Liebe Leser:innen,
willkommen zum jüngsten Rechtsüberblick. Auch heute wollen wir wieder einen Blick auf spannende Themen des Datenschutzrechts werfen, die die unternehmerische Praxis zur Zeit und in naher Zukunft beschäftigen (werden). Sie wissen bereits, dass das Datenschutzrecht nicht zur Ruhe kommt und eines der lebendigsten Rechtsgebiete im Bereich Compliance bleibt. Deshalb wollen wir auch heute wieder einen kleinen Ausblick auf aktuelle Themen geben, nämlich:
- LG Bonn: Die verspätete Auskunftserteilung an den Betroffenen ist kein Grund für Schadensersatz oder Schmerzensgeld
- EuGH: Nicht nur die Datenschutzbehörde am Hauptsitz eines Unternehmens darf tätig werden
- Schrems III am Horizont? – Die Rechtmäßigkeit der Datenverarbeitung durch Facebook auf dem Prüfstand
- Die Ausübung datenschutzrechtlicher Betroffenenrechte wird in das Vertragsrecht eingebettet; ein Ausblick auf § 327q BGB
Spannende Themen, viel zu tun. Deshalb wollen wir direkt beginnen. Viel Spaß bei der Lektüre!
LG Bonn: Die verspätete Auskunft – kein Grund für Schmerzensgeld
Als erstes wollen wir ein aktuelles Urteil des LG Bonn besprechen, es geht um den Anspruch auf Auskunft. Das Auskunftsrecht ist Schlüssel und Anker der Betroffenenrechte der DSGVO. Geregelt ist er in Art. 15 DSGVO. Hiernach hat jede betroffene Person das Recht, vom Verantwortlichen zu erfahren, ob und ggf. welche personenbezogenen Daten über sie verarbeitet werden.
Zu den Informationen, die der Verantwortliche der betroffenen Person mitteilen muss, gehören:
- Zwecke der Verarbeitung
- Betroffene Kategorien personenbezogener Daten
- Empfänger der Daten, insb. in Drittstaaten
- sofern möglich: Dauer der Speicherung
- Betroffenenrechte (Löschung, Berichtigung usw.)
- Beschwerderecht bei der Datenschutzbehörde
- Herkunft der Daten
- Informationen über Profiling
Das kann eine sehr umfangreiche und mühselig zusammengestellte Antwort bedeuten. Stellen Sie sich nur eine:n langjährige:n Geschäftspartner:in vor, die Auskunft von Ihnen verlangt. Was da in Ihrer geschäftlichen Beziehung alles an Daten angefallen sind.
Praxistipp: Zur effizienten Erfüllung dieses Anspruchs lohnt sich deshalb ein gut geführtes Verzeichnis von Verarbeitungstätigkeiten. Warum, wieso, weshalb – das haben wir Ihnen hier aufgeschlüsselt: 8 Schritte zur DSGVO-Compliance
Um die begehrte Auskunft zu erteilen, hat das Unternehmen nicht unendlich viel Zeit. Art. 12 Abs. 3 sieht vor, dass die Informationen unverzüglich, spätestens jedoch innerhalb eines Monats nach Antragseingang zur Verfügung gestellt wird. Diese Monatsfrist kann schnell überschritten werden, entweder aus Versehen (es ist gerade Urlaubssaison, Weihnachten oder Ähnliches) oder schlicht, weil die Auskunft so umfangreich und komplex ist, dass der Monat einfach nicht reicht. Im letzteren Fall kann das Unternehmen die Frist zur Beantwortung um zwei Monate verlängern, was allerdings gegenüber der betroffenen Person begründet werden muss.
Was passiert aber, wenn auch diese Frist ohne Antwort des Unternehmens verstreicht, wenn der Betroffene also nach vier, fünf oder gar nach acht Monaten Verzug noch keine Auskunft hat. Nun, genau so einen Fall hatte das Landgericht (LG) Bonn im Urteil zum Az. 15 O 375/20 (der Link zur frei zugänglichen Entscheidung wird nachgereicht, sobald diese verfügbar ist; vgl. bisher Pressemitteilung des Kollegen RA Dr. Bahr) zu entscheiden. Acht Monate zu spät kam die Auskunft, die die Klägerin begehrt hatte. Wegen dieser Verzögerung wollte die Klägerin Schadensersatz vom Unternehmen haben.
