Beschluss: Auswirkungen der neuen Verbrauchervorschriften über digitale Produkte im BGB auf das Datenschutzrecht
Der deutsche Gesetzgeber hat zur Umsetzung der europäischen Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (DI-RL) in das Bürgerliche Gesetzbuch (BGB) neue Vorschriften zu Verbraucherverträgen über digitale Produkte aufgenommen. Diese sind am 1.1.2022 in Kraft getreten. In den neuen zivilrechtlichen Verbraucherschutzvorschriften über digitale Produkte wird in § 312 Abs. 1a BGB und § 327q BGB „Vertragsrechtliche Folgen datenschutzrechtlicher Erklärungen des Verbrauchers“ ein eindeutiger Bezug zum Datenschutzrecht hergestellt.
§ 312 Abs. 1a BGB lautet:
„Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.“
Nunmehr wird in der Praxis stark diskutiert, welche datenschutzrechtlichen Auswirkungen diese Vorschriften auf das sog. Geschäftsmodell „Bezahlen mit Daten“ haben. Insbesondere im Internet wird dieses Geschäftsmodell seit langem praktiziert, wenn werthaltige Inhalte, wie z.B. Zeitungsartikel, oder Dienstleistungen, wie die Bereitstellung von Plattformen zur sozialen Vernetzung oder Suchmaschinen, von den Nutzer:innen nicht mit Geld bezahlt werden. Die vermeintlich kostenlosen Inhalte und Dienstleistungen werden regelmäßig über personalisierte Werbung finanziert. Zu diesem Zweck, wird das Verhalten der Nutzer:innen häufig nachverfolgt und die so gewonnenen Daten werden zu detaillierten Nutzerprofilen zusammengeführt und ausgewertet, um auf dieser Grundlage Werbung darzustellen und dadurch die Werbeeinnahmen zu generieren.
Die Verarbeitung personenbezogener Daten im Rahmen dieser Geschäftsmodelle muss auf eine der gesetzlichen Erlaubnistatbestände gemäß Art. 6 Abs. 1 Buchstabe a, b oder f DS-GVO gestützt werden können und auch den sonstigen Anforderungen der Datenschutz-Grundverordnung gerecht werden. Die neuen Verbraucherschutzvorschriften des BGB stellen keine eigene Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten dar.
Die DSK beurteilt die datenschutzrechtlichen Auswirkungen der neuen Verbrauchervorschriften wie folgt:
1. Die §§ 327 ff. BGB sind nur anwendbar, wenn ein Vertrag über digitale Produkte geschlossen wurde.
Ob zwischen Nutzer:innen und Betreiber:innen einer Website, deren Angebote durch personalisierte Werbung (teilweise) finanziert werden, tatsächlich ein Vertrag über digitale Produkte zustande kommt, hängt insbesondere davon ab, inwiefern die Parteien den Willen haben, sich rechtlich zu binden. Eine verallgemeinernde Auslegung dahingehend, dass jeder Aufruf einer Webseite, deren Angebot die Verarbeitung personenbezogener Daten beinhaltet, oder jede Interaktion mit einem Einwilligungsbanner zum Abschluss eines Verbrauchervertrages führt, verbietet sich vor dem Hintergrund der Anforderungen der §§ 133, 157 BGB. Insbesondere kann allein die Bereitstellung der personenbezogenen Daten nicht als konkludente Willenserklärung der Betroffenen zum Abschluss eines Vertrages über digitale Produkte gewertet werden. In der Praxis wird es maßgeblich darauf ankommen, in jedem konkreten Fall zu untersuchen, ob zwei übereinstimmende Willenserklärungen mit entsprechendem Rechtsbindungswillen vorliegen. Nur in diesem Fall kommen die §§ 327 ff. BGB überhaupt zum Tragen.
2. Wurde zwischen dem Unternehmen und dem Verbraucher ein Vertrag über digitale Produkte geschlossen, ist jede Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem geschlossenen Vertrag nur rechtmäßig, wenn sie auf eine Rechtsgrundlage der Datenschutz-Grundverordnung gestützt werden kann.
Die zivilrechtlichen Vorschriften über den Verbrauchervertrag stellen keine eigene Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten dar. Für die Datenverarbeitung im Rahmen des Verbrauchervertrages über digitale Inhalte kommen grundsätzlich Art. 6 Abs. 1 Buchstabe a, b und f DS-GVO in Betracht. Sofern besondere Kategorien personenbezogener Daten verarbeitet werden sollen, ist zusätzlich Art. 9 DS-GVO zu berücksichtigen. Die Erwägungsgründe Nr. 37 und 38 DI-RL halten ausdrücklich fest, dass die DS-GVO von der Richtlinie unberührt bleibt und die Vorgaben der DS-GVO für alle personenbezogenen Daten gelten, die im Zusammenhang mit den von dieser Richtlinie erfassten Verträgen verarbeitet werden. Eine Verarbeitung personenbezogener Daten im Zusammenhang mit einem Vertrag, der in den Anwendungsbereich der Richtlinie fällt, ist daher nur rechtmäßig, wenn sie mit den Bestimmungen der DS-GVO im Einklang steht. Gleiches gilt für die neuen Verbraucherschutzvorschriften im BGB, die der Umsetzung der DI-RL dienen.
3. § 327q BGB trifft keine Aussage zu den Auswirkungen der zivilrechtlichen Verbraucherschutzvorschriften auf das Datenschutzrecht. Es werden nur umgekehrt die zivilrechtlichen Auswirkungen auf den Verbrauchervertrag festgelegt wenn Verbraucher von ihren datenschutzrechtlichen Rechten Gebrauch gemacht haben, eine Einwilligung zu widerrufen oder einer Datenverarbeitung, die auf Art. 6 Abs. 1 Buchstabe f DS-GVO gestützt wird, gemäß Art. 21 DS-GVO zu widersprechen.
§ 327q BGB regelt die vertragsrechtlichen Folgen datenschutzrechtlicher Erklärungen des Verbrauchers. In Absatz 1 wird festgestellt, dass die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss die Wirksamkeit des Vertrags unberührt lassen. Im Falle des Widerrufs der von einem Verbraucher erteilten datenschutzrechtlichen Einwilligung oder des Widerspruchs gegen eine weitere Verarbeitung seiner personenbezogenen Daten wird dem Unternehmen unter den Voraussetzungen des § 327q Abs. 2 BGB ein außerordentliches Kündigungsrecht des Verbrauchervertrages zuerkannt. Absatz 3 stellt ergänzend klar, dass die Ausübung von Datenschutzrechten oder die Abgabe datenschutzrechtlicher Erklärungen durch den Verbraucher keine Ersatzansprüche des Unternehmers gegen diesen begründen können.
4. Die neuen Verbraucherschutzvorschriften im BGB haben keine Auswirkungen auf die Anwendung von § 25 TTDSG.
Wurde zwischen dem Unternehmen und dem Verbraucher ein Vertrag über digitale Produkte geschlossen, hat dies keine Auswirkungen auf die Anwendung § 25 TTDSG. Das Unternehmen muss prüfen, ob für Vorgänge der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, eine Einwilligung erforderlich oder eine Ausnahme einschlägig ist. Wie oben geschildert, kommen die §§ 327 ff. BGB überhaupt erst zur Anwendung, wenn ein Verbrauchervertrag geschlossen wird. Die Qualitätsanforderungen, die § 327e BGB aufstellt, können den „objektiv geschuldeten Funktionsumfang“ eines Telemediendienstes mithin erst beeinflussen, wenn mit Nutzer:innen ein Vertrag über digitale Produkte zustande kommt. Selbst dann ist weiterhin im Einzelfall zu prüfen, ob die Vorgänge unbedingt erforderlich sind, um den von Nutzer:innen gewünschten Dienst (mangelfrei) zur Verfügung zu stellen. Weitere Ausführungen hierzu können der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien (letzte Fassung vom 24. November 2022) entnommen werden.
Der deutsche Gesetzgeber hat zur Umsetzung der europäischen Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (DI-RL) in das Bürgerliche Gesetzbuch (BGB) neue Vorschriften zu Verbraucherverträgen über digitale Produkte aufgenommen. Diese sind am 1.1.2022 in Kraft getreten. In den neuen zivilrechtlichen Verbraucherschutzvorschriften über digitale Produkte wird in § 312 Abs. 1a BGB und § 327q BGB „Vertragsrechtliche Folgen datenschutzrechtlicher Erklärungen des Verbrauchers“ ein eindeutiger Bezug zum Datenschutzrecht hergestellt.
§ 312 Abs. 1a BGB lautet:
„Die Vorschriften der Kapitel 1 und 2 dieses Untertitels sind auch auf Verbraucherverträge anzuwenden, bei denen der Verbraucher dem Unternehmer personenbezogene Daten bereitstellt oder sich hierzu verpflichtet. Dies gilt nicht, wenn der Unternehmer die vom Verbraucher bereitgestellten personenbezogenen Daten ausschließlich verarbeitet, um seine Leistungspflicht oder an ihn gestellte rechtliche Anforderungen zu erfüllen, und sie zu keinem anderen Zweck verarbeitet.“
Nunmehr wird in der Praxis stark diskutiert, welche datenschutzrechtlichen Auswirkungen diese Vorschriften auf das sog. Geschäftsmodell „Bezahlen mit Daten“ haben. Insbesondere im Internet wird dieses Geschäftsmodell seit langem praktiziert, wenn werthaltige Inhalte, wie z.B. Zeitungsartikel, oder Dienstleistungen, wie die Bereitstellung von Plattformen zur sozialen Vernetzung oder Suchmaschinen, von den Nutzer:innen nicht mit Geld bezahlt werden. Die vermeintlich kostenlosen Inhalte und Dienstleistungen werden regelmäßig über personalisierte Werbung finanziert. Zu diesem Zweck, wird das Verhalten der Nutzer:innen häufig nachverfolgt und die so gewonnenen Daten werden zu detaillierten Nutzerprofilen zusammengeführt und ausgewertet, um auf dieser Grundlage Werbung darzustellen und dadurch die Werbeeinnahmen zu generieren.
Die Verarbeitung personenbezogener Daten im Rahmen dieser Geschäftsmodelle muss auf eine der gesetzlichen Erlaubnistatbestände gemäß Art. 6 Abs. 1 Buchstabe a, b oder f DS-GVO gestützt werden können und auch den sonstigen Anforderungen der Datenschutz-Grundverordnung gerecht werden. Die neuen Verbraucherschutzvorschriften des BGB stellen keine eigene Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten dar.
Die DSK beurteilt die datenschutzrechtlichen Auswirkungen der neuen Verbrauchervorschriften wie folgt:
1. Die §§ 327 ff. BGB sind nur anwendbar, wenn ein Vertrag über digitale Produkte geschlossen wurde.
Ob zwischen Nutzer:innen und Betreiber:innen einer Website, deren Angebote durch personalisierte Werbung (teilweise) finanziert werden, tatsächlich ein Vertrag über digitale Produkte zustande kommt, hängt insbesondere davon ab, inwiefern die Parteien den Willen haben, sich rechtlich zu binden. Eine verallgemeinernde Auslegung dahingehend, dass jeder Aufruf einer Webseite, deren Angebot die Verarbeitung personenbezogener Daten beinhaltet, oder jede Interaktion mit einem Einwilligungsbanner zum Abschluss eines Verbrauchervertrages führt, verbietet sich vor dem Hintergrund der Anforderungen der §§ 133, 157 BGB. Insbesondere kann allein die Bereitstellung der personenbezogenen Daten nicht als konkludente Willenserklärung der Betroffenen zum Abschluss eines Vertrages über digitale Produkte gewertet werden. In der Praxis wird es maßgeblich darauf ankommen, in jedem konkreten Fall zu untersuchen, ob zwei übereinstimmende Willenserklärungen mit entsprechendem Rechtsbindungswillen vorliegen. Nur in diesem Fall kommen die §§ 327 ff. BGB überhaupt zum Tragen.
2. Wurde zwischen dem Unternehmen und dem Verbraucher ein Vertrag über digitale Produkte geschlossen, ist jede Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem geschlossenen Vertrag nur rechtmäßig, wenn sie auf eine Rechtsgrundlage der Datenschutz-Grundverordnung gestützt werden kann.
Die zivilrechtlichen Vorschriften über den Verbrauchervertrag stellen keine eigene Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten dar. Für die Datenverarbeitung im Rahmen des Verbrauchervertrages über digitale Inhalte kommen grundsätzlich Art. 6 Abs. 1 Buchstabe a, b und f DS-GVO in Betracht. Sofern besondere Kategorien personenbezogener Daten verarbeitet werden sollen, ist zusätzlich Art. 9 DS-GVO zu berücksichtigen. Die Erwägungsgründe Nr. 37 und 38 DI-RL halten ausdrücklich fest, dass die DS-GVO von der Richtlinie unberührt bleibt und die Vorgaben der DS-GVO für alle personenbezogenen Daten gelten, die im Zusammenhang mit den von dieser Richtlinie erfassten Verträgen verarbeitet werden. Eine Verarbeitung personenbezogener Daten im Zusammenhang mit einem Vertrag, der in den Anwendungsbereich der Richtlinie fällt, ist daher nur rechtmäßig, wenn sie mit den Bestimmungen der DS-GVO im Einklang steht. Gleiches gilt für die neuen Verbraucherschutzvorschriften im BGB, die der Umsetzung der DI-RL dienen.
3. § 327q BGB trifft keine Aussage zu den Auswirkungen der zivilrechtlichen Verbraucherschutzvorschriften auf das Datenschutzrecht. Es werden nur umgekehrt die zivilrechtlichen Auswirkungen auf den Verbrauchervertrag festgelegt wenn Verbraucher von ihren datenschutzrechtlichen Rechten Gebrauch gemacht haben, eine Einwilligung zu widerrufen oder einer Datenverarbeitung, die auf Art. 6 Abs. 1 Buchstabe f DS-GVO gestützt wird, gemäß Art. 21 DS-GVO zu widersprechen.
§ 327q BGB regelt die vertragsrechtlichen Folgen datenschutzrechtlicher Erklärungen des Verbrauchers. In Absatz 1 wird festgestellt, dass die Ausübung von datenschutzrechtlichen Betroffenenrechten und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss die Wirksamkeit des Vertrags unberührt lassen. Im Falle des Widerrufs der von einem Verbraucher erteilten datenschutzrechtlichen Einwilligung oder des Widerspruchs gegen eine weitere Verarbeitung seiner personenbezogenen Daten wird dem Unternehmen unter den Voraussetzungen des § 327q Abs. 2 BGB ein außerordentliches Kündigungsrecht des Verbrauchervertrages zuerkannt. Absatz 3 stellt ergänzend klar, dass die Ausübung von Datenschutzrechten oder die Abgabe datenschutzrechtlicher Erklärungen durch den Verbraucher keine Ersatzansprüche des Unternehmers gegen diesen begründen können.
4. Die neuen Verbraucherschutzvorschriften im BGB haben keine Auswirkungen auf die Anwendung von § 25 TTDSG.
Wurde zwischen dem Unternehmen und dem Verbraucher ein Vertrag über digitale Produkte geschlossen, hat dies keine Auswirkungen auf die Anwendung § 25 TTDSG. Das Unternehmen muss prüfen, ob für Vorgänge der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, eine Einwilligung erforderlich oder eine Ausnahme einschlägig ist. Wie oben geschildert, kommen die §§ 327 ff. BGB überhaupt erst zur Anwendung, wenn ein Verbrauchervertrag geschlossen wird. Die Qualitätsanforderungen, die § 327e BGB aufstellt, können den „objektiv geschuldeten Funktionsumfang“ eines Telemediendienstes mithin erst beeinflussen, wenn mit Nutzer:innen ein Vertrag über digitale Produkte zustande kommt. Selbst dann ist weiterhin im Einzelfall zu prüfen, ob die Vorgänge unbedingt erforderlich sind, um den von Nutzer:innen gewünschten Dienst (mangelfrei) zur Verfügung zu stellen. Weitere Ausführungen hierzu können der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien (letzte Fassung vom 24. November 2022) entnommen werden.