Datenschutz- und zivilrechtliche Anforderungen an „Service gegen Daten“-Geschäftsmodelle
Unter besonderer Berücksichtigung der BGB-Novelle zur Umsetzung der Digitale-Inhalte-Richtlinie
Viele Internetangebote können nach wie vor ohne Geldzahlung genutzt werden. Das bedeutet aber nicht, dass die Anbieter solcher „kostenlosen“ Angebote von diesen nicht wirtschaftlich profitieren wollen. Um den Betrieb zu finanzieren, werden häufig systematisch Daten der Nutzer gesammelt und ausgewertet, so dass maßgeschneiderte Werbeplätze zum Höchstpreis an Dritte verkauft werden können. Aus Perspektive des Anbieters bezahlen die Nutzer derartige Dienste mit ihren Daten. Auch ein großer Teil der Nutzer ist sich inzwischen bewusst, dass hinter den vermeintlich kostenlosen Angeboten typischerweise keine altruistischen Motive stehen, sondern sich wirtschaftliche Interessen in einer digitalisierten Welt allgemein und im Bereich der Onlinewirtschaft insbesondere nicht nur auf Geldzahlungen beziehen können. Aus Sicht der beteiligten Akteure können personenbezogene Informationen und die damit verbundenen Wertschöpfungsmöglichkeiten ein deutlich wertvolleres Gut darstellen als eine Geldzahlung des Nutzers.
In einer digitalen Ökonomie bilden Daten das Zentrum der Wertschöpfung. Auch wenn Teile der Nutzer über ein solches abstraktes Wissen verfügen mögen, bleiben die konkret hinter einzelnen Angeboten stehenden datengetriebenen Geschäftsmodelle jedoch in der Praxis zumeist wenig transparent. Im Zusammenhang mit „Service gegen Daten“-Geschäftsmodellen ergeben sich komplexe datenschutz- und zivilrechtliche Fragen, auf die im Folgenden eingegangen werden soll. Ein Schwerpunkt der Darstellung soll dabei das Verhältnis von Datenschutz- und Zivilrecht sein sowie das Zusammenwirken der Rechtsvorgaben aus beiden Gebieten.
I. Einführung
Datenschutzrechtlich stellen sich bei „Service gegen Daten“-Geschäftsmodellen insbesondere die Frage nach dem Eingreifen des Kopplungsverbots nach Art. 7 Abs. 4 DS-GVO sowie die Frage, ob Daten bzw. Datenverarbeitungserlaubnisse aus grundrechtlichen Erwägungen überhaupt ein Zahlungsmittel darstellen können. Auf zivilrechtlicher Ebene bedarf es der Klärung, unter welchen Voraussetzungen durch die Inanspruchnahme von Onlinediensten vertragliche Beziehungen zwischen Nutzer und Anbietern entstehen. Ist eine Vertragsbeziehung anzunehmen und gestattet der Nutzer in deren Rahmen Datenverarbeitungen bzw. Zugriffe auf das Endgerät, ist zu prüfen, wie diese vertragliche Verpflichtung des Nutzers mit der Leistung des Anbieters verknüpft ist, nämlich synallagmatisch oder aber lediglich konditional. Die Maßstäbe zur Beantwortung der vorgenannten Fragen ergeben sich aus dem allgemeinen Schuldrecht bzw. dem allgemeinen Teil des BGB und damit aus bekannten Rechtsgrundsätzen. Neu sind die §§ 327 BGB ff., die seit Jahresbeginn gelten und der Umsetzung der Digitale-Inhalte-Richtlinie (DI-RL) dienen. Insofern stellt sich die Frage nach dem konkreten Anwendungsbereich der Neuregelungen und ihren Auswirkungen auf die angesprochenen Maßstäbe des allgemeinen Schuld- bzw. Zivilrechts. Aus datenschutzrechtlicher Sicht ist die Frage von besonderem Interesse, ob durch die Neuregelung klargestellt ist, dass „Service gegen Daten“-Geschäftsmodelle zulässig sind und die Bereitstellung von personenbezogenen Daten bzw. die Verpflichtung hierzu insoweit schuldrechtlich als Gegenleistung anzusehen ist. Dies könnte daraus abgeleitet werden, dass § 312 Abs. 1a sowie § 327 Abs. 3 BGB den Anwendungsbereich der jeweils dort aufgeführten Bestimmungen auch auf Verbraucherverträge eröffnen, „bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet“. Wie aufgezeigt werden wird, ist eine differenzierte Betrachtung erforderlich.