Geht das? Kann die betroffene Person schon deshalb Schadensersatz verlangen, weil die Auskunft durch das Unternehmen zu spät kam? Schauen wir uns das mal an:
Schadensersatz nach Art. 82 DSGVO bekommt die betroffene Person dann, wenn aus einem Datenschutzverstoß ein materieller oder immaterieller Schaden entsteht. Unter einem immateriellen Schaden wird landläufig das Schmerzensgeld verstanden.
Schmerzensgeld muss unter den Voraussetzungen von Art. 82 Abs. 2 DSGVO gezahlt werden, dazu heißt es im Wortlaut der Norm:
„die Verantwortlichen [haften] für den Schaden, der durch eine nicht dieser [DSGVO] entsprechende Verarbeitung entstanden ist“ (Hervorhebungen durch uns)
Voraussetzung des Schadensersatzes nach der DSGVO ist also, dass es eine Datenverarbeitung gab, die nicht mit der DSGVO in Einklang stand. Was wir unter einer solchen Verarbeitung verstehen, dass verrät uns Art. 4 Nr. 2 DSGVO:
„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang […] im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen und die Vernichtung“
Und da hat das LG Bonn nun sehr genau mit dem Wortlaut gearbeitet: Nur wenn eine Verarbeitung in diesem Sinne vorliegt, die gegen die DSGVO verstößt, kann der Betroffene dafür Schadensersatz verlangen. Verstößt das Unternehmen zwar gegen die DSGVO, aber ohne dabei Daten im obigen Sinne zu verarbeiten, werde hierfür kein Schmerzensgeld geschuldet. Und da liegt für das LG Bonn der Grund, warum es keinen Schadensersatz in diesem Fall gab: Die Pünktlichkeit der Auskunftserteilung fällt gar nicht unter den Verarbeitungsbegriff. Wenn die verspätete Auskunftserteilung nun keine rechtswidrige Verarbeitung ist, dann kann die betroffene Person nach Ansicht des LG Bonn auch keinen Schadensersatz verlangen.
Darüber hinaus, so das LG, sei durch die verspätete Auskunft kein spürbarer immaterieller Schaden eingetreten. Damit kratzt das LG an der Oberfläche eines hoch strittigen Themas: Gibt es nur Schmerzensgeld, wenn die Verletzung des Datenschutzes für die betroffene Person spürbar ist? Oder auch, wenn es zu keiner merklichen Beeinträchtigung kam? Mit dieser Frage haben wir uns bereits im März hier beschäftigt. Auch wenn das LG diese Frage letztlich offen ließ, eine gewisse Tendenz dazu, dass nicht spürbare Verstöße nicht ausreichen, kann dem Urteil aber entnommen werden.
Das Urteil des LG Bonn ist deshalb sehr interessant: Denn es schließt Schmerzensgeld bei verspäteter Auskunft quasi kategorisch ausschließt. Wenn das Schule macht, wäre ein erhebliches Haftungsrisiko im Unternehmen quasi eliminiert. Deshalb ist die spannende Frage: Wird sich die Linie des LG Bonn fortsetzen? Hat das LG Bonn Recht mit seiner Entscheidung?
Gestützt hatte es sich auf den Wortlaut von Art. 82 Abs. 2, also darauf, dass Schadensersatz nur bei rechtswidriger Verarbeitung möglich sei. Gegen diese Argumentation des LG könnte man nun auf Art. 82 Abs. 1 verweisen. Denn Abs. 1 ist offener und weiter formuliert, denn dort heißt es:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist […]“ (Hervorhebungen durch den Autoren)
Absatz 1 ordnet an, dass es Schadensersatz bereits bei Verstoß gegen „diese Verordnung“ gibt, nicht erst bei einer „rechtswidrigen Verarbeitung“, wie es Absatz 2 sagt. Wenn Absatz 1 viel weiter gefasst ist als Absatz 2, dann stellt sich die Frage, was denn nun gilt. Jeder Verordnungsverstoß oder doch nur jede rechtswidrige Verarbeitung? Anhaltspunkte für die Antwort geben die Erwägungsgründe zur DSGVO, vor allem Nr. 146:
„[…] Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht […]“ (Hervorhebungen durch den Autoren)
Erwägungsgrund 146 stellt also auch auf die Verarbeitung ab, die DSGVO-widrig sein muss. Die Begründung scheint eher ebenfalls vom engen Verständnis des Art. 82 Abs. 2 geprägt. Spricht also dafür, dem LG Bonn zuzustimmen und bei verspäteter Auskunft keinen Schadensersatz zu gewähren?
