, obwohl die beiden Gegenstände so verschieden sind.98 Grundsätzlich sollen Ausschließlichkeitsrechte nicht um ihrer selbst Willen bestehen, sondern auch zum Vorteil der Gemeinschaft gereichen (vgl. Art. 14 GG).99 Es ist immer auf die Balance zwischen grenzziehenden Exklusivrechten und Einschränkungen öffentlicher oder privater Interessen zu achten, so auch im Bereich des geistigen Eigentums.100 Welche Gründe und Herleitungsmöglichkeiten es trotz schwierig vergleichbarer Interessenlage gäbe, ein Dateneigentum anzuerkennen, wird im Folgenden erörtert. 3. Vergleichbare Interessenlage wegen § 303a StGB Nach einer strafrechtlichen Betrachtungsweise könnten Daten analog zu § 903 BGB als Eigentum qualifiziert werden, wenn man an § 303a StGB anknüpft.101 § 303a StGB „schützt das Interesse an der unversehrten Verwendbarkeit von Daten“102 und zwar unabhängig von einem etwaigen (ideellen oder wirtschaftlichen) Wert der Daten.
95
Kornmeier/Baranowski, BB 2019, 1219. Kornmeier/Baranowski, BB 2019, 1219. 97 Wandtke, MMR 2017, 6, 11; vgl. Walker, Die Kosten kostenloser Dienste, S. 119 ff., der aber im Ergebnis eine Ablösbarkeit von der Person eher bejaht, S. 122. 98 MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 335. 99 Wiebe/Schur, ZUM 2017, 461, 462 f.; Determann, ZD 2018, 503, 504. 100 Determann, ZD 2018, 503, 504. 101 Hoeren, MMR 2013, 486, 492; Zech, GRUR 2015, 1151, 1159; Schönke/Schröder/Hecker, 30. Aufl. 2019, StGB § 303a Rn. 3; siehe auch Dorner, CR 2014, 617, 618. 102 Lackner/Kühl/Heger, 29. Aufl. 2018, StGB § 303a Rn. 1. 96
F. Dateneigentum
227
Strikt davon zu trennen ist das Eigentum am Datenträger selbst.103 Denn § 303a BGB dient als Schutznorm für die auf einem Datenträger befindlichen Daten und gerade nicht für den Datenträger als solchen.104 Somit könnte folgerichtig zumindest ein „eigentumsähnliches Nutzungs- und Verfügungsrecht“105 an Daten bestehen.106 Dies entspräche der Einheit der Rechtsordnung.107 § 303a StGB wurde insofern bereits als Beleg für die Anerkennung eines besonderen Rechts an Daten begriffen, allerdings lediglich im Zusammenhang mit der Einordnung als „sonstiges Recht“ im Sinne von § 823 Abs. 1 BGB.108 Andererseits lässt sich argumentieren, dass die Tatbestandsmäßigkeit des § 303a StGB bereits mit einer einfachen Berechtigung entfällt.109 Die Argumentation für eine folgenschwere zivilrechtliche Einordnung würde nur auf einer strafrechtlichen Schutznorm gründen. Um eine Analogie zum Eigentum nach § 903 BGB aufzubauen, bedarf es indes tiefergehender Begründungsprozesse als eines Verweises auf den Schutzzweck des § 303a StGB.110 Wäre § 303a StGB ein klares Indiz für eine Eigentumsqualität von Daten, so bräuchte es § 303a StGB nach logischer Überlegung nicht zwingend: Dann könnte auch § 303 BGB diese Fälle bereits erfassen (jedenfalls im Rahmen dieser rein theoretischen Überlegung; letztlich würde das strafrechtliche Analogieverbot dem doch widersprechen). Gegen eine Analogie des § 903 BGB bleibt auch dessen Zweckrichtung als Argument bestehen: Die besonderen Eigenschaften körperlicher Gegenstände, also deren Exklusivität und Rivalität, (gewissermaßen auch deren Sichtbarkeit) begrenzen den Anwendungsbereich.111 Schließlich wird gegen die Auslegung des § 303a StGB als Beleg für ein bereits vorhandenes (eigentumsähnliches) Recht am Datenbestand die Kritik geäußert, dass dies aufgrund der mangelnden Bestimmtheit des Tatbestandes ohnehin zu weit führen würde.112
103 Hoeren, MMR 2013, 486, 487; vgl. MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 246; Roßnagel, NJW 2017, 10, 11; Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 85, 86 f. 104 Vgl. Hoeren, MMR 2013, 486, 489. 105 MüKoBGB/Wagner, 8. Aufl. 2020, BGB § 823 Rn. 335. 106 In diese Richtung Zech, CR 2015, 137, 143 f.; vgl. Amstutz, AcP 2018, 438, 548 f. 107 Hoeren, MMR 2013, 486, 488. 108 MüKoBGB/Wagner, 8. Aufl. 2020, BGB § 823 Rn. 338. 109 Hoeren, MMR 2013, 486, 488. 110 Dorner, CR 2014, 617, 618 ff.; Hoeren, MMR 2013, 486, 488. 111 Taeger/Pohle/Czychowski/Siesmayer, Computerrechts-Handbuch 36. EL 2021, 20.5 Rechte an Daten, Rn. 19 ff.; Roßnagel, NJW 2017, 10, 11. 112 MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 339 m.w. N.
228
Kap. 4: Vorschläge für mehr Transparenz
4. Dateneigentum als sonstiges Recht i. S. v. § 823 Abs. 1 BGB Teilweise wird vertreten, dass personenbezogene Daten als sonstiges Recht nach § 823 Abs. 1 BGB qualifizierbar sind.113 Dabei muss deutlich differenziert werden: Die Anerkennung als absolut geschütztes Recht im Sinne von § 823 Abs. 1 BGB ist auch für nicht-dingliche Rechte möglich (vgl. das Recht der elterlichen Sorge oder das Umgangsrecht)114 – demnach ist die Anerkennung eines Rechts am eigenen Datenbestand nach § 823 Abs. 1 BGB in keiner Weise konstitutiv für ein dingliches Datenrecht. Der Anerkennung des Rechts am eigenen Datenbestand steht auch weder ein „numerus clausus der Vermögensrechte“ noch ein angeblich in der Struktur des § 823 Abs. 1 BGB oder im Begriff des sonstigen Rechts beschlossenes Rechtsfortbildungsverbot entgegen.115 Dennoch muss jede Rechtsfortbildung überzeugende Gründe haben. Im Rahmen von § 823 Abs. 1 BGB kommt es für eine Qualifizierung als sonstiges Recht vielmehr auch auf dessen Notwendigkeit an. Einer Ansicht nach ist ein personenbezogenes Datum über das allgemeine Persönlichkeitsrecht hinreichend geschützt, ein etwaiger verkörperter Träger des Datums über das Eigentums- oder Besitzrecht – demnach bedürfe es keines zusätzlichen Rechts am eigenen Datenbestand.116 Andererseits war bei der Anerkennung des allgemeinen Persönlichkeitsrechts als sonstiges Recht eine Entwicklung hin zur digitalen Kommerzialisierung der Persönlichkeit des Durchschnittsbürgers noch nicht absehbar, sodass eine neue Notwendigkeit differenzierter Anwendungsfälle bestehen könnte. So hält Wagner fest: „In dem Maße, in dem mit Hilfe neuer Technologien Daten losgelöst vom Sacheigentum gespeichert werden, muss das Privatrecht Schritt halten und den Schutz des ,Dateneigentums‘ gewährleisten.“117 Mittels eines solchen sonstigen Rechts könnte auch ein Integritätsschutz118 der Daten gewährt werden. Dennoch ist die Bejahung eines sonstigen Rechts kein Indiz für eine Analogie zu § 903 BGB, da § 823 Abs. 1 BGB selbst keine Rechte begründen kann, sondern nur bereits vorhandene Rechte zu schützen vermag.119 Dass ein Recht am eigenen Datenbestand bereits bestünde, begründet aber auch keine Analogie zu § 903 BGB, da die oben genannten spezifischen Anforderungen an das Sach-
113
MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 332 ff., 338. MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 345 ff. 115 MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 339. 116 Staudinger/Hager, (2017) BGB § 823 B. Die geschützten Rechtsgüter und Rechte, Rn. B192. Zum Datenbesitz und Dateneigentum siehe auch die nach Einreichung dieser Arbeit erschienene Dissertation von Kevekordes, Daten als Gegenstand absoluter Zuordnung, S. 160 ff. 117 MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 332. 118 Grützmacher, CR 2016, 485, 489; Walker, Die Kosten kostenloser Dienste, S. 103. 119 Walker, Die Kosten kostenloser Dienste, S. 103. 114
F. Dateneigentum
229
eigentum andere sind als die Anforderungen, die § 823 Abs. 1 BGB an sonstige Rechte stellt.120 5. Dateneigentum als Urheberrecht Um auch dem ideellen Anteil der personenbezogenen Daten gerecht zu werden, wird anstelle des Dateneigentums auch eine Anlehnung an das Urheberschaftsrecht vorgeschlagen, da dieses auch an einen unkörperlichen Gegenstand anknüpft.121 Dabei wird übersehen, dass das Urheberschaftsrecht an eine kreative Schöpfung anknüpft,122 die hier nicht Gegenstand der Diskussion ist.123 Gerade dieser Schöpfungsakt ist jedoch das Herz des Urheberrechts: Die individuelle geistige Schöpfung eines Werks im Sinne von § 2 UrhG. Das Werk wird nicht zuletzt als „der zentrale Begriff des UrhG und damit gleichsam das Tor zum Urheberrecht“124 bezeichnet. Dieser erforderliche kreativ-schöpferische Akt125 fehlt hier: Hier geht es um Daten und Fakten, die einer solchen schöpferischen Leistung zwar zugrunde liegen können, aber separat von dieser nicht denselben Schutz wie die Schöpfung selbst genießen.126 Das Tor zum Urheberrecht bleibt geschlossen. 6. Zwischenergebnis Die Feststellung, dass grundsätzlich zumindest ein Recht an einem Datenbestand personenbezogener Daten bestehen kann, das durch § 303a StGB geschützt werden soll und auch einen entsprechenden Schutz über § 823 Abs. 1 BGB als sonstiges Recht genießen soll, gibt keine Auskunft über das hier in Frage stehende etwaige Dateneigentum als Ausschließlichkeitsrecht, das an dem Datenbestand selbst haften müsste. Weder aus § 303a StGB noch aus Wertungen des § 823 Abs. 1 BGB lässt sich ein solches Recht herleiten, da die Qualifizierung als sonstiges Recht keiner Analogie zu § 903 BGB bedarf.127
120 Zech, CR 2015, 137, 140; Walker, Die Kosten kostenloser Dienste, S. 103; MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 338. 121 Jöns, Daten als Handelsware, 2016, S. 13. 122 Dreier/Schulze/Schulze, UrhG Kommentar, § 2 Rn. 130 f. 123 Determann, ZD 2018, 503, 504. 124 Nordemann/Nordemann, Urheberrecht Kommentar, § 2 Rn. 1. 125 Statt vieler Schricker/Loewenheim/Loewenheim/Leistner, Urheberrecht Kommentar, UrhG § 2 Rn. 30 f. 126 Determann, ZD 2018, 503, 504; Dreier/Schulze/Schulze, UrhG Kommentar, § 2 Rn. 130 f.; vgl. auch Roßnagel, NJW 2017, 10, 11. 127 MüKoBGB/Wagner, 8. Aufl. 2020, § 823 Rn. 338.
230
Kap. 4: Vorschläge für mehr Transparenz
III. Verfechter des Dateneigentums Dennoch wird immer wieder auch weniger kritisch von etwaigem Dateneigentum gesprochen.128 Zwar mag der Widerstand gegen ein etwaiges Dateneigentumsrecht inzwischen in Tiefe und Breite insgesamt überwiegen.129 Dennoch ist es nicht obsolet, sich die Argumente anzusehen, die für ein Dateneigentumsrecht sprechen. Denn aus den Gedankengängen der Befürworter lassen sich möglicherweise auch wichtige Lehren für die grundlegende Gestaltung des (nicht notwendig eigentumsähnlichen) Rechts an Daten gewinnen. 1. Repräsentatives Dateneigentum nach Fezer Als bekannter Befürworter eines besonders ausgestalteten Dateneigentums prophezeit Fezer eine seinem Verständnis nach notwendige Entwicklung: „Der historische Weg geht vom Sacheigentum über das geistige Eigentum zum verhaltensgenerierten Informationseigentum.“130 Er sieht eine denkbare Normierung eines Dateneigentumsrechts als Ausdruck eines „zivilgesellschaftlichen Bürgerrechts“ an.131 Das Dateneigentum ist nach Fezer als Immaterialgüterrecht sui generis zu verstehen, dessen Legitimation nicht wie beim Urheberrecht in einem geistigen Schaffensprozess liegt, sondern in einem faktischen Prozess digitaler Datengenerierung durch Verhalten.132 Eine solche Lesart könne als eine natürliche Konsequenz des Eigentumsbegriffs verstanden werden, der sich im Laufe der Historie „von einem statischen Substanzbegriff zu einem dynamischen Funktionsbegriff“ entwickelt hat.133 Nicht die Funktion haftet am Eigentum, sondern das Eigentum wird erst geformt durch seine Funktionalität. Nimmt man demnach an, dass durch die Generierung der Verhaltensdaten Eigentum entsteht, legt die Parallelität zum Sacheigentum nahe, dass bei Verträgen über digitale Inhalte, bei denen der verantwortliche Dienstanbieter die Daten erhebt und verarbeitet, eine Vermö128 Amstutz, AcP 2018, 439 ff., 548; Hoeren, MMR 2013, 486; Ensthaler, NJW 2016, 3473, 3475; Zech, GRUR 2015, 1151, 1153; Stender-Vorwachs/Steege, NJOZ 2018, 1361, 1364; vgl. Spindler, Der Betrieb 2018, 41, 41f.; Fezer, Repräsentatives Dateneigentum, 2018, S. 31 m.w. N. 129 Kühling/Sackmann, ZD 2020, 24; dies., Rechte an Daten, 2018, S. 19 ff.; Walker, Die Kosten kostenloser Dienste, S. 82; Determann, ZD 2018, 503; ders., MMR 2018, 277; Dorner, CR 2014, 617, 626; Hornung/Goeble, CR 2015, 265; differenzierend hinsichtlich eines etwaigen Datenerzeugerrechts: Zech, CR 2015, 137; ders., GRUR 2015, 1151; a. A. Amstutz, AcP 2018, 439 ff., 548; Hoeren, MMR 2013, 486; Fezer, MMR 2017, 3. 130 Fezer, ZD 2017, 99, 101. 131 Fezer, Repräsentatives Dateneigentum, 2018, S. 12. 132 Fezer, Repräsentatives Dateneigentum, 2018, S. 13 f. 133 Fezer, Repräsentatives Dateneigentum, 2018, S. 13.
