Kurzbeitrag : Bundesrat für Stärkung der Verbraucherrechte im Datenschutz – weitgehende Ablehnung der Vorschläge durch Bundesregierung : aus der RDV 3/2015, Seite 135 bis 137
Der Bundesrat hat am 27. März zum Regierungsentwurf eines Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts Stellung genommen. Mit der geplanten Regelung sollen die Rechtsgrundlagen dafür geschaffen werden, dass Verbraucherverbände datenschutzrechtliche Verstöße abmahnen und Unterlassungsklage erheben können.
Der Bundesrat ist insoweit der Empfehlung des Verbraucherschutzausschusses gefolgt, der sich dafür ausgesprochen hatte, den Wortlaut von § 2 Abs. 2 Nr. 11 UKlaG-E wieder an den des ursprünglichen Referentenentwurfs anzupassen, wonach abmahnfähig alle Vorschriften sein sollten, die für den Umgang mit personenbezogenen Daten eines Verbrauchers durch einen Unternehmer gelten. Aus Sicht des Bundesrates sei es erforderlich, dass auch Verstöße gegen die Rechte der betroffenen Verbraucherinnen und Verbraucher auf Benachrichtigung, Auskunft, Berichtigung, Löschung oder Sperrung (§§ 33 bis 35 BDSG) von klagebefugten Einrichtungen nach dem UKlaG verfolgt werden könnten und nicht bloß die Verletzung von Bestimmungen, welche die „Zulässigkeit“ der Erhebung, Verarbeitung und Nutzung von Verbraucherdaten durch Unternehmen regeln. Auch die von der Bundesregierung vorgesehene Beschränkung des geplanten Klagerechts der Verbraucherschutzverbände auf Fallgestaltungen, in denen Verbraucherdaten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adress- bzw. sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden, wird vom Bundesrat abgelehnt.
Letzterer vertritt überdies die Auffassung, dass der Gesetzentwurf dem Risiko paralleler Rechtsstreitigkeiten durch Verbraucherschutzverbände und Datenschutzaufsichtsbehörden nicht hinreichend vorbeuge. Die Pflicht des Gerichts zur Anhörung der zuständigen Datenschutzaufsichtsbehörde (§ 12a UKlaG-E) solle um eine Pflicht der nach UKlaG klageberechtigten Stellen ergänzt werden, die Behörde bereits im Vorfeld einer beabsichtigten (außer-)gerichtlichen Geltendmachung von Datenschutzverletzungen zu unterrichten und zu hören. Für die Beratungsaufgabe sowie zur Vermeidung divergierender Entscheidungen sei es für die Datenschutzaufsichtsbehörde wichtig, Kenntnis von möglichen Datenschutzverstößen bei gleichgelagerten Sachverhalten sowie entsprechenden Maßnahmen der Verbraucherschutzverbände zu haben. Konkretisiert werden solle zudem die im Rahmen des § 12a UKlaG-E anzuhörende zuständige Datenschutzbehörde.
Der Bundesrat hat es jedoch nicht dabei belassen, sich zu den konkreten Inhalten des Gesetzentwurfs der Regierung zu positionieren. Vielmehr haben die Ausschüsse im Bundesrat die Gelegenheit genutzt, davon unabhängig weitere datenschutzrechtliche Themen aufzugreifen, die als regelungsbedürftig erachtet werden.
So wird eine Änderung des § 28 Abs. 3b BDSG dahingehend vorgeschlagen, dass der Abschluss eines Vertrages generell nicht mehr von der Abgabe einer Einwilligung in Werbe- oder Adresshandelszwecke abhängig gemacht werden darf. Bisher ist dieses Koppelungsverbot von Vertragsabschluss und Einwilligung aufgrund der hiermit verbundenen Einschränkung der Vertragsgestaltungsfreiheit auf solche Fälle begrenzt, in denen dem Betroffenen ein anderer Zugang zu gleichwertigen vertraglichen Gegenleistungen ohne die Einwilligung nicht oder nicht in zumutbarer Weise möglich ist. Dies ist dann der Fall, wenn sämtliche in Betracht kommenden Alternativangebote ebenfalls mit der Pflicht zur Abgabe einer Einwilligung verknüpft sind bzw. die Weigerung der Abgabe der Einwilligung dazu führen würde, dass nur Verträge mit deutlich ungünstigeren Konditionen abgeschlossen werden können[1]. Zugleich wird die Bundesregierung gebeten, sich für die Regelung eines allgemeinen Koppelungsverbots in Art. 7 der Europäischen Datenschutz-Grundverordnung (DS-GVO) einzusetzen.