II. Datenschutzrechtliche Rahmenbedingungen von „Service gegen Daten“-Modellen
1. Allgemeines
Anbieter datenbasierter Onlinegeschäftsmodelle haben ein Interesse daran, ihre Leistungen nur solchen Nutzern zur Verfügung zu stellen, welche ihnen all jene Datenverarbeitungen und Endgerätzugriffe gestatten, die aus Anbieterperspektive zur gewinnbringenden Erbringung des Angebots notwendig sind. Zur Durchsetzung dieses Interesses kommen in der Praxis typischerweise sog. Cookie Walls zum Einsatz, bei denen der Nutzer das Angebot erst nutzen kann, nachdem er vom Anbieter gewünschte Verarbeitungen bzw. Zugriffe ermöglicht hat. Hat der Nutzer die Möglichkeit, die Verarbeitungen bzw. Zugriffe auch abzulehnen, sofern er bereit ist, für den Dienst zu zahlen, spricht man von einer Cookie Pay Wall.
Datenschutzrechtlich gibt es zwei Ansätze, „Service gegen Daten“-Modelle zu realisieren, nämlich den Weg über die datenschutzrechtliche Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO) oder ein Vertragsmodell (Art. 6 Abs. 1 lit. b DS-GVO). Im letzteren Fall bedürfen die Datenverarbeitungen im Zusammenhang mit dem „Service gegen Daten“-Geschäft grundsätzlich nicht der Einwilligung, sondern sind gesetzlich legitimiert. Ein ggf. erfolgender Endgerätezugriff wird beim Vertragsmodell regelmäßig über § 25 Abs. 2 Nr. 2 TTDSG erlaubt sein.
2. Freiwilligkeit und Kopplungsverbot
Datenschutzrechtliche Einwilligungen müssen nach Art. 4 Nr. 11 DS-GVO freiwillig abgegeben werden. Die Freiwilligkeit der Einwilligung ist einer der zentralen Grundsätze des Datenschutzrechts. Hinweise zu konkreten Anforderungen an die Freiwilligkeit enthält die DS-GVO in ErwGr 42 S. 5. Hiernach sollte nur davon ausgegangen werden, dass betroffene Personen ihre Einwilligung freiwillig geben, wenn diese eine echte oder freie Wahl haben und somit in der Lage sind, die Einwilligung zu verweigern oder zurückzuziehen, „ohne Nachteile zu erleiden“.
Gemäß Art. 7 Abs. 4 DS-GVO muss bei der Beurteilung, ob eine Einwilligung freiwillig erteilt wurde, „dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob u.a. die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich ist“ (sog. Kopplungsverbot). Mittels des Kopplungsverbots soll verhindert werden, dass ein Anbieter das Interesse der betroffenen Person am Kauf eines Produktes oder an der Inanspruchnahme einer Dienstleistung ausnutzt, um von dieser eine Einwilligung zu erhalten, die diese nicht erteilt hätte, wenn die Einwilligung nicht zur Bedingung für die Vertragserfüllung gemacht worden wäre. Das informationelle Selbstbestimmungsrecht des Einzelnen soll hierdurch vor einer „aufoktroyierten Fremdbestimmung“ geschützt werden. Wann konkret eine selbstbestimmte Entscheidung durch unzulässigen Zwang zu einer fremdbestimmten Entscheidung wird, ist nach Art. 7 Abs. 4 DS-GVO im Wege der Abwägung zu bestimmen.