F. Dateneigentum
231
gensausgleichspflicht gegenüber dem datengenerierenden Nutzer und Vertragspartner erfolgen sollte.134 Der monetäre Wert einer Datums ist allerdings schwierig zu ermitteln; Fezer schlägt daher ein „repräsentatives Dateneigentum“ vor, das mehr zivilgesellschaftlichen Nutzen hat, als dass es die Herrschaftsposition des Individuums in einem mit § 903 BGB vergleichbaren Sinne schützt. Die Art und Weise der Erhebung, Verarbeitung, Nutzung, Speicherung usw. von Daten soll ergo nicht wie bei Sacheigentum im Wesentlichen der Betroffene selbst bestimmen können und müssen, sondern ein demokratisch legitimiertes Repräsentativorgan, das im Sinne der Bürger mit den Verantwortlichen Regeln aushandelt.135 Der Vermögensausgleich für die Datennutzung, der durch dieses Repräsentativorgan erzielt wird, soll im Anschluss als „zweckgebundenes Datensondervermögen“ in sachnahe Projekte im mutmaßlichen Sinne der Betroffenen (i. e. regelmäßig im Sinne des Verbraucherschutzes) angelegt werden.136 Schließlich sollen Ausschließlichkeitsrechte nicht um ihrer selbst Willen geschaffen werden, sondern dem Wohle der Gemeinschaft dienen137 – dieses Erfordernis nimmt Fezer beim Wort. Die Grenzen zum Treuhandmodell sind hier teilweise verschwommen;138 der Vorschlag von Fezer erinnert fast eher an ein ausgeklügeltes Treuhandmodell anstelle eines Dateneigentums. Ein wesentlicher Unterschied zu einem Treuhänder besteht indes darin, dass die Verwaltung der Dateneigentums durch Repräsentanten aus der Zivilgesellschaft und nicht allein durch professionelle Treuhänder wahrgenommen werden soll. 2. Stellungnahme zu Fezers Vorschlag Etwaige Schutzlücken hinsichtlich eines solchen eigentumsähnlichen Rechts an Daten sind nicht auszuschließen. So ist in diesem Gedankenexperiment wiederum unklar, wie ein solches neu geschaffenes „Repräsentativ-Recht“ dogmatisch einzuordnen sein soll, insbesondere, da es sich, jedenfalls in seiner faktischen Ausprägung, weniger um die persönliche Ausübung eines Individualrechts handelt als die Umsetzung allgemeiner Bürgerinteressen.139 Soll es ebenfalls als „sonstiges Recht“ i. S. v. § 823 Abs. 1 BGB kategorisiert werden?140 Gegen eine 134 Fezer, Repräsentatives Dateneigentum, 2018, S. 14. Freilich kann dem entgegengehalten werden, dass dieser Ausgleich regelmäßig bereits im Zugang zu jeweiligen digitalen Produkten liegt. 135 Fezer, Repräsentatives Dateneigentum, 2018, S. 16. 136 Fezer, Repräsentatives Dateneigentum, 2018, S. 18. 137 Determann, ZD 2018, 503, 504; Wiebe/Schur, ZUM 2017, 461, 462 f. 138 Siehe dazu Kap. 4, E. 139 Vgl. Riechert, DuD 2019, 354, 355. 140 Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 85, 95. Ebenso wird kritisiert (ebd.), dass ein derartiges Recht an Daten erst aner-
232
Kap. 4: Vorschläge für mehr Transparenz
Qualifikation als „sonstiges Recht“ oder als Recht mit spezifischem Zuweisungsgehalt an den Datenerzeuger spricht wiederum die Einordnung als repräsentatives Dateneigentum durch Fezer. Kann etwas in gleichem Maße sowohl Allgemeingut als auch subjektives Recht eines Einzelnen sein? Dies wird im Zweifel zu verneinen sein. Für ein repräsentatives Dateneigentum spricht indes, dass die vertraglichen Vereinbarungen über die Datenerhebungen und nutzungen regelmäßig für den Verbraucher unübersichtlich werden.141 Die Schaffung eines neuen, speziellen Ausschließlichkeitsrechts anstelle einer Flut von Regelungen über etwaige Zugriffs-/Zugangsrechte könnte dem unter Umständen mittels klarer Zuweisungspositionen Abhilfe schaffen. Insbesondere muss auch im Voraus klar sein, wer wem in welchem Umfang Zugangsrechte einräumen dürfen soll, was erst durch ein solches Zuordnungsrecht wie ein Eigentumsrecht bestimmt wird.142 Schließlich gleicht schon jetzt die andauernde Überlassung der betroffenen Daten, polemisch ausgedrückt, einer (wenn auch nicht-rivalen und nicht-exklusiven) Übertragung – denn was mit den Daten nach der Erhebung geschieht, ist für den Betroffenen meist nebulös und der Kontrolle entzogen (auch die Löschungs- und Rückgaberechte tun diesem Anschein keinen Abbruch: Die bei körperlichen Gegenständen mögliche augenscheinliche Rückgabe ist mit dem bloßen Vertrauen in die Löschung nach Widerruf nicht gleichsetzbar – lediglich rechtlich gleichwertig). Gerade aufgrund dieser Unübersichtlichkeit könnte womöglich (vor allem aus Sicht der Nutzer) die Gefahr bestehen, dass unerwünscht Dritte Zugriff auf die Daten erhalten.143 Das repräsentative Dateneigentum hebt diesen Nebel zwar nicht auf, aber räumt dem Betroffenen möglicherweise wenigstens einen gewissen Überblick ein: Das Repräsentativorgan könnte verpflichtet werden, Übersichten über die Intensitäten von Datenerhebungen zu führen. Denkbar ist auch hier wieder ein kontrolliertes „Label“ auf Datenpaketen, deren Umfang wiederum durch das Repräsentativorgan bestimmt und von unabhängigen Gremien überwacht wird. Der Vorschlag eines repräsentativen Dateneigentums und mithin eines entsprechenden Organs ist daher weniger invasiv als vielmehr strukturierend und ordnend. Die Umsetzung wäre wiederum mit großem Aufwand verbunden. Zu schaffen und zu besetzen wären entsprechende unabhängige Gremien, die das „Datensondervermögen“ im Bürgerinteresse repräsentativ verwalten.144 Riechert kannt werden müsste, bevor eine Eingriffskondiktion bejaht werden könnte. Dagegen lässt sich freilich einwenden, dass bereits in der Bejahung einer etwaigen Eingriffskondiktion selbst eine Anerkennung gesehen werden könnte; diese Herangehensweise erinnert insofern an einen Zirkelschluss; so im Hinblick auf § 823 Abs. 1 BGB Walker, Die Kosten kostenloser Dienste, S. 103. 141 Kornmeier/Baranowski, BB 2019, 1219. 142 Riechert, DuD 2019, 353, 356. 143 Kornmeier/Baranowski, BB 2019, 1219. 144 Fezer, Repräsentatives Dateneigentum, S. 84.
F. Dateneigentum
233
attestiert Fezer einen Ansatz „der das Recht neu denkt“.145 Denn das repräsentative Dateneigentum nach Fezer lässt nicht die Übertragung und mithin Verluste von Rechten an Daten der Bürger befürchten, sondern soll als „Gestaltungsrecht dem Freiheitsschutz der Bürger dienen und [. . .] diesen gleichzeitig eine Partizipation ermöglichen“.146
IV. Gegen Dateneigentum Die Gegner eines etwaigen Dateneigentums stellen den wenig alltagstauglichen Romantizismus eines etwaigen Dateneigentums in den Vordergrund.147 So kritisiert Peifer die Versuche, Persönlichkeitsrechten Dispositionsmöglichkeiten anzuheften, die weit über Abwehrmechanismen hinausgehen, als Summe von „Tendenzen, die sich unter dem Deckmantel der Verletzungsprävention anschicken, das Persönlichkeitsrecht zu einem Eigentumsrecht auszubilden“148, in Wahrheit aber eine „marktmäßige Instrumentalisierung des ideellen Schutzinstruments“149 zur Folge haben. Jöns stimmt damit überein und analysiert, dass ein vollumfängliches Eigentumsrecht i. S. v. § 903 BGB an Daten eine Schwächung der Stellung des Betroffenen zur Folge hätte.150 Denn es stünde zu befürchten, dass Verbraucher ihr Dateneigentum unüberlegt übertragen würden, mit der Konsequenz, endgültig den Einfluss auf den Umgang mit den eigenen Daten zu verlieren.151 Dem kann indes entgegnet werden, dass die Widerrufsmöglichkeit auch hier gelten würde und einen dauerhaften Übertragungstatbestand aushebeln könnte. Denkt man die Übertragung dennoch weiter, könnte die Gegenseite (der Datenverarbeiter) durch den Erwerb umfassender Datenpakete eher gestärkt werden und die Monopolisierung angetrieben werden, wenn Großkonzerne sich mit Dateneigentum ausstatten könnten, während kleinere und mittlere Unternehmen dies nicht finanzieren können.152 Im industriellen153, aber auch im privaten Bereich würde die Möglichkeit von Dateneigentum unter Umständen dazu führen, dass eine „Zersplitterung“ von Informationen die Grundrechte aus Art. 5 GG unterläuft.154 Daher liege wohl näher, nur Zugangs- und Nutzungsrechte an Daten
145
Riechert, DuD 2019, 353, 355. Riechert, DuD 2019, 353, 355. 147 So wird beispielsweise auch ein faktisch mangelnder Nutzen kritisiert: Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 85, 98 f. 148 Peifer, GRUR 2002, 495. 149 Peifer, GRUR 2002, 495, 499. 150 Jöns, Daten als Handelsware, 2016, S. 69. 151 Vgl. Jöns, Daten als Handelsware, 2016, S. 69; Kerber, GRUR Int. 2016, 989, 996. 152 Determann, ZD 2018, 503, 507. 153 Dazu Wiebe/Schur, ZUM 2017, 461. 154 Determann, ZD 2018, 503, 507 f. 146
234
Kap. 4: Vorschläge für mehr Transparenz
anzunehmen, aber kein an den Daten haftendes, übertragbares Recht.155 Die Zuordnung der Daten an den Betroffenen erfolge eher über „vermögensrelevante Zuweisungsrechte“.156 Solche Zuweisungsrechte bedürfen auch bestimmter Kriterien, die sie bedingen. Grundsätzlich mag dabei je nach den zugrundeliegenden Kriterien auch die Software selbst bzw. der Verarbeiter, welcher die Datenerhebung ermöglicht, als Erzeuger und mithin Zuweisungsberechtigter der Daten erscheinen.157 Im hier betrachteten Falle, in dem es sich ausschließlich um die Verarbeitung personenbezogener Daten handelt, erschließt sich jedoch anhand der berührten grundrechtlichen Positionen des Betroffenen (allgemeines Persönlichkeitsrecht, informationelle Selbstbestimmung) als einzig naheliegend, den Betroffenen selbst als denjenigen, dem die Daten rechtlich zugeordnet sind, anzuerkennen.158 Problematisch wird auch hier eine heterogene Mischung von verschiedenen Systemen: Denn das Datenschutzrecht als (im weitesten Sinne) Abwehrrecht verfolgt nicht die gleichen Ziele wie das Privatrecht, insbesondere wie das Schuldund Sachenrecht.159 Datenschutzrechtlichen Problemen mit der Möglichkeit eines privatrechtlichen Dateneigentumsrechts zu begegnen, kann daher jedenfalls nicht umfassend zu einer Lösung führen.160
V. Stellungnahme zum Dateneigentum Als Kompromissvorschlag zur besseren dogmatischen Anwendung wurde die Einführung eines „Persönlichkeitsrechts als Hybridrecht mit immaterialgüterrechtlichen Aspekten nach urheberrechtlichem Vorbild“ vorgeschlagen.161 Das dem Datenerzeuger an seinen Daten zustehende Vermögensrecht sei dann auch als Ausschließlichkeitsrecht zu begreifen.162 Diese Überlegungen müssen indes ähnlichen Bedenken begegnen wie die Überlegungen zu einem Dateneigentum. Zudem steht die Frage im Raum, wie das Hindernis überwunden werden kann, dass Immaterialgüter regelmäßig dadurch gekennzeichnet sind, einem Schöp-
155 Roßnagel, NJW 2017, 10, 11; Peitz/Schweitzer, NJW 2018, 275, 279; dazu Wiebe, CR 2017, 87, vgl. allgemein zu dieser Wende Kumkar, ZfPW 2020, 306, 314: „Vom ,Haben‘ zum ,Nutzen‘ “. 156 Paal/Hennemann, NJW 2017, 1697. 157 Wiebe, GRUR Int. 2016, 877, 883; Zech, GRUR 2015, 1151, 1159. 158 Vgl. Walker, Die Kosten kostenloser Dienste, S. 119. 159 Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 85, 92. 160 Faust, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, 2019, S. 85, 92. 161 Wandtke, MMR 2017, 6, 10 m.w. N. 162 Wandtke, MMR 2017, 6, 10 m.w. N.; Kerber, GRUR Int. 2016, 639, 646.
G. Aktuelle Entwicklungen: Neue Schranken durch das Kartellrecht
235
fungsakt zu entspringen.163 Dies trifft auf personenbezogene Datenansammlungen jedenfalls nicht zu.164 Nach der hier vertretenen Ansicht kann de lege lata nur ein Zugangsrecht an den Daten weitergegeben werden: ein relatives Recht, dessen faktische Ausgestaltung mit Einwilligung und Widerruf vereinbar ist – ganz im Gegensatz zu einem Ausschließlichkeitsrecht, das hier auf Schwierigkeit stoßen würde. De lege ferenda ist die Schaffung eines regulierenden Rechtsrahmens für Dateneigentum dennoch wünschenswert. Gemeint ist damit indes kein Individualgut im engeren Sinne, sondern ein repräsentatives Modell, das die Interessen der Betroffenen im Sinne von Fezers repräsentativem Dateneigentum umsetzt. Alternativ ist auch ein Treuhandmodell, das ohne den Eigentumsterminus auskommt, denkbar und würde wahrscheinlich auch auf weniger Widerstand stoßen.
G. Aktuelle Entwicklungen: Neue Schranken durch das Kartellrecht Um zumindest der Machtkonzentration bei den bestimmten heutzutage nahezu unausweichlichen Großkonzernen („GAFA“165: Google, Amazon, Facebook und Apple) regulatorisch entgegenzutreten und den digitalen Binnenmarkt fair zu gestalten, hat die EU-Kommission ein Regelungspaket entworfen, in dem Haftungsund Sicherheitsvorschriften für digitale Plattformen, Dienste und Produkte für kartellrechtliche Fairness und Transparenz sorgen sollen. Die beiden zentralen Gesetze werden der „Digital Services Act“ (DSA) und der „Digital Markets Act“ (DMA) sein und sind noch in der Entstehungsphase. Während der DSA insbesondere zur Umsetzung der Richtlinie über den elektronischen Geschäftsverkehr166 beitragen soll und damit einen weiter gefassten Anwendungsbereich anstrebt, dürfte der DMA insbesondere auf die besagten GAFA und vergleichbare digitale „Riesen“ zugeschnitten sein. Das Inkrafttreten erfolgt jeweils im Laufe des Novembers 2022, wobei der DMA zum Mai 2023 und der DSA zum Februar 2024 Anwendung finden soll. In aller Kürze werden die im Zusammenhang mit dieser Arbeit relevanten Neuerungen im Folgenden dargestellt.
163 Zech, CR 2015, 137, 141; zu Immaterialgüterrecht in diesem Kontext siehe auch Walker, Die Kosten kostenloser Dienste, S. 111 ff. 164 Walker, Die Kosten kostenloser Dienste, S. 92. 165 Polley/Kaup, NZKart 2020, 113, 116; Grünwald, MMR 2020, 822, 823. 166 Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt, OJ L 178, 17.07. 2000, S. 1–16.
236
Kap. 4: Vorschläge für mehr Transparenz
I. DSA und DMA Ziel des DSA ist ein verbesserter Schutz der Verbraucherrechte im Internet sowie die Ermöglichung eines klaren Transparenz- und Rechenschaftsrahmens für Online-Plattformen, gleichzeitig aber auch die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit im (digitalen) Binnenmarkt.167 Der DMA bezweckt die sektorspezifische Regulierung besonders marktstarker Plattformen. Daher sollen bei Plattformdiensten, auf denen zentral ein reiches Angebot verschiedener Unternehmer verfügbar ist, in Zukunft besondere Regelungen gelten, um den Markt fair gestalten zu können und ein allzu großes Missverhältnis zwischen verschiedenen Anbietern zu vermeiden. Der DMA soll die sog. Gatekeeper in ihre Schranken weisen. Ein Unternehmen bzw. eine Plattform ist laut offizieller EU-Definition als Gatekeeper zu qualifizieren, wenn es: – „eine starke wirtschaftliche Position mit erheblichen Auswirkungen auf den Binnenmarkt innehat und in mehreren EU-Ländern aktiv ist, – über eine starke Vermittlungsposition verfügt, d. h. eine große Nutzerbasis mit einer großen Anzahl von Unternehmen verbindet, – eine gefestigte und dauerhafte Marktstellung hat (oder bald haben wird), d. h. langfristig stabil ist“.168 Unter diese Definition fallen aktuell jedenfalls die „GAFA“: Google, Amazon, Facebook, Apple.169 Eine (bis dato nicht unbedingt abschließende) Aufzählung möglicher Plattformbereiche enthält Art. 2 Nr. 2 DMA-E. Die starke Position soll nicht ausgenutzt werden dürfen, um den Markt entscheidend zu lenken: Andernfalls könnten zentrale Plattformdienste ihren Status beispielsweise dafür missbrauchen, Konkurrenten vom Geschäft auszuschließen oder Kunden geradezu unfreiwillig zu binden.170 Beispiele hierfür wären spezifisch diskriminierende Ran167 Vorschlag für eine Verordnung des europäischen Parlaments und des Rates über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG, 15.12.2020 COM(2020) 825 final 2020/0361 (COD), abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:520 20PC0842&from=de (Stand 01.05.2022), S. 1–5. 168 So offiziell die Definition der Europäischen Union, abrufbar unter: https://ec. europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/digital-markets-actensuring-fair-and-open-digital-markets_de#die-nderungen-im-berblick (Stand 01.05. 2022); siehe auch Vorschlag für eine Verordnung des europäischen Parlaments und des Rates über bestreitbare und faire Märkte im digitalen Sektor (Gesetz über digitale Märkte), 15.12.2020 COM(2020) 842 final 2020/0374 (COD), abrufbar unter: https:// eur-lex.europa.eu/ legal-content/DE/TXT/ PDF/?uri=CELEX:52020PC0842&from=de (Stand 01.05.2022), S. 1, 18. 169 Polley/Kaup, NZKart 2020, 113, 116; Grünwald, MMR 2020, 822, 823. 170 Zu den Risiken allgemein Martini, JZ 2017, 1017.
G. Aktuelle Entwicklungen: Neue Schranken durch das Kartellrecht
237
kings/Darstellungen auf virtuellen Marktplätzen (kein „self-preferencing“), oder ein Verbot desselben Angebots auf anderen Plattformen, so Art. 5, 6 DMA-E. Insofern soll – nach Erwägungsgrund 10 des DMA-Vorschlags ausdrücklich – das Wettbewerbsrecht zwar ergänzt werden, aber nicht berührt.171 In Einklang mit der DS-GVO verbietet Art. 5 lit. a DMA-E das Zusammenführen von Daten ohne entsprechende Einwilligung des Endnutzers. Diese Richtung wird auch von Erwägungsgrund 36 des DMA flankiert: Gatekeeper sollen danach ihren Nutzern auch eine mit weniger personenbezogenen Daten verbundene Alternative anbieten. Dieses Angebot soll (auf Basis einer Opt-In-Einwilligung zur Datenverarbeitung) sowohl für Dienste der Gatekeeper selbst, als auch für Websites Dritter gelten und den Endnutzern proaktiv auf explizite, klare und überschaubare Weise präsentiert werden (so wörtlich Erwägungsgrund 36 am Ende). Die Frage, ob es nicht möglich ist, eine Alternative zur Datenerhebung anzubieten, drängt sich längst auf 172 und wird hier zum ersten Mal konkret bedacht. Zur Umsetzung wird der EU-Kommission ermöglicht, Abstellungsanordnungen zu verfügen, Geldbußen zu verhängen oder auch einstweilige Anordnungen zu treffen. Es bleibt zu hoffen, dass die Umsetzung der guten Intention in nichts nachstehen wird.173 Insgesamt sind DSA und DMA jedenfalls erfreuliche Vorstöße in die Richtung eines stärker regulierten Internetmarktes.174
II. Nationale Praxis: BGH, Urteil vom 23.06.2020 – KVR 69/19 Neben diesen europäischen Bestreben haben sich auch nationale Bewegungen gezeigt, die weiterhin im Interesse eines fairen Marktes die Machtkonzentration (und vor allem: die Datenmachtkonzentration) einschränken: So steht es beispielsweise mit der im Folgenden dargestellten Auseinandersetzung von Bundeskartellamt und BGH mit Facebook. Der Vernetzung personenbezogener Daten wurden Grenzen gesetzt: Im o. g. Urteil hob der BGH eine Entscheidung des OLG Düsseldorf auf, mit der der 171 Vorschlag für eine Verordnung des europäischen Parlaments und des Rates über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG, 15.12.2020 COM(2020) 825 final 2020/0361 (COD), abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:520 20PC0842&from=de (Stand 01.05.2022), S. 18. 172 Vgl. Krüger, ZRP 2016, 190, 191; ausführlich Becker, JZ 2017, 170, 175 ff. 173 Podszun/Bongartz/Langenstein, EuCML 2021, 60, 66 f.; Schweitzer, ZEuP 2021, 503, 539 ff. 174 Podszun/Bongartz/Langenstein, EuCML 2021, 60, 67; kritisch Schweitzer, ZEuP 2021, 503, 541 f.