Andererseits unterliegt das Schadensersatzrecht der DSGVO dem Gebot, einen möglichst effektiven Datenschutz durchzusetzen. Dabei gilt bei Behörden und in der Rechtsprechung die Faustformel: „Je schneller und je höher der Schadensersatz für die betroffene Person, desto eher wird sich das Unternehmen an die DSGVO halten.“ Auch der Gesetzgeber hat sich diesen Gedanken gemacht, was sich ebenfalls in Erwägungsgrund 146 zeigt:
„Der Begriff des Schadens sollte im Lichte der Rechtsprechung des [EuGH] weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ (Hervorhebungen durch den Autoren)
Das könnte dafür sprechen, doch dem weiten Wortlaut von Absatz 1 zu folgen und Schadensersatz auch für die verspätete Auskunft zu gewähren. Aber Moment! Lesen wir den Erwägungsgrund genau, dann fällt uns folgendes auf: „Der Begriff des Schadens sollte […] weit […] ausgelegt werden“. Das Gebot einer weiten Auslegung, dass uns Erwägungsgrund 146 aufgibt, gilt also nur für den Schaden selbst, nicht für die Umstände, wann es überhaupt zu einer Schadensersatzpflicht kommt.
Diese Trennung klingt erstmal kompliziert, aber wir trennen juristisch zwischen Schadensersatzgrund und Schadensersatzumfang. Um das am folgenden Beispiel deutlich zu machen: A fährt angetrunken mit seinem Pkw dem B in seinen Pkw. Das Hineinfahren in den Pkw des B ist der Grund, weshalb A sich schadensersatzpflichtig gemacht hat. Was A nun dem B alles bezahlen muss, also zum Beispiel die Ausbeulung, die Neulackierung, mitgeführte Gegenstände etc., das ist dann eine Frage des Schadensersatzumfangs.
Grob: Bei dem Grund geht es um die Frage „wann?“ bzw. „ob?“, bei dem Umfang hingegen um die Frage „wie viel?“.
Wenn Erwägungsgrund 146 nun von „dem Schaden“ spricht, dann bezieht er sich auf die zweite Frage, auf das „wie viel?“, das dann weit ausgelegt werden muss. Über die erste Frage, das „ob“, trifft er dann keine Aussage.
Ganz klar ist die DSGVO in dieser Frage also nicht.
Es ist keineswegs klar, ob das LG Bonn mit seiner Entscheidung richtig lag. Es gibt gute (vielleicht sogar die besseren) Gründe dafür, der Entscheidung zuzustimmen. Aber gesichert und allseits akzeptiert ist dieses Ergebnis noch keineswegs. Das Landesarbeitsgericht (LAG) Hamm hat in seinem Urteil zum Az. 6 Sa 1260/20 zum Beispiel genau anders entschieden und für eine verspätete und unvollständige Auskunft Schmerzensgeld gewährt. Das Urteil des LG Bonn liegt gerade zur Revision beim BGH. Und eventuell wird auch der EuGH in dieser Sache eingeschaltet.
Ist das Urteil des LG Bonn deshalb eine Einladung dazu, nun die Beine hochzulegen und bei der Beantwortung von Auskunftsansprüchen zu trödeln? Nein, definitiv nicht! Denn zum einen kann es gut sein, dass der BGH das Urteil noch kippt, oder das andere Gerichte zu einem anderen Schluss kommen. Und dann gibt es immer noch die Datenschutzbehörden, die bei Nichtbefolgung des Auskunftsanspruchs mit Bußgeldern nach Art. 83 vorgehen können.
Wir halten Sie aber auf jedem Fall auf dem Laufenden.