Entgegen seinem Wortlaut erfasst Art. 7 Abs. 4 DS-GVO dabei nicht ausschließlich die Kopplung der Vertragserfüllung an die Einwilligung, sondern auch Fälle, in denen bereits der Vertragsschluss von der Erteilung der Einwilligung durch die betroffene Person abhängig gemacht wird. Umstritten ist, ob das Kopplungsverbot auch außerhalb des vertraglichen Kontexts zu berücksichtigen ist. Dies sollte bejaht werden, denn das Kopplungsverbot sichert elementare datenschutzrechtliche Grundsätze, insbesondere das Konzept der Erforderlichkeit der Verarbeitung, die Zweckbindung personenbezogener Daten und die Freiwilligkeit der Einwilligung. Das Erfordernis, diese Grundsätze zu wahren, besteht unabhängig davon, ob Datenverarbeitungen im vertraglichen Kontext erfolgen oder nicht. Auch die Schutzbedürftigkeit einer betroffenen Person, von welcher eine nicht erforderliche Einwilligung verlangt wird, hängt nicht daran, ob die Person in einer vertraglichen Beziehung zum Anbieter steht.
3. Zusammenhang von Kopplungsverbot und Art. 6 Abs. 1 lit. b DS-GVO
Art. 7 Abs. 4 DS-GVO steht in einem unmittelbaren Zusammenhang mit Art. 6 Abs. 1 lit. b DS-GVO, denn entscheidendes Kriterium für die Anwendbarkeit des Kopplungsverbots ist die fehlende Erforderlichkeit der Einwilligung für die Erfüllung des Vertrages. Ein Verantwortlicher kann bezüglich der Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit. b DS-GVO zurückgreifen, sofern er im Einklang mit der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) nachweisen kann, dass die Verarbeitung im Rahmen eines gültigen Vertrags mit der betroffenen Person erfolgt und die Verarbeitung erforderlich ist, damit der spezifische Vertrag mit der betroffenen Person erfüllt werden kann. Soweit die Erforderlichkeit der Datenverarbeitung zur Vertragserfüllung reicht, ist auch eine Kopplung zwischen Vertragserfüllung und datenschutzrechtlicher Einwilligung zulässig, selbst wenn die Erteilung der Einwilligung aus Perspektive des Betroffenen unfreiwillig sein mag.
Vertragsfremde Verarbeitungen müssen hingegen über eine Einwilligung legitimiert werden, deren Erteilung nicht zur Bedingung für den Erhalt der Leistung gemacht werden darf. Die Leistung muss hiervon unabhängig zur Verfügung gestellt werden.
4. Reichweite der Erlaubnis nach Art. 6 Abs. 1 lit. b DS-GVO
Da, wie dargestellt, das Kopplungsverbot nicht greift, sofern die über die Einwilligung legitimierte Datenverarbeitung zur Vertragserfüllung erforderlich ist, besteht ein direkter Zusammenhang zwischen der Reichweite des Kopplungsverbots einerseits und der Reichweite der gesetzlichen Erlaubnis aus Art. 6 Abs. 1 lit. b DS-GVO andererseits.
Nähert man sich Art. 6 Abs. 1 lit. b DS-GVO aus zivilrechtlicher Perspektive und lässt die allgemeinen datenschutzrechtlichen Grundsätze bei dessen Auslegung außer Betracht, so scheint eine Interpretation von Art. 6 Abs. 1 lit. b DS-GVO naheliegend, nach der jede Verbindung der Datenverarbeitung mit einem Vertrag genügt, um die Datenverarbeitung zu legitimieren. Der Erlaubnistatbestand käme also auch dann zur Anwendung, sofern sich ein Anbieter „bei Gelegenheit“ des Vertragsschlusses Datenverarbeitungen gestatten lässt, welche mit den Beweggründen, warum die vertragliche Beziehung eingegangen wurde, nicht mehr in unmittelbarem Zusammenhang stehen.
EDSA wie auch herrschende Literatur interpretieren die Regelung hingegen enger. Um beurteilen zu können, in welchem Umfang eine Datenverarbeitung nach Art. 6 Abs. 1 lit. b DS-GVO erforderlich ist, muss nach herrschender Meinung die vertragscharakteristische Leistung des jeweiligen Schuldverhältnisses bestimmt werden, also das, was spezifisches Charakteristikum des vom Anbieter erbrachten Dienstes ist. Nur im Zusammenhang mit der vertragscharakteristischen Leistung erfolgende Verarbeitungen sind nach h.M. über Art. 6 Abs. 1 lit. b DS-GVO gestattet.