238
Kap. 4: Vorschläge für mehr Transparenz
Vollzug einer Verfügung des Bundeskartellamtes175 aufgeschoben worden war. Nach Ansicht des Bundeskartellamts verstießen die Nutzungsbedingungen von Facebook gegen § 19 Abs. 1 GWB, da das Unternehmen hierdurch seine marktbeherrschende Stellung missbräuchlich ausnutzte. Hintergrund war, dass Facebook auf Grundlage einer einzelnen alternativlosen Einwilligung auch jenseits der eigentlichen Facebook-Plattform nutzerbezogene und nutzergerätebezogene Daten ausgewertet und diese mit den auf Facebook gesammelten Nutzerdaten vernetzt hatte. Betroffen war die Nutzung des Dienstes Instagram, der auch zum Facebookkonzern („Meta“) gehört. Obwohl die Dienste aus Nutzersicht zunächst separat in Erscheinung traten, wurden sämtliche Daten aus einem Nutzerprofil in Instagram mit dem entsprechenden Nutzerprofil aus Facebook verknüpft. Dies ermöglichte, im Ergebnis ein viel detaillierteres Datenprofil des Nutzers anzufertigen. Da der Zweck des sozialen Netzwerks eben im sozialen Netzwerken liegt, kann der Nutzer aufgrund der beispiellosen Verbreitung Facebooks (i. e. marktbeherrschenden Stellung) nicht auf Alternativen ausweichen.176 Daher hatte das Bundeskartellamt mit Beschluss vom 06.02.2019 eine derartige Datensammlung und -verknüpfung, die über die eigentliche Nutzung von Facebook hinausgeht, zunächst untersagt. Dies hatte zur Folge, dass von Facebook bis auf Weiteres verlangt wurde, von seinen Nutzern nicht nur eine einzige pauschale Einwilligung in die bis dato so umfassend praktizierte Datenerhebung und -verarbeitung einzuholen. Die umfassenden Berechtigungen, die die von Facebook vorformulierte Einwilligung ermöglichte, müssten insofern teils abdingbar sein; andernfalls war im Sinne des Bundeskartellamtes davon auszugehen, dass Facebook seine marktbeherrschende Stellung ausnutzte. Der Nutzer muss entscheiden können, ob er möchte, dass nur die innerhalb der Plattform generierten Daten verarbeitet werden, oder ob er auch darüberhinausgehend in die Datenerhebung durch Facebook einwilligt. Das OLG Düsseldorf hatte auf Antrag Facebooks die aufschiebende Wirkung der Beschwerde angeordnet, § 65 Abs. 3 GWB. Als Grund hierfür galten ernstliche Zweifel an der Rechtmäßigkeit der Verfügung. Diese Argumentation hat der BGH nicht bestätigt und sich vielmehr der ursprünglichen Begründung des Bundeskartellamts angeschlossen. Zwar ist das Hauptsacheverfahren noch nicht entschieden; es handelt sich indes bis hierhin um ein aus Datenschutzperspektive erfreuliches Ergebnis, das nicht nur der weiteren Monopolisierung entgegenwirken könnte, sondern auch die Bedeutung der datenschutzrechtlichen Einwilligung in den Vordergrund 175 Beschluss des BKartA: B6-22/16, Entscheidung vom 06.02.2019, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Entscheidungen/Miss brauchsaufsicht/2019/B6-22-16.pdf (Stand 01.05.2022). 176 So bereits Langhanke, Daten als Leistung, S. 78.
G. Aktuelle Entwicklungen: Neue Schranken durch das Kartellrecht
239
rückt. Im Hauptsacheverfahren hatte das OLG Düsseldorf beschlossen, die unklaren Fragen zum Verhältnis von nationalem Kartellrecht und DS-GVO dem EuGH vorzulegen.177 Schließlich wird inzwischen diskutiert, die Kompetenzen des Bundeskartellamts auszuweiten: auch im Interesse der „Komplementarität von Verbraucherschutz und Wettbewerbsschutz“.178 Daran darf kritisiert werden, dass die Gefahr besteht, dass das Kartellrecht zu „konturlos“ werden könnte.179 Entscheidend für die Anwendung von Kartellrecht sollte insofern bleiben, dass tatsächlich auch „wettbewerbsbeschränkende Auswirkungen auf dem relevanten Markt“ zu befürchten sind, da andernfalls die Zuständigkeiten zwischen Datenschutzrecht, Kartellrecht und Verbraucherschutzrecht zerfließen könnten, was der Rechtsklarheit nicht dienlich wäre.180 Denn die Kartellbehörden sind, so Körber, „weder allgemeine Aufsichtsbehörden für marktbeherrschende Unternehmen noch Verbraucher- oder Datenschutzbehörden“.181 Der Generalanwalt hat in seinem Schlussantrag am 20.09.2022 postuliert, „dass eine Wettbewerbsbehörde im Rahmen ihrer Befugnisse im Sinne der Wettbewerbsregeln inzident prüfen kann, ob die untersuchten Praktiken mit den Regelungen der DS-GVO vereinbar sind“.182 Es bleibt insofern mit Spannung abzuwarten, wie der EuGH die Vorlagefragen des OLG Düsseldorf schlussendlich beantworten wird.
177
OLG Düsseldorf, EuZW 2021, 680; aktuell anhängig beim EuGH Az. C-252/21. So Augenhofer in ihrem Vortrag „Verbraucherschutz und Algorithmenkontrolle durch das Kartellamt?“ am 07.05.2021 auf der Tagung „Marktermöglichung durch Recht im Digitalen Zeitalter“ der Universität Erlangen-Nürnberg. 179 Lindenberg, WRP 2021, 301, 311. 180 Lindenberg, WRP 2021, 301, 311; Körber, NZKart 2019, 187, 193 ff. 181 Körber, NZKart 2019, 187, 195. 182 Schlussanträge des Generalanwalts A. Rantos vom 20.09.2022, Rechtssache C252/21, zur 7. Vorlagefrage Nr. 33, abrufbar unter: https://curia.europa.eu/juris/docu ment/document.jsf?text=&docid=265901&pageIndex=0&doclang=DE&mode=req&dir= &occ=first&part=1&cid=20815 (Stand 02.01.2023). 178
Schlussbetrachtung und Ausblick „Die Zukunft ist jetzt“1 – aber das Gesetz hinkt hinterher. Das ist prekär, weil die tatsächlich rasant fortschreitende Digitalisierung das Recht weiterhin zu überholen droht. Viele rechtliche Ansätze wurden geschaffen, die datenschutzrechtlichen Fortschritt begleiten sollen. Doch im Ergebnis wurden zu viele zentrale Fragen offen gelassen: The elefant in the room bleibt, dass der Nutzer, der digitale Produkte mit seinen persönlichen Daten faktisch bezahlt, kein hinreichendes Verständnis von diesem seine Intimsphäre betreffenden Rechtsgeschäft hat. Er leistet eine in der Regel synallagmatische Gegenleistung für ein digitales Produkt, ohne dass diese für ihn im geringsten „fühlbar“ ist; dies ist ein großer Unterschied zu monetären Leistungen. Eine solche Entwicklung konnte lange nicht vorhergesehen werden – die Konzeption unseres Privatrechts baut nicht auf „Big Data“ auf, sondern eher noch auf Ihrem Gegenteil: Auf der gegenseitigen Sichtbarkeit, der sozialen Interaktion, der erkennbaren (Dis-)Parität der Beteiligten. Inzwischen vermischen sich Privatrecht und öffentliches Recht hier immer mehr – und das müssen sie auch, wenn persönliche Daten zum Zahlungsmittel von Verbrauchern werden. Denn die Verlockung, die viele Produkte der Digitalisierung auf den Einzelnen ausüben, zusammen mit deren Unumgänglichkeit im sozialen Alltag, bringen den Einzelnen in eine sehr schwache Position.2 Man stelle sich nur vor, dass Facebook eine staatliche Einrichtung wäre: Nein, es ist unvorstellbar, denn unsere Grundrechte als Abwehrrechte der Bürger gegen den Staat lassen ein staatliches Facebook in seiner jetzigen Form kaum denkbar erscheinen. Doch zwischen Privaten ist vieles erlaubt: Am Ende alles, was nicht verboten ist. Deshalb bedarf es einer regelmäßigen Überprüfung und Flankierung der neu aggregierten rechtlichen Situationen, in denen wir uns aufgrund des technischen Wandels wiederfinden. Konkret bedeutet dies, dass ein Recht auf datenerhebungsfreie Produkte zu schaffen ist.3 Wünschenswert wäre vor allem eine alternative Geldzahlung, ggf. abstufbar je nach bestehender Bereitschaft, Personendaten preiszugeben. Dies würde den intransparenten Datenpreis sichtbar machen. Möglich sollte stets eine 1
Holthausen, RdA 2021, 19, 32. Vgl. Hoofnagle/Whittington, 61 UCLA L. Rev. 606 (2014), 606, 636. 3 Walker, Die Kosten kostenloser Dienste, S. 219; Becker, JZ 2017, 170, 175 ff.; Hacker/Petkova, Northwestern Journal of Technology and Intellectual Property 2017, Vol. 15, Issue 1, 1, 20 ff. 2
Schlussbetrachtung und Ausblick
241
Null-Daten-Entscheidung sein; vorausgesetzt, das digitale Produkt ist ohne eine grundlegende Datenverarbeitung technisch nutzbar (andernfalls ist die Verarbeitung dann auf das absolut Notwendige zu beschränken). Zur Evaluierung und zum Verbesserungsbedarf der aktuellen Situation lassen sich im Anschluss an diese Arbeit folgende Thesen festhalten:
I. Personenbezogene Daten als Gegenleistung 1. Personenbezogene Daten in Verbindung mit der datenschutzrechtlichen Einwilligung (i. e. Datenzugang und Datennutzungsbefugnis) sind im Alltag des Internets regelmäßig die Gegenleistung von Verbrauchern in einem Vertrag mit Anbietern digitaler Produkte. 2. Dieser Vertrag ist in der Regel ein synallagmatischer Vertrag, seltener ein Vertrag mit konditionaler Verknüpfung. Die Auslegung der Willenserklärungen kann in concreto zeigen, welche Option zutrifft. Es handelt sich bei den untersuchten Konstellationen nicht um eine bloße Nebenabrede: Denn die digitalen Angebote, die Gegenstand dieser Untersuchung sind, werden durch die Datenverarbeitungen finanziert. 3. Der alltäglich gewordene Handel mit persönlichen Informationen wird privatrechtlich kaum abgebildet – es besteht daher Bedarf, die geschuldete „Datenleistung“ des Betroffenen zu kodifizieren, um die datenschutzrechtlichen Befugnisse des Betroffenen auch in einem privatrechtlichen Rahmen für den Betroffenen verständlich zu gestalten. 4. Die Umsetzung der Digitale-Inhalte-Richtlinie ((EU) 2019/770) in Form der §§ 327 ff. BGB schafft vor allem für die Rechte des Verbrauchers hinsichtlich seiner monetären Leistung Klarheit, ebenso hinsichtlich der Pflichten des Unternehmers bei der Leistung digitaler Produkte. Was die Pflichten des Verbrauchers im Falle des gem. §§ 312 Abs. 1a, 327 Abs. 3 BGB vorgesehenen Austauschs von personenbezogenen Daten gegen digitale Produkte betrifft, herrscht keine Klarheit. 5. Privatrechtliche Probleme können nicht mit öffentlich-rechtlichen Normen gelöst werden. Daher sind Regelungen zu schaffen, die den speziellen Anforderungen an die privatrechtlichen Vertragsgestaltungen im Falle des „Zahlens mit Daten“ gerecht werden. Dies betrifft konkret die Erteilung der Einwilligung im Internet, den Widerruf, die Schaffung transparenter Datenpreise und die Zahlung einer Geldleistung als verpflichtende Alternative. Für entsprechende Regelungen de lege ferenda zeigt das Datenschutzrecht dem Datenschuldrecht Grenzen auf. 6. Nach dem aktuellen Stand bietet dogmatisch eine Einstufung als Lizenzvertrag das vielversprechendste Modell für eine Kategorisierung, nicht zuletzt
242
Schlussbetrachtung und Ausblick
weil dieser Vertragstyp als Vertrag sui generis an den „amorphen Gegenstand“ der „personenbezogenen Daten“ am ehesten angepasst werden kann.
II. Kritik: Die Einwilligung und der Wert der Daten 1. Die datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist die Grundlage der meisten datenbasierten Geschäftsmodelle im Internet. Sie ermöglicht die Verarbeitung personenbezogener Daten, wenn der Betroffene die Einwilligung gem. Art. 4 Nr. 11 DS-GVO freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich erteilt. Diese Kriterien, die die Wirksamkeit einer datenschutzrechtlichen Einwilligung bedingen, sind im Alltag des Internets kaum zu erfüllen. Realiter ist die Anforderung der „Informiertheit“ (und infolgedessen auch die „Freiwilligkeit“) der Einwilligung zu einer Fiktion verkommen. Die tatsächlichen Konsequenzen einer datenschutzrechtlichen Einwilligung im Internet sind dem Betroffenen in der Regel nicht in ihrer Tragweite bewusst. Es herrscht vielmehr ein diffuses und unkonkretes Bewusstsein über den Datengebrauch. Diese aus dem AGB-Recht bekannte Problematik bzgl. Verbrauchern ist Teil einer allgemein akzeptierten Desinformation geworden. 2. Der Datenwert, d. h. vorgeschaltet auch der Wert der Einwilligung, ist für den Betroffenen undurchsichtig. Faktisch besteht der Datenwert vor allem in den folgenden Punkten: Bereitstellung von marktrelevanter Aufmerksamkeit, Analysierbarkeit des Datenflusses, Marktanalyse, darauf aufbauend Zugänglichkeit für personalisierte Werbeanzeigen, Erstellung von Konsumentenprofilen und -archetypen. 3. Eine strenge Betrachtung der erforderlichen „Informiertheit“ des Einwilligenden würde zur Unwirksamkeit der datenschutzrechtlichen Einwilligung von Verbrauchern führen. Würde dies beherzigt, so müsste zügig ein verbraucherrechtlicher Rahmen für die Einwilligung geschaffen werden, um das heutzutage unverzichtbare Geschäftsmodell weiterhin legitimieren zu können. Die Einwilligung in ihrer jetzigen Form und Art der Durchsetzung ist kein praxisgerechtes Modell zur Wahrung der informationellen Selbstbestimmtheit.
III. Verbesserungsvorschläge und Ausblick 1. Art. 1 Abs. 1 DS-GVO soll den freien Verkehr personenbezogener Daten gewährleisten und dadurch den Binnenmarkt stärken. Dieses Ziel steht in Spannung mit Art. 8 GRCh, der jedem Individuum die Kontrolle über seine personenbezogenen Daten zubilligt. Konkret erforderlich sind Maßnahmen, die sowohl den Datenfluss erhalten und die Wirtschaftlichkeit gewährleisten als auch Transparenz und Verbraucherschutz stärken.