EuGH: Nicht nur die Datenschutzbehörde am Hauptsitz darf bei Datenschutzverstößen tätig werden
Bleiben wir direkt bei den Datenschutzbehörden und wenden uns einem anderen Problem zu, in dem durch den EuGH nun ein wenig mehr Klarheit geschaffen wurde. Es geht um das Problem forum shopping. Das war eines der Probleme, dass die EU mit der DSGVO angehen wollte. Unternehmen sollten unabhängig davon, wo sie ihre Hauptniederlassung in der EU hatten, dem gleichen Datenschutzrecht unterworfen sein. Die Datenschutzgesetzgebung der Mitgliedsstaaten sollte nicht Spielball der Wettbewerbspolitik sein, Staaten sollten sich nicht durch laxe Vorschriften einen Standortvorteil verschaffen. Um das zu erreichen, wurde das Datenschutzrecht vereinheitlicht und in einer zentralen Verordnung geregelt, der DSGVO.
Nicht vereinheitlicht wurde allerdings die behördliche Aufsicht. Die Einrichtung der Datenschutzbehörden und damit die Durchsetzung der DSGVO bleibt Sache der Mitgliedsstaaten.
Deutschland hat aufgrund seiner föderalen Struktur insgesamt 18 Behörden für Datenschutz. Eine Behörde pro Bundesland (bzw. zwei Behörden in Bayern), dazu die Bundesbehörde. Für Unternehmen ist die Datenschutzbehörde des jeweiligen Bundeslandes zuständig.
Die roßen Player des Internets, Google und Facebook, aber auch viele andere Unternehmen, haben ihren EU-Hauptsitz in Irland. Erstmal zuständig ist deshalb die irische Datenschutzaufsicht, der Data Protection Commissioner (DPC). Wenn Unternehmen allerdings grenzüberschreitende, europaweite Datenverarbeitungen durchführen, darf die zuständige Behörde bei der Hauptniederlassung nicht einfach schalten und walten, wie sie will, sondern sie muss sich mit den anderen Aufsichtsbehörden abstimmen.
Das Verfahren zur Abstimmung zwischen den Aufsichtsbehörden ist kompliziert und langatmig aufzugliedern. Deswegen wollen wir es hier stark abkürzen. Für den Fall grenzüberschreitender Verarbeitungen ist die Aufsichtsbehörde der Hauptniederlassung die „zuständige federführende Aufsichtsbehörde“ (Art. 56 Abs. 1 DSGVO) und damit erstmal Ansprechpartner für europaweit agierende Unternehmen. Diese sollen sich grundsätzlich darauf verlassen können, dass nur die federführende Aufsichtsbehörde entscheidet; sie sollen sich nicht auf eine unendliche Vielzahl von potentiell zuständigen Aufsichtsbehörden einstellen müssen.
Bei grenzüberschreitenden Verarbeitungen findet deshalb ein internes und komplexes Abstimmungsverfahren nach Art. 60 DSGVO statt. Die Datenschutzbehörden sind untereinander zu einer loyalen und unterstützenden Zusammenarbeit verpflichtet (Art. 61 DSGVO). Geht etwas schief und funktioniert diese Zusammenarbeit nicht, darf die lokale Aufsichtsbehörde allerdings einstweilige Maßnahmen ergreifen, um gegen Datenschutzverletzungen vorzugehen (Art. 61 Abs. 8 DSGVO).
Der EuGH hat zu diesem Verfahren in seinem Urteil zum Az. C-645/19 nun konkretere Vorgaben gemacht. Dem lag dieser Fall zugrunde: Die belgische Datenschutzbehörde (Gegevenbeschermingsautoriteit, GBA) klagt vor einem belgischen Gericht gegen Facebook Ireland, Facebook Inc. und Facebook Belgium. Ziel der Klage war es, Facebook zu verpflichten, die Nutzung von Cookies, Social Plugins oder Pixeln zur Sammlung personenbezogener Daten einzustellen. Das Gericht erster Instanz folgte der Begründung der GBA und untersagte Facebook die Implementierung dieser Technologien gegenüber belgischen Nutzer:innen. Gegen dieses Urteil wehrte sich Facebook in der nächsten Instanz. Das nun zuständige Gericht fragte sich, ob die GBA überhaupt gegen Facebook Ireland und Facebook Inc. klagen dürfte – immerhin haben diese juristischen Personen ihre Hauptniederlassung gar nicht in Belgien und damit nicht im Zuständigkeitsbereich der GBA. Der irische DPC wäre am Ort der Hauptniederlassung zuständig gewesen. Ergo hätte auch der DPC das Datenschutzrecht gegenüber diesen Akteuren durchsetzen müssen, nicht die GBA. Diese verwies deshalb darauf, dass sie versucht habe, mit dem DPC zusammenzuarbeiten. Da der DPC aber nicht reagiert habe, habe man schließlich selbst das Verfahren in die Hand nehmen und direkt in Belgien klagen müssen.