Dieser Ansicht ist zuzustimmen. Folgte man der Gegenansicht, so würde die Bestimmung der Reichweite der Legitimationswirkung von Art. 6 Abs. 1 lit. b DS-GVO im Wesentlichen den Anbietern von Waren und Dienstleistungen überlassen und betroffene Personen müssten Datenverarbeitungen als „erforderlich“ hinnehmen, mit denen sie wegen des äußeren Erscheinungsbilds der Leistungsbeziehungen nicht rechnen. Die Zweckbestimmung der Vertragsbeziehung ist insofern Legitimation, aber auch zugleich Grenze der Verarbeitung von Daten über den Vertragspartner.
Bezogen auf „Service gegen Daten“-Modelle hat die herrschende Ansicht zur Folge, dass diese als unvereinbar mit dem Kopplungsverbot anzusehen sind (Art. 7 Abs. 4 DSGVO), sofern die Angebote nicht als „echte Austauschmodelle“ konzipiert sind. Letzteres, also die konditionale anstelle der synallagmatischen Verknüpfung der Einwilligung, ist allerdings heute noch der praktische Regelfall.
5. Konzept des gleichwertigen Alternativzugangs als Ausweg aus dem Kopplungsverbot
Wird ein Vertragsschluss oder auch nur die bloß faktische Erbringung einer Dienstleistung an die Abgabe einer Einwilligung geknüpft, die zur Vertragserfüllung bzw. Erbringung der Dienstleistung nicht erforderlich ist, greift, wie zuvor dargestellt, das Kopplungsverbot nach Art. 7 Abs. 4 DS-GVO. Nach überwiegender Ansicht kann dieses jedoch überwunden werden, indem den Nutzern die Möglichkeit eingeräumt wird, zwischen der „kostenlosen“ Nutzung des Angebots im Austausch gegen die Erteilung der Werbeeinwilligung oder aber einer bezahlten Angebotsnutzung ohne Einwilligung zu wählen („Konzept des gleichwertigen Alternativzugangs“). Der Anbieter versagt in diesem Fall den Nutzern, die ihre Einwilligung nicht erteilen wollen, nicht seine Dienste. Er eröffnet den Nutzern vielmehr die Wahl zu entscheiden, ob diese als Gegenleistung für das Zurverfügungstellen der Leistung ein Entgelt bezahlen oder aber der Verarbeitung ihrer personenbezogenen Daten zu Werbezwecken zustimmen möchten. Den Nutzern kommt so eine echte und freie Wahl zu, und Art. 7 Abs. 4 DS-GVO steht der Wirksamkeit der Einwilligung nicht entgegen.
Diese Auslegung des Kopplungsverbots lässt sich auch mit den Leitlinien 05/2020 des EDSA zur Einwilligung vereinbaren. Nach diesen Leitlinien sollen Cookie Walls, welche dem Nutzer nur ein Akzeptieren ermöglichen, aber keine Alternative zur Einwilligung bieten, mangels Freiwilligkeit nicht zulässig sein. Freiwillig sei die Einwilligung, so der EDSA, wenn eine echte Wahlmöglichkeit („genuine choice“) bestehe, den Service auch ohne Einwilligung nutzen zu können. Zwar trifft der EDSA nicht die direkte Aussage, dass auch Bezahlangebote eine echte Wahlmöglichkeit in dem von ihm geforderten Sinne darstellen können. Er lässt aber zumindest Raum für eine solche Interpretation, die das Recht des Anbieters wahrt, seine Leistungen nicht umsonst anbieten zu müssen. Auch die Datenethikkommission hält das alternative Angebot eines Bezahlmodells „für einen ethisch akzeptablen Ausgleich zur Herstellung der notwendigen Freiwilligkeit“. Dies setzt allerdings voraus, dass die angebotene Bezahloption eine „echte Alternative“ darstellt, was dann nicht der Fall ist, wenn ein der Höhe nach abschreckendes Entgelt veranschlagt wird. Angesichts der vorherrschenden „Kostenloskultur“ dürfte der Preis für den Alternativzugang tendenziell niedrig anzusiedeln sein.