Schlussbetrachtung und Ausblick
243
2. Als Mittel auf der Darstellungsebene (vor der Einwilligung) können unabhängige Zertifizierungen für datenfinanzierte Angebote dienen. Art. 42 DS-GVO bietet die rechtliche Grundlage. Zertifizierungen zur Intensität von Datenverarbeitungen bei digitalen Angeboten können für die Anbieter nicht nur eine Belastung, sondern auch ein Anreiz zu einem datensparsameren Vorgehen sein und die Attraktivität für datenbewusste Nutzer erhöhen. 3. Auch Treuhandmodelle und die Verantwortungsverlagerung auf Repräsentativorgane sind wünschenswert. Durch die Treuhänder oder Repräsentativorgane könnten Datenpreise verhandelt werden, die für die Betroffenen und die Anbieter digitaler Produkte verbindlich und transparent sind. So kann die Illusion umgangen werden, dass der Betroffene sich mit der Datenschutzerklärung vertieft auseinandersetzt und eine informierte Entscheidung fällt. 4. Die Schaffung eines Individualrechtsguts „Dateneigentum“ ist nicht zielführend für gelebten Datenschutz. An personenbezogenen Daten kann nur ein Zugangsrecht weitergegeben werden: ein relatives Recht, das mit Einwilligung und Widerruf vereinbar ist – ganz im Gegensatz zu einem Ausschließlichkeitsrecht. Dateneigentum ist nur als repräsentatives Rechtsgut de lege ferenda denkbar. Als Kollektivgut im Sinne eines Datensondervermögens könnte ein solches „repräsentatives Dateneigentum“ (Fezer), abgesichert durch unabhängige Kontrollgremien, für eine Entlastung der Verbraucher sorgen. Kritikabel bleibt an diesem Modell, dass dieser Idee im Ergebnis auch ein Treuhandmodell gerecht werden kann, ohne dass es der Schaffung eines neuen „repräsentativen Dateneigentums“ bedürfte, das bereits durch seine terminologische Überschneidung mit § 903 BGB erhöhte Widerstände erwarten ließe. 5. Problematisch bleibt das Spannungsverhältnis zur Privatautonomie. Doch dass die Privatautonomie u. a. durch Verbraucherschutz und Datenschutz begrenzt wird, ist kein Novum. Angesichts der Tatsache, dass regelmäßig die Intimsphäre des Betroffenen in Datenverarbeitungen einfließt, ist die Einschränkung der Privatautonomie, die durch die Verantwortungsverlagerung weg vom Betroffenen stattfindet, hinzunehmen. 6. Als Alternative sollte immer eine Geldzahlung in Verbindung mit vollständig anonymisierten Datenverarbeitungen angeboten werden, soweit das digitale Angebot nicht durch einen alternativen Erlaubnistatbestand aus Art. 6 DSGVO gedeckt ist. Nur so kann das Äquivalenzverhältnis auch aus Sicht des Betroffenen transparent gestaltet werden. 7. Mit Inkrafttreten des Digital Markets Act zum 01.11.2022 wurde das Wettbewerbsrecht ergänzt und die Macht marktbeherrschender Digitalkonzerne durch neue Verpflichtungen und Verbote beschränkt. Da die sog. „Gatekeeper“ ihren Marktanteil nicht zuletzt auch der massiven Datenkonzentra-
244
Schlussbetrachtung und Ausblick
tion auf wenige Akteure verdanken, ist diese Entwicklung datenschutzrechtlich zu begrüßen. 8. Dem Betroffenen ist eine Übersicht über seine erteilten Einwilligungen zu ermöglichen. Es sollten Kontoübersichten zur Verfügung stehen, die ihm einen Überblick über seine erteilten Einwilligungen und die jeweiligen Datenpreise, i. e. die Intensität der jeweiligen Erhebung und Verarbeitung, verschaffen. Wie auch in der Übersicht eines Geldkontos sollten hier die Einwilligungen bzw. Datentransfers in vereinfacht dargestellter Weise überblickbar und, soweit technisch möglich, reversibel sein, um in Einklang mit Art. 7 Abs. 3, Art. 17 DS-GVO den Widerrufs- und Löschungsrechten des Betroffenen Rechnung zu tragen. Dank § 26 TTDSG ist ein konkreter Vorstoß in diese Richtung zu verzeichnen; dieser bezieht sich indes nur auf Cookies. Es bleibt zu hoffen, dass zukünftig Dienste zur Einwilligungsverwaltung für alle datenschutzrechtlichen Online-Einwilligungen anerkannt und zugänglich werden. So kann dem Umstand vorgebeugt werden, dass der Betroffene regelmäßig vollständig den Überblick darüber verliert, wer über welche seiner personenbezogenen Daten verfügt. Es bleibt abzuwarten, inwieweit ein vergleichbares Modell mit der Umsetzung des § 26 TTDSG konkretisiert werden wird. Es ist deutlich geworden, dass der Betroffene geschützt werden muss, wenn informationelle Selbstbestimmung zur „informationellen Selbstgefährdung“ wird.4
4 So der treffliche Titel der Dissertation zum ähnlichen Thema in Zeiten vor der DSGVO von Hermstrüwer, Informationelle Selbstgefährdung, 2016.
Literaturverzeichnis Acquisti, Alessandro/John, Leslie K./Loewenstein, George: What is privacy worth?, Journal of Legal Studies, Vol. 42 (June 2013), Chicago, S. 249–274. Albrecht, Jan Philipp/Jotzo, Florian: Das neue Datenschutzrecht der EU, 1. Auflage, Baden-Baden 2017. Albrecht, Jan Philipp/Jotzo, Florian: Das neue EU-Datenschutzrecht – von der Richtlinie zur Verordnung. Überblick und Hintergründe zum finalen Text für die Datenschutz-Grundverordnung der EU nach der Einigung im Trilog, CR 2016, S. 88–98. Amstutz, Marc: Dateneigentum Funktion und Form, AcP (218), 2018, S. 438–551. Arbeitsgruppe „Digitaler Neustart“ der Konferenz der Justizministerinnen und Justizminister der Länder: Bericht vom 15. Mai 2017, abrufbar unter: https://jm.rlp.de/ fileadmin/mjv/Jumiko/Fruehjahrskonferenz_neu/Bericht_der_AG_Digitaler_Neu start_vom_15._Mai_2017.pdf (Stand 01.05.2022). Armbrüster, Christian: Wirksamkeitsvoraussetzungen für Prämienanpassungsklauseln, r + s 2012, S. 365–378. Artikel-29-Datenschutzgruppe: 17/DE WP259 rev.01 – Leitlinien in Bezug auf die Einwilligung gemäß Verordnung 2016/679, angenommen am 28. November 2017, zuletzt überarbeitet und angenommen am 10. April 2018, abrufbar unter: https://www. datenschutzstelle.li/application/files/3615/3674/7263/wp259rev01_de.pdf (Stand 01.05.2022). Artikel-29-Datenschutzgruppe: 844/14/EN WP 217 – Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, angenommen am 9. April 2014, abrufbar unter: https://www.datenschutzstelle.li/application/files/2915/5914/1746/WP217_Opinion 62014LegitimateInterest.pdf (Stand 01.05.2022). Auer, Marietta: Digitale Leistungen, ZfPW 2019, S. 130–147. Auer-Reinsdorff, Astrid: Noch mehr Informationspflichten, aber keine transparenten Icons in Sicht, MMR 2019, S. 209–210. Auer-Reinsdorff, Astrid/Conrad, Isabell: Handbuch IT- und Datenschutzrecht, 3. Auflage, München 2019 [zitiert als: Auer-Reinsdorf/Conrad/Bearbeiter, Handbuch IT, § Rn.]. Auernhammer ! siehe Eßer, Martin/Kramer, Philipp/von Lewinski, Kai (Hrsg.). Bartsch, Silke/Häußler, Angela/Lührmann, Petra: Konsum in der digitalen Welt, Haushalt in Bildung & Forschung 6 (2017), Heft 2, S. 52–65. Baumann, Johannes/Alexiou, Eleni: Cookie-Walls und die Freiwilligkeit von Nutzereinwilligungen, ZD 2021, S. 349–353.
246
Literaturverzeichnis
Baumgartner, Ulrich/Hansch, Guido: Onlinewerbung und Real-Time-Bidding, ZD 2020, S. 435–439. Bayerisches Landesamt für Datenschutzaufsicht (BayLDA): Google Analytics nur mit Einwilligung, ZD-Aktuell 2019, 06868. Beck, Wolfgang: Freundschaft im Dienst sozialer Netzwerke. Zur Regulierungsbedürftigkeit kommerzieller Datenabschöpfung, ZRP 2019, S. 112–115. Beck’scher Online-Kommentar zum Datenschutzrecht: hrsg. von Brink, Stefan/Wolff, Heinrich Amadeus, 39. Edition, Stand: 01.11.2021, München 2021 [zitiert als: BeckOK-DatenschutzR/Bearbeiter, 39. Ed. 01.11.2021, DS-GVO Art. Rn.]. Beck’scher Online-Kommentar zum Bürgerlichen Gesetzbuch: hrsg. von Bamberger, Heinz Georg et al., 61. Edition, Stand: 01.02.2022, München 2022 [zitiert als: BeckOK-BGB/Bearbeiter, § Rn.]. Becker, Carina: Das Recht auf Vergessenwerden, Tübingen 2019. Becker, Maximilian: Consent Management Platforms und Targeted Advertising zwischen DS-GVO und ePrivacy-Gesetzgebung, CR 2021, S. 87–98. Becker, Maximilian: Eine Materialisierung des datenschutzrechtlichen Koppelungsverbots. Zur Regulierung des vertragslosen Tauschs von Daten gegen Leistungen, CR 2021, S. 230–243. Becker, Maximilian: Das Recht auf datenerhebungsfreie Produkte, JZ 2017, S. 170–181. Bisges, Marcel: Personendaten, Wertzuordnung und Ökonomie, MMR 2017, S. 301– 306. BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.): Kinder und Jugendliche in der digitalen Welt, 2019, abrufbar unter: https://www.schau-hin.info/fileadmin/content/Downloads/Sonstiges/Bitkom_Studie _Kinder_und_Jugendliche_2019.pdf (Stand 01.05.2022). BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.): Jugend 2.0, Eine repräsentative Untersuchung zum Internetverhalten von 10- bis 18-Jährigen, 2011, abrufbar unter: https://www.bitkom.org/sites/default/ files/file/import/BITKOM-Studie-Jugend-20.pdf (Stand 01.05.2022). Böck, Nicole/Theurer, Jakob: Herstellerpflichten und Haftungsrisiken bei IT-Sicherheitslücken vernetzter Produkte, BB 2021, S. 520–525. Boehm, Franziska: Herausforderungen von Cloud Computing-Verträgen: Vertragstypologische Einordnung, Haftung und Eigentum an Daten, ZEuP 2016, S. 358–387. Böhm, Wolf-Tassilo/Halim, Valentino: Cookies zwischen ePrivacy und DS-GVO – was gilt?, MMR 2020, S. 651–656. Bozdag, Engin: Bias in algorithmic filtering and personalization, Ethics and Information Technology 15, 2013, S. 209–227. Brauneck, Jens: DS-GVO: Neue Anwendbarkeit durch neue Definition personenbezogener Daten?, EuZW 2019, S. 680–688.
Literaturverzeichnis
247
Bräutigam, Peter: Das Nutzungsverhältnis bei sozialen Netzwerken – Zivilrechtlicher Austausch von IT-Leistung gegen personenbezogene Daten, MMR 2012, S. 635– 641. Bräutigam, Peter/Klindt, Thomas: Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, S. 1137–1142. Brömmelmeyer, Christoph: Belohnungen für gesundheitsbewusstes Verhalten in der Lebens- und Berufsunfähigkeitsversicherung? Rechtliche Rahmenbedingungen für Vitalitäts-Tarife, r+s 2017, S. 225–232. Brönneke, Tobias/Schmidt, Fabian: Der Anwendungsbereich der Vorschriften über die besonderen Vertriebsformen nach Umsetzung der Verbraucherrechterichtlinie, VuR 2014, S. 3–9. Buchner, Benedikt: Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO, DuD 2016, S. 155–161. Buchner, Benedikt: Die Einwilligung im Datenschutzrecht – vom Rechtfertigungsgrund zum Kommerzialisierungsinstrument, DuD 2010, S. 39–43. Buchner, Benedikt/Kühling, Jürgen: Die Einwilligung in der Datenschutzordnung 2018, DuD 2017, S. 544–548. Bull, Hans Peter: Zweifelsfragen um die informationelle Selbstbestimmung – Datenschutz als Datenaskese?, NJW 2006, S. 1617–1624. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): Stellungnahme des BfDI vom 10.02.2021, BfDI kritisiert Position des Rats zur ePrivacy-Verordnung, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/ DE/2021/03_Ratsposition-ePrivacy-VO.html (Stand 01.05.2022). Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): Pressemitteilung des BfDI v. 07.05.2020, EDSA aktualisiert Leitlinien zur Einwilligung bei Internetseiten, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Pressemittei lungen/DE/2020/10_Leitlinien-Einwilligung-Internet-aktualisiert.html (Stand 01.05. 2022). Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): Personenbezogenes Webtracking nur mit Einwilligung, ZD-Aktuell 2019, 06866. Bundeskartellamt: Sektoruntersuchung Smart-TVs – Bericht Juli 2020, abrufbar unter: https://www.bundeskartellamt.de/SharedDocs/Publikation/DE/Sektoruntersuchungen/ Sektoruntersuchung_SmartTVs_Bericht.pdf?__blob=publicationFile&v=5 (Stand 01.05.2022). Bundeskriminalamt: Bundeslagebild 2018 Cybercrime, Stand: Oktober 2019, abrufbar unter: https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Lage bilder/Cybercrime/cybercrime_node.html (Stand 01.05.2022). Calo, Ryan: Digital Market Manipulation, 82 George Washington Law Review 2014, S. 995–1051. Canaris, Claus-Wilhelm: Wandlungen des Schuldvertragsrechts – Tendenzen zu seiner „Materialisierung“, AcP 200 (2000), S. 273–364.
248
Literaturverzeichnis
Caspar, Johannes: Klarnamenpflicht versus Recht auf pseudonyme Nutzung, ZRP 2015, S. 233–236. Castendyk, Oliver: Lizenzverträge und AGB-Recht, ZUM 2007, S. 169–178. Confessore, Nicholas: Cambridge Analytica and Facebook: The Scandal and the Fallout So Far, 04.04.2018, abrufbar unter: https://www.nytimes.com/2018/04/04/us/poli tics/cambridge-analytica-scandal-fallout.html (Stand 01.05.2022). Czajkowski, Nico/Müller-ter Jung, Marco: Datenfinanzierte Premiumdienste und Fernabsatzrecht, CR 2018, S. 157–166. D’Onfro, Jillian: Facebook admits that it’s worried about ad blockers, Business Insider (29.01.2016), abrufbar unter: https://www.businessinsider.com/facebook-admitsthat-its-worried-about-adblockers-2016-1 (Stand 01.05.2022). Dammann, Ulrich: Erfolge und Defizite der EU-Datenschutzgrundverordnung – Erwarteter Fortschritt, Schwächen und überraschende Innovationen, ZD 2016, S. 307–314. Dapp, Thomas/Heine, Veronika: Deutsche Bank Research, Big Data – die ungezähmte Macht, 4. März 2014, abrufbar unter: https://www.dbresearch.de/PROD/RPS_DEPROD/PROD0000000000444436/BigData_–_die_ungezähmte_Macht.PDF (Stand 01.05.2022). Datenethikkommission der Bundesregierung: Gutachten der Datenethikkommission, 2019, abrufbar unter: https://www.bmi.bund.de/SharedDocs/downloads/DE/publika tionen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf;jsessionid=59BB EEFE9924E38279A3FC9F8F497888.2_cid373?__blob=publicationFile&v=6 (Stand 01.05.2022). Datenschutzkonferenz des Bundes und der Länder (DSK): Akkreditierungsprozess für den Bereich „Datenschutz“ gemäß Art. 42, 43 DS-GVO, abrufbar unter: https:// www.datenschutzkonferenz-online.de/media/oh/20190315_oh_akk_c.pdf (Stand 01.05.2022). Deloitte: Global Mobile Consumer Survey, Ausgewählte Ergebnisse für den deutschen Mobilfunkmarkt, abrufbar unter: https://www2.deloitte.com/content/dam/Deloitte/ de/Documents/technology-media-telecommunications/Global_Mobile_Consumer_ Survey_0119_Deloitte_Deutschland.pdf (Stand 01.05.2022). Deterding, Sebastian/Dixon, Dan/Khaled, Rilla/Nacke, Lennart: From Game Design Elements to Gamefulness: Defining Gamification, in: Proceedings of the 15th International Academic MindTrek Conference on Envisioning Future Media Environments, 2011, S. 9–15. Determann, Lothar: Gegen Eigentumsrechte an Daten, ZD 2018, S. 503–508. Determann, Lothar: Kein Eigentum an Daten, MMR 2018, S. 277–278. DIVSI-Studie ! siehe Sinus-Institut Heidelberg. Dix, Alexander: Daten als Bezahlung – Zum Verhältnis zwischen Zivilrecht und Datenschutzrecht, ZEuP 2017, S. 1–5. Dorner, Michael: Big Data und „Dateneigentum“, CR 2014, S. 617–628.
Literaturverzeichnis
249
Dreier, Thomas/Schulze, Gernot: Urheberrechtsgesetz, Verwertungsgesellschaftengesetz, Kunsturhebergesetz, Kommentar, 6. Auflage, München 2018 [zitiert als: Dreier/ Schulze/Bearbeiter, Urheberrecht Kommentar, § Rn.]. Duisberg, Alexander: Datenhoheit und Recht des Datenbankherstellers, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, S. 53–71. Dürig, Günther/Herzog, Roman/Scholz, Rupert (Hrsg.): Grundgesetz Kommentar, Band 1 Art. 1–5, 95. Ergänzungslieferung Juli 2021, München [zitiert als: Dürig/Herzog/ Scholz/Verfasser, GG, 95. EL Juli 2021, Art. Rn.]. Düsseldorfer Kreis: Fortgeltung bisher erteilter Einwilligungen unter der DS-GVO, Beschluss vom 13./14.09.2016, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/ Downloads/DE/DSK/Archiv/DuesseldorferKreis/FortgeltungBisherErteilterEinwilli gungen.pdf?__blob=publicationFile&v=1 (Stand 01.05.2022). Ebers, Martin: Beeinflussung und Manipulation von Kunden durch Behavioral Microtargeting. Verhaltenssteuerung durch Algorithmen aus der Sicht des Zivilrechts, MMR 2018, S. 423–428. Effer-Uhe, Daniel: Erklärungen autonomer Softwareagenten in der Rechtsgeschäftslehre, RDi 2021, S. 169–178. Effer-Uhe, Daniel: Singularia non sunt extendenda, in: Festschrift für Hanns Prütting, Köln 2018, S. 15–25. Efroni, Zohar/Metzger, Jakob/Mischau, Lena/Schirmbeck, Marie: Privacy Icons: A Risk-Based Approach to Visualisation of Data Processing, EDPL 3/2019, S. 352– 366. Eggers, William/Hamil, Rob/Ali, Abed: Data as the new currency. Government’s role in facilitating the exchange, Deloitte Review, Issue 13 (2013), S. 18–31. Ehlen, Theresa/Brandt, Elena: Die Schutzfähigkeit von Daten – Herausforderungen und Chancen für Big Data, CR 2016, S. 570–575. Ehmann, Eugen/Selmayr, Martin (Hrsg.): Datenschutzgrundverordnung, Kommentar, 2. Auflage, München 2018 [zitiert als: Ehmann/Selmayr/Bearbeiter, 2. Aufl. 2018, DS-GVO Art. Rn.]. Elvy, Stacy-Ann: Paying for privacy and the personal data economy, Columbia Law Review, Oktober 2017, Vol. 117, No. 6, S. 1369–1459, abrufbar unter: https://www. jstor.org/stable/44392955 (Stand 01.05.2022). Engeler, Malte: Das überschätzte Kopplungsverbot, Die Bedeutung des Art. 7 Abs. 4 DS-GVO in Vertragsverhältnissen, ZD 2018, S. 55–62. Ensthaler, Jürgen: Industrie 4.0 und die Berechtigung an Daten, NJW 2016, S. 3473– 3478. Erman BGB: Kommentar, hrsg. von Westermann, Harm Peter et al., Buch 2 §§ 241– 853 Recht der Schuldverhältnisse, 15. Auflage, Köln 2017 [zitiert als: ErmanBGB/ Bearbeiter, 16. Aufl. 2020, § Rn.]. Ernst, Stefan: Die Einwilligung nach der Datenschutzgrundverordnung, ZD 2017, S. 110–114.