Es stellte sich also die Frage: Darf eine andere Aufsichtsbehörde tätig werden, um gegen Datenschutzverstöße vorzugehen, wenn die federführende Aufsichtsbehörde nichts macht?
Diese Frage beantwortet der EuGH nun mit „Ja, wenn …“. Unter bestimmten Umständen kann nicht nur die zuständige federführende Aufsichtsbehörde (also der DPC Ireland), sondern auch eine andere Aufsichtsbehörde (also hier die GBA Belgium) gerichtliche Schritte einleiten. Andernfalls könnte der Datenschutzverstoß nicht wirksam abgestellt werden. Es könne nicht sein, so der EuGH, dass sich das Problem des forum shoppings einfach von der Rechtsgestaltung auf die Rechtsdurchsetzung verlagert. Ein vereinheitlichtes Datenschutzrecht bringt eben nichts, wenn die Behördenstruktur in der Union immer noch zum forum shopping animiert. Eine bestimmte Datenschutzbehörde soll nicht neuer Standortvorteil eines Mitgliedstaates sein. Könnte nur die federführende Aufsichtsbehörde tätig werden und würde diese nichts unternehmen, wäre das eine Einladung an Unternehmen, ihre DSGVO-Pflichten zu umgehen. Letztlich wäre das dann eine Umgehung des Grundrechts auf Datenschutz.
Die Entscheidung des EuGH war also: Wenn das Koordinierungsverfahren der Aufsichtsbehörden eingehalten wurde, die federführende Behörde aber nicht mitwirken kann oder möchte, dann dürfen auch andere Aufsichtsbehörden gerichtlich (nach Art. 58 Abs. 5) gegen die rechtswidrige grenzüberschreitende Verarbeitung vorgehen.
Für Unternehmen bedeutet das, dass sie sich nur begrenzt darauf verlassen können, wegen einer untätigen Aufsichtsbehörde an ihrer Hauptniederlassung von datenschutzrechtlichen Pflichten frei zu bleiben. Das forum shopping, die Umgehung der datenschutzrechtlichen Pflichten durch eine strategische Standortwahl, wurde so erschwert.
Schrems III am Horizont?
Bleiben wir direkt bei Facebook. Denn die Verarbeitung durch diesen Internetgiganten dürfte sehr bald Thema vor dem EuGH sein – und das Urteil eventuell große Wellen schlagen. Die Rede ist von einem möglichen Urteil „Schrems III“, dass auf die Wirtschaft zukommen und einiges auf den Kopf stellen könnte.
Während über die Umsetzung und Bedeutung des EuGH-Urteils „Schrems II“ (C-311/18) (s. hierzu auch unsere Blogreihe) noch reichlich gestritten wird und auch einzelne Aspekte der Rechtsprechung noch nicht zu allen Akteuren durchgedrungen sind, zieht ein neues Urteil am Horizont auf. Der österreichische Jurist und Datenschutzaktivist Max Schrems klagt nämlich erneut gegen Facebook.
Diesmal im Fokus der Klage: Die Rechtsgrundlage, auf deren Grundlage Facebook personenbezogene Daten zum Zwecke der Schaltung personalisierter Werbung verarbeitet. Als treue Leser:innen dieses Blogs wissen Sie, dass jede Datenverarbeitung eine Rechtsgrundlage braucht, das steht auch in Art. 5 I a), 6 DSGVO. Von diesen Rechtsgrundlagen gibt es sechs an der Zahl, und zwei sind hier ganz relevant. Nämlich einerseits die Rechtfertigung wegen Einwilligung, andererseits die Rechtfertigung wegen Vertragserfüllung.
Facebook stellt sich auf den Standpunkt, dass die Schaltung personalisierter Werbung die Gegenleistung für die kostenlose Nutzung des Sozialen Mediums ist (s. https://de-de.facebook.com/terms). Facebook stellt sich also die vertragliche Beziehung zu seinen Nutzer:innen als ein Austauschverhältnis zwischen personenbezogenen Daten und Nutzung der Dienste vor. Wenn das zutrifft, dann ist die Verarbeitung personenbezogener Daten eine Gegenleistung für die Inanspruchnahme der Dienste. Das wäre ein Fall von Art. 6 I b) DSGVO. Danach ist die Datenverarbeitung erlaubt, wenn sie der Erfüllung eines Vertrages dient. Bis zum Inkrafttreten der DSGVO war das noch anders, da sprach Facebook von einer expliziten Einwilligung, die die Nutzer:innen für die Verwendung ihrer Daten für Werbung erteilen.