6. Daten als Zahlungsmittel
Wie oben dargestellt, verstoßen „Service gegen Daten“-Modelle gegen das Kopplungsverbot, sofern kein „echtes Austauschmodell“ gegeben ist und der „Ausweg“ über das Konzept des gleichwertigen Alternativzugangs nicht gewählt werden kann oder soll. Dies bedeutet aber noch nicht zwingend, dass echte Austauschbeziehungen bei „Service gegen Daten“-Konzepten möglich sind. So lehnt der EDSB, dessen Stellungnahme i.R.d. Verfahrens zum Erlass der DI-RL eingeholt wurde, das Konzept personenbezogener Daten als Gegenleistung aus grund- und datenschutzrechtlichen Erwägungen ab. Ähnliche Bedenken hat nach dem EDSB auch der EDSA geäußert.
Folgte man den vom EDSB geäußerten Bedenken, müsste dies auch praktische Konsequenzen haben. Denn: Liegt in der „Möglichkeit, personenbezogene Daten als Gegenleistung einzusetzen, […] ein Verstoß gegen Art. 8 Abs. 2 der Charta und gegen die in der Richtlinie 95/46/EG, der DSGVO und der ‚e-Datenschutz-Richtlinie‘ niedergelegten Grundsätze des Datenschutzes“, so kann dieser verpflichtende Schutz nicht durch zivilistische dogmatische Erwägungen umgangen werden. Es spricht allerdings viel dafür, dass die Bedenken des EDSB das nationale Verständnis von Gegenleistung nicht im Blick hatten. Denn zum einen verweist seine Stellungnahme auch darauf, dass in der DI-RL nicht definiert ist, was unter einer Gegenleistung zu verstehen ist; dies könne dazu führen, dass der Anwendungsbereich der Richtlinie unsicher sei. Zum anderen stellt der EDSB darauf ab, dass die DI-RL „nicht das geeignete Instrument für die Regelung der Verwendung personenbezogener Daten“ ist, da dies durch die DS-GVO geschehe.
Beiden Bedenken kann jedoch begegnet werden. Der Vorrang der DS-GVO ist in ErwG 48 DI-RL vorgesehen und im nationalen Recht in § 327q BGB „noch einmal untermauert“. Damit ist von der nach ErwG 40 DI-RL gestatteten Möglichkeit Gebrauch gemacht und bestimmt, dass die Wirksamkeit eines Vertrags durch die Wahrnehmung von Datenschutzrechten des Verbrauchers unberührt bleibt. Ob die Bereitstellung von Daten als Gegenleistung zu qualifizieren ist, kann nach nationalem Recht im Einzelfall bestimmt werden. Die Richtlinie und die sich aus ihr ergebenden Rechtsfolgen können daher passgenau angewendet werden. Das soll im Folgenden aufgezeigt werden.
7. Keine Änderung durch die §§ 327 ff. BGB n.F. (Umsetzung der DI-RL)
Wie eingangs unter I. angesprochen, hat der deutsche Gesetzgeber zum 1. Januar 2022 die Vorgaben der europäischen DI-RL in nationales Recht umgesetzt. Diese Richtlinie hat das Ziel, es – insbesondere kleinen und mittleren – Unternehmen durch Harmonisierung der wesentlichsten Vorschriften des Verbrauchervertragsrechts zu erleichtern, ihre Produkte in anderen Mitgliedstaaten anzubieten; die Verbraucher sollen von einem hohen Verbraucherschutzniveau und Wohlfahrtsgewinnen profitieren. Zu diesem Zweck sind in das BGB ein neuer Titel für Verträge über digitale Produkte (Titel 2a, §§ 327-327u) eingefügt und einige weitere Anpassungen vorgenommen worden.