250
Literaturverzeichnis
Ernst, Stefan: Die Widerruflichkeit der datenschutzrechtlichen Einwilligung, ZD 2020, S. 383–385. Esken, Saskia: Dateneigentum und Datenhandel, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, S. 73–83. Eßer, Martin/Kramer, Philipp/von Lewinski, Kai (Hrsg.): Auernhammer – DS-GVO, BDSG. Datenschutzgrundverordnung, Bundesdatenschutzgesetz und Nebengesetze Kommentar, 7. Auflage, Köln 2020 [zitiert als: Auernhammer/Bearbeiter, DS-GVO, 7. Aufl. 2020, Art. Rn.]. Europäischer Datenschutzausschuss: Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679 (Version 1.1) v. 4.5.2020, abrufbar unter: https://edpb.europa.eu/ sites/default/files/files/file1/edpb_guidelines_202005_consent_de.pdf (Stand 01.05. 2022). Fairfield, Joshua/Engel, Christoph: Privacy as a Public Good, 65 Duke Law Journal (2015), S. 385–457. Farahat, Ayman/Bailey, Michael: How Effective is Targeted Advertising?, 2012, abrufbar unter: https://www2012.universite-lyon.fr/proceedings/proceedings/p111.pdf (Stand 01.05.2022). Faust, Florian: Ausschließlichkeitsrecht an Daten, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, S. 85–99. Faust, Florian: Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, NJW-Beil. 2016, S. 29–32. Faust, Florian: Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, Gutachten A zum 71. Deutschen Juristentag, 2016, A 89. Fervers, Matthias: Die Button-Lösung im Lichte der Rechtsgeschäftslehre, NJW 2016, S. 2289–2294. Fezer, Karl-Heinz: Repräsentatives Dateneigentum. Ein Bürgerrecht, Berlin 2018. Fezer, Karl-Heinz: Dateneigentum der Bürger, Ein originäres Immaterialgüterrecht sui generis an verhaltensgenerierten Informationsdaten der Bürger, ZD 2017, S. 99–105. Fezer, Karl-Heinz: Dateneigentum, Theorie des immaterialgüter-rechtlichen Eigentums an verhaltensgenerierten Personendaten der Nutzer als Datenproduzenten, MMR 2017, S. 2–5. Fezer, Karl-Heinz/Büscher, Wolfgang/Obergfell, Eva Ines (Hrsg.): Lauterkeitsrecht, Kommentar zum Gesetz gegen den unlauteren Wettbewerb (UWG), 3. Auflage, München 2016 [zitiert als: Fezer/Büscher/Obergfell/Bearbeiter, UWG Kommentar, § Rn.]. Flume, Werner: Allgemeiner Teil des Bürgerlichen Rechts, Zweiter Band: das Rechtsgeschäft, 4. Auflage, Berlin 1992. Forbrukerrådet (Norwegischer Verbraucherrat): Deceived by Design: How tech companies use dark patterns to discourage us from exercising our rights to privacy, 2018, abrufbar unter: https://fil.forbrukerradet.no/wp-content/uploads/2018/06/2018-0627-deceived-by-design-final.pdf (Stand 01.05.2022).
Literaturverzeichnis
251
Franck, Lorenz: Altverhältnisse unter DS-GVO und neuem BDSG. Anwendung des neuen Datenschutzrechts auf bereits laufende Datenverarbeitungen?, ZD 2017, S. 509–513. Franzen, Hartmut/Gallner, Martin/Oetker, Inken (Hrsg.): Kommentar zum Europäischen Arbeitsrecht, 4. Auflage, München 2022 [zitiert als: Franzen/Gallner/Oetker/ Bearbeiter, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, DS-GVO Art. Rn.]. Funke, Michael: Dogmatik und Voraussetzungen der datenschutz-rechtlichen Einwilligung im Zivilrecht, Baden-Baden 2017. Furman, Jason/Seamans, Robert: AI and the Economy, Innovation Policy and the Economy, Volume 19, 2019, Lerner and Stern, abrufbar unter: https://www.nber.org/sys tem/files/working_papers/w24689/w24689.pdf (Stand 01.05.2022). Gabler Wirtschaftslexikon: abrufbar unter: https://wirtschaftslexikon.gabler.de (Stand 01.05.2022) [zitiert als: Verfasser, in: Online-Wirtschaftslexikon Gabler, abrufbar unter:]. Gartner Inc. (Hrsg.): Gartner-IT-Glossar, abrufbar unter: http://www.gartner.com (Stand 01.05.2022). Gausling, Tina: Künstliche Intelligenz im digitalen Marketing, ZD 2019, S. 335–341. Geminn, Christian/Francis, Leon/Herder, Karl-Raban: Die Informationspräsentation im Datenschutzrecht – Auf der Suche nach Lösungen, ZD-Aktuell 2021, 05335. Geminn, Christian/Roßnagel, Alexander: Vertrauen in Anonymisierung, ZD 2021, S. 487–490. Geradin, Damien/Kuschewsky, Monika: Competition Law and Personal Data: Preliminary Thoughts on a Complex Issue, 2013, abrufbar unter: https://ssrn.com/ab stract=2216088 oder http://dx.doi.org/10.2139/ssrn.2216088 (Stand 01.05.2022). Gerpott, Thorsten: Datenschutzerklärungen – Materiell fundierte Einwilligungen nach der DS-GVO, MMR 2020, S. 739–744. Gerpott, Thorsten: Wirkungen von Formatvariationen bei Erklärungen zum Schutz personenbezogener Daten auf betroffene Personen –Welche Lehren lassen sich aus empirischen Studien ziehen?, CR 2020, S. 650–657. Gharibshah, Zhabiz/Zhu, Xingquanu: User Response Prediction in Online Advertising, 2021, arXiv:2101.02342, abrufbar unter: https://arxiv.org/abs/2101.02342 (Stand 01.05.2022). Gierschmann, Sibylle: Gestaltungsmöglichkeiten bei Verwendung von personenbezogenen Daten in der Werbung, MMR 2018, S. 7–12. Gierschmann, Sibylle: Was „bringt“ deutschen Unternehmen die DS-GVO? – Mehr Pflichten, aber die Rechtsunsicherheit bleibt, ZD 2016, S. 51–55. Giesen, Thomas: Totaler Datenschutz in der EU: freiheitswidrig, bürokratisch und erfolglos!, NVwZ 2019, S. 1711–1718. Gloy, Wolfgang/Loschelder, Michael/Danckwerts, Rolf (Hrsg.): Handbuch des Wettbewerbsrechts, 5. Auflage, München 2019 [zitiert als: Gloy/Loschelder/Danckwerts/ Verfasser, UWG-Handbuch, 5. Aufl. 2019, § Rn.].
252
Literaturverzeichnis
Gola, Peter (Hrsg.): Datenschutz-Grundverordnung VO (EU) 2016/679. Kommentar, 2. Auflage, München 2018 [zitiert als: Gola/Bearbeiter, DS-GVO, Art. Rn.]. Gola, Peter/Heckmann, Peter (Hrsg.): Bundesdatenschutzgesetz Kommentar, 13. Auflage, München 2019 [zitiert als: Gola/Heckmann/Bearbeiter, 13. Aufl. 2019, BDSG § Rn.]. Gola, Peter/Schulz, Sebastian: DS-GVO – Neue Vorgaben für den Datenschutz bei Kindern?– Überlegungen zur einwilligungsbasierten Verarbeitung von personenbezogenen Daten Minderjähriger, ZD 2013, S. 475–481. Golland, Alexander: Das Telekommunikation-Telemedien-Datenschutzgesetz, NJW 2021, S. 2238–2243. Golland, Alexander: Datenschutzrechtliche Fragen personalisierter Preise, CR 2020, S. 186–194. Golland, Alexander: Das Kopplungsverbot in der Datenschutz-Grundverordnung, Anwendungsbereich, ökonomische Auswirkungen auf Web 2.0-Dienste und Lösungsvorschlag, MMR 2018, S. 130–135. Grabitz, Eberhard/Hilf, Meinhard/Nettesheim, Martin (Hrsg.): Das Recht der Europäischen Union, Band I EUV/AEUV, Werkstand: 71. EL August 2020, München [zitiert als: Grabitz/Hilf/Nettesheim/Bearbeiter, 74. EL September 2021, AEUV Art. Rn.]. Grüneberg Kurzkommentar zum BGB, Begr. von Palandt, Otto, 81. Auflage, München 2022 [zitiert als: Grüneberg/Bearbeiter, 81. Aufl., § Rn.]. Grünwald, Andreas: „Big Tech“-Regulierung zwischen GWB-Novelle und Digital Markets Act, MMR 2020, S. 822–826. Grünwald, Andreas/Nüßing, Christoph: Machine To Machine (M2M)-Kommunikation – Regulatorische Fragen bei der Kommunikation im Internet der Dinge, MMR 2015, S. 378–383. Grützmacher, Malte: Dateneigentum – ein Flickenteppich, CR 2016, S. 485–495. Gumille, Christian: Die Verteidigung gegen unerwünschte Werbung, GRUR 2017, S. 241–248. Hacker, Philipp: Daten als Gegenleistung: Rechtsgeschäfte im Spannungsfeld von DSGVO und allgemeinem Vertragsrecht, ZfPW 2019, S. 148–197. Hacker, Philipp/Petkova, Bilyana: Reining in the Big Promise of Big Data: Transparency, Inequality, and New Regulatory Frontiers, Northwestern Journal of Technology and Intellectual Property, Volume 15 Issue 1 Article 1, 2017, S. 1–42. Hain, Karl-Eberhard/Benz, Christian: Verfassungsmäßigkeit eines gesetzlichen Verbots von Ad Blockern, MMR-Beil. 2020, S. 3–26. Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: Google Analytics und ähnliche Dienste nur mit Einwilligung nutzbar, 14.11.2019, abrufbar unter: https://datenschutz-hamburg.de/pressemitteilungen/2019/11/2019-11-14-google-ana lytics (Stand 01.05.2022). Hanloser, Stefan: DSK-Orientierungshilfe für Anbieter von Telemedien, ZD 2019, S. 287– 290.
Literaturverzeichnis
253
Hanloser, Stefan: Geräte-Identifier im Spannungsfeld von DS-GVO, TMG und ePrivacy-VO, ZD 2018, S. 213–218. Härtel, Ines: Digitalisierung im Lichte des Verfassungsrechts – Algorithmen, Predictive Policing, autonomes Fahren, LKV 2019, S. 49–60. Härting, Nico: Datenschutz-Grundverordnung, ITRB 2016, S. 36–40. Härting, Nico: Digital Goods und Datenschutz – Daten sparen oder monetarisieren?, CR 2016, S. 735–740. Härting, Nico: Datenschutzrecht: Verbotsprinzip und Einwilligungsfetisch, AnwBl 2012, S. 716–720. Heermann, Peter/Schlingloff, Jochen (Hrsg.): Münchener Kommentar zum Lauterkeitsrecht, Band 1 §§ 1–7 UWG, 3. Auflage, München 2020 [zitiert als: MüKoUWG/Bearbeiter, 3. Aufl. 2020, § Rn.]. Hennemann, Moritz: Personalisierte Medienangebote im Datenschutz- und Vertragsrecht, ZUM 2017, S. 544–552. Hermstrüwer, Yoan: Informationelle Selbstgefährdung, Tübingen 2016. Hern, Alex: iOS 9 adblocker apps shoot to top of charts on day one, The Guardian (17. September 2015), abrufbar unter: https://www.theguardian.com/technology/ 2015/sep/17/adblockers-ios-9-app-charts-peace (Stand 01.05.2022). Heymann, Thomas: Rechte an Daten, CR 2016, S. 650–657. Hoeren, Thomas: Thesen zum Verhältnis von Big Data und Datenqualität – Erstes Raster zum Erstellen juristischer Standards, MMR 2016, S. 8–11. Hoeren, Thomas: Dateneigentum –Versuch einer Anwendung von §303a StGB im Zivilrecht, MMR 2013, S. 486–491. Hoeren, Thomas: Personenbezogene Daten als neue Währung der Internetwirtschaft, WUW 05/2013, S. 463. Hoeren, Thomas: Google Analytics – datenschutzrechtlich unbedenklich? – Verwendbarkeit von Webtracking-Tools nach BDSG und TMG, ZD 2011, S. 3–6. Hoeren, Thomas: Vorschlag für eine EU-Richtlinie über E-Commerce – Eine erste kritische Analyse, MMR 1999, S. 192–199. Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd (Hrsg.): Handbuch MultimediaRecht. Rechtsfragen des elektronischen Rechtsverkehrs, Stand Februar 2019, München [zitiert als: Hoeren/Sieber/Holznagel/Bearbeiter, Handbuch MultimediaRecht, Teil Rn.]. Hoffmann, Birgit: Einwilligung der betroffenen Person als Legitimationsgrundlage eines datenverarbeitenden Vorgangs im Sozialrecht nach dem Inkrafttreten der DS-GVO, NZS 2017, S. 807–812. Hoffmann-Riem, Wolfgang (Hrsg.): Big Data – Regulative Herausforderungen, 1. Auflage, Baden-Baden 2018 [zitiert als: Verfasser, in: Hoffmann-Riem, Big Data – Regulative Herausforderungen, S.]. Hofmann, Franz: Der maßgeschneiderte Preis, Dynamische und individuelle Preise aus lauterkeitsrechtlicher Sicht, WRP 2016, S. 1074–1082.
254
Literaturverzeichnis
Hofmann, Henning: Richtlinie Digitale Inhalte – Schuldrechtliche Kontextualisierung von Daten als Wirtschaftsgut, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, S. 161–175. Hofmann, Johanna/Johannes, Paul: Anleitung zur autonomen Auslegung des Personenbezugs, ZD 2017, S. 221–226. Holthausen, Joachim: Big Data, People Analytics, KI und Gestaltung von Betriebsvereinbarungen – Grund-, arbeits- und datenschutz-rechtliche An- und Herausforderungen, RdA 2021, S. 19–32. Hoofnagle, Chris Jay/Whittington, Jan: Free: Accounting for the Costs of the Internet’s Most Popular Price Chris Jay Hoofnagle Jan Whittington, 61 UCLA L. Rev. 606 (2014), S. 606–670. Hoppen, Peter: Sicherung von Eigentumsrechten an Daten, CR 2015, S. 802–806. Hornung, Gerrit: Eine Datenschutz-Grundverordnung für Europa? – Licht und Schatten im Kommissionsentwurf vom 25.01.2012, ZD 2012, S. 99–106. Hornung, Gerrit/Goeble, Thilo: „Data Ownership“ im vernetzten Automobil, CR 2015, S. 265–273. Hufnagel, Charlotte: Impact of Gamification on Individual’sMotivation and Behavior, Münster 2019. Huotari, Kai/Hamari, Juho: A definition for gamification: anchoring gamification in the service marketing literature, Electronic Markets, 2017, Volume 27, Number 1, S. 21–31. Indenhuck, Moritz/Britz, Thomas: Vom Datenschutzrecht zum Datenschuldrecht – Neue Leitlinien zur Verarbeitung personenbezogener Daten bei Online-Dienstleistungen, BB 2019, S. 1091–1096. Jandt, Silke/Roßnagel, Alexander: Social Networks für Kinder und Jugendliche – Besteht ein ausreichender Datenschutz?, MMR 2011, S. 637–642. Jarovsky, Luiza: Improving Consent in Information Privacy through Autonomy-Preserving Protective Measures (APPMs), EDPL 4/2018, S. 447–458. Jauernig BGB Kommentar: hrsg. von Stürner, Rolf, 17. Auflage, München 2018 [zitiert als: Jauernig/Bearbeiter, 18. Aufl. 2021, BGB § Rn.]. JIM – Jugend, Information, Medien: hrsg. von Medienpädagogischer Forschungsverbund Südwest (mpfs), Studie 2019, Basisuntersuchung zum Medienumgang 12- bis 19-Jähriger, abrufbar unter: https://www.mpfs.de/fileadmin/files/Studien/JIM/ 2019/JIM_2019.pdf (Stand 01.05.2022). Joachim, Katharina: Besonders schutzbedürftige Personengruppen. Einordnung gruppenspezifischer Schutzbedürftigkeit in der DS-GVO, ZD 2017, S. 414–418. Jobst, Simon: Konsequenzen einer unmittelbaren Grundrechtsbindung Privater, NJW 2020, 11–16. Jöns, Johanna: Daten als Handelsware, Baden-Baden 2019. Jöns, Johanna: Daten als Handelsware, Studie des DIVSI – Deutsches Institut für Vertrauen und Sicherheit im Internet (Herausgebendes Organ), Hamburg 2016.