Der Bundesrat bittet außerdem, im weiteren Gesetzgebungsverfahren zu prüfen, ob zur Umsetzung der BGH-Rechtsprechung vom 1. Juli 2014 (VI ZR 345/13)[2] eine Ermächtigungsgrundlage geschaffen werden sollte, aufgrund derer ein von einer im Internet begangenen Persönlichkeitsrechtsverletzung Betroffener gegenüber dem Telemediendienstanbieter Auskünfte über die Nutzerdaten des Verletzers erlangen kann. Der vom Bundesrat zitierten Gerichtsentscheidung lag der Fall zugrunde, dass ein Arzt, der sich durch Einmeldungen auf einem Ärztebewertungsportal in seinen Persönlichkeitsrechten verletzt sah, unmittelbar gegen den Verfasser der beanstandeten Einmeldungen vorgehen wollte und zwecks Feststellung der Identität desselben einen Auskunftsanspruch gegenüber dem Portalbetreiber geltend machte. Der BGH lehnte einen solchen Anspruch ab. Vorrang habe das Verbot in § 12 Abs. 2 TMG, das dem Diensteanbieter die Herausgabe der zur Bereitstellung des Telemediums erhobenen Anmeldedaten untersage. Zwar bleibt dem Betroffenen die Möglichkeit, sich an die Strafverfolgungsbehörden zu wenden. Der Diensteanbieter darf nach § 14 Abs. 2, § 15 Abs. 5 Satz 4 TMG auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über Bestands-, Nutzungs- und Abrechnungsdaten geben, soweit dies u.a. für Zwecke der Strafverfolgung erforderlich ist. Dies hilft aber nur bei Persönlichkeitsverletzungen mit strafrechtlicher Relevanz.
In ihrer zwischenzeitlich veröffentlichten Gegenäußerung weist die Bundesregierung die Vorschläge des Bundesrats in wesentlichen Teilen zurück. Zwar soll im weiteren Gesetzgebungsverfahren eine Pflicht der nach UKlaG anspruchsberechtigten Stellen, die Aufsichtsbehörde bereits vor der Einleitung rechtlicher Schritte zu involvieren, ebenso geprüft werden wie die Möglichkeit einer näheren Konkretisierung der anzuhörenden Datenschutzaufsichtsbehörde (beides § 12a UKlaG-E). Die angeregte Erweiterung der Befugnisse von Diensteanbietern nach dem TMG zur Auskunftserteilung soll auch geprüft werden, allerdings im Rahmen eines eigenständigen Gesetzgebungsverfahrens.
Bezüglich des Kerns des Gesetzentwurfs, nämlich den Voraussetzungen des Verbandsklagerechts bei Datenschutzverstößen, weist die Bundesregierung jedoch jeglichen Änderungsbedarf zurück. Bei der Ausgestaltung der Abmahn- und Klagemöglichkeiten seien insbesondere auch die Interessen der kleineren und mittleren Unternehmen berücksichtigt worden. Die vorgeschlagene Ausweitung des Koppelungsverbots in § 28 Abs. 3b BDSG wird unter Hinweis darauf abgelehnt, dass § 28 BDSG voraussichtlich bald durch die Bestimmungen der DS-GVO abgelöst und eine Änderung dieser Regelung daher als nicht zweckmäßig angesehen werde. Bezüglich der Regelung eines Koppelungsverbots in der DSGVO verweist die Bundesregierung auf den aktuellen Verhandlungsstand im Rat der Europäischen Union. Danach ist freilich eine vergleichbare Einschränkung des Verbots vorgesehen („ein anderer Zugang zu gleichwertigen vertraglichen Leistungen ohne Einwilligung nicht in zumutbarer Weise möglich“), wie sie auch § 28 Abs. 3b BDSG enthält.
Bei dem Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts handelt es sich um ein reines Einspruchsgesetz. In diesen Fällen kann der Bundesrat seine abweichende Meinung zwar zum Ausdruck bringen, indem er im weiteren Gesetzgebungsverfahren Einspruch gegen das Gesetz einlegt. Dieser kann durch den Bundestag aber überstimmt werden mit der Folge, dass der Bundesrat das Inkrafttreten der geplanten Regelungen nicht ver hindern kann. Anfang Mai hat vor dem Ausschuss für Recht und Verbraucherschutz des Bundestages zudem eine öffentliche Sachverständigenanhörung zum Gesetzentwurf stattgefunden.
Zu beachten ist schließlich, dass auch die angesprochene DS-GVO Regelungen für ein Verbandsklagerecht enthalten soll. Etwaige nationale Regelungen in diesem Bereich werden insofern ggf. nur eine eingeschränkte Geltungsdauer genießen.
* Die Autorin ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., Bonn.
[1] Simitis, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl., § 28 Rn. 223.
[2] BGH, NJW 2014, 2651 = RDV 2014, 266.