Ausweislich der Gesetzesbegründung soll mit den Neuregelungen aber keine schuldrechtliche Einordnung der Preisgabe der Daten als Gegenleistung getroffen sein. Für die Anwendbarkeit der §§ 312 ff. BGB wie auch der §§ 327 ff. BGB soll vielmehr unerheblich sein, wie die Bereitstellung personenbezogener Daten oder die entsprechende Zusage im Rahmen des Schuldrechts einzuordnen ist, ob es sich hierbei um eine (Gegen-)Leistung handelt und ob diese im Gegenseitigkeitsverhältnis steht oder nicht. Es bleibt damit bei den dargestellten allgemeinen Grundsätzen.
III. Allgemeines Schuldrecht und allgemeiner Teil des BGB
1. Vorliegen einer Vertragsbeziehung und Bestehen eines Austauschverhältnisses (Synallagma)
Für die Beantwortung der Frage, ob durch die Inanspruchnahme eines Onlineangebots eine vertragliche Beziehung zwischen Anbieter und Nutzer entsteht, ist entscheidend, ob sich der Unternehmer – aus Sicht des Verbrauchers – zu einer Leistung verpflichten wollte, für die der Verbraucher keinen Preis i.S.v. § 327 Abs. 1 BGB zahlt. Das wird ohne das Hinzutreten weiterer Umstände, z.B. einer Registrierung, regelmäßig nicht angenommen werden können; es fehlt schlicht am erforderlichen Erklärungsbewusstsein. Der Besuch einer Website ist vergleichbar dem Besuch eines Kaufhauses in der analogen Welt, der zwar gewisse Schutzpflichten des Unternehmers begründet (§§ 311 Abs. 2 Nr. 2 oder 3, 241 Abs. 2 BGB), aber eben noch kein Vertragsverhältnis.
Ist ein Vertragsverhältnis anzunehmen, so folgt hieraus noch nicht, dass der Verbraucher seine Daten als Gegenleistung für die Nutzung des Angebots bereitstellt. Zwar mag es in solchen Fällen dem Interesse des Anbieters entsprechen, in eine vertragliche Gegenleistungsbeziehung mit dem Nutzer zu kommen, weil ihm dies, wie unter II. 3. dargestellt, datenschutzrechtliche Vorteile bietet. Maßgeblich ist aber nicht der (innere) Wille der Diensteanbieters. Vielmehr ist eine Auslegung erforderlich. Gemäß §§ 133, 157 BGB ist darauf abzustellen, wie die Erklärung unter Berücksichtigung von Wortlaut, Begleitumständen und Interessenlage nach Treu und Glauben unter Berücksichtigung der Verkehrssitte aus Sicht des objektiven Empfängerhorizonts im Zeitpunkt ihrer Vornahme zu verstehen war. Maßgeblich ist insoweit, „worauf es der einen oder der anderen Partei in hohem Grade ankam, was sie unter allen Umständen erlangen wollte“. Eine – aus Anbietersicht günstige – vertragliche Gegenleistungsbeziehung kann nur entstehen, wenn aus (objektivierter) Nutzersicht das Angebot so zu verstehen ist, dass erstens der Anbieter sich zu seiner Leistung vertraglich verpflichten will und zweitens diese Verpflichtung eingegangen wird, damit der Nutzer seine Daten bereitstellt. Um zu einer solchen Auslegung zu gelangen, muss das Vertragsangebot also diese Bedingungen transparent formulieren; die Annahme muss so gestaltet sein, dass der Verbraucher sich bewusst ist, hiermit eine auf diese Rechtsfolge gerichtete Erklärung abzugeben.
Die Bedenken, dass die Qualifizierung der Bereitstellung personenbezogener Daten als „Gegenleistung“ einem Organhandel gleichkäme, dürften das Datenschutzrecht überhöhen. Das Zivilrecht kennt zahlreiche Gestaltungsmöglichkeiten, um – völlig unbedenklich – höchstpersönliche Rechtsgüter wirtschaftlich nutzbar zu machen. Zu denken ist etwa an das Urheberrecht, das unveräußerlich ist, dessen Wert aber erheblich geschmälert würde, wenn der Urheber es wirtschaftlich durch die Einräumung von Nutzungsrechten nicht nutzbar machen könnte. Kein Kinofilm könnte gezeigt, kein Tagebuch könnte verkauft werden, wenn das Persönlichkeitsrecht nur als negatives Abwehrrecht verstanden und dem Inhaber eine positive Nutzungsberechtigung abgesprochen würde. Auch Schwierigkeiten bei der Rückabwicklung solcher Verträge stehen einer Einordnung der Bereitstellung von Daten als Gegenleistung nicht entgegen.