Literaturverzeichnis
255
Junker, Abbo: Erwägungsgründe: Unkraut auf dem Beet der europäischen Gesetzgebung?, EuZA 2020, S. 141–142. Kalka, Regine/Krämer, Andreas (Hrsg.): Preiskommunikation Strategische Herausforderungen und innovative Anwendungsfelder, Wiesbaden 2020 [zitiert als: Verfasser, in: Kalka/Krämer (Hrsg.), Preiskommunikation, S.]. Kannowski, Bernd/Till, Jan-Niklas: Der In-App-Kauf als neuer Vertragstyp, NJOZ 2017, S. 522–526. Karg, Moritz: Anonymität, Pseudonyme und Personenbezug revisited?, DuD 2015, S. 520–526. Karg, Moritz: Die Renaissance des Verbotsprinzips im Datenschutz, DuD 2013, S. 75– 79. Keppeler, Lutz Martin: Was bleibt vom TMG-Datenschutz nach der DS-GVO? Lösung und Schaffung von Abgrenzungsproblemen im Multimedia-Datenschutz, MMR 2015, S. 779–783. Kerber, Wolfgang: A New (Intellectual) Property Right for Non-Personal Data? An Economic Analysis, GRUR Int. 2016, S. 989–998. Kerber, Wolfgang: Digital Markets, Data and Privacy: Competition Law, Consumer Law and Data Protection, GRUR Int. 2016, S. 639–647. Kerkmann, Christof: Wer hat die Macht über den Werbeblock?, Handelsblatt (12. August 2016), abrufbar unter: https://www.handelsblatt.com/unternehmen/it-medien/ facebook-vs-adblock-plus-wer-hat-die-macht-ueber-den-werbeblock/14005570-all. html?ticket=ST-1838771-gtwpf2XEAfht5XdrzmRv-ap2 (Stand 01.05.2022). Kettner, Sara Elisa/Thorun, Christian/Vetter, Max: Wege zur besseren Informiertheit, Verhaltenswissenschaftliche Ergebnisse zur Wirksamkeit des OnePager-Ansatzes und weiterer Lösungsansätze im Datenschutz, 28. Februar 2018, vorgelegt bei der: Bundesanstalt für Landwirtschaft und Ernährung (BLE), abrufbar unter: https:// www.conpolicy.de/data/user_upload/Studien/Bericht_ConPolicy_2018_02_Wege_ zur_besseren_Informiertheit.pdf (Stand 01.05.2022). Kevekordes, Johannes: Daten als Gegenstand absoluter Zuordnung. Ein besitzrechtlicher Ansatz, Berlin 2022. Kiersch, Philipp/Kassel, Patrik: Anti-Adblock-Sperren als wirksame technische Maßnahmen gem. § 95a UrhG, CR 2017, S. 242–247. Kilian, Wolfgang: Personenbezogene Daten als schuldrechtliche Gegenleistung, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, S. 191– 207. Kilian, Wolfgang: Strukturwandel der Privatheit, in: Garstka, Hansjürgen/Coy, Wolfgang (Hrsg.), Wovon – für wen – wozu. Systemdenken wider die Diktatur der Daten. Wilhelm Steinmüller zum Gedächtnis, Berlin 2014, S. 195–224. Kilian, Wolfgang: Zur Notwendigkeit der Modernisierung des Modernisierungsgutachtens zum Datenschutzrecht, CR 2002, S. 921–929. Kinast, Karsten/Kühnl, Christina: Telematik und Bordelektronik – Erhebung und Nutzung von Daten zum Fahrverhalten, NJW 2014, S. 3057–3061.
256
Literaturverzeichnis
Kindl, Johann/Vendrell, Tatiana Arroyo/Gsell, Beate (Hrsg.): Verträge über digitale Inhalte, 2017 [zitiert als: Kindl/Vendrell/Gsell/Verfasser, Verträge über digitale Inhalte, S.]. Kipker, Denis-Kenji/Voskamp, Friederike: Datenschutz in sozialen Netzwerken nach der Datenschutzgrundverordnung, DuD 2012, S. 737–742. Kirchhefer-Lauber, Anna: Verbraucherverträge über digitale Produkte, JuS 2021, S. 1125–1129. Kirn, Stefan/Müller-Hengstenberg, Claus D.: Überfordert die digitale Welt der Industrie 4.0 die Vertragstypen des BGB?, NJW 2017, S. 433–438. Klein, Urs Albrecht/Datta, Amit: Vertragsstrukturen beim Erwerb kostenloser Apps, CR 2016, S. 587–590. Klimke, Dominik: Telematik-Tarife in der Kfz-Versicherung, r+s 2015, S. 217–225. Kneuper, Ralf/Perlitz, Mark: Datenschutz bei nutzungsbasierter Online-Werbung, DuD 2019, S. 502–506. Knop, Carsten: Die Nutzer überschätzen den Wert ihrer Daten massiv, FAZ vom 21.11. 2019, abrufbar unter: https://www.faz.net/aktuell/wirtschaft/digitec/internetoekono mie-nutzer-ueberschaetzen-den-wert-ihrer-daten-massiv-16496290.html (Stand 01.05. 2022). Köhler, Herlmut: Rechtsfragen zum Softwarevertrag, CR 1987, S. 827–835. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Hrsg.): Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, Stand März 2019, abrufbar unter: https://www.datenschutzkonferenz-online.de/me dia/oh/20190405_oh_tmg.pdf (Stand 01.05.2022). Koops, Bert-Jaap: The Trouble with European Data Protection Law (August 29, 2014). International Data Privacy Law, Tilburg Law School Research Paper No. 04/2015, abrufbar unter: https://goo.gl/sVy7HM (Stand 01.05.2022). Körber, Torsten: Die Facebook-Entscheidung des Bundeskartellamtes – Machtmissbrauch durch Verletzung des Datenschutzrechts?, NZKart 2019, S. 187–195. Körber, Torsten: Die Macht der Monopole, NZKart 2018, S. 105–106. Körber, Torsten: „Ist Wissen Marktmacht?“ Überlegungen zum Verhältnis von Datenschutz, „Datenmacht“ und Kartellrecht – Teil 1, NZKart 2016, S. 303–310. Körber, Torsten: Google im Fokus des Kartellrechts, WRP 2012, S. 761–772. Körber, Torsten/Kühling, Jürgen (Hrsg.): Regulierung – Wettbewerb – Innovation, Baden-Baden 2017 [zitiert als: Körber/Kühling/Bearbeiter, Renovierung – Wettbewerb – Innovation, 2017, S.]. Koreng, Ansgar/Lachemann, Matthias: Formularhandbuch Datenschutzrecht, 3. Auflage, München 2021 [zitiert als: Koreng/Lachemann/Bearbeiter, Formularhandbuch Datenschutzrecht, § Rn.]. Kornmeier, Anne/Baranowski, Udo: Das Eigentum an Daten – Zugang statt Zuordnung, BB 2019, S. 1219–1225. Kothe, Wolfgang: Die rechtfertigende Einwilligung, AcP (185) 1985, S. 105–161.
Literaturverzeichnis
257
Kramme, Malte: Vertragsrecht für digitale Produkte, RDi 2021, S. 20–29. Krasemann, Henry: Der aktuelle Stand der Datenschutz-Zertifizierung und Akkreditierung in Deutschland und Europa, DuD 2020, S. 645–648. Kremer, Sascha: Vertragsgestaltung bei Entwicklung und Vertrieb von Apps für mobile Endgeräte, CR 2011, S. 769–776. Krempl, Stefan: Google will europäische E-Privacy-Regeln erfolgreich verzögert haben, 25.10.2021, abrufbar unter: https://www.heise.de/news/Google-will-europaeischeE-Privacy-Regeln-erfolgreich-verzoegert-haben-6228162.html (Stand 01.05.2022). Kress, Sonja/Nagel, Daniel: The GDPR and Its Magic Spells Protecting Little Princes and Princesses, CRi 2017, S. 6–9. Kreutz, Oliver: Der Webseitennutzungsvertrag – Fiktion oder unbekanntes Rechtsgeschäft?, ZUM 2018, S. 162–68. Krügel, Tina: Das personenbezogene Datum nach der DS-GVO, ZD 2017, S. 455–460. Krüger, Philipp-L.: Datensouveränität und Digitalisierung, Probleme und rechtliche Lösungsansätze, ZRP 2016, S. 190–192. Kugelmann, Dieter: Datenfinanzierte Internetangebote, Regelungs- und Schutzmechanismen der DS-GVO, DuD 2016, S. 566–570. Kühling, Jürgen/Buchner, Benedikt (Hrsg.): Datenschutz-Grundverordnung/BDSG Kommentar, 3. Auflage, München 2020 [zitiert als: Kühling/Buchner/Bearbeiter, 3. Aufl. 2020, DS-GVO Art. Rn.]. Kühling, Jürgen/Sackmann, Florian: Irrweg „Dateneigentum“. Neue Großkonzepte als Hemmnis für die Nutzung und Kommerzialisierung von Daten, ZD 2020, S. 24–30. Kühling, Jürgen/Sackmann, Florian: Datenschutzordnung 2018 – nach der Reform ist vor der Reform?!, NVwZ 2018, S. 681–686. Kühling, Jürgen/Sackmann, Florian: Rechte an Daten, Rechtsgutachten im Auftrag des Verbraucherzentrale Bundesverbandes, Berlin 2018. Kumar, Vineet: Making „Freemium“ Work, Harvard Business Review, Mai 2014, abrufbar unter: https://hbr.org/2014/05/making-freemium-work (Stand 01.05.2022). Kumkar, Lea Katharina: Herausforderungen eines Gewährleistungsrechts im digitalen Zeitalter, ZfPW 2020, S. 306–333. Lachemann, Matthias: Tagung des DGRI-Beirats am 30.04.2016, CR 2016, S. R68– R69. Lachemann, Matthias: Entwicklerverträge und Bedingungen der Plattformen, ITRB 2015, S. 99–100. Lackner, Karl/Kühl, Kristian (Hrsg.): Strafgesetzbuch Kommentar, 29. Auflage, München 2018 [zitiert als: Lackner/Kühl/Bearbeiter, 29. Aufl. 2018, StGB § Rn.]. Langhanke, Carmen: Daten als Leistung, Tübingen 2018. Langhanke, Carmen/Schmidt-Kessel, Martin: Consumer data as consideration, EuCML 2015, S. 218–223.
258
Literaturverzeichnis
Leibold, Kevin: Reichweite, Umfang und Bedeutung des Auskunftsrechts nach Art. 15 DS-GVO – Entscheidungsübersicht, ZD-Aktuell 2021, 05313. Lejeune, Mathias: Verbraucherverträge über digitale Produkt, ITRB 2021, S. 87–94. von Lewinski, Kai: Wert von personenbezogenen Daten, in: Stiftung Datenschutz (Hrsg.), Dateneigentum und Datenhandel, Berlin 2019, S. 209–219. Lindenberg, Helen: Zeit für einen Aufbruch in eine neue Ära des Kartellrechts?, WRP 2021, S. 302–310. Loewenheim, Ulrich (Hrsg.): Handbuch des Urheberrechts, 3. Auflage, München 2021 [zitiert als: Löwenheim/Verfasser, Urheberrecht, 2. Aufl. 2021, § Rn.]. Looks, Nicole/Bergau, Benjamin: Tauschähnlicher Umsatz mit Nutzerdaten – Kein Stück vom Kuchen, MwStR 2016, S. 864–870. Loy, Carolin/Baumgartner, Ulrich: Consent-Banner und Nudging, Tracking-Mechanismen: Wie viel „Anstupsen“ ist erlaubt?, ZD 2021, S. 404–408. Lüdemann, Volker: Connected Cars – Das vernetzte Auto nimmt Fahrt auf, der Datenschutz bleibt zurück, ZD 2015, S. 247–254. Mak, Vanessa: The new proposal for harmonised rules on certain aspects concerning contracts for the supply of digital content, (2016) PE 536.494, abrufbar unter: http://www.epgencms.europarl.europa.eu/cmsdata/upload /a6bdaf0a-d4cf-4c30-a7e831f33c72c0a8/pe__536.494_en.pdf (Stand 01.05.2022). Mánko, Rafael: Contracts for supply of digital content. A legal analysis of the Commission’s proposal for a new directive, (2016) PE 582.048, abrufbar unter: https://www. europarl.europa.eu/RegData/etudes/IDAN/2016/582048/EPRS_IDA%282016%295 82048_EN.pdf (Stand 01.05.2022). Martini, Mario: Algorithmen als Herausforderung für die Rechtsordnung, JZ 2017, S. 1017–1025. Masing, Johannes: Herausforderungen des Datenschutzes, NJW 2012, S. 2305–2311. Melan, Nevada/Wecke, Bertram: Umsatzsteuerpflicht von „kostenlosen“ Internetdiensten und Smartphone-Apps, DStR 2015, S. 2267–2269. Mendelsohn, Juliane: Auf der Suche nach der gesparten Zeit „Disruptive Technik“ – Schloss Wrodow, Seminar an der Freien Universität Berlin, 21.–23. Juni 2019, ZEuP 2020, S. 235–239. Metzger, Axel: A Market Model for Personal Data: State of the Play under the New Directive on Digital Content and Digital Services, in: Lohsse/Schulze/Staudenmayer, Dirk (Hrsg.), Data as Counter Performance – Contract Law 2.0?, Münster Colloquia on EU Law and the Digital Economy V, 1. Auflage, Baden-Baden 2020, S. 23–46. Metzger, Axel: Verträge über digitale Inhalte und digitale Dienstleistungen: Neuer BGB-Vertragstypus oder punktuelle Reform?, JZ 2019, S. 577–586. Metzger, Axel: Dienst gegen Daten: Ein synallagmatischer Vertrag, AcP 216 (2016), S. 817–865. Meyerdierks, Per: Sind IP-Adressen personenbezogene Daten?, MMR 2009, S. 8–13.
Literaturverzeichnis
259
Mik, Eliza: The Erosion of Autonomy in Online Consumer Transactions, 2016, Law, Innovation and Technology. 8 (1), S. 1–38, abrufbar unter: https://ink.library.smu. edu.sg/sol_research/1736 (Stand 01.05.2022). Mikians, Jakub/Gyarmati, László/Erramilli, Vijay/Laoutaris, Nikolaos: Detecting price and search discrimination on the Internet, Hotnets 2012, 29–30 Oktober, Seattle, abrufbar unter: http://conferences.sigcomm.org/hotnets/2012/papers/hotnets12-final 94.pdf. (Stand 01.05.2022). Mischau, Lena: Daten als „Gegenleistung“ im neuen Verbrauchervertragsrecht, ZEuP 2020, S. 335–365. Moerel, Lokke/Prins, Corien: Privacy for the Homo Digitalis: Proposal for a New Regulatory Framework for Data Protection in the Light of Big Data and the Internet of Things, 25.05.2016, abrufbar unter: https://ssrn.com/abstract=2784123 (Stand 01.05.2022). Moos, Flemming: Unzulässiger Handel mit Persönlichkeitsprofilen? – Erstellung und Vermarktung kommerzieller Datenbanken mit Personenbezug, MMR 2006, S. 718– 723. Morgan, Jacob: Privacy is completely and utterly dead, and we killed it. Forbes, 19.08.2014, abrufbar unter: https://www.forbes.com/sites/jacobmorgan/2014/08/ 19/privacy-is-completely-and-utterly-dead-and-we-killed-it/ (Stand 01.05.2022). Mughees, Muhammad Haris/Qian, Zhiyun/Shafiq, Zubair/Dash, Karishma/Hui, Pan: A First Look at Ad-block Detection: A New Arms Race on the Web, 2016, arXiv: 1605.05841, abrufbar unter: https://arxiv.org/abs/1605.05841 (Stand 01.05.2022). Mühlich, Regina: Datenschutz und Industrie 4.0 – eine sensible Annäherung ist notwendig, ZD 2014, S. 381–382. Münchener Anwaltshandbuch IT-Recht: hrsg. von Leupold, Andreas/Wiebe, Andreas/ Glosser, Silke, 4. Auflage, München 2021 [zitiert als: MAH IT-Recht/Bearbeiter, 4. Aufl. 2021, Teil Rn.]. Münchener Kommentar zum BGB ! siehe Säcker, Franz Jürgen/Rixecker, Roland/Oetker, Hartmut/Limperg, Bettina (Hrsg.). Münchener Kommentar zum Lauterkeitsrecht ! siehe Heermann, Peter/Schlingloff, Jochen The Nielsen Company (US) LLC: Report 2009, How Teens use Media, abrufbar unter: https://www.nielsen.com/wp-content/uploads/sites/3/2019/04/How-Teens-Use-Media. pdf (Stand 01.05.2022). Nomos Kommentar zum BGB: Band 2, Recht der Schuldverhältnisse, hrsg. von Dauner-Lieb, Barbara/Langen, Werner, 4. Auflage, Baden-Baden 2021 [zitiert als: NKBGB/Bearbeiter, 4. Aufl. 2021, § Rn.]. Nord, Jantina/Manzel, Martin: „Datenschutzerklärungen“ – misslungene Erlaubnisklauseln zur Datennutzung – „Happy-Digits“ und die bedenklichen Folgen im E-Commerce, NJW 2010, S. 3756–3758. Nordemann, Axel/Nordemann, Jan Bernd/Czychowski, Christian (Hrsg.): Kommentar zum Urheberrechtsgesetz, Verlagsgesetz, Einigungsvertrag (Urheberrecht), neu: zur
260
Literaturverzeichnis
EU-Portabilitätsverordnng, 12. Auflage, Stuttgart 2018 [zitiert als: Nordemann/Bearbeiter, Urheberrecht Kommentar, § Rn.]. Nouwens, Midas/Liccardi, Ilaria/Veale, Michael/Karger, David/Kagal, Lalana: Dark Patterns after the GDPR: Scraping Consent Pop-ups and Demonstrating their Influence, 2020, arXiv:2001.02479, abrufbar unter: https://arxiv.org/abs/2001.02479 (Stand 01.05.2022). Obar, Jonathan A./Oeldorf-Hirsch, Anne: Clickwrap Impact: Quick-Join Options and Ignoring Privacy and Terms of Service Policies of Social Networking Services, #SMSociety17: Proceedings of the 8th International Conference on Social Media & Society 2017, Article No.: 50, S. 1–5, abrufbar unter: https://doi.org/10.1145/309 7286.3097336 (Stand 01.05.2022). Ohly, Ansgar/Sosnitza, Olaf: Gesetz gegen den unlauteren Wettbewerb, Kommentar, 7. Auflage, München 2016. Olejnik, Lukasz/Tran, Minh-Dung/Castelluccia, Claude: Selling Off Privacy at Auction, 2014, abrufbar unter: https://www.ndss-symposium.org/ndss2014/programme/sel ling-privacy-auction/ (Stand 01.05.2022). Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien ! siehe Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Osterrieth, Christian: Patentrecht, 5. Auflage, München 2015. Paal, Boris/Hennemann, Moritz: Big Data im Recht, Wettbewerbs- und daten(schutz)rechtliche Herausforderungen, NJW 2017, S. 1697–1701. Paal, Boris/Pauly, Daniel (Hrsg.): Datenschutzgrundverordnung, Bundesdatenschutzgesetz, Kommentar, 3. Auflage, München 2021 [zitiert als: Paal/Pauly/Bearbeiter, 3. Aufl. 2021, DS-GVO Art. Rn.]. Paulus, Christoph G./Zenker, Wolfgang: Grenzen der Privatautonomie, JuS 2001, S. 1–9. Peifer, Karl-Nikolaus: Eigenheit oder Eigentum –Was schützt das Persönlichkeitsrecht?, GRUR 2002, S. 495–500. Peintinger, Stefan: Widerrufsrechte beim Erwerb digitaler Inhalte – Praxisvorschläge am Beispiel des Softwarekaufs unter Berücksichtigung von SaaS-Verträgen, MMR 2016, S. 3–8. Peitz, Martin/Schweitzer, Heike: Ein neuer europäischer Ordnungsrahmen für Datenmärkte?, NJW 2018, S. 275–280. Pertot, Tereza (Hrsg.): Rechte an Daten, hrsg. unter der Mitwirkung von Schmidt-Kessel, Martin/Padovini, Fabio, Tübingen 2020 [zitiert als: Pertot/Bearbeiter, Rechte an Daten, S.]. Peschel, Christopher/Rockstroh, Sebastian: Big Data in der Industrie – Chancen und Risiken neuer datenbasierter Dienste, MMR 2014, S. 571–576. Pfeiffer, Thomas: Entwicklungen und aktuelle Fragestellungen des AGB-Rechts, NJW 2017, S. 913–918. Piltz, Carlo/Kühner, Jasmin: Ausnahmevorschriften bei Cookie-Einwilligungen, ZD 2021, S. 123–128.