Was gilt nun? Verarbeitet Facebook die Daten zur Vertragserfüllung? Oder doch aufgrund einer Einwilligung? Diese Frage, ist dabei nicht bloß eine akademische. Denn wenn die Daten aufgrund einer Einwilligung verarbeitet werden, unterliegt das Unternehmen gewissen rechtlichen Pflichten gegenüber der betroffenen Person verbunden, die bei der Vertragserfüllung nicht gelten würden.
Dafür werfen wir einen Blick in Art. 7. Diese Norm schreibt besondere Bedingungen für die Erteilung der Einwilligung vor: Sie muss in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache eingeholt werden (Abs. 2). Die Einwilligung zwischen anderen Aspekten oder gar in den AGB verstecken, das geht also nicht. Besonders „lästig“ ist eine Einwilligung aber auch, weil sie jederzeit und ohne Angabe von Gründen vom Betroffenen widerrufen werden kann (Abs. 3). Sobald ein solcher Widerruf erfolgt ist, muss der Verantwortliche seine Verarbeitung beenden, sonst wird sie rechtswidrig. Die Einwilligung ist also vergleichsweise schwer einzuholen und eine wackelige Angelegenheit für das Unternehmen, da der Betroffene jederzeit die Datenverarbeitung eigenmächtig beenden kann. Eine wirkliche Planungssicherheit gibt’s da nicht.
Und nicht zu vernachlässigen: Die Einwilligung muss freiwillig abgegeben werden – das verrät uns Art. 4 Nr. 11 DSGVO. Was erstmal halb so wild klingt, erweist sich in der Praxis schnell als schwierig.
Denn an diese Freiwilligkeit werden hohe Anforderungen angelegt. Nach Erwägungsgrund 43 ist eine Einwilligung beispielsweise nicht freiwillig, wenn ein klares Ungleichgewicht zwischen den Beteiligten besteht oder die Einwilligung vom Betroffenen „abgepresst“ wurde. Das Unternehmen darf nicht von der betroffenen Person die Einwilligung für eine Datenverarbeitung als Gegenleistung für einen Vertragsschluss verlangen, wenn dies in der Gesamtschau als unbillig anzusehen ist, etwa weil sie nicht erforderlich für die Vertragserfüllung ist. Das ist auch unter dem Begriff „Koppelungsverbot“ bekannt, über die Details kann man sich jedoch trefflich streiten, denn „Daten gegen Leistung“ ist grundsätzlich möglich.
Die Einwilligung nach Art. 6 I a) ist also eine eher unsichere und sehr schwierig erfüllbare Voraussetzung, um Datenverarbeitungen zu ermöglichen. Die Einwilligung ist deshalb für Unternehmen eine vergleichsweise unattraktive Möglichkeit, ihre Datenverarbeitungen zu rechtfertigen.
Als alte Hasen dieses Blogs wissen Sie natürlich, dass nicht jede Datenverarbeitung eine Einwilligung braucht, auch wenn sich dieser Irrglaube bei einigen immer noch hartnäckig hält. Die Einwilligung ist lediglich einer von sechs Gründen, warum personenbezogene Daten verarbeitet werden dürfen, wie uns Art. 6 DSGVO zeigt.
Stellt sich also die Frage, ob das Unternehmen, also in diesem Fall Facebook, zwischen der – vergleichsweise lästigen – Einwilligung und der – vergleichsweise angenehmen – Vertragserfüllung als Rechtsgrundlage für die Verarbeitung frei wählen kann. Facebook hat sich bekanntlich dafür entschieden, die Erfüllung eines Vertrages als Rechtsgrundlage zu wählen.
Hiergegen klagt Max Schrems nun in Österreich; er sieht in dieser Wahl eine missbräuchliche Umgehung der Regelungen der DSGVO zur Einwilligung (s. Pressemitteilung). Facebook habe bewusst die angenehmere Vertragserfüllung gewählt, um den Stress der Einwilligung nicht zu haben. Auch der oberste Gerichtshof Österreichs ist sich nicht so sicher, ob Facebook hier die DSGVO-Bedingungen für die Einwilligung umgehen durfte. Deshalb hat er hat die Verhandlung über diese Frage ausgesetzt und dem EuGH folgende Frage vorgelegt (Beschl. 6 Ob 57/21k):
„Sind die Bestimmungen der Art 6 Abs 1 lit a und b DSGVO dahingehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren […], die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art 6 Abs 1 lit a iVm Art 7 DSGVO zu beurteilen sind, die nicht durch die Berufung auf Art 6 Abs 1 lit b DSGVO ersetzt werden können?“
Jetzt ist es also Sache des EuGH, die Frage zu klären, ob die Datenverarbeitung, wie Facebook sie betreibt, auf Art. 6 Abs. 1 lit b DSGVO gestützt werden durfte oder ob es sich um einen unwirksamen Umgehungsversuch der DSGVO-Vorschriften handelt. Mit der Antwort auf diese Frage könnte der EUGH das Verhältnis zwischen diesen Fragen neu definieren und der Rechtfertigungsmöglichkeiten zur Vertragserfüllung engere Grenzen setzen. Konsequenz wäre, dass sich Unternehmen zukünftig für mehr Datenverarbeitungen eine Einwilligung holen müssten, um diese fortzusetzen.
Und dort, wo keine Einwilligung eingeholt wurde? Da fand eine Verarbeitung ohne (ausreichende) Rechtsgrundlage statt, was bedeutet, dass diese Datenverarbeitung gegen die DSGVO verstieß. Was das bedeutet, kann man sich vorstellen: Schadensersatzpflichten gegenüber den Betroffenen und eventuelle Aufsichtsmaßnahmen der Datenschutzbehörden. Dazu kommt, dass die Datenverarbeitungen plötzlich frei widerrufbar wären.
Die Entscheidung des EuGH in dieser Sache könnte damit weitreichende Folgen für die Vertragsgestaltung bei kostenlosen Internetangeboten haben. Bezüglich Facebook hieße dies, dass das Unternehmen millionenfach Daten von EU-Bürger:innen ohne Rechtsgrundlage verarbeitet, was diese Angelegenheit wohl zu einem der größten DSGVO-Verstöße seit dem Inkrafttreten der Verordnung 2016 machen würde.
Folgen der Wahrnehmung von Datenschutzrechten für das Vertragsverhältnis werden im BGB geregelt
Bereits im vorherigen Abschnitt haben wir gesehen, dass eine Einwilligung jederzeit durch die betroffene Person widerrufen werden kann. Wenn die Einwilligung widerrufen wird, dann muss der Verantwortliche diejenige Verarbeitung beenden, die sich auf diese Einwilligung gestützt hatte. Für den Fall des Widerrufs stellt sich dann die Frage: Was passiert eigentlich mit dem zivilrechtlichen Vertrag?
Zwischen Vertrag und Datenverarbeitung müssen wir unterscheiden. Stellen Sie sich zur Verdeutlichung folgendes vor: Das Unternehmen B schließt mit der Nutzerin C, einer Privatperson, einen Vertrag, der B zur Bereitstellung einer Software gegen ein monatliches Entgelt verpflichtet. Darüber hinaus holt sich B eine Einwilligung von C ein, dass Nutzungsdaten erhoben, ausgewertet und zur Zusendung personalisierter Werbung genutzt werden dürfen.
Nun widerruft C diese Einwilligung. Das bedeutet zunächst, dass B die Daten von C nicht mehr für die Zusendung von Werbung verwenden darf. Was ist aber mit dem Software-Vertrag von B und C? Was passiert mit dem?
Die Frage, welches Schicksal dieser Vertrag nimmt, soll durch die Mitgliedsstaaten geregelt werden, so sieht es Erwägungsgrund 40 der RL 2019/770 vor. Deshalb soll nun § 327q in das Bürgerliche Gesetzbuch eingefügt werden (vgl. Referentenentwurf, S. 14).
§ 327q BGB sieht in Abs. 1 vor: „Die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss lassen die Wirksamkeit des Vertrags unberührt.“ Das gilt allerdings nicht nur für den Widerruf im Verhältnis von B und C, sondern auch falls der Verarbeitung nach Art. 21 DSGVO widersprochen wird. Auch wenn die betroffene Person die Löschung seiner personenbezogenen Daten verlangt (Art. 17), bleibt der Vertrag wirksam.
Während dies eher der Klarstellung dient, kann Absatz 2 des § 327q schon echte Konsequenzen für Unternehmen haben. Denn die Möglichkeit, sich durch Kündigung von diesen Verträgen zu lösen, wird durch diese Vorschrift eingeschränkt:
„Widerruft der Verbraucher eine von ihm erteilte datenschutzrechtliche Einwilligung oder widerspricht er einer weiteren Verarbeitung seiner personenbezogenen Daten, so kann der Unternehmer einen Vertrag, der ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichtet, ohne Einhaltung einer Kündigungsfrist kündigen, wenn ihm unter Abwägung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses bis zum vereinbarten Vertragsende oder bis zum Ablauf einer gesetzlichen oder vertraglichen Kündigungsfrist nicht zugemutet werden kann.“
Unser Unternehmen B könnte also nicht einfach der C kündigen, wenn diese ihre Einwilligung in die Verarbeitung ihrer Daten für Werbezwecke widerruft. Den Softwarevertrag müssten B und C fortsetzen. Falls B die Einnahmen aus der Verwertung von C’s Daten für Werbung bereits eingeplant hat, hat B schlicht Pech gehabt. Das sieht S. 84 des Entwurfs explizit vor: Da Unternehmen die Möglichkeit haben, das Risiko der Ausübung datenschutzrechtlicher Befugnisse zu kalkulieren, sind sie nicht so schutzwürdig.
Nur, wenn es absolut unbillig wäre, den Vertrag fortzusetzen, besteht dann ein Sonderkündigungsrecht von B. Das ist eine Ausnahme, die die Gerichte wohl verbraucherfreundlich und damit eng anwenden würden. Die betroffene Person wird also weiter in ihrer Position gestärkt, das Koppelungsverbot, das wir oben bereits kennen gelernt haben, wird auch nachträglich abgesichert.
Aber Obacht: § 327q BGB hat nur einen eingeschränkten Anwendungsbereich. Denn er gilt nicht für jede betroffene Person, sondern nur dann, wenn die betroffene Person auch „Verbraucher“ ist. Wer Verbraucher ist, das verrät uns § 13 BGB:
„Verbraucher ist jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbstständigen beruflichen Tätigkeit zugerechnet werden können.“
Das bedeutet, dass § 327q BGB nur im B2C-Bereich relevant werden wird. Das dürften natürlich dennoch die allermeisten Fälle der Datenverarbeitung sein, auf die die DSGVO anwendbar ist. Denn juristische Personen haben überhaupt keine Datenschutzrechte, die sie wahrnehmen könnten. Diese Einschränkung wird also zum Beispiel relevant, wenn ein Kaufmann (als natürliche Person) im Rahmen seiner geschäftlichen Tätigkeit eine Einwilligung widerruft. Im B2B-Bereich bleibt es nämlich dabei, dass die Parteien selbst regeln können (und sollten), wie ihre vertraglichen Beziehungen im Falle eines Widerrufs weiter geht.
§ 327q Abs. 3 schreibt schließlich, dass Ersatzansprüche des Unternehmers gegen den Verbraucher aufgrund eines Widerrufs ausgeschlossen sind. Unser Unternehmen B könnte sich also von C nicht den Betrag wiederholen, den es bezüglich der Schaltung von Werbung bereits einkalkuliert hatte. Sonst würde C eventuell ihre Datenschutzrechte nur deshalb nicht wahrnehmen, weil sie finanzielle Folgen für sich befürchten müsste. Genau das will der Gesetzgeber aber vermeiden.
§ 327q BGB wird im B2C-Bereich Auswirkungen auf die Vertragspraxis der Unternehmen haben. Wir werden das Gesetzgebungsverfahren im Blick behalten.
Wieder einmal geht ein Blog-Artikel zu Ende…
Liebe Leser:innen, wieder haben wie viele Themen behandelt, die die Relevanz des Datenschutzrechts für die moderne Wirtschaft einmal mehr unterstreichen. Wir hoffen, Ihnen erneut einen guten Einblick in die aktuellen Entwicklungen gegeben zu haben und entlassen Sie nun in einen verdienten Feierabend (außer Sie lesen dies morgens, dann viel Freude bei der Arbeit). Wir lesen uns wieder, bis bald!