§ 327q BGB zwingt ebenfalls nicht zu einem anderen Ergebnis. Soweit der Verbraucher eine von ihm erteilte datenschutzrechtliche Einwilligung widerruft oder einer weiteren Verarbeitung seiner personenbezogenen Daten widerspricht (§ 327q Abs. 2 BGB), führt dies lediglich dazu, dass der Anspruch auf Bereitstellung der Daten – wie dies auch bisher h.M. war – im Ergebnis nicht einklagbar ist. Die Möglichkeit, sich von dem Vertrag zu lösen, hat jedoch (wie § 627 BGB zeigt) keinen Einfluss auf die Qualifizierung der Leistung, die geschuldet ist, solange der Vertrag besteht.
2. BGB-Neuregelungen zur Umsetzung der DI-RL (§§ 327 ff. BGB)
a) Allgemeines
Die §§ 327 ff. BGB gelten für Verbraucherverträge über digitale Produkte. Dies sind Verträge, die die Bereitstellung digitaler Inhalte oder digitaler Dienstleistungen durch einen Unternehmer zum Gegenstand haben und bei denen der Verbraucher entweder einen Preis oder digitalen Wert leistet oder dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet (§ 327 Abs. 1 und 3 BGB). Diese Verträge bilden nicht einen eigenen neuen Vertragstyp; ergänzend kommen daher die Regelungen des jeweiligen passenden Vertragstyps zur Anwendung, in die Sonderbestimmungen für Verträge über digitale Inhalte aufgenommen wurden (vgl. §§ 445c, 475a, 516a, 578b, 620 Abs. 4, 650 Abs. 2-4 BGB). § 327 ff. BGB enthalten jedoch vorrangige Bestimmungen insbesondere zur Leistungspflicht des Unternehmers (u.a. Mangelbegriff, Aktualisierungspflicht, Änderungen des Produkts) und zu Leistungsstörungen (Gewährleistungsrechte, Verjährung, Beweislast).
b) Anwendungsbereich der § 327 ff. BGB
Die §§ 327 ff. BGB sind – soweit von datenschutzrechtlichem Interesse – anwendbar, wenn der Verbraucher im Rahmen eines Vertrags personenbezogene Daten bereitstellt oder sich hierzu verpflichtet (§ 327 Abs. 3 BGB). Anders als der Wortlaut vermuten lässt, der auf ein bewusstes Handeln hindeutet, umfasst die Bereitstellung „alle Verarbeitungen von personenbezogenen Daten des Verbrauchers durch den Unternehmer“. Ein aktives Handeln des Verbrauchers ist also nicht erforderlich. Auch auf die Art und Weise der Verarbeitung kommt es nicht an. Es genügt, dass der Verbraucher die Verarbeitung „zulässt“. Dass es hierfür ausreicht, dass der Verbraucher dem Unternehmer den Datenzugriff „ermöglicht“, ohne sich bewusst zu sein, dass der Vertragspartner mit diesen Daten über die Erfüllung seiner vertraglichen Pflichten hinaus wirtschaften kann und wirtschaften wird, ergibt sich aus dem Wortlaut der Gesetzesbegründung zwar nicht. Der dort verwendete Begriff „Zulassen“ dürfte enger sein als ein „Ermöglichen“. Die in der Gesetzesbegründung angeführten Beispiele, ein Bereitstellen liege vor, „wenn der Unternehmer Cookies setzt oder Metadaten wie Informationen zum Gerät des Verbrauchers oder zum Browserverlauf erhebt“, zeigen aber, dass das rein faktische Ermöglichen des Zugriffs genügt, um das Tatbestandsmerkmal auszufüllen. Darauf, ob dieser Zugriff rechtmäßig ist, kommt es nicht an. Das entspricht den Vorgaben der Richtlinie.