Literaturverzeichnis
261
Piltz, Carlo/Kühner, Jasmin: Die Updatepflicht für Unternehmen in Umsetzung der Digitale Inhalte Richtlinie, CR 2021, S. 1–7. Piras, Gabriella/Stieglmeier, Henry: § 110 BGB im Zeichen der Zeit, JA 2014, S. 893– 896. Plath, Kai-Uwe (Hrsg.): Kommentar zu DS-GVO, BDSG und den Datenschutzbestimmungen des TMG und TKG, 3. Auflage, Köln 2018 [zitiert als: Plath/Bearbeiter, 3. Aufl. 2018, DS-GVO Art. Rn.]. Podszun, Rupprecht/Bongartz, Philipp/Langenstein, Sarah: The Digital Markets Act: Moving from Competition Law to Regulation for Large Gatekeepers, EuCML 2021, S. 60–67. Podszun, Rupprecht/Kersting, Christian: Modernisierung des Wettbewerbsrechts und Digitalisierung, NJOZ 2019, S. 321–325. Podszun, Rupprecht/de Toma, Michael: Die Durchsetzung des Datenschutzes durch Verbraucherrecht, Lauterkeitsrecht und Kartellrecht, NJW 2016, S. 2987, 2994. Polley, Romina/Kaup, Rieke: Paradigmenwechsel in der deutschen Missbrauchsaufsicht – Der Referentenentwurf zur 10. GWB-Novelle, NZKart 2020, S. 113–119. Pollmann, Maren/Kipker, Dennis-Kenji: Informierte Einwilligung in der Online-Welt, DuD 2016, S. 378–381. Prietzel, Fabian: Big Data is watching you: Persönlichkeitsanalyse und Microtargeting auf Social Media, in: Appel, Markus (Hrsg.), Die Psychologie des Postfaktischen, Berlin 2019, S. 81–89. Radlanski, Philip: Das Konzept der Einwilligung in der datenschutzrechtlichen Realität, Tübingen 2016. Raitz von Frentz, Wolfgang/Masch, Christian: Rechts- und Vertragsbeziehungen zwischen App-Store-Betreiber, App-Anbieter, App-Nutzer und Dritten, insbesondere Zahlungsdienste-Anbietern – Ein Überblick, ZUM 2020, S. 939–948. Rauda, Christian: Gemeinsamkeiten von US Children Online Privacy Protection Act (COPPA) und DS-GVO, MMR 2017, S. 15–19. Raskin, Aza/Betz, Gerrit et al.: Privacy Icons, abrubar unter: https://wiki.mozilla.org/ Privacy_Icons (Stand 01.05.2022). Redeker, Helmut (Hrsg.): Handbuch der IT Verträge, 40. Lieferung 02.2020, Köln [zitiert als: Redeker/Bearbeiter, Handbuch IT-Verträge, § Rn.]. Redeker, Helmut: IT-Recht, 6. Auflage, München 2017. Riechert, Anne: Dateneigentum – ein unauflösbarer Interessenkonflikt?, DuD 2019, S. 353–360. Riehm, Thomas/Abold, Metawi Adrian: Mängelgewährleistungspflichten des Anbieters digitaler Inhalte, ZUM 2018, S. 82–91. Rogosch, Patricia: Die Einwilligung im Datenschutzrecht, Baden-Baden 2013. Röhricht, Volker/Graf von Westphalen, Friedrich/Haas, Ulrich (Hrsg.): HGB Kommentar zu Handelsstand, Handelsgesellschaften, Handelsgeschäften, besonderen Handelsverträgen und Internationalem Vertragsrecht (ohne Bilanz-, Transport- und See-
262
Literaturverzeichnis
recht), 5. Auflage, Köln 2019 [zitiert als: Röhricht/Graf v. Westphalen/Haas/Bearbeiter, HGB, 5. Aufl. 2019, § Rn.]. Rosenkranz, Frank: Spezifische Vorschriften zu Verträgen über die Bereitstellung digitaler Produkte im BGB, ZUM 2021, S. 195–210. Roßnagel, Alexander: Rechtsfragen eines Smart Data-Austauschs, NJW 2017, S. 10–15. Roßnagel, Alexander/Pfitzmann, Andreas/Garstka, Hansjürgen: Modernisierung des Datenschutzrechts. Gutachten im Auftrag des Bundesministeriums des Innern, 2001. Rothmann, Robert/Buchner, Benedikt: Der typische Facebook-Nutzer zwischen Recht und Realität, DuD 2018, S. 342–346. Rudkowski, Lena/Werner, Deborah: Neue Pflichten für Anbieter jenseits der „ButtonLösung“ – Paid Content-Verträge nach der Verbraucherrechte-Richtlinie, MMR 2012, S. 711–715. Säcker, Franz Jürgen/Rixecker, Roland/Oetker, Hartmut/Limperg, Bettina (Hrsg.): Münchener Kommentar zum Bürgerlichen Gesetzbuch, Band 1–6: – Band 1, §§ 1–240 BGB, AllgPersönlR, ProstG, AGG, 8. Auflage, München 2018; – Band 2, §§ 241–310 BGB, 8. Auflage, München 2019; – Band 3, §§ 311–432 BGB, 8. Auflage, München 2019; – Band 4, §§ 433–534 BGB, Finanzierungsleasing, CISG, 8. Auflage, München 2019; – Band 5, §§ 535–630h BGB, BetrKV, HeizkostenV, WärmeLV, EFZG, TzBfG, KSchG, MiLoG, 8. Auflage, München 2020; – Band 6, §§ 705–853 BGB, PartGG, ProdHaftG, 7. Auflage, München 2017 [zitiert als: MüKoBGB/Bearbeiter, Auflage [Jahr], § Rn.]. Sagstetter, Thomas: Neue Regeln für Big Data & Co.?, in: Husemann/Korves/Rosenkranz et al. (Hrsg.), Jahrbuch Junge Zivilrechtswissenschaft. Strukturwandel und Privatrecht, Baden-Baden 2019, S. 249–291. Sanders, Sherry D.: Privacy is dead: The birth of social media background checks. Southern University Law Rev, 39 S.U. L. Rev. (2011–2012), S. 243–264. Sattler, Andreas: Neues EU-Vertragsrecht für digitale Güter, CR 2020, S. 145–154. Sattler, Andreas: Heteronomie oder Autonomie – welchen Weg geht das Datenschuldrecht?, in: Ochs, Carsten/Friedewald, Michael/Hess,Thomas/Lamla, Jörn (Hrsg.), Die Zukunft der Datenökonomie: Zwischen Geschäftsmodell, Kollektivgut und Verbraucherschutz, Wiesbaden 2019, S. 215–250. Sattler, Andreas: Personenbezogene Daten als Leistungsgegenstand, JZ 2017, S. 1036– 1046. Schaaf, Julia: Zahl der internetsüchtigen Studenten hat sich 2020 verdoppelt, FAZ vom 10.10.2021, abrufbar unter: https://www.faz.net/aktuell/gesellschaft/gesundheit/stu denten-brauchen-hilfe-internetsucht-und-depressionen-17576273.html (Stand 01.05. 2022). Schack, Heino: Anm. zu BGH, Urteil vom 01.12.1999, I ZR 49/97 (KG), JZ 2000, S. 1060–1062.
Literaturverzeichnis
263
Schantz, Peter: Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, S. 1841–1847. Schantz, Peter/Wolf, Heinrich Amadeus: Das neue Datenschutzrecht. DatenschutzGrundverordnung und Bundesdatenschutzgesetz in der Praxis, München 2017. Scheibenpflug, Andreas: Personenbezogene Daten als Gegenleistung. Ein Beitrag zur rechtlichen Einordnung datengetriebener Austauschverhältnisse, Berlin 2022. Scheurer, Martin: Playing consent, Informationsvermittlung durch Gamification, PinG 2020, S. 13–17. Schleipfer, Stefan: Datenschutzkonformes Webtracking nach Wegfall des TMG, ZD 2017, S. 460–466. Schleipfer, Stefan: Datenschutzkonformer Umgang mit Nutzungsprofilen – Sind IPAdressen, Cookies und Fingerprints die entscheidenden Details beim Webtracking?, ZD 2015, S. 399–405. Schmalzried, Gregor: Klarnamenpflicht auf Facebook rechtens, br 08.12.2020, abrufbar unter: https://www.br.de/nachrichten/netzwelt/klarnamenpflicht-auf-facebook-rech tens,SIVpZsp (Stand 01.05.2022). Schmidt, Felix: Davon träumen Kapitalisten und Sozialisten: Dynamische und individualisierte Preise, 17. Februar 2016, abrufbar unter: https://www.datenschutz-noti zen.de/davon-traeumen-kapitalisten-und-sozialisten-dynamische-und-individualisier te-preise-4913912 (Stand 01.05.2022). Schmidt-Kessel, Martin: Wandlungen des Privatrechts – Erwartungen an ein Privatrecht 2050, in: Beyer/Erler/Hartmann et al. (Hrsg.), Jahrbuch Junge Zivilrechtswissenschaft. Privatrecht 2050 – Blick in die digitale Zukunft, Baden-Baden 2020, S. 9– 31. Schmidt-Kessel, Martin/Grimm, Anna: Unentgeltlich oder entgeltlich? – Der vertragliche Austausch von digitalen Inhalten gegen personenbezogene Daten, ZfPW 2017, S. 84–108. Schneider, Jochen: Hemmnis für einen modernen Datenschutz: Das Verbotsprinzip, AnwBl 2011, S. 233–239. Schneider, Jochen/Härting, Niko: Warum wir ein neues BDSG brauchen – Kritischer Beitrag zum BDSG und dessen Defiziten, ZD 2011, S. 63–68. Schneiders, Pascal: Jeder kriegt einen eigenen Preis, FAZ 08.04.2015, abrufbar unter: http://www.faz.net/aktuell/finanzen/meine-finanzen/geld-ausgeben/dynamische-prei se-das-ende-des-einheitspreises-13522679.html (Stand 01.05.2022). Schönke, Adolf/Schröder, Horst (Begr.): Strafgesetzbuch Kommentar, 30. Auflage, München 2019 [zitiert als: Schönke/Schröder/Bearbeiter, 30. Aufl. 2019, StGB § Rn.]. Schrader, Paul T.: Verträge über digitale Produkte: „lediglich rechtlicher Vorteil“ für den Minderjährigen?, JA 2021, S. 177–184. Schreiber, Kristina: Ein neues Vertragsrecht für digitale Produkte, MMR 2021, 601– 602.
264
Literaturverzeichnis
Schricker, Ulrich (Hrsg. bis zur. 3. Aufl.)/Loewenheim, Ulrich/Leistner, Matthias/Ohly, Ansgar (Hrsg.): Urheberrecht Kommentar, 6. Auflage, München 2020 [zitiert als: Schricker/Löwenheim/Bearbeiter, Urheberrecht Kommentar, § Rn.]. Schröder, Georg: Datenschutzrecht für die Praxis, 4. Auflage, München 2021. Schulze, Reiner (Schriftleitung): Handkommentar Bürgerliches Gesetzbuch, 11. Auflage, Baden-Baden 2022 [zitiert als: Schulze HK-BGB/Bearbeiter, 11. Aufl. 2022, § Rn.]. Schulze, Reiner: Die Digitale-Inhalte-Richtlinie – Innovation und Kontinuität im europäischen Vertragsrecht, ZEuP 2019, S. 695–723. Schulze, Reiner/Staudenmayer, Dirk/Lohsse, Sebastian (Hrsg.): Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, Münster Colloquia on EU Law and the Digital Economy II, Baden-Baden 2017 [zitiert als: Schulze/Staudenmayer/Lohsse/Bearbeiter, Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, S.]. Schumacher, Pascal/Sydow, Lennart/von Schönfeld, Max: Cookie Compliance, quo vadis?, MMR 2021, S. 603–609. Schur, Nico: Die Lizenzierung von Daten, GRUR 2020, S. 1142–1152. Schwartmann, Rolf/Benedikt, Kristin/Reif, Yvette: Entwurf zum TTDSG: Für einen zeitgemäßen Online-Datenschutz?, MMR 2021, S. 99–102. Schweitzer, Heike: The Art to Make Gatekeeper Positions Contestable and the Challenge to Know What Is Fair: A Discussion of the Digital Markets Act Proposal, ZeuP 2021, S. 503–544. Schweitzer, Heike: Datenzugang in der Datenökonomie: Eckpfeiler einer neuen Informationsordnung, GRUR 2019, S. 569–580. Schwintowski, Hans-Peter: Preistransparenz als Voraussetzung funktionsfähigen (digitalen) Marktwettbewerbs, NJOZ 2018, S. 841–850. Seidenschwarz, Holger/Faltermeier, Johann/Wierer, Quirin/Deichner, Nils/Wittmann, Georg/Beer, Andreas/Schenkl, Johann: Projekt im Auftrag des Bundesministeriums für Justiz- und Verbraucherschutz (BMJV), Schlussbericht – Empirie zu personalisierten Preisen im E-Commerce, ibi research an der Universität Regensburg GmbH, abrufbar unter: https://www.bmjv.de/SharedDocs/Downloads/DE/Service/Fachpu blikationen/Schlussbericht_Empirie.pdf;jsessionid=E69B5B6DB7099DBEE7CF5CF 1A02F5854.1_cid324?__blob=publicationFile&v=1 (Stand 01.05.2022). Selk, Robert: EU-DS-GVO: Neue Anforderungen an die Einwilligung?, DANA 2016, S. 59–62. Sesing, Andreas: Cookie-Banner – Hilfe, das Internet ist kaputt!, MMR 2021, S. 544– 549. Shuptrine, Chris: Consent Management Platforms: The Definitive Guide for 2022, 05.03.2019, abrufbar unter: https://www.kevel.co/blog/consent-management-plat forms (Stand 01.05.2022).
