Datenschutz-Herbst

Aber weg von der Esoterik, hin zu den Fakten: Herbst bedeutet Erntezeit. Es ist eine bunte Zeit und sie bietet die Möglichkeit, die Erfahrungen der letzten Monate zu vertiefen. In diesem Sinne möchte ich mit diesem Editorial auf unsere Datenschutz-Erfahrungen der letzten Monate blicken.

Internationaler Datentransfer - USA & Co.

Im November 2020 veröffentlichte die Europäische Kommission aktualisierte Standardvertragsklauseln (SCC). Eine Überarbeitung der bestehenden SCC stand nach dem Schrems-II-Urteil an. Zwar hatte der EuGH in seiner Entscheidung die SCC ausdrücklich für weiterhin gültig erklärt (vgl. EuGH ZD 2020, 511 m. Anm. Moos/Rothkegel). Jedoch hat der EuGH verstärkt die Aufsichtsbehörden in die Pflicht genommen und ihnen aufgegeben, ihre Befugnisse aus der DS-GVO zur Prüfung der Einhaltung der Rechtsvorschriften beim internationalen Datentransfer auszuüben. Der Europäische Datenschutzausschuss (EDSA) griff das auch sofort auf und veröffentlichte bereits vier (!) Monate nach dem EuGH-Urteil, am 10.11.2020, Empfehlungen für die Beurteilung der Datenschutzsituation im Drittland und für „geeignete, zusätzliche Maßnahmen“ zur Erzielung des notwendigen Schutzniveaus (EDSA, Empfehlung 01/2020 v. 10.11.2020).

Für die Praxis bedeutete die Phase nach dem Schrems-II-Urteil, dass, anders als nach dem Scheitern des Privacy-Shield-Vorgängers, Safe Harbor, nun der Datenaustausch nicht abrupt unzulässig und damit unmöglich wurde. Es fiel zwar eine rechtliche Grundlage für den Datenaustausch weg, aber anders als einige Stimmen es zu vermitteln versuchten, hat der EuGH mit seiner Entscheidung nicht das Internet kaputt gemacht!

Mit der Empfehlung des EDSA ließ sich dann auch zunächst arbeiten und sie wurde zur Grundlage guter und praxisnaher Umsetzungsempfehlungen für die nun folgende Übergangsphase. So gab es Formulierungsvorschläge für Anhänge zu den bestehenden SCC, die die Empfehlungen des EDSA enthielten, und einige der betroffenen Unternehmen auf beiden Seiten des Atlantiks übten sich in der Anpassung der Verträge. Sicher, nicht alles passte und nicht alle waren zufrieden damit, aber auch der sich daraus entwickelte Diskurs hatte wieder sein Gutes - um in dem Bild der Ernte zu bleiben.

Die zeitlich unmittelbar der Empfehlung des EDSA folgenden Entwürfe für neue Standardvertragsklauseln der Europäischen Kommission konnten bereits die Früchte des Diskurses aufnehmen und verarbeiten. Die kurze Konsultationsphase von knapp zwei Monaten griff diesen Diskurs auf und vertiefte ihn. Am 4.6.2021 waren sie dann endgültig da - die neuen SCC (hier abrufbar auf der Seite der EU-Kommission. Es ist Juni: Der Sommer kann beginnen!

Die folgenden Wochen und Monate dienten dazu, die neuen SCC auf ihre Praxistauglichkeit hin zu analysieren. Von der Ernteprognose her dürfte es grundsätzlich keine schlechte Ernte werden, der Boden war ausreichend nährstoffreich. Jedoch bedarf es für eine Rekordernte besseren Wetters - hier im politischen/rechtlichen Sinne gemeint.

Das erfordert ein Aufeinander-Zugehen, um die Anforderungen an ein angemessenes Schutzniveau für die Privatsphäre für alle Betroffenen in allen Ländern zu definieren. Die ersten Schritte sind gemacht.

Bei dem diesjährigen G7-Gipfel v. 11.-13.6.2021 unter dem Vorsitz des Vereinigten Königreichs in St. Ives in Cornwall haben die Staats- und Regierungschefs der G7 eine Erklärung zum Datenaustausch (G7 Roadmap for Cooperation on Data Free Flow with Trust, hier abrufbar) verabschiedet, die den Weg ebnet, an dessen Ende ein multilaterales Schutzniveau für die Privatsphäre steht. Auch wenn die ersten jetzt darauf hinweisen werden, dass die G7-Beschlüsse und Selbstverpflichtungen keine rechtliche Bindungswirkung haben, ist doch allgemein anerkannt, dass sie eine weltweite Wirkung entfalten.

Schaut man sich die Erklärung im Detail an, sollte es bei anstehenden Verhandlungen keine große Diskrepanz hinsichtlich eines gemeinsamen Verständnisses beim Umgang mit der Privatsphäre der betroffenen Bürger*innen mehr geben. So beinhaltet die Abschlussvereinbarung die Bekräftigung aller G7-Staaten auf eine „Werte-basierte internationale Zusammenarbeit“. Konkret wird bekräftigt, dass die „Umsetzung und Erarbeitung globaler Normen und Standards verstärkt“ werden soll, um zu gewährleisten, dass der Einsatz und die Entwicklung neuer Technologien „die gemeinsamen demokratischen Werte im Hinblick auf Menschenrechte und Grundfreiheiten widerspiegeln“. Darüber hinaus wird festgehalten, dass „Maßnahmen abgelehnt werden, durch die demokratische Werte untergraben werden“ könnten.

Diese gemeinsame Erklärung bietet eine stabile Grundlage für die Erarbeitung der anstehenden multilateralen Vereinbarungen für einen internationalen Datenverkehr.

Als Erntehelfer bietet sich dabei der risikobasierte Ansatz an. Bevor jetzt der ein oder andere zur Heugabel greift, bitte innehalten. Der risikobasierte Ansatz ist kein offenes Scheunentor (vgl. Veil, CR-online.de-Blog v. 7.12.2018: „Verhasst, gefürchtet, geleugnet, ignoriert ... der risikobasierte Ansatz in der DSGVO“). Im Gegenteil: Er bietet die Chance, den Datenschutz in der digitalen Welt praktizierbar zu machen. Auch die Aufsichtsbehörden scheinen nun in diese Richtung zu tendieren (vgl. Future of Privacy Forum, Regulatory Strategies of European Data Protection Authorities for 2021-2022, July 2021).

Deutschland wird im kommenden Jahr (2022) den G7-Vorsitz innehaben. Das sollte Ansporn für eine gute Ernte sein.

Der Datenschutz-Herbst bringt noch ein weiteres spannendes Thema, das erst auf den zweiten Blick auch ein Datenschutz-Thema ist: Das BGB soll digital werden.

Digitale-Inhalte-Gesetz - BGB 2.0

Mit dem Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (BGBl. I 2021 2123) hält der Datenschutz Einzug in das Vertragsrecht. Das Gesetz beruht auf der RL (EU) 2019/770 und verpflichtete die Mitgliedstaaten bis zum 1.7.2021 zur Umsetzung der entsprechenden Vorschriften in nationales Recht. Die Frist wurde eingehalten: Am 25.6.2021 beschloss der Deutsche Bundestag das Gesetz, für das es noch keine wirkliche Abkürzung gibt - daher hier im Folgenden: Digitale-Inhalte-Gesetz.

Für den Datenschutz wird das Digitale-Inhalte-Gesetz interessant durch die Ergänzungen im BGB zu §§ 312 Abs. 1 lit. a und 327 Abs. 3, 327 lit. q BGB.

In § 312 Abs. 1 lit. a BGB wird das Bezahlen mit Daten geregelt, und zwar in Äquivalenz zur Barzahlung. In § 327 lit. q BGB werden die datenschutzrechtlichen Erklärungen des Verbrauchers in den Vertragskontext gesetzt. Die Vorschriften treten ab dem 1.1.2022 in Kraft und sind dann auch gleich anzuwenden.

Mit diesen vertragsrechtlichen Ergänzungen werden die Ausführungen zum Kopplungsverbot überdacht werden müssen. Bisher wurde es kritisch gesehen, wenn (personenbezogene) Daten im Austausch mit Leistungen eingesetzt wurden. Gestützt werden diese Bedenken auf Art. 7 Abs. 4 DS-GVO, wonach die Einwilligung zur Datenverarbeitung nicht mit der Hergabe von Daten verknüpft werden soll, wenn diese Daten für die Erfüllung des eigentlichen Vertrags nicht benötigt werden. Bei dieser Betrachtung werden die Grundprinzipien des Rechtsgeschäfts, das Trennungs- und Abstraktionsprinzip, außer Acht gelassen.

Mit dem Digitale-Inhalte-Gesetz werden diese Prinzipien nun wieder aus der Klamottenkiste des Schuld- und Sachenrechts herausgekramt. Die Begründung zum Gesetzesentwurf gibt hierzu hilfreiche Erklärungen (vgl. Gesetzesbegründung zu § 327 Abs. 3 BGB-E, S. 44 ff., hier abrufbar unter: RegE_BereitstellungdigitalerInhalte.pdf;j.1_cid324 (bmjv.de)). So heißt es dort u.a.: „Ob ein Vertragsschluss angenommen werden kann, hängt insbesondere davon ab, inwiefern die Parteien den Willen haben, sich rechtlich zu binden.“

Folgende Ausführungen in der Gesetzesbegründung dürften zudem ein gesondertes Licht auf die Diskussion um Cookies & Co. und das neue TTDSG werfen: „Für die Annahme eines Vertragsschlusses könnte beispielsweise sprechen, dass der Unternehmer den Dienst oder die Leistung erbringt, weil er den Verbraucher motivieren will, auf seiner Seite weitere Webseitenaufrufe zu tätigen oder Dienste oder Leistungen in Anspruch zu nehmen, weil er Einnahmen für auf seiner Seite dargestellte Werbung erzielen will, deren Höhe in aller Regel von den Zugriffszahlen abhängt, oder weil er mit dem Einsatz von Tracking-Technologien und der nachfolgenden Anzeige personalisierter Werbung wirtschaftliche Vorteile anstrebt.“

Personenbezogene Daten als schuldrechtliche Leistung. Das ist auch mit der DS-GVO möglich. Art. 6 Abs. 1 lit. b DS-GVO bietet hier die entsprechende Verknüpfung zum Vertragsrecht. Das Digitale-Inhalte-Gesetz regelt zukünftig, was zu beachten ist, wenn ein Verbraucher für den Erhalt einer Leistung personenbezogene Daten bereitstellt. Es wird dann so behandelt, als wäre es die Zahlung eines Geldbetrags. Der Schutz vor Zweckentfremdung wird durch Satz 2 in § 312 Abs. 1 lit. a BGB gewährleistet, der dafür sorgt, dass die Daten auch nur zum Zwecke der Vertragserfüllung verwendet werden.

Der Datenschutz bleibt bei dem neuen Vertragstyp zu digitalen Inhalten und Produkten auch nicht auf der Strecke. Dafür sorgt der neue § 327 lit. q BGB, der sicherstellt, dass die datenschutzrechtlichen Betroffenenrechte und die Abgabe datenschutzrechtlicher Erklärungen des Verbrauchers nach Vertragsschluss von der Wirksamkeit des (Verpflichtungs-)Vertrags getrennt zu betrachten und zu bewerten sind.

Die kommenden langen Winterabende werden Zeit und hoffentlich hinreichend Muße mit sich bringen, um die genaue Ausgestaltung und die konkreten Anwendungsfälle für den Vertragstyp „Zahlen mit Daten“ herauszukristallisieren.

In diesem Sinne: Kommen Sie gut durch den Datenschutz-Herbst!