Indem § 327 Abs. 3 BGB zwischen der Bereitstellung personenbezogener Daten und der Verpflichtung hierzu unterscheidet, zugleich aber das Vorliegen eines Vertrages voraussetzt, sind damit drei Fälle erfasst. Die Verpflichtung, Daten bereitzustellen, kann als synallagmatische Leistungspflicht oder als nicht im Synallagma stehende Nebenpflicht bestehen. Darüber hinaus erfasst § 327 Abs. 3 BGB auch den Fall, dass Daten schlicht bereitgestellt werden, was – soll hierfür ein gesonderter Anwendungsbereich eröffnet sein – ohne entsprechende vertragliche Verpflichtung und ohne die Verpflichtung zu einer monetären Gegenleistung geschieht.
Trotz Vorliegens der vorgenannten Voraussetzungen ausnahmsweise nicht anwendbar sind die §§ 327 ff. BGB, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen (§ 327 Abs. 3 iVm § 312 Abs. 1a Satz 2 BGB).
c) Vertragsrechtliche Folgen der Ausübung von Datenschutzrechten
§ 327q BGB betrifft die vertragsrechtlichen Folgen für die vom Anwendungsbereich des Untertitels 1 erfassten Verbraucherverträge, welche sich aus der Ausübung von nach dem Datenschutzrecht zustehenden Rechten oder der Abgabe datenschutzrechtlicher Erklärungen durch den Verbraucher ergeben. Mit der Regelung soll klargestellt werden, dass der Unternehmer für den Fall der Wahrnehmung im Datenschutzrecht enthaltener Rechte durch den Verbraucher keine vertraglichen Sanktionen vorsehen darf. Der Verbraucher muss seine datenschutzrechtlichen Befugnisse ungehindert ausüben können, ohne hierdurch rechtliche Nachteile fürchten zu müssen.
Eine Ausnahme von diesem Prinzip ist allerdings in § 327q Abs. 2 BGB vorgesehen. Diese Bestimmung enthält ein besonderes Kündigungsrecht des Unternehmers bei Verträgen, welche ihn zu einer Reihe einzelner Bereitstellungen digitaler Produkte oder zur dauerhaften Bereitstellung eines digitalen Produkts verpflichten, und zwar für den Fall, dass die Rechtmäßigkeit der Datenverarbeitung durch Widerruf der Einwilligung beziehungsweise Widerspruch gegen die Datenverarbeitung eingeschränkt wird oder gänzlich entfällt. Nur in diesen Fällen bestehe ein sachlicher Grund, dem Unternehmer die Möglichkeit zu geben, sich von einem Vertrag loszusagen, so die Gesetzesbegründung.
IV. Fazit
„Service gegen Daten“-Geschäftsmodelle sind mit komplexen datenschutz- und zivilrechtlichen Fragen verbunden. Zivilrechtliche und datenschutzrechtliche Anforderungen an solche Modelle sind in einer Weise miteinander verzahnt, dass eine getrennte juristische Bewertung unmöglich ist. Hieran zeigt sich einmal mehr der Charakter des Datenschutzrechts als Querschnittsmaterie. Eine pauschale Antwort auf die Frage, ob „Service gegen Daten“-Angebote zulässig sind, gibt es nicht, weil sich unter den Begriff eine Vielzahl an Geschäftsmodellen und Datenverwendungen fassen lassen, die rechtlich unterschiedlich zu bewerten sind.
Die Bereitstellung von personenbezogenen Daten kann eine echte synallagmatische Gegenleistung darstellen, allerdings sind hierfür einige Hürden zu überwinden. Es reicht nicht, dass der Anbieter die Bereitstellung als Gegenleistung des Nutzers betrachtet, entscheidend ist, wie der Nutzer aus einer objektiven Sicht das Angebot und namentlich die Forderung des Unternehmers, die Daten bereitzustellen, verstehen muss. Will sich ein Anbieter auf das Bestehen einer – datenschutzrechtlich für ihn günstigen – vertraglichen Gegenleistungsbeziehung berufen, kommt er damit nicht umhin, transparent mit seinem Geschäftsmodell umzugehen.