Literaturverzeichnis
265
Simitis, Spirou/Hornung, Gerrit/Spiecker gen. Döhmann, Indra (Hrsg.): Kommentar Datenschutzrecht. DS-GVO mit BDSG, Frankfurt/Kassel, 1. Auflage, Baden-Baden 2019 [zitiert als: Simitis/Hornung/Spiecker/Bearbeiter, Datenschutzrecht, Art. Rn.]. Sinus-Institut Heidelberg: DIVSI U25-Studie: Die „Generation Internet“ zwischen Glück und Abhängigkeit, Eine Grundlagenstudie des SINUS-Instituts Heidelberg im Auftrag des Deutschen Instituts für Vertrauen und Sicherheit im Internet (DIVSI) U25, Hamburg, November 2018, abrufbar unter: https://www.divsi.de/wp-content/ uploads/2018/11/DIVSI-U25-Studie-euphorie.pdf (Stand 01.05.2022). Specht, Louisa: Das Verhältnis möglicher Datenrechte zum Datenschutzrecht, GRUR Int. 2017, S. 1040–1047. Specht, Louisa: Daten als Gegenleistung – Verlangt die Digitalisierung nach einem neuen Vertragstypus?, JZ 2017, S. 763–770. Specht, Louisa: Datenverwertungsverträge zwischen Datenschutz und Vertragsfreiheit – Eckpfeiler eines neuen Datenschuldrechts, Rheinische Friedrich-Wilhelms-Universität Bonn DGRI-Jahrbuch 2017. Specht, Louisa: Ausschließlichkeitsrechte an Daten – Notwendigkeit, Schutzumfang, Alternativen, CR 2016, S. 288–296. Specht, Louisa: Konsequenzen der Ökonomisierung informationeller Selbstbestimmung: Die zivilrechtliche Erfassung des Datenhandels, Köln 2012. Specht-Riemenschneider, Louisa: Die Entwicklung des IT-Rechts im Jahr 2019, NJW 2019, S. 3687–3692. Specht-Riemenschneider, Louisa/Blankertz, Aline/Sierek, Pasacal/Schneider, Ruben/ Knappp, Jakob/Henne, Theresa: Die Datentreuhand, MMR-Beil. 2021, S. 25–48. Specht-Riemenschneider, Louisa/Riemenschneider, Severin/Schneider, Ruben: Internetrecht, Berlin 2020. Specht-Riemenschneider, Louisa/Werry, Nikola/Werry, Susanne (Hrsg.): Datenrecht in der Digitalisierung, Berlin 2020 [zitiert als: Specht-Riemenschneider/Werry/Werry/ Bearbeiter, Datenrecht in der Digitalisierung, S.]. Spindler, Gerald: Ausgewählte Rechtsfragen der Umsetzung der digitalen Inhalte-Richtlinie in das BGB, MMR 2021, S. 528–533. Spindler, Gerald: Zukunft der Digitalisierung – Datenwirtschaft in der Unternehmenspraxis, Der Betrieb 2018, S. 41–49. Spindler, Gerald/Schuster, Fabian: Das Recht der elektronischen Medien, Kommentar, 4. Auflage, München 2019 [zitiert als: Spindler/Schuster/Bearbeiter, Das Recht der elektronischen Medien, Art./§ Rn.]. Spindler, Gerard/Sein, Karin: Die endgültige Richtlinie über Verträge über digitale Inhalte und Dienstleistungen, MMR 2019, S. 415–420. Spindler, Gerard/Sein, Karin: Die Richtlinie über Verträge über digitale Inhalte. Gewährleistung, Haftung und Änderungen, MMR 2019, S. 488–493. Stadler, Thomas: Verstoßen Facebook und Google Plus gegen deutsches Recht? – Ausschluss von Pseudonymen auf Social-Media-Plattformen, ZD 2011, S. 57–59.
266
Literaturverzeichnis
von Staudinger, Julius (Begr.): Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen, Buch 1, Allgemeiner Teil: – §§ 90–124, (Neubearbeitung, Berlin 2021), Buch 2, Recht der Schuldverhältnisse: – §§ 315–326 (Neubearbeitung 2020), – §§ 516–534 (Neubearbeitung Berlin 2021), – §§ 581–606 (Neubearbeitung Berlin 2018), – §§ 611–613 (Neubearbeitung Berlin 2020), – §§ 823 E–I, 824, 825 (Neubearbeitung Berlin 2017) [zitiert als: Staudinger/Bearbeiter, [Jahr] BGB § Rn.]. Steel, Emily/Locke, Callum/Cadman, Emily/Freese, Ben: How much is your personal data worth? Use our calculator to check how much multibillion-dollar data broker industry might pay for your personal data, New York Times 12.06.2013, ergänzt von Martin Stabe am 15.07.2017, abrufbar unter: https://ig.ft.com/how-much-is-yourpersonal-data-worth/ (Stand 01.05.2022). Stender-Vorwachs, Jutte/Steege, Hans: Wem gehören unsere Daten?, NJOZ 2018, S. 1361–1367. Storey, Grant/Reisman, Dillon/Mayer, Jonathan/Narayanan, Arvind: The Future of Ad Blocking: An Analytical Framework and New Techniques, 2017, arXiv:1705.08568, abrufbar unter: https://arxiv.org/abs/1705.08568 (Stand 01.05.2022). Strauß, Kathrin: Nieder mit dem „Nichts zu verbergen-Argument“, abrufbar unter: https://www.datenschutzexperte.de/blog/datenschutz-im-internet/nichts-zu-verbergenargument/ (Stand 01.05.2022). Sydow, Gernot (Hrsg.): Europäische Datenschutzgrundverordnung, Handkommentar, 2. Auflage, Baden-Baden 2018 [zitiert als: Sydow/Bearbeiter, 2. Aufl. 2018, DSGVO, Art. Rn.]. Taeger, Jürgen: Einwilligung von Kindern gegenüber Diensten der Informationsgesellschaft, ZD 2021, S. 505–508. Taeger, Jürgen/Gabel, Detlev (Hrsg.): Kommentar DS-GVO – BDSG, 3. Auflage, Frankfurt am Main 2019 [zitiert als: Taeger/Gabel/Bearbeiter, DS-GVO, Art. Rn.]. Taeger, Jürgen/Pohle, Jan (Hrsg.)/Kilian, Wolfgang/Heussen, Benno (Hrsg. bis zur 32. Ergänzungslieferung): Computerrechts-Handbuch, Informationstechnologie in der Rechts- und Wirtschaftspraxis, 36. Ergänzungslieferung, Februar 2021, München [zitiert als: Taeger/Pohle/Bearbeiter, Computerrrechts-Handbuch, Abschn. Teil Rn.]. Tamm, Marina/Tonner, Klaus/Brönneke, Tobias (Hrsg.): Verbraucherrecht, 3. Auflage, Baden-Baden 2020 [zitiert als: Tamm/Tonner/Brönneke/Bearbeiter, Verbraucherrecht, § Rn.]. The Guardian: „The Cambridge Analytica Files“ (Übersicht zu sämtlichen relevanten Pressemitteilungen der britischen Zeitung „The Guardian“ zum Cambridge Analytica-Skandal), abrufbar unter: https://www.theguardian.com/news/series/cambridgeanalytica-files (Stand 01.05.2022).
Literaturverzeichnis
267
Thüsing, Gregor/Graf v. Westphalen, Friedrich (Hrsg.): Vertragsrecht und AGB-Klauselwerke, 44. Ergänzung 2019, München 2020 [zitiert als: Thüsing/v. Westphalen/Bearbeiter, Vertragsrecht, Teil Rn.]. Tietjen, Daniel/Flöter, Benedikt: Dynamische und personalisierte Preise: Welche lauterkeitsrechtlichen Schranken gelten für Unternehmen?, GRUR-Prax 2017, S. 546– 548. Tinnefeld, Marie-Theres/Conrad, Isabell: Die selbstbestimmte Einwilligung im europäischen Recht, ZD 2018, S. 391–398. Ullmann, Eike: Persönlichkeitsrechte in Lizenz?, AfP 1999, S. 209–214. von Ulmenstein, Ulrich: Datensouveränität durch repräsentative Rechtswahrnehmung, DuD 2020, S. 528–534. Valentino-Devries, Jennifer/Singer-Vine, Jeremy: They Know What You’re Shopping For, Wall Street Journal, 07.12.2012, abrufbar unter: http://online.wsj.com/news/ar ticles/SB10001424127887324784404578143144132736214 (Stand 01.05.2022). Valentino-Devries, Jennifer/Singer-Vine, Jeremy/Soltani, Ashkan: Websites Vary Prices, Deals Based on Users’ Information, Wall Street Journal, 24.12.2012, abrufbar unter: https://www.wsj.com/articles/SB10001424127887323777204578189391813881534 (Stand 01.05.2022). Veil, Winfried: Die Datenschutz-Grundverordnung: des Kaisers neue Kleider, NVwZ 2018, S. 686–696. Veil, Winfried: Einwilligung oder berechtigtes Interesse? – Datenverarbeitung zwischen Skylla und Charybdis, NJW 2018, S. 3337–3344. Verbraucherzentrale Bundesverband e.V.: Personal Information Management Systems (PIMS) – Chancen, Risiken und Anforderungen, Positionspapier v. 19.02.2020, abrufbar unter: https://www.vzbv.de/sites/default/files/downloads/202004/06/20-0219_vzbv-positionspapier_pims.pdf (Stand 01.05.2022). Wagner, Edgar: Datenschutz bei Kundenkarten, DuD 2010, S. 30–33. Walker, Matthias: Die Kosten kostenloser Dienste, Berlin 2021. Wandtke, Artur-Axel: Ökonomischer Wert von persönlichen Daten, Diskussion des „Warencharakters“ von Daten aus persönlichkeits- und urheberrechtlicher Sicht, MMR 2017, S. 6–12. Wang, Jun/Zhang, Weinan/Yuan, Shuai: Display Advertising with Real-Time Bidding (RTB) and Behavioural Targeting, 2017, arXiv:1610.03013, abrufbar unter: https:// arxiv.org/abs/1610.03013v2 (Stand 01.05.2022). Warner, Richard/Sloan, Robert: Behavioral Advertising: From One-Sided Chicken to Informational Norms, 15 Vand. J. Ent. & Tech. L. 49 (2012), abrufbar unter: https:// scholarship.kentlaw.iit.edu/cgi/viewcontent.cgi?article=1566&context=fac_schol (Stand 01.05.2022). Wehleit, Jonas: WhatsApp – Rechtsnatur des Vertrags zwischen IM-Dienst und Nutzer, MMR 2018, S. 279–282. Weichert, Thilo: Die Ökonomisierung des Rechts auf informationelle Selbstbestimmung, NJW 2001, S. 1463–1469.
268
Literaturverzeichnis
Weingart, Rowena: Vertragsschluss durch Verhandlungsagenten, CR 2020, S. 701–708. Weinzierl, Quirin: Dark Patterns als Herausforderung für das Recht, NVwZ 2020, S. 1087–1088. Wendehorst, Christiane/Graf von Westphalen, Friedrich: Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, NJW 2016, S. 3745–3750. Wendehorst, Christiane/Graf von Westphalen, Friedrich: Hergabe personenbezogener Daten für digitale Inhalte – Gegenleistung, bereitzustellendes Material oder Zwangsbeitrag zum Datenbinnenmarkt?, BB 2016, S. 2179–2187. Wicker, Magda: Vertragstypologische Einordnung von Cloud Computing-Verträgen – Rechtliche Lösungen bei auftretenden Mängeln, MMR 2012, S. 783–788. Wiebe, Andreas: Von Datenrechten zu Datenzugang – Ein rechtlicher Rahmen für die europäische Datenwirtschaft, CR 2017, S. 87–93. Wiebe, Andreas: Protection of industrial data – a new property right for the digital economy?, GRUR Int. 2016, S. 877–884. Wiebe, Andreas/Helmschrot, Céline: Untersuchung der Umsetzung der DatenschutzGrundverordnung (DS-GVO) durch Online-Dienste, Stand 30. September 2019, in Auftrag gegeben vom Bundesministerium der Justiz und für Verbraucherschutz Referat – VB3 Digitale Kundenbeziehungen, Datensouveränität, abrufbar unter: https:// www.bmjv.de/SharedDocs/Downloads/DE/News/Artikel/112919_DSGVO_Studie. pdf;jsessionid=CA4DEDA1C05F5158C820FD0563DB5D43.2_cid297?__blob=publi cationFile&v=2 (Stand 01.05.2022). Wiebe, Andreas/Schur, Nico: Ein Recht an industriellen Daten im verfassungsrechtlichen Spannungsverhältnis zwischen Eigentumsschutz, Wettbewerbs- und Informationsfreiheit, ZUM 2017, S. 461–473. Wiesemann, Hans Peter/Mattheis, Clemens/Wende, Susanne: Software-Updates bei vernetzten Geräten, MMR 2020, S. 139–144. Wilfling, Sebastian: Die datenschutzrechtlichen Anforderungen an Cookie Einwilligungen – Das Ende der Cookie Banner?, DSRITB 2019, S. 301–312. Wilson, Dennis G.: The Ethics of Automated Behavioral Microtargeting, AI Matters, Volume 3 Issue 3, Summer 2017, S. 54–64. Wintermeier, Martin: Inanspruchnahme sozialer Netzwerke durch Minderjährige – Datenschutz aus dem Blickwinkel des Vertragsrechts, ZD 2012, S. 211–214. Wischmeyer, Thomas: Regulierung intelligenter Systeme, AöR 2018, S. 1–66. Wolf, Maik: Algorithmengestützte Preissetzung im Online-Einzelhandel als abgestimmte Verhaltensweise – Ein Beitrag zur Bewältigung des „Predictable Agent“ über Art. 101 Abs. 1 AEUV, NZKart 2019, S. 2–10. Zander-Hayat, Helga/Reisch, Lucia A./Steffen, Christine: Personalisierte Preise – Eine verbraucherpolitische Einordnung, VuR 2016, S. 403–410. Zech, Herbert: Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers“, CR 2015, S. 137–146.
Literaturverzeichnis
269
Zech, Herbert: „Industrie 4.0“ – Rechtsrahmen für eine Datenwirtschaft im digitalen Binnenmarkt, GRUR 2015, S. 1151–1160. Ziebarth, Wolfgang: Das Datum als Geisel – Klarnamenspflicht und Nutzeraussperrung bei Facebook, ZD 2013, S. 375–379. von Zimmermann, Georg: Die Einwilligung im Internet, Göttingen 2014. Zscherpe, Kerstin A.: Anforderungen an die datenschutzrechtliche Einwilligung im Internet, MMR 2004, S. 723–727. Zuiderveen Borgesius, Frederik J./Kruikemeier, Sanne/Boerman, Sophie C./Helberge, Natali: Tracking Walls, Take-It-or-Leave-It Choices, the GDPR, and the ePrivacy Regulation, European Data Protection Law Review, EDPL 3/2017, S. 353–368. Zuiderveen Borgesius, Frederik J./Poort, Joost: Online Price Discrimination and EU Data Privacy Law, J Consum Policy (2017); Vol. 40, S. 347–366.
Sachwortverzeichnis Abstraktionsprinzip 176, 190 f. Adblocker 139 ff. AGB 53 ff., 151, 169 ff., 183 Allgemeines Persönlichkeitsrecht 76 ff. Anonymisierung 24, 201 Anti-Tracking 139 ff. App-Store 123 ff. Ausschließlichkeitsrecht 222 ff. Behavioral Microtargeting 127 ff. Berechtigtes Interesse 204 ff. Big Data 19 f. CMP (Consent Management Platform) 162 f., 199 f., 211 f. Cookies 150 ff., 199 f., 211 Dark Patterns 212 Daten – als Entgelt 55 ff. – als Früchte und Nutzungen 101 f. – als Gegenleistung 68 ff. – als Hauptleistung 53 f., 68 f. – als Nebenabrede 51 ff. – Bereitstellung 79 ff., 110 f., 133 – Personenbezug 21 ff. – Wertbestimmung/Wertschöpfung 25 ff. Dateneigentum 221 ff. Datenqualität 90 ff. Datenschutzerklärung 210 ff. Datentreuhand 219 ff. Datenzugang 61 f. Dauerschuldcharakter 100 ff., 112 ff. Dienstvertrag 104, 117 ff. Digital-Markets-Act 236 f. Digital-Services-Act 236 f.
Digitale Produkte 109 f. Digitale-Inhalte-Richtlinie (DIRL) 42 ff. Dynamic Pricing 35 e-Privacy-Verordnung 47 ff., 203 f. Einwilligung – als Bestandteil von AGB 169 f. – als Leistungsgegenstand 81 ff. – Freiwilligkeit 67, 152 ff. – Informiertheit 33, 153 – Kritik 191 ff. – Rechtsnatur 183 ff. – Widerrufbarkeit/Widerruflichkeit 85 ff., 164 ff., 197 Entgelt 55 ff. Erwägungsgründe 146 ff. Facebook 63 f., 73, 92 Fezer, Karl-Heinz 230 ff. Gamifizierung/Gamification 217 ff. Gattungsschuld 90 ff. Gegenleistung 55 ff., 68 ff. – bei Dauerschuldverhältnis 100 ff., 112 ff. – bei punktuellem Leistungsaustausch 96 ff., 111 Geschäftsunfähigkeit 126 Google 64 ff. Google Analytics 198 ff. Hacker, Philipp 70 ff. Informationelle Selbstbestimmung 78, 106 ff., 193 f. Informationsgesellschaften 173 ff. IP-Adresse 22 ff.
Sachwortverzeichnis Kaufvertrag 112 f. Klarnamenpflicht 93 f., 137, 203 Konditionale Verknüpfung 69 ff. Kopplungsverbot 67 f., 155 ff.
Targeted Advertising 28 ff. Tauschvertrag 99 f., 111 ff. Tracking 20, 139 ff., 197 ff. Treuhänder 219 ff.
Leistungspflicht 68 ff., 75 f. Lizenzvertrag 102 ff., 116 f.
Urheberrecht 229
Mietvertrag 101, 113 ff. Minderjährigkeit 126 f., 171 ff. Monopolstellung 49, 155 Naturalobligation 84 Nicht-Rivalität 224 Nudging 212 f. One-Pager 210 Pachtvertrag 101 f., 113 ff. Persönlichkeitsrecht siehe Allgemeines Persönlichkeitsrecht Pflichtverletzung 130 ff. PIMS (Personal Information Management System) 220 f. Plattformen 123 ff. Pseudonymisierung 24, 137, 202 f. Real-Time-Bidding 31 ff. Realakt 187 ff. Rechtlicher Vorteil 126 f., 182 Rechtsbindungswille 62 ff. Repräsentatives Dateneigentum 230 ff. Schenkung 51 f., 59 ff. Sittenwidrigkeit 127 ff. Synallagma 49 ff., 68 ff.
271
Verfügungsgeschäft 126 f., 190 f. Verknüpfung von Leistungspflichten 68 ff. Vermögensbegriff 25 ff. Verpflichtungsgeschäft 126 f., 190 f. Vertragsschluss – bei App-Stores 123 ff. – mit Registrierungsvorgang 63 f. – ohne Registrierungsvorgang 64 f. Vertragstypologie – bei Verträgen mit Dauerschuldcharakter 100 ff., 112 ff. – bei Verträgen mit punktuellem Austausch 96 ff., 111 Walker, Matthias 64, 66, 72 Wegfall der Geschäftsgrundlage 89 Werbeanzeigen 28 ff. Widerruf – Folgen 85 ff., 164 f. – Hinweispflicht 166 f. – Kritik 197 Willenserklärung 184 ff. Zertifizierung 213 ff. Zwittervertrag 